Estréia do Blog Cultural

Estréia hoje, em fase de testes, uma idéia que tive vários meses atrás, comecei a fazer em janeiro, gostei e estou publicando: meu Blog Cultural!

Faz tempo que eu estava querendo compartilhar minhas impressões e dicas sobre o que eu defini como sendo cultura. No meu blog cultural, pretendo falar de arte, livros, filmes, poemas e música - tudo dentro do meu gosto peculiar.

Os posts de estréia são: (mais novo em cima)

• [Cinema] Menina de Ouro
  
• [Cinema] O Aviador
• [Livro] The Hitchhiker's Guide to the Galaxy (O Guia do Mochileiro das Galáxias), de Douglas Adams
• [Cinema] Jogos Mortais
• As 100 Maravilhas - Impressionismo e Referências, no MASP
• [Livro] O Código Da Vinci, de Dan Brown
• [Cinema] Louise (Take 2), de Siegfried

A periodicidade dos artigos é indefinida; depende única e exclusivamente do que eu estiver fazendo. Para o próximo mês, por exemplo, estou querendo terminar de ler 2 livros, ver 2 filmes no cinema e ir a um concerto; as coisas que forem se concretizando irão pro blog.

E a idéia de um novo blog é não confundir as coisas. Esse aqui fica sendo meu blog de tecnologia e o outro, o de cultura. É também um ponto de encontro com os amigos que se sentiam deslocados nesse blog estritamente computólogo.

Então, se você se interessa por algum desses itens, visite e assine o RSS; se o feedback for bom, eu continuo a idéia!

PS1: não sou: crítico de arte ou jornalista; sou: um computólogo metido a besta mas que gosta de cultura!

PS2: quando houver post novo no Blog Cultural, eu vou indicar aqui

PS3: não deixe de me falar suas impressões e se você acha a idéia boa ou ridícula!

Atualização: Rafael, valeu pelo toque! A configuração do Blogger estava errada e o feed não era gerado! Agora, está arrumado e link é esse.

posted by Sergio @ 11:59 PM 1 comments   

Esclarecendo os ataques homográficos usando IDNs

No final de janeiro, surgiu uma grande discussão na Web sobre ataques homográficos usando os Internationalized Domain Names (IDN). É um problema gravíssimo e todos os browsers da atualidade são afetados. Após o pânico geral e muita discussão, alguma conclusões foram tiradas. Tentarei explicar em detalhes o que anda ocorrendo.

Internationalized Domain Names - IDN
IDN são domínios que podem conter qualquer caracter Unicode. Assim, é possível ter domínios escritos com acentos ou em idiomas como chinês ou russo e acabar com a limitação de domínios apenas em ASCII. A idéia do IDN surgiu em 1998 e foi sendo desenvolvida por anos até que, em 2003, o IETF oficializou a especificação e o ICANN lançou um guia para implementação de IDNs.

Como os servidores DNS aceitam apenas ASCII, os nomes de domínio internacionais são traduzidos para o IDN usando um código chamado punycode. Por exemplo, para um domínio www.ﺱﺲﺷ.com temos a representação em punycode de ﺱﺲﺷ, que é ie7ccp; um IDN adiciona o prefixo reservado xn-- (ACE prefix), resultando no IDN: www.xn--ie7ccp.com. [Veja um conversor online]

Os browsers baseados em Gecko/KHTML (Mozilla, Firefox, Camino, Konqueror, Safari, OmniWeb, Internet Explorer) e o Opera possuem atualmente suporte à IDNs. No IE, que é anterior ao lançamento da especificação, há um plugin da VeriSign que implementa tudo isso.

Ataques homográficos usando IDN
O problema dos IDN são os caracteres homográficos que são caracteres que são renderizados da mesma forma mas são diferentes. Por exemplo, o caracter U+0430 representa a letra "a" minúscula no alfabeto Cirílico e o caracter U+0061 representa a letra "a" minúscula no alfabeto Latino (usado no inglês, no ASCII e em todos os domínios "normais"). Alguém pode registrar um domínio malicioso usando um a cirílico ao invés do a latino; para o usuário, será exatamente o mesmo endereço e ele poderá ser enganado.

