Top 20 Vulnerabilities

O SANS Institute atualizou sua lista das 20 vulnerabilidades mais utilizadas. A lista contempla vulnerabilidades de sistemas Windows e Unix, bem como medidas de prevenção e correção.


CFOBJECT e CreateObject(), Macromedia confirma o óbvio 2

Parece até que foi combinado. Depois de tanto falar sobre os problemas envolvendo a tag CFOBJECT e a função CreateObject(), assunto constante por aqui (que culminou com a minha matéria no CFDJ do mês passado), a Macromedia finalmente resolveu alertar o óbvio: não use esta tag e função em ambiente compartilhado.

A Macromedia disponibilizou um security bulletin sobre o assunto (provavelmente em decorrência disso aqui) e aconselhando os administradores de sistema a desabilitarem as ditas cujas (algo que digo há mais de ano).

Confira: The CFOBJECT tag and CreateObject functions should be secured in a shared or untrusted developer environment


Domínios irregistráveis

Não deixem de conferir o excelente artigo do Marco Gonçalves (manager do CFUG-Rio) no Webinsider sobre um problema clássico e injustificável do Registro.br que torna o registro de domínios cancelados (por falta de pagamento) um looping infinito que impede que o mesmo seja registrado novamente. Eu mesmo já vivi esta situação com um domínio que há tempos venho tentando registrar.

Confira: Domínios abandonados… mas irregistráveis.


Tamanho da barra de busca no Firefox

Atendendo a pedidos, segue abaixo uma maneira de aumentar o tamanho da barra de busca no Firefox, já seu tamanho original é realmente pequeno:

Feche o Firefox e vá em C:Documents and Settings{username}Application DataMozillaFirefoxProfiles{profile}chrome (ou no diretório que corresponda a este em seu computador). Crie um arquivo “userChrome.css” com o seguinte conteúdo:

#search-container { -moz-box-flex: 250 !important; }
#searchbar { -moz-box-flex: 250 !important; }

Salve e abra o Firefox novamente.

A primeira idéia que eu tive para resolver esse problema foi abrir o browser.jar do Firefox e procurar o arquivo (seja .xul, .xml ou .css) que controlava essa barra. Eu até encontrei essa informação (no search.xml e no searchbarBindings.css), mas minhas alterações não tiveram resultado. Tive que recorrer ao Google e gastar algum tempinho para achar uma “dica” que funcionasse corretamente.


Sobre Firefox

Prometi e estou cumprindo. Há cerca de quase um mês estou usando como browser padrão o Firefox 1.0 PR. Muitas pessoas acham que eu tenho alguma coisa contra software livre, devido à inúmeras críticas que fiz (e faço) ao modelo de adoção de software livre pelo nosso governo. Que tenho alguma coisa contra o firefox, devido às críticas que fiz à seguir padrões rígidos e absolutos num ambiente volátil como a web. Enfim, as pessoas acham que eu sou contra um monte de coisas, mas a verdade é que quem me conhece sabe que eu sou cara pacífico e sem neuras. Só não gosto de radicalismos e historinhas para boi dormir. 😉

Minha história com browsers começou com o Netscape 2.0 (que vinha em três ou dois disquetes do UOL), passou pelo Netscape 3.0 Gold e Navigator 4.x que eu usava quando a Microsoft lançou o IE4, um browser gratuíto e muito superior ao Navigator 4.x. Desde então usei o IE por dois motivos: (1) ele era o melhor browser até o lançamento do Mozilla (versão 1.0 acima), (2) eu trabalhava em um lugar onde usavamos muitas firulas em ActiveX.

Nos últimos meses, com o surgimento do Mozilla (enginee que eu ajudei a fazer, postando bugs enquanto muitos que hoje arrotam sabedoria e experiência ainda nem sabiam como se conectar à internet – aliás, voltei um backup de 1998/99 onde encontrei esta pérola aqui.) a realidade de “qual é o melhor browser” pode ter mudado. Para mim o IE 6.0SP1 continuava sendo o melhor por conta do suporte à ActiveX. Sempre digo: o “bom” é aquilo que melhor atende a você e sua empresa. Em tecnologia deveríamos, sempre, pensar desta maneira.

