S u b t e r f ú g i o s

O post anterior foi o de número 200 deste blog. Acho que não tinha isso em mente quando foi feito o primeiro post, em 29/12/2004. Mas a linha editorial continua a mesma. Que pretensão, digo eu. A falta de sequência lógica dos meus pensamentos não permitiria ter uma linha editorial. No máximo, uma curva ou uma serpente editorial.

Mas é bom ter esse canto aqui, que alguns assinam por RSS e outros visitam ocasionalmente. Gosto do blog para manter contato com todos. Não que estejam interessados no que tenho para dizer, mas por saberem que estou vivo e pensando bobagem.

Blogs pessoais são algo que esteve em baixa ultimamente. Com toda esta onda de rede social na internet, os blogs perderam um pouco de espaço. Mas acho que têm seu objetivo e têm seu público. Encho o saco de muitos amigos para criarem (ou reativarem) seus blogs, para que eu possa colocá-lo no meu Google Reader e, de vez em quando, ver o que lhes passa pela cabeça. É um ótimo exercício escrever para o vazio, sem a certeza de que alguém lerá.

Para curiosidade geral, vou colocar algumas estatísticas deste blog:

• 8.036 visitas nos últimos 12 meses.
• 10.493 pageviews nos últimos 12 meses.
• 82,65% das visitas vêm do Google. 8,84% é tráfego direto.
• 20 pessoas assinam o RSS pelo Google Reader.
• Proxy Transparente com Ubuntu é o top post, com 1.531 pageviews. Deu uma trabalheira mesmo. A audiência é prova que conteúdo original é o que interessa.
• joao é a palavra-chave mais significativa deste blog para o Google.
• subterfugios é a palavra-chave que mais gera visitas pelos mecanismos de busca, seguida de “jogo formula 1″, “dbx” e “google analytics wordpress”.
• 50% dos visitantes usa Firefox, 38% IE.
• 80% dos visitantes usa Windows, 18% Linux.

Costumo ouvir os mesmos discos, até gastar os bits. Consigo alguma discografia, escolho alguns discos e escuto semanas a fio. Uma pena que não tenha Last.fm no trabalho, pois não fica registro. Nos apegamos muito a certas bandas ou discos. Mas depois passa a febre. Como de uma temporada na praia, ficam só as boas lembranças.

Passam os anos, buscamos novas diversões, “outros sons, outras batidas, outras pulsações”. Vai ficando mais difícil com o tempo. Talvez seja a chatice ou a preguiça.

Mas aí aparece o museu de novidades. Você cruza com aquele disco de que nem se lembrava. Daquela banda de que ninguém mais falou. Daquele ambiente que seus convivas não convivem. E você fica pensando sozinho, sentindo como é bom. Como é bom redescobrir.

Child! Devia fazer uma década desde que eu havia escutado este disco pela última vez. Que sensação maravilhosa, ouvir a mesma voz de tanto tempo atrás. A música manteve-se antiga, a voz ainda é jovem. Quando os alto-falantes declamam a canção, o ambiente continua se transformando, transportando os late seventies para o entorno da sala, ou a sala para dentro deles.

Desta vez, quem me despertou foi a faixa de abertura do disco Crown of Creation, do Jefferson Airplane: “Lather”. Cada carícia da voz infatilizada da Grace Slick leva-nos a um mundo único.

A letra é sobre um rapaz de trinta anos que começa a se dar conta da realidade do mundo adulto. Eu recomendaria aqui o link do vídeo, mas, se você tiver acesso, sugiro escutar o disco antes do contato visual. É uma experiência de imersão, musicalidade da primeira categoria.

“And all the fat-skinny people.
And all the tall-short people.
All the nobody people and all the somebody people.
I never thought I’d need so many people.”

Muitas vezes, convivemos com o superficial. Na maior parte do tempo, talvez. Ser profundo não sei se é possível. Mas como é bom estar profundo. Poder contemplar e sentir o que a imagem desperta. Poder conversar com algúem que se interessa, lembrar de alguém que se lembra.

O sofá é da casa. O Little People, da criançada. A música é do David Bowie. Linda.

