Blog do Márcio d'Ávila

Tweet

Depois do WGA – Windows Genuine Advantage, o esforço da Microsoft para reduzir a pirataria do Windows, chega agora ao Brasil o OGA, Office Genuine Advantage para combater a pirataria do Microsoft Office.

Como sempre, sutilmente introduzido através das Atualizações Automáticas do Windows (Windows Update), o Notificador do Programa de Vantagens do Office Original da Microsoft é um utilitário que, se o usuário aceita instalar, não oferece recurso para ser desinstalado ou desativado posteriormente.

Se detecta uma cópia não original de um programa do Office (XP, 2003 ou 2007), o Notificador OGA passa a gerar uma série insistente de notificações com mensagens de programa não original:

• Na inicialização de uma cópia do Office não original, exibe uma janela de mensagem e mantém um ícone na área de notificação do Windows;
• Adiciona uma barra de ferramentas aos programas do Office não original, que exibe mensagem de notificação;
• Para programas do Office 2007 pirata, adiciona também uma faixa (ribbon) com mensagem de notificação.

Imagem: Reprodução do Windows Update para Notificador OGA.

Veja transcrição dos termos de uso do Notificador OGA [TXT]. Você aceita?

Expansão

Conforme anúncio do Gerente Geral Microsoft para a Iniciativa de Software Genuíno (o programa anti-pirataria da Microsoft) em final de agosto, as Notificações OGA foram primeiro veiculadas como a atualização KB949810 para usuários do Office em quatro países — Itália, Espanha, Turquia e Chile — como um pequeno programa piloto, e não trouxe muitas reclamações, exceto quando o serviço de administração corporativa do Windows WSUS (Windows Server Update Services) acidentalmente publicou o notificador como atualização crítica durante 24 horas.

Assim, a Microsoft está gradativamente expandindo o OGA para mais países. A validação e notificações de Office Genuíno está sendo agora expandida para mais 13 países, que incluem Estados Unidos, Reino Unido, Peru, Porto Rico, Brasil, Austrália, Grécia, Irlanda, Países Baixos, Finlândia, Suíça, Índia, Taiwan e outros, chegando a um total de 41 países ainda este mês.

Com a expansão do programa, já há relatos de casos de incômodos ou problemas, principalmente em redes corporativas, de usuários legítimos de cópias originais do Office. Por isso, alguns especialistas recomendam que a instalação não seja feita e/ou que administradores de redes corporativas desabilitem a distribuição e instalação do OGA através do WSUS.

OpenOffice / BrOffice.org

Quem tiver uma cópia ilegítima (não original, pirata) do Microsoft Office, e quiser evitar todo esse incômodo, não perca mais tempo e faça como eu já fiz há muito tempo: adote o BrOffice.org (OpenOffice em português do Brasil) 3.1.1.

Gratuito, livre (software de código aberto e de livre distribuição) e cada vez mais completo e bem acabado, o OpenOffice/BrOffice.org inclui editores de documentos texto, planilhas, apresentações e bases de dados, e ainda um bom programa editor de desenhos e ilustrações (estilo CorelDraw) e um editor de fórmulas matemáticas e científicas.

O OpenOffice é totalmente compatível com os formatos de documento do Microsoft Office (Word, Excel, PowerPoint), inclusive os novos formatos do Office 2007. Mas oferece seu próprio formato nativo de documentos OpenDocument (ODF) que é completo e compacto, além de ser um padrão conciso e realmente aberto, norma internacional ISO. O OpenOffice ainda exporta nativamente documentos para o formato PDF.

O editor de textos (Writer) e de planilhas (Calc) do BrOffice são muito completos e robustos, oferecendo todos os recursos dos simples aos mais avançados encontrados no Word e no Excel.

O editor de apresentações (Impress) ainda não é tão inteligente como as facilidades de formatação automática do PowerPoint, mas atende bem e, espero, tende a melhorar ainda mais no futuro. Quanto ao banco de dados (Base), confesso que ainda não utilizo e por isso não tenho como opinar.

