ColdFusion 7 security patch para IIS

Saiu um security patch importante para o CF7 hoje. Trata-se de uma atualização do conector web para IIS. Não deixe de ler e aplicar:

Patch available for ColdFusion MX 7 information disclosure issue


PHP: Pretty Hard to Protect?

Um levantamento na base de dados do NIST (National Institute of Standards and Technology) mostrou que aplicações escritas em PHP detinham 43% das falhas de segurança de aplicações web em 2006. E a maior parte dessas falhas não eram do PHP em si, e sim de como os programadores – a maioria deles amadores, segundo o NIST – haviam escrito a aplicação. (fonte: SecurityFocus)

Para mim é um caso claro em que a facilidade de uso da linguagem (atrelada a sua produtividade) possibilita que até mesmo programadores inexperientes construam um aplicativo. Assim, pela inexperiência, cometem erros básicos, inclusive de segurança. O ColdFusion igualmente pode sofrer (mas felizmente não sofre) do mesmo mal. E isso é um questionamento tão comum que até está presente no CFFaq (Usando ColdFusion terei códigos ruins e mal escritos? De maneira alguma!).

A tecnologia ser segura por si só é apenas uma das pontas. Se o desenvolvedor não escrever código seguro, não adianta. É como eu digo em apresentações: a Volvo afirma que seu carro é o mais seguro do mundo, mas eles nunca dizem com quem dirigindo. Segurança não é apenas questão da tecnologia, e sim do uso. Fazer bom uso é que são elas. E isso vale para qualquer segmento: energia nuclear te lembra algo?


Frase do dia

Hoje tentei explicar para um colega porque as vezes não conseguimos fazer algo que queremos em um de nossos produtos. A empresa nasce com boas intenções, mas por motivos alheios a ela (mudança de requisitos, novas prioridades, cronogramas mal concebidos, mudanças de tecnologia, etc.) não consegue fazer o que pretende. Assim, proferi a seguinte frase:

“O mercado deturpa a empresa assim como o sistema corrompe o homem”.