Você torce pelo seu continente na Copa? Soy loco por ti, América. Dada a situação de hoje, após o Paraguai ganhar da Eslováquia, temos:

Grupo A: Uruguai líder
Grupo B: Argentina líder
Grupo F: Paraguai líder
Grupo G: Brasil líder
Grupo H: Chile líder

Se continuar assim, há chance de uma semi-final totalmente sul-americana. Eu torceria por:

Brasil x Uruguai
Argentina x Paraguai

Na final, Brasil x Argentina.

Quem tem o nariz um pouco mais avantajado sempre tem dificuldades ao procurar óculos de natação. Os modelos básicos, nem pensar. Não achei um Speedo que servisse. No começo eu usava um, mas sempre apertava no nariz e muitas vezes até tinha dor de cabeça no fim da aula.

Há um ano, estava usando um óculos Nike Odissey Phaze, parecido com esse aqui do lado, só que fumê. É um bom óculos e comporta narizes non-standard. Depois de alguns meses, a lente começou a embaçar muito e o silicone escureceu. Envelhecida a parte de silicone, começou a entrar um pouco de água e aí já surgiu desculpa para um novo investimento.

Dei uma pesquisada na loja física da Centauro e parecia haver apenas óculos para narizes Michael Jackson. Mesmo aqueles pequeninos de competição, que tem uma tira intercambiável de borracha no meio das lentes, não me ficaram confortáveis. Foi quando eu vi o Aqua Sphere Kaiman escondido em um canto. Provei e me serviu muito bem. O preço é meio salgado (R$ 99 na Centauro) mas consegui na internet por R$ 84 na Sport Buy, com frete incluso.

Usei ontem e o óculos é muito bom. Pega quase nada no nariz e o material é suave. As lentes são flexíveis, de um tal Plexisol, e adaptam muito bem ao rosto. Escolhi o modelo transparente. Como o óculos é inteiro translúcido, a claridade e transparência são impressionantes. Recomendo.

14/02/2010. Grama verde. Azul do céu de sol de verão das dez da manhã.

Fiz meu cadastro no Skoob faz algum tempo. Cadastro lá minhas leituras, sempre que lembro. Trata-se de uma rede social sobre livros e leitura. Nada muito rebuscado: você tem um perfil, amigos, e diz ali qual livro você leu, está lendo, quer ler, abandonou, etc. É um incentivo a mais para ler e compartilhar o hábito saudável. Ver o que os amigos estão lendo e o que dizem. Pode-se também escrever resenhas, comentar, trocar livros.

Acho que falta um lugar para você colocar a data em que leu o livro, pois é um dado legal para guardar e ver depois “as baboseiras que você lia naquele tempo”. O sistema é um pouco simples demais, poderia ter mais integrações, buscar contatos etc. Mas, cumpre bem o que se propõe.

Se não conhece, faça uma visitinha. Seria bom ter mais conhecidos por lá.

Há alguns meses, comentamos sobre a senha de seu email e porque mantê-la segura, muito segura. Ocorrido durante a semana passada, um ataque ao site de bugs da mais famosa organização open-source reforça este apelo.

Supõe-se que um site como o issues.apache.org seja um exemplo de segurança da informação. E é de fato. Os sistemas estão sempre atualizados e as políticas de segurança são bem seguidas. Mesmo assim, isso não evitou que um grupo de hackers tivesse acesso de root ao servidor. Tudo começou com um XSS (cross-site scripting) no Jira usando uma tinyurl e acabou com indisponibilidade dos serviços e comprometimento dos dados dos usuários.

O resultado é que os meliantes hoje têm posse da base de usuários do Jira, contendo email e hash da senha de milhares de usuários. Se você tinha um usuário no Jira da Apache, usava uma senha boba (ex.: shelovesyou, baseada em palavras de dicionário ou números simples) e tem a mesma senha em seu email, é possível que sua conta já esteja em outras mãos.

A diferença aqui é que ficamos sabendo. Por ser uma fundação totalmente aberta e transparente, a Apache divulgou o passo-a-passo do que foi feito em seus servidores, como forma de explicação e de evitar novas ocorrências. Aquele sitezinho Web 2.0 que você faz coisas Web 2.0 provavelmente não será tão nobre e você não ficará sabendo que sua senha (porque aquele sitezinho provavelmente não usa nem MD5) está à solta por aí.

