Incompetência Máxima

Durante este mês de Janeiro andou rolando uma discussão interessante na lista CF-Brasil sobre hospedagem ColdFusion no Brasil. Como muitos sabem, hospedagem de aplicações ColdFusion em ambiente compartilhado é assunto constante aqui no CFGIGOLO (basta buscar a respeito). Provedores de hospedagem compartilhada grandes como Locaweb, Digiweb e outras seguem as minhas recomendações. O mesmo vale para alguns provedores menores, como a Delix, que caiu nas graças da comunidade oferecendo uma hospedagem CF de qualidade (que espero que continue). Escrevi um artigo sobre o assunto que inclusive foi capa da primeira edição dedicada à segurança de CF no famoso CFDJ. Até hoje, quase que semanalmente, mantenho contato com estes provedores (em especial com a Locaweb) para saber como anda o serviço e instruí-los sobre como hospedar CF em ambiente compartilhado de forma correta. O que eu não entendo é como, mesmo assim, com tanta informação disponível e alardeada (aqui e em outros lugares), ainda existem pessoas e provedores que não nos dão ouvidos (no sentido de ouvir, entender, mas ignorar).

Sem qualquer modéstia: vocês deviam nos escutar. Ainda vejo gente na CF-Brasil dizendo que desabilitar o uso de CreateObject() é algo “relativo”. Tem gente que se ofende quando dizemos que é impossível oferecer hospedagem CF de qualidade a R$ 10,00 por mês. Tem gente até que acha que somos carrascos dos provedores de hospedagem porque recomendamos não habilitar certos recursos no servidor. É tão difícil entender que recomendomos por motivos de segurança óbvios, exaustivamente explicados, inclusive com a benção da nave-mãe? Oras, o que move tal raciocínio do “ser relativo” quando os fatos são tão óbvios e claros? Vontade de usar um determinado recurso em detrimento da segurança? Vontade de oferecer determinado recurso em detrimento da segurança?

Pelo bem de nossa profissão e nossa tecnologia, não caiam nessa e não apóiem empresas de hospedagem que pensam assim. Repito: não faltam posts aqui no CFGIGOLO, não faltam explicações na lista CF-Brasil. Tem até um tutorialzinho em bom e velho português com o básico do básico. Tem até suporte gratuito por telefone…

Explico: em Junho passado, gastei dinheiro à toa num interurbano de 50 minutos para o Rio. Na ocasião Terracini e eu descobrimos uma falha de segurança no CFMX cuja divulgação, nua e crua aqui no CFGIGOLO, foi alvo de críticas da comunidade (apesar de termos divulgado, no mesmo post, como remediar a mesma). Como reflexo à repercussão negativa do caso (somada a este outro caso, ainda em 2003), eu resolvi ligar pessoalmente para alguns provedores que eu sabia que estavam inseguros. Em especial este porque oferecia (e ainda oferece, veja mais adiante) um “test-drive” público, anônimo e irrestrito, sem qualquer controle, do seu serviço. O test-drive, somado à má configuração do CF, era um prato cheio para qualquer sujeito (não apenas cliente) mal intencionado.

Pelo que me consta, finalizada a conversa por telefone, o dono do provedor ficou bastante preocupado e seguiu nossas recomendações e protegeu seus servidores (e seus clientes), fato que pude verificar algum tempo depois, ao bisbilhotar o(s) servidor(es) do dito cujo. Porém…. Eis que hoje, vagando por aí, resolvo dar uma olhada no site do tal provedor. Entro no site e de cara fico especialmente intrigado com o seguinte anúncio de hospedagem “Cold Fusion” com “TODAS as Tags habilitadas”:

anuncio.gif

Na mesma hora pensei: finalmente um provedor de hospedagem resolveu oferecer múltiplas instâncias de ColdFusion. Nossas preces foram ouvidas. Mas o preço (40 pilas) era bom demais para ser verdade (infelizmente). Seguindo, mais abaixo no anúncio, vejo uma chamada para o tal “test-drive”. O mesmo test-drive que já nos havia levado a perceber (método descrito abaixo) as diversas falhas de segurança e entrar em contato com o provedor.