Eis que em Setembro não vi mais necessidade de usar o IE e decidi experimentar o tão falado e endeusado Firefox para valer (leia-se: usá-lo TODOS os dias). Gostei do dito cujo e a experiência não mudou muito da de usar o IE, exceto por alguns sites (aliás, muitos) que não funcionam direito, me obrigando ainda a abrir o IE em muitas ocasiões. O software é leve e sóbrio, bastante agradável. Senti falta de alguns ajustes, especialmente nas barras de links e de busca (muito pequena, e até agora não encontrei um meio de aumentá-la). Em resumo: trata-se de uma excelente opção ao IE para aqueles que podem viver sem ele (devido aos recursos de ActiveX ou outros mais prozaicos).

Dito isso, só me resta perguntar: alguém sabe como aumentar a largura da barra de busca (Web Search/Google) padrão do Firefox?? Tentei algumas dicas que Googlei, mas elas não funcionaram para o Preview Release que estou usando.

BTW: quando a Microsoft lançar um browser melhor para mim e minhas necessidades, eu volto a usá-lo. Se uma outra empresa e/ou organização fizer outro melhor, mudo para ele, ad eternum. É assim que as coisas deveriam ser. Fora modismos, radicalismos e outras chatices do mesmo saco.


Evento Macromedia

No dia 29/10/04 acontecerá o evento “Macromedia Collaboration Time” em São Paulo. Clique aqui para conferir a programação e fazer sua inscrição. Participe!


Flex Server e Flex Builder de graça?

É muito bom para ser verdade, mas é! Se você não vende nada e não anuncia nada no seu site, é bem provável que esteja apto a usar o Flex em suas aplicações e websites. Na próxima semana a Macromedia começa a “vender” uma licença especial do Flex chamada “Non-Commercial/Non-Institutional License”, que em resumo é de graça (exceto pela taxa de envio do CD ~ U$ 9,00). Veja o que diz o site da Macromedia sobre quais situações se aplicam e são válidas para esta licença:

*Using Flex in a non-commercial and non-institutional manner. (Non-commercial use means that the software may not be used on any web site or application that sells, advertises, or otherwise promotes revenue-bearing products or services of any kind. Non-institutional use means that the software may not be used for any web site or application that facilitates the operation of any institution, including but not limited to corporations, partnerships, sole proprietorships, governments, or educational institutions.)
*Educators or students looking to learn or teach Flex.
*Bloggers who want to showcase Flex applications on their personal blog.

Leia o FAQ e alguns exemplos de cenários possíveis onde a licença se aplica e escreva para ser avisado de quando esta super licença estiver disponível (logo).

Está na hora de migrar o CFGIGOLÔ e o CFUG-SP para o danado do Flex! Quem me dera isso fosse estendido para ColdFusion Server e afins… 😉


Descobrindo a senha do ColdFusion Administrator (de novo)

Já postamos aqui uma ou mais maneiras de como descobrir a senha do ColdFusion Administrator, sempre no intuíto de alertar em como os servidores devem ser protegidos, tanto por quem desenvolve a aplicação quando por quem administra os servidores.

Também aqui no CFGIGOLÔ já foi dito sobre o perigo da função CreateObject() e da tag CFOBJECT, e agora não poderia ser diferente. Veja: o problema não é a existência desses dois recursos, mas permitir que esses dois recursos estejam habilitados em um ambiente compartilhado ou em um ambiente onde pessoas mal intencionadas possam ter acesso, como por exemplo, provedores de hospedagem espalhados aos montes por aí.

O código apresentado aqui, que é valido somente para a versão MX, foi divulgado ontem, por Eric Lackey, no site SecurityFocus. Tem como intenção demostrar como escrever uma classe java no diretório “lib” do ColdFusion e utilizá-la, por exemplo, para descobrir a senha do CF Administrator. Por tabela, demonstra também que em um servidor compartilhado sem o Sandbox configurado corretamente (essa é a parte importante desse post), você não está seguro. Exija que seu provedor de hospedagem configure e trate da segurança do seu servidor. O CFGIGOLÔ contém inúmeros posts a respeito. O Alex inclusive publicou um artigo sobre o assunto no ColdFusion Developer’s Journal no mês passado.

O código malicioso inclui métodos e funções para alter configurações importantes do servidor (como senhas e desabilitar o Sandbox Security) e outras. Se decidir executar e usar, o faça por sua conta e risco. Ninguém se responsabilizará por quaisquer danos.

Leia o resto deste post »


Eu não aguento mais spam!

O volume de spam enviado aos formulários de comentários do GIGOLÔ se tornou insuportável. Por conta disso (e as táticas cada vez mais avançadas e escrotas dos spammers), decidi que a postagem de comentários só poderá ser feita logando-se no TypeKey. Espero que os leitores entendam a medida.