Bem, o objetivo não é dar lição de moral, nem me é permitido pela coerência. Comecei a escrever mesmo para compartilhar o relato do incidente. A Fundação Apache fez um resumo claro e didático da invasão, que pode ser lido neste link. É interessante porque não é comum encontrar uma descrição assim. Cito um trecho aqui, grifado por mim:

On April 5th, the attackers via a compromised Slicehost server opened a new issue, INFRA-2591. This issue contained the following text:

ive got this error while browsing some projects in jira http://tinyurl.com/XXXXXXXXX [obscured]

Tinyurl is a URL redirection and shortening tool. This specific URL redirected back to the Apache instance of JIRA, at a special URL containing a cross site scripting (XSS) attack. The attack was crafted to steal the session cookie from the user logged-in to JIRA. When this issue was opened against the Infrastructure team, several of our administators clicked on the link. This compromised their sessions, including their JIRA administrator rights.

At the same time as the XSS attack, the attackers started a brute force attack against the JIRA login.jsp, attempting hundreds of thousands of password combinations.

On April 6th, one of these methods was successful. Having gained administrator privileges on a JIRA account, the attackers used this account to disable notifications for a project, and to change the path used to upload attachments. The path they chose was configured to run JSP files, and was writable by the JIRA user. They then created several new issues and uploaded attachments to them. One of these attachments was a JSP file that was used to browse and copy the filesystem. The attackers used this access to create copies of many users’ home directories and various files. They also uploaded other JSP files that gave them backdoor access to the system using the account that JIRA runs under.

By the morning of April 9th, the attackers had installed a JAR file that would collect all passwords on login and save them. They then sent password reset mails from JIRA to members of the Apache Infrastructure team. These team members, thinking that JIRA had encountered an innocent bug, logged in using the temporary password sent in the mail, then changed the passwords on their accounts back to their usual passwords.

One of these passwords happened to be the same as the password to a local user account on brutus.apache.org, and this local user account had full sudo access. The attackers were thereby able to login to brutus.apache.org, and gain full root access to the machine. This machine hosted the Apache installs of JIRA, Confluence, and Bugzilla.

Once they had root on brutus.apache.org, the attackers found that several users had cached Subversion authentication credentials, and used these passwords to log in to minotaur.apache.org (aka people.apache.org), our main shell server. On minotaur, they were unable to escalate privileges with the compromised accounts.

About 6 hours after they started resetting passwords, we noticed the attackers and began shutting down services. We notified Atlassian of the previously unreported XSS attack in JIRA and contacted SliceHost. Atlassian was responsive. Unfortunately, SliceHost did nothing and 2 days later, the very same virtual host (slice) attacked Atlassian directly.

We started moving services to a different machine, thor.apache.org. The attackers had root access on brutus.apache.org for several hours, and we could no longer trust the operating system on the original machine.

By April 10th, JIRA and Bugzilla were back online.

On April 13th, Atlassian provided a patch for JIRA to prevent the XSS attack. See JRA-20994 and JRA-20995 for details.

Our Confluence wiki remains offline at this time. We are working to restore it.

Fiquei sabendo disso através de um email que começava assim:

De: <root@apache.org>
Dear Joao Del Valle,
You are receiving this email because you have a login, [suprimido], on the Apache JIRA installation, https://issues.apache.org/jira/…

Mas sem problemas, minha senha era bem boba, só para consultar e comentar issues. E a sua?

São José dos Pinhais, 3 de abril de 2010, Sábado de Aleluia. HDR tone-mapped.

Acabo de chegar da 6ª Corrida Noturna Unimed Curitiba. Por mais incrível que pareça, não fui um espectador: eu participei. Corri mesmo. Para quem me conhece, sabe não sou o maior fã de corridas. Mas, nos últimos meses, tenho começado a fazer alguns treinos esparsos, que, aliados aos treinos de natação, me incentivaram a entrar nessa onda de “runner”.

A parte mais miraculosa de todas é que terminei a prova sem um passo de caminhada. Não andei. Está certo que, em alguns pontos, as pessoas me ultrapassavam caminhando, mas para mim era uma certa questão de superação pessoal. Na mureta da linha de chegada, estava o pessoal do meu trabalho, com palavras de incentivo. Muito legal. Alguns deles já tinha chegado havia meia hora (literalmente), mas é o tipo de esporte onde não há concorrência, apenas uma competição saudável. Fica-se feliz com progressos alheios.