Curioso como sou, óbvio que fui testar novamente. Movido também pelo fato de (como já disse) ter gasto meu tempo no passado aconselhado-os a configurar o ColdFusion corretamente.

O resultado do meu teste: fiquei assustado e indignado, ainda mais quando Terracini e eu avisamos o provedor e orientamos (usando toda nossa capacidade de comunicação “idiot-proof” e técnica – até porque estavamos falando com um técnico, que, por obrigação, deve conhecer o que oferece a seus clientes) na solução dos problemas que detectamos. Só para constar: as senhas usadas no CFAdministrator eram as mesmas de outros servidores do mesmo provedor, incluindo outros serviços. Muito semelhante aos efeitos colaterais divulgados aqui, mas em empresas diferentes. Sem falar na cara de serviço com péssima performance, estilo “hospedagem de 10 reais” (uma das máquinas está absolutamente abarrotada de sites e literalmente, sem espaço em disco – veja este screenshot).

É a filosofia do “é relativo” na sua concepção mais completa. Ao me logar, via FTP, tratei de colocar no ar um script .cfm que sempre uso como uma espécie de “hello world” em servidores CF que ponho as mãos. Para minha surpresa uma das primeiras informações dadas pelo script era: “CFMX version: Standard”. Opa! Peraí. Hospedagem compartilhada com CF Standard? Bom, tomara que tenha ao menos usado a sandbox “global” que vêm nesta versão para proteger o servidor. Ledo engano…

Na seqüência subi outro script bonitinho que uso para navegar pela estrutura de pastas de um servidor aberto (como era o caso). Absolutamente tudo aberto! Pastas de clientes, arquivos zip com backups, arquivos txt com senhas, arquivos de sistema… um verdadeiro “samba do crioulo doido” (vejam estes screenshots – 1, 2 e 3). Fui encontrando problemas e mais problemas, alguns antigos, os mesmos que ajudamos a corrigir no passado quando a empresa ainda não ostentava orgulhosa, o anúncio de “TODAS as tags CFML habilitadas”…

A raiva por tal desprezo e falta de respeito para com os clientes é tanta que eu tenho vontade de divulgar o nome do provedor. Não vou fazer isso, mas também não vou fazer a menor força de escondê-lo, dada a situação, ainda mais depois de ter gasto 50 minutos de interurbano, escrito uns três e-mails longos e detalhados. Ainda mais depois de tanto tempo falando deste mesmo assunto por aqui e em todos os lugares públicos onde se fala de CF neste país.

Um dos ditos populares mais fomosos diz: “errar é humano, repetir o erro é burrice”. Isso não podia deixar de ser mais verdade neste caso. Tem também um outro dito, que cabe bem à esta situação. Sua ligação é bastante sutil, poucos entenderão o contexto, mas vale a pena mencioná-lo. Ele diz: “diz-me com quem andas, que te direi quem és”.

Chega de flames por hoje, vou dormir.


3 Comments on “Incompetência Máxima”

  1. Marco Martins disse:

    Sem falar no SQL injection básico que o login do Administrador desse host permite… Se bem Alex, que já ví falhas de segurança graves nos outros servidores citados acima como seguros e confiáveis, que se um doido qualquer já tivesse notado já teria detonado muito servidor de renome. Em se tratando do quesito segurança o brasil como um todo ainda é etremamente capenga, é buraco pra todo lado. Ainda falta muuito conhecimento técnico pra essa galera que se mete a montar um servidor de compartilhado. E se ainda por cima não ouvem quem entende… Aí lascou! Azar nosso, os usuários…

  2. Alex Hubner disse:

    É verdade Marco. Ninguém está imune, mas ninguém deve ficar dando tanta sopa para o azar. 😉

  3. sandro rib disse:

    Vergonhoso mesmo. E ainda tem gente que prefere confiar num serviço de 4,90 (sim! existem!) só porque é “site pessoal” e vai usar para “ler emails”. Por esse preço eu não confiaria nem meu número de telefone pra essa turma…