Na última conferência hacker Shmoocon, a vulnerabilidade foi descoberta e divulgada. O caso de exemplo mostra o registro do site paypal.com usando um a cirílico. Neste link está o falso paypal e neste outro, o verdadeiro; clique em ambos (é inofensivo :-) e veja como seu browser renderiza exatamente da mesma forma (tanto na barra de endereços quanto na barra de baixo ao apontar o mouse). Você pode ver outro exemplo aqui, inclusive usando certificados SSL válidos e vários outros exemplos aqui.

A grande questão, que é consenso de todos, é: este não é um bug dos navegadores e sim dos órgãos de registro de domínios. Desde 2002 sabe-se que este tipo de ataque seria possível e as recomendações do ICANN lançadas em 2003 para os órgãos de registro incluíam um alerta e proibiam o registro de domínios homográficos. Porém, o que se vê hoje é que muitas empresas de registro de domínios não seguiram essas precauções e domínios homográficos estão sendo registrados (os domínios no Japão são um raro caso onde foi feita a implementação correta).

O problema é que será muito difícil conseguir que as empresas de registro corrijam o problema e os usuários estão todos desprotegidos. Mas, como disse Asa Dotzler do Mozilla, "nossos usuários estão em risco por causa dessa falha e vamos tomar algumas medidas drásticas (incluindo retirar o IDN do Gecko) para ajudar a defender nossos usuários".

Na verdade não há muito o que se fazer no lado dos navegadores; o erro está nos registros mesmo. Mas algumas discussões tem acontecido para tentar solucionar o problema rapidamente, como a idéia de colocar o punnycode de cada site ao lado do endereço (funcionaria para geeks, mas 99,99% das pessoas levaria um susto). Neste momento, todos os produtos da Mozilla terão o IDN desabilitado até que se chegue a alguma solução plausível. Como disse Gervase Markham:

"Se as pessoas quiserem ver IDN completo e irrestrito de volta no Mozilla e Firefox, o melhor é pressionar os órgãos de registro de domínios mundiais a cumprirem as obrigações com seus clientes - tanto donos de domínio como usuários da Internet - e a implementar a especificação do ICANN."

Outros navegadores deverão tomar providências do mesmo estilo. A Opera, a princípio, disse que não ia fazer nada visto que não é um bug do navegador; mas provavelmente deverão tomar alguma providência concreta em breve.

As discussões continuam e divulgarei possíveis avanços.

Links

• Wikipedia: IDN, IDN Applications, punnycode
  
• Divulgação do bug por Eric Johanson
• Bug na Secunia, com informações para diversos navegadores
  
• Discussão do bug no bugzilla da mozilla
• Como desabilitar IDN no Firefox usando a extensão Adblock (rápido e fácil)
• Extensão que desabilita o IDN no Firefox (rápido e fácil)

Atualização 16/02:
Paul Hoffman postou algumas possíveis soluções. Todas as idéias tentam diferenciar para o usuário os domínios com caracteres IDN (colorindo as letras de outros alfabetos - como o cirílico; colocando um ícone ao lado de sites IDN; mostrar o endereço IDN, em punnycode). Eu já havia comentado que acho isso ineficiente e hoje o Gervase falou: "Nós queremos que os domínios IDN funcionem tão bela e simplesmente como os domínios não-IDN". Definitivamente, não é uma boa idéia diferenciar os domínios para o usuário.