A prova da Unimed é muito bem organizada. Uma camiseta legal, Diretran orientando o trânsito, cronometragem eletrônica. No início, achei overkill da parte deles me dar um chip de cronometragem, mas depois gostei. Você prende ao tênis e entrega após a linha de chegada. Depois da prova, quando cheguei ao carro, havia um SMS no meu celular:

“Parabéns! Você mostrou seu talento na maior corrida de 10 km de Curitiba. Seu tempo foi 1h20min07s.”

Não sei exatamente o que quiseram dizer com “maior corrida de 10 km”, mas achei divertido. Um bom uso da tecnologia. Meu tempo foi terrível (li no twitter que o Algaci Tulio fez 1h06min, aos 69 anos), mas… bom, sem mas, foi terrível. Fiquei em 2231º lugar, de 2280 atletas que terminaram. O ponto bom é que deve ser fácil melhorar a colocação na próxima edição.

Durante a prova, o pessoal das casas sai à rua para assistir. Alguns ficam só olhando, outros interagem tentando motivar os atletas. “Vamo lá! Tá chegando!”, “Levanta a cabeça, força!”, “Isso aí, 410 (meu número)! Mais um pouquinho!” É gostoso. O percurso partia da Universidade Positivo, passava por um trecho grande de rua, e depois voltava à Universidade. Quase na chegada, ouvi um “Acelera, tiozinho, acho que você é o último.” O último acho que não fui, mas fiquei perto. O importante foi ser um “finisher” e fazer a prova toda sem caminhar.

Não acredito que vá ser um grande corredor ou que um dia a corrida vá ser meu hobby favorito, mas acho que com o tempo vou conseguindo me livrar do trauma e sentir prazer em uma corridinha leve com os amigos. E essas provas são um grande incentivo.

***

Domingo que vem, 28/março, vamos de volta à diversão: VIII Travessia da Enseada, em São Francisco do Sul.

Incrível descoberta ontem. É daquelas coisas que você fica pensando “Putz, onde eu estive este tempo todo?”. O negócio é o seguinte:

O Eclipse tem uma feature chamada Block Selection Mode, ativada pelo atalho Alt+Shift+A. Este modo é conhecido em outros editores como Column Mode ou Visual Mode. É o Alt+C do UltraEdit (campeão no quesito até esta data), Alt+C do Notepad++ e o V do vi.

Procurando no Google por “eclipse column mode”, achei esta dica ontem: http://www.vasanth.in/2009/03/31/eclipse-tip-block-selection-mode/ no blog desse rapaz chamado Vasanth Dharmaraj. Já existe há um bom tempo.

O modo de edição por colunas é útil para várias coisas. Entre as que mais uso estão programar (copiar listas de literais), editar planilhas em CSV, gerar instruções SQL (a partir de um CSV), extrair porções de arquivos de log. Agora, dá para fazer tudo no Eclipse.

Por sinal, o Vasanth Dharmaraj também é fã de Formula 1. Postou esta semana sobre o lançamento do carro novo da Ferrari, o F10. Tinha postado também em 2004, sobre o carro daquele ano.

Se você parar um segundo, olhar janela afora, e tiver certeza que tem um momento iluminado. Se, mesmo assim, não atingir uma forma para demonstrar o sentimento ao mundo. Se, mesmo assim, tudo que lhe vem à boca é um sorriso de canto. Seu olhar evita o que não é a infinidade do horizonte. Se, mesmo assim, lhe sobe o peito a sensação de que o mundo existe e é bom viver. Se isso lhe passa às vezes, acho que podemos concluir: o mundo existe e é bom viver.

Saiu o resultado da 7ª Travessia de Caiobá, que ocorreu ontem, 18/jan/2010, na Praia Mansa.

Uma maravilha. Fiz os 1500 metros em 40 minutos, o que me colocou no seleto grupo dos Top 100. Especificamente, fiquei em 95º lugar entre 121 inscritos. O primeiro lugar fez em 22 minutos.