Neste mesmo post, o Gervase comentou algumas soluções como fazer uma lista de TLDs confiáveis (TLDs são as "extensões" dos domínios, como .com ou .uk). Além disso, divulgou um link do seu site sobre pishing scams (esses ataques que tentam enganar o usuário) e possíveis soluções. Nos comentários, há ainda outras discussões interessantes, como a pergunta "porque simplesmente não desabilitar caracteres homográficos à caracteres ASCII?"; simplesmente porque um domínio todo escrito em cirílico, por exemplo, conterá um "a" cirílico e não um "a" latino, e isso não é um ataque. Além disso, é possível domínios IDN homográficos a outros domínios IDN, não necessáriamente é um ataque restrito à domínios ASCII (como o caso do "a" cirílico/latino).

Atualização 17/02:
O Gervase postou hoje sobre a solução encontrada para o Mozilla/Firefox neste momento. Ao invés de desabilitar o suporte à IDN, os navegadores exibirão o punnycode nos links e barra de endereço. É apenas uma decisão de emergência para evitar que os usuários sejam enganados até que se chegue à solução definitiva.

Mas tenho medo que o usuário que está acostumado a abrir seus sites IDN leve um susto ao ver www.xn-- e aí sim ache que está sendo enganado. Não sei o que é pior, desabilitar de vez o IDN ou fazer esse remendo espanta-usuário de mostrar o punnycode.

posted by Sergio @ 11:19 PM 2 comments   

Camiseta do Firefox!!

Sim, eu comprei a minha! E já chegou!

A Linux Mall anunciou que venderia as camisetas do Firefox aqui no Brasil (por apenas 24,90) e, em menos de uma semana, tudo esgotado! Eu, fã e viciado, comprei a minha logo no primeiro dia.



PS. Estou com problemas operacionais, mas depois tento botar uma foto minha com minha camiseta nova

posted by Sergio @ 10:00 PM 0 comments   

Velocidade dos navegadores e IE7

Um extenso teste de velocidade de navegadores Web foi feito aqui. Uma coisa que logo salta aos olhos é que o Opera praticamente domina no quesito velocidade, seja em Linux, MacOSX ou Windows. E o Mozilla/Firefox saiu-se melhor no Linux. Dê uma olhada nos gráficos que é interessante.

E a segunda parte do post sobre navegadores é sobre o alarde que a Microsoft fez ao anunciar hoje que o primeiro beta do Internet Explorer 7 será disponibilizado no meio do ano para Windows XP mesmo - aparentemente IE7 e Longhorn estão desvinculados, ao contrário do que se imaginava. Fiquei besta de ver mais de 15 Sites anunciando isso quando abri o Bloglines; então, pra não ficar pra trás, sugiro que leia o blog oficial do IE.

posted by Sergio @ 12:21 AM 1 comments   

É a vez do Java fácil na Web: Trails!

Depois do Rails (lembra? um framework para desenvolvimento de aplicações Web com Ruby), chegou o Trails! É um framework no mesmo espírito do Rails com aquelas facilidades todas que deixaram muita gente - eu inclusive - de queixo caído.

O Trails é tão bom quanto e é em Java! O vídeo de apresentação que está fazendo um sucesso por aí, mostra o desenvolvimento de uma aplicação com apenas 2 classes beans em 11 minutos! Veja o vídeo (Quicktime, ~50MB).

Há outros materiais bem interessantes do site oficial; vale a pena dar uma olhada.

posted by Sergio @ 4:29 PM 0 comments   

The Hitchhiker's Guide to the Galaxy (O Guia do Mochileiro das Galáxias), de Douglas Adams

Acabei hoje de ler este clássico! Após muito comentários vindos de diversas partes, percebi que não seria uma pessoa completa - sobretudo um computólogo/cientista - se não lesse essa obra prima.

Mesmo me esborrachando de rir em cada página, resisti às gargalhadas descomunais e acabei de ler O Guia do Mochileiro das Galáxias! Leitura prazerosa e fácil mas sobretudo extremamente hilariante!

Difícil descrever para os que nunca ouviram falar. É uma ficção cômica sobre aventuras galáticas sabiamente escrita por Douglas Adams. Definitivamente, um clássico que deve ser lido!

Aos que já ouviram falar da boca de alguém (um professor lá do IME, o Gubi, é fã desse livro) mas hesitavam em ler, digo: leiam! [e você ficaria surpreso com a quantidade de pessoas que estão nesse situação!]

Enfim, acabei de encomendar o segundo volume da série, O Restaurante no Fim do Universo na Fnac (tá mais barato lá). O terceiro, A Vida, o Universo e Tudo Mais ainda não tem em português (mas acho que vou tentar ler em inglês mesmo - tem na Livraria Cultura). Mas, por ironia do destino, o quarto e último livro, Até Mais, e Obrigado pelos Peixes! já foi publicado em português.

Atualização 16/02: O filme será lançado no começo de maio! E você pode ver o trailer em primeira mão aqui.

posted by Sergio @ 4:10 AM 1 comments   

Um pouco mais de Google Maps

Após a chacoalhada na Web com o lançamento do Google Maps, muitos Sites estão publicando informações bem interessantes sobre o serviço. Alguns destaques:

• Google Maps dissecado neste blog. O artigo é muito interessante e os comentários também; dá pra ter uma boa noção de como o site funciona por dentro.
• "Few minutes with Google Maps" no SearchEngineWatch mostra diversos pontos do Google Maps, sobretudo a já questionada credibilidade das buscas do Google Local (usado no Maps).
• Suporte ao Geocoder apenas acrescentando "&output=xml" no fim da URL do mapa. Veja esse mapa e a mesma URL com "&output=xml" no final. Esse uso abre muitas possibilidades para outras aplicações.
  
• Ao buscar Osama Bin Laden em Mountain View, California, veja onde você pode encontrá-lo no sugestivo resultado de letra "G". Ou, pior, note o último resultado de "evil on mountain view, ca".
  
• Lembra das bizarices do MSN Maps? Eles não estão sozinhos!
  

E, já que o assunto é Google, você já deu uma olhada no Google XUL? [Gecko-only] Muito sugestivo mesmo o interesse do Google ultimamente pelo Mozilla/Firefox.

posted by Sergio @ 11:23 PM 0 comments   

Os novíssimos Mapas do Google

Caramba! Há muito que eu não me surpreendia tanto com um novo serviço na Web. A única coisa que não foi surpresa é quem está por trás da mais nova maravilha da Web: o Google, lógico.

O novíssimo Google Maps (beta) é simplesmente fantástico. Um serviço de mapas completíssimo, rápido e com requintes de aplicação desktop. Usa todo o poder do Google Local; ou seja, você busca por endereço, cidade, serviços e praticamente qualquer coisa associada à um endereço. É simplesmente fantástico.

Pena que só serve para os Estados Unidos, mas mesmo assim é uma aplicação que vale a pena ser prestigiada.

E, falando ainda em Google, o Google Blog anuncia um aumento considerável no banco de dados do Google Images. Além disso, o GMail parace estar liberado mesmo; estão dando 50 convites pra todo mundo e, quando acabam, dão mais.

posted by Sergio @ 4:00 AM 2 comments   

O que é o Rojo

Algumas pessoas andaram me perguntando sobre o Rojo depois do meu pedido por um convite. Para matar a curiosidade alheia e dado que não há comentários sobre o Rojo na blogsphere brasileira ainda, vou mostrar-lhes esse novo serviço que está começando a pegar por aí.

O que é o Rojo?
Um leitor de notícias no estilo do Bloglines. Você cadastra os "feeds" RSS/Atom e ele organiza suas notícias pra você.
Integrado a isso, ele mantém sua rede de contatos conectada ao que você anda lendo. É possível então compartilhar as notícias entre seus amigos de várias formas.