O importante é a festa de participar, ainda mais com a família e os amigos presentes para prestigiar. Além disso, serve sempre como um estímulo para continuar praticando.

Resultado geral aqui:
http://www.triativaeventos.com.br/news/mostra.php?id=676

Fiz meu primeiro teste com fotos HDR (High Dynamic Range). Usei o GIMP e este tutorial com nome sugestivo: Fotos HDR com o GIMP. O assunto da foto é a esquina da Fernando Simas com a Martin Afonso, no primeiro feriado de 2010.

Tirei três fotos: uma com a exposição normal, uma com dois f-stops acima e outra com dois f-stops abaixo. Depois, fiz a composição das imagens no GIMP. As imagens a seguir são a original e a HDR final. Ambas com um pós-tratamento de níveis.

Imagem original - Fernando Simas x Martin Afonso.

Imagem HDR - Fernando Simas x Martin Afonso

Dá para notar algumas características do HDR, como cores mais vivas e saltadas. Não usei o tripé direito, então a imagem ficou borradinha - prometo melhorar. Dá para ver dois carros, que só estavam passando no momento de uma das fotos e também duas pessoas, em frente ao portão do lavacar.

A principal diferença no resultado é a amplitude de exposição. Na imagem HDR, consegue-se ver mais vivas as cores atrás do muro (canto inferior esquerdo) e das folhas da árvore em primeiro plano. Estas ficam subexpostas na foto original. E isso não faz com que as partes claras fiquem superexpostas, como a faixa de pedestres na imagem original.

Para exemplos profissa de HDR, dê uma olhada no site do Eduardo.

Acontece no dia 20 de dezembro a IV Travessia da Represa do Capivari, organizada pela Triativa Eventos. As provas são de 3.000 m, 1.500 m e 750 m (estreantes). Há também categorias PPNE (necessidades especiais) e kids.

Exibir mapa ampliado

Este que vos escreve vai participar pela primeira vez de uma travessia. Quem mais estiver a fim de encarar, me dê um toque que montamos uma caravana. A inscrição custa R$ 45,00 e pode ser feita por depósito bancário. Mais instruções no site da Triativa.

O acesso a seu email é algo importante. Através dele, outras pessoas poderiam alterar sua senha em sites e acessá-los com sua conta. Além de, é claro, ler todos os seus email. Mesmo se privacidade não for um problema para você, talvez haja outras informações confidenciais em seu email que não devam estar acessíveis a outros (dados bancários, login do Paypal), entre diversos outros assuntos sobre os quais você trocou informações nos últimos tempos.

“Últimos tempos” pode ser bastante. Desde quando você tem seu email? Dois anos, cinco anos? Dez anos!? Se você tem Gmail, por exemplo, e usa a facilidade “Arquivar”, deve haver coisa lá do tempo em que você era atleticano, depois virou coxa e agora tá com uma quedinha pelo Paraná.

Deve haver coisas no seu email do tempo em que você nem entendia direito como isso funcionava. Respondia spams com “Por favor, retire-me de sua lista”. Assinava diversas listas de discussão. Usava o Eudora e não tinha idéia da diferença entre CC e BCC.

A idéia nem era despertar nostalgia. É que hoje troquei a senha do meu email. Era a mesma desde que peguei esse email do Yahoo!. A do Gmail também. Troquei as duas. Fiquei pensando na hipótese de alguém se apossar da senha do meu email. Não seria o fim do mundo, mas  se o indivíduo estivesse a fim de bagunçar, iria me dar um trabalho danado. Imagine que o cara pode ir a qualquer site desses mais famosos, colocar meu email e clicar “esqueci minha senha”. No máximo, teria que responder alguma pergunta boba como “qual sua cor preferida?” e receberia uma senha na bandeja no meu (agora dele) email.

Assim, resolvi colocar uma senha um pouco melhor para tentar diminiur a chance disso acontecer. E por que não aproveitar e lembrar aos amigos da importância de uma senha forte no email?