Canais
Cada "feed" é chamado de canal no Rojo (channels). Você cadastra todos os canais que lê e pode separá-los em pastas.
Para cadastrar os canais, você pode:

• indicar a URL exata do XML/RSS/Atom
  
• importar um arquivo OPML (o Bloglines exporta seus feeds nesse formato)
• mandar o Rojo buscar feeds em um certo site
• procurar no diretório do Rojo
• pedir sugestões de feeds ao Rojo dado um tema de interesse
• encontrar feeds por autor
• cadastrar-se em feeds que o Rojo sugere baseado nos seus canais atuais
• cadastrar canais que o Rojo viu que estão linkados a um certo canal que você está lendo

Lendo as notícias
O Rojo te mostra as notícias em ordem cronológica; você pode ver todos os canais ao mesmo tempo ou clicar em um específico - ou numa pasta específica. Os títulos em negrito são as notícias ainda não-lidas; os outros, já lidos. O Rojo te dá acesso direto a todas as notícias, novas e antigas, de modo que é fácil manter-se atualizado ou relembrar coisas já vistas.

É possível acessar notícias já lidas, notícias recomendadas, notícias compartilhadas por seus contatos, notícias relacionadas ao Rojo (no Rojo Blog).

Em cada notícia, você pode: marcá-la como lida; destacá-la para ser compartilhada com seus contatos; enviá-la por e-mail para alguém; adicionar um comentário; adicionar tags.

Compartilhando notícias
Por enquanto, só é possível compartilhar com usuários do Rojo (as histórias destacadas; as enviadas por e-mail podem ser pra qualquer um, lógico).

Você adiciona seus contatos, habilita o compartilhamento e pronto! Basta marcar as notícias interessantes e seus amigos poderão lê-las.

E, claro, você pode ler as notícias compartilhadas por seus amigos como se fossem outro canal. Basta clicar no nome do contato e ver o que ele andou destacando.

Comentários [não há documentação ainda sobre esse item]
Você pode acrescentar comentários às notícias que lê. É útil para anotar algo que relacionou àquilo para depois se lembrar. Seus contatos vêem os comentários feitos nas notícias compartilhadas, de modo que é possível iniciar discussões sobre dada notícia.

Etiquetas (tags) [não há documentação ainda sobre esse item]
Adicione tags às notícias para encontrá-las mais tarde. Funciona muito próximo ao que é o del.icio.us hoje.
No blog de um desenvolvedor, diz que eles ainda não colocaram todas as funcionalidades de tags planejadas.

Alguns problemas que encontrei

• Nas sugestões de canais, ele me indicou blogs de "Executivos da Microsoft Corporation". Só pode ser piada. Veja você mesmo os canais que eu leio na coluna aí do lado. Agora tente achar um só motivo pelo qual o Rojo acharia que estou interessado em ler o blog do Balmmer ou algo do tipo.
• Senti uma certa demora em atualizar os canais. O Bloglines em geral demora até 1h entre a publicação e mostrar a notícia pra mim. O Rojo demorou mais de 5h em alguns casos. [a documentação diz que atualiza, no máximo, de hora em hora]
  
• Problemas com acentos em alguns canais brasileiros (incluindo este blog). Ele simplesmente come os caracteres acentuados - não acontece com todos os canais acentuados. Provavelmente há um problema no parser com certos tipos de encoding (podia jurar que ele não se dá bem com UTF8 mas gosta de ISO8859-1). [comuniquei o erro à equipe do Site]
• O sistema de busca é bem primitivo ainda. Eu queria buscar coisas como comentários que eu fiz ou notícias de um dado canal e não foi possível.
• Algumas opções não estão bem implementadas ainda e a interface está meio pesada

Conclusões finais
Eu procurei o Rojo após ouvir certas coisas por aí. Estou um pouco cansado do Bloglines que anda deixando a desejar em alguns pontos, então fui ver se erá viável a migração.

Em geral, o Rojo está muito cru. É um serviço relativamente novo que está sendo comentado há apenas alguns meses lá fora. Não justifica a migração ainda; embora eu esteja achando que falatam coisas no Bloglines, ainda prefiro ficar com ele. [Vamos ver se as coisas melhoram agora que o Bloglines foi comprado pelo Ask Jeeves]

Eles estão colocando várias novas coisas sempre. Prometem um serviço bom quando sair a versão final. Mas, por enquanto, é um beta funcional mas pouco significativo. Esperemos pra ver!

Screenshots

• Lendo notícias
• Sugestões de canais
  
• Comentários
• Tags

Alguns links

• Rojo
  
• Blog do Rojo
  
• Blog de um desenvolvedor
  
• Comparativo de leitores de notícias via Web
  

posted by Sergio @ 4:12 AM 0 comments   

Na onda dos convites

Estou em busca de um convite para o Rojo. Se você puder me arrumar um, agradeço.

E, por falar em convites, já que o GMail liberou geral, lá vão 10 convites:

https://gmail.google.com/gmail/a-3fed3eafee-db53a9fb9c-7c124e8c87
https://gmail.google.com/gmail/a-3fed3eafee-3a97b9fc88-836b22ecc9
https://gmail.google.com/gmail/a-3fed3eafee-29e9f904de-12e4da8914
https://gmail.google.com/gmail/a-3fed3eafee-1a40ec6587-b6ed6bfcb3
https://gmail.google.com/gmail/a-3fed3eafee-68ade50f81-7df0f590a0
https://gmail.google.com/gmail/a-3fed3eafee-a57266c7af-648946f651
https://gmail.google.com/gmail/a-3fed3eafee-4cb3dac19c-108619bf22
https://gmail.google.com/gmail/a-3fed3eafee-99b42efda8-ba8be40eb6
https://gmail.google.com/gmail/a-3fed3eafee-461632be23-5f89343509
https://gmail.google.com/gmail/a-3fed3eafee-090425bac4-a00c7a3317

Atualização: Consegui o convite pro Rojo; depois faço um post com minhas impressões sobre o serviço.

posted by Sergio @ 8:02 PM 1 comments   

Volta e os destaques da semana

Voltei de viagem! Após essa revigorante semana, estou pronto pra curtir o final das minhas férias :-) (somos folgados lá na USP; aula só em 1° de março!!)

Volta de viagem é sinônimo de horas na frente do GMail, do Bloglines e nas revistas que chegaram nesse meio tempo. Então vamos aos destaques da semana!

• Estou fascinado com as [poucas] coisas que li do Fórum Social Mundial sobre Revolução Digital, Liberdade, Software Livre e afins. E estou com uma vontade imensa de ir no Fórum Internacional de Software Livre em junho em Porto Alegre; vamos ver se consigo. [quero escrever um post mais legal sobre tudo isso ainda essa semana]
  
  
• A Mozilla lançou um beta com a implementação dos XForms do W3C para seus produtos. O XForms são os novos padrões para formulários Web, com muito, mas muito poder para fazer Rich Client Apps.
  
  
• Folksonomies e Ontologias no blog do Rafael;
  
  
• Uma das coisas mais incrivelmente impossíveis do mundo do WebDesign aconteceu: O Portal da MSN agora é Tableless e segue os Padrões Web!! Sim, você entendeu direito, é a Microsoft seguindo o W3C. Inacreditável!
  E, na rabeira das impossibilidades, a carta do Bill Gates sobre o feito. Seria cômica de tanta ironia se não fosse verdade: "remodelamos o MSN para ser mais rápido, simples e mais organizado". O Bill Gates falando isso?!?!!? Só pode ser o fim do mundo mesmo...
  


• Aplicações Java usando GTK com o auxílio do Glade (apresentação flash);
  
  
• Atendendo a pedidos, traduzi o post do Gerv sobre o about:mozilla sob um ponto de vista Cristão;
  

• Tutorial em Português de Rails (lembra? veja uns posts atrás).

Por ora, esse é meu post de volta! Mais novidades virão em outros posts.

posted by Sergio @ 3:00 AM 2 comments