Ah, e cuidado ao trocar a senha, né. Não vá fazer isso no impulso e trocar para uma parada bizarra que você não vai lembrar depois. Uma das maneiras mais fáceis de se obter uma senha forte é:

1. Pense em um verso que você gosta. Um trecho de música serve perfeitamente, em português ou inglês. Por exemplo: “Para dançar o créu tem que ter habilidade”.
2. Pegue as inicias. Neste caso: pdoctqth49 .
3. Concatene um ou dois números pdoctqth49 . Para lembrar melhor, podem ser seu dia, mês ou ano de nascimento.
4. Como pitada final, coloque um caracter especial !@#$%?. No fim temos algo como pdoctqth49@ .

Pode parecer difícil no começo, mas em pouco tempo você se acostuma a digitar a senha e sempre vai tê-la na cabeça.

Outra técnica boa é levar em conta o layout do teclado qwerty. Isso fará você digitar senhas com uma rapidez absurda, evitando que olhos grandes fiquem de botuca no seu dedo enquanto digita. A idéia é alternar entre letras da parte extrema direita e extrema esquerda do teclado. Poderíamos pensar em algo como zkqp!9 .

É isso: mantenha uma senha forte em seu email. E não a use em nenhum outro site. Sites mal feitos podem expor sua senha ou mesmo fazer uso dela, pois seu email eles já têm.

Depois de um ano de concepção, projeto e desenvolvimento, está no ar o novo site da Prata Fina. Feito pela Polvo, o e-commerce já está em pleno funcionamento, com clientes comprando e opinando a todo vapor.

A idéia foi desenvolver um site extensível e totalmente administrável pelo cliente. Temos ainda diversas idéias para implementar, muita interação e vivacidade no site. Espere para ver.

Dê uma passadinha lá para conferir. São alianças de compromisso, brincos de prata, joias de aço e diversas outras cositas. Depois de tanto tempo convivendo com as peças de prata, posso até dar umas dicas. ;-)

No último mês, a CodeMasters lançou o trailer com o gameplay do jogo FORMULA ONE 2009 para WII. O vídeo mostra uma corrida no circuito de rua de Valência, na Espanha, e pode ser visto no YouTube:

Os gráficos parecem seguir o estilo WII: simples porém bem acabados. O trailer mostra pouco da jogabilidade, mas já se pode ver a tela dividida, onde dois jogadores poderão correr simultaneamente.

Junto com o trailer, foi anunciada também a edição limitada de um volante para WII estilo F1. A data de lançamento, que antes era divulgada como 30 de setembro, parece ter sido postergada para 27 de novembro. Vai ser estranho lançar o jogo F1 2009 após o fim da temporada. O último grande prêmio deste ano é dia 1^o de novembro, em Abu Dabi, nos Emirados Árabes Unidos.

Outras vezes que falamos sobre isso:

• Jogo Formula 1 2009 - Data de lançamento - 15/07/2009
• Novo jogo de Fórmula 1 2009 - oficial da FIA - 9/05/2009

Não estou por dentro de como está a relação do MS Word com o novo acordo ortográfico, mas instalei hoje o BrOffice.org 3.1 e ele já se ofereceu para trazer junto o corretor que segue as normas do Acordo Ortográfico de 1990, aka “Novo Acordo Ortográfico”.

Ainda não tive a capacidade de me adaptar, principalmente em relação aos hífens, assunto que já não dominava antes da recente revolução. O corretor é uma boa ajuda.

Talvez esta estratégia funcione para qualquer placa, talvez tenha funcionado para mim por coincidência. Mesmo assim, fica a dica:

No Windows, vá a Conexões de Rede / Propriedades da conexão sem fio. Ao lado do nome da placa, clique em “Configurar…”. Cada placa tem suas próprias configurações específicas, mas normalmente estão bem documentadas. Na minha, uma Intel(R) PRO/Wireless 2200BG, fiz duas alterações:

• Power management - tirei do default e coloquei “Highest”, que teoricamente significa máxima performance, desprezando economia (em meu laptop velho, bateria não é mais uma realidade).
• Mixed mode operation - tirei do default e coloquei “RTS/CTS enabled”. Pelo que entendi, isso daria melhor rendimento em caso de clientes que “não conseguem se ouvir”. No meu caso, o laptop só estava funcionando em wi-fi quando perto do access point.

Posso estar completamente enganado, posso estar correndo para o lado errado, mas a dúvida é o preço da pureza e é inútil ter certeza. Agora, o laptop voltou a encontrar a rede, mesmo longe do access point.