O único recurso que, creio, ainda pode melhorar compatibilidade é a linguagem de macros. O OpenOffice/BrOffice.org possui o recurso de macros, que podem ser programadas em BROffice Basic, Python, JavaScript ou BeanShell, mas a compatibilidade com o VBA (Visual Basic for Applications) do Microsoft Office ainda não é plena, principalmente porque esta última está intimamente integrada à própria API do Windows, o que obviamente traz dificuldades para programas independentes e multiplataforma como o OpenOffice.

Para quem não abre mão do Microsoft Office de jeito nenhum, saiba que você consegue comprar o Office Home and Student 2007 (Word, Excel, PowerPoint) com licença para instalar em três computadores por aproximadamente 150 reais. Nos Estados Unidos essa edição custa perto de 88 dólares.

Convenhamos, 50 reais por cópia doméstica instalada não serve mais de desculpa para pirataria, para aqueles radicais que ainda se remetem aos tempos em que ter um Microsoft Office original em casa custava quase mil reais. Já nas empresas, onde a licença Home Student não serve, o caminho econômico viável é o BrOffice.org mesmo.

Para saber mais

• Artigo da Base de Conhecimento Microsoft nº KB949810: Descrição do aplicativo Office Genuine Advantage Notifications (tradução automática, original em inglês).
• Office Team Steps Up Efforts to Protect Customers from Pirated Software (em inglês), por Keith Beeman, General Manager, Microsoft Genuine Software Initiative, 2009-08-25, no blog Microsoft On The Issues.
• Disable “Get Genuine Office”, Microsoft Nagging OGA (KB949810) (em inglês), em Squidoo.
• Office Genuine Advantage Notifications (OGA KB949810) v2.0.48.0 Released To More Markets (em inglês), no blog My Digital Life, 2009-08-27.
• Office Genuine Advantage, verbete na Wikipedia em inglês.

Tweet

Tweet

Uma análise bem detalhada (e bem ilustrada) do novo Windows 7 está no site Maximum PC: Windows 7 Review: XP vs Vista vs 7 in 80+ Benchmarks (em inglês), por Will Smith, 2009-08-12.

O subtítulo já anuncia: Finalmente, Microsoft lança um sucessor digno do Windows XP. O artigo percorre as novidades e melhorias do Windows 7 e faz uma série de benchmarks com indicadores comparativos de desempenho entre XP, Vista e W7.

Na interface, o controverso novo menu em faixa (Ribbon), que engloba e substitui os menus e barras de ferramentas como no Microsoft Office 2007, se espalhou por todos os aplicativos do Windows 7.

Depois de mais de 10 anos só com mexidas cosméticas, Microsoft finalmente reprojetou a barra de tarefas do Windows, combinando a organização de janelas da barra tradicional do Windows com a conveniência da inicialização de aplicativos do MacOS X Dock — mais uma “inspiração emprestada” de uma interface inovativa da Apple, pra variar.

Para quem se incomodou com as frequentes confirmações de qualquer ação que requer permissão administrativa no Windows Vista, consequência do novo recurso de segurança User Account Control (UAC), o Windows 7 agora permite configurar o nível de notificação (ou “incômodo”) que o usuário quer ter.

Segurança e praticidade parecem finalmente se encontrar na configuração de redes domésticas (compartilhamento entre vários computadores), com o novo recurso HomeGroup.

A conclusão do artigo é que não importa se você vem do XP ou Vista, Windows 7 oferece muitos avanços em usabilidade, segurança e suporte a novos hardwares e tecnologias. Entusiastas e usuários avançados vão adorar, e a nova Taskbar sozinha já vale para usuários regulares que mantêm várias janelas abertas. Melhor de tudo, o novo sistema operacional simplesmente parece mais rápido que o Vista e mesmo o XP (pelo menos até que surja um Service Pack pesadão cheio de remendos…). Parece o melhor de dois mundos — a velocidade de interação do XP e os recursos e segurança do Vista.

Será que é bom assim mesmo?

A propósito: No site Maximum PC, nova descoberta para mim, além de encontrar análise em profundidade do que há de mais novo, encontrei também um retrospecto legal do que há de “mais velho”. O artigo Surfing Since 1991: The Evolution of Web Browsers (em inglês), por Paul Lilly, 2009-08-19, percorre os navegadores internet desde o surgimento da web em 1991 até os dias atuais. É, eu usei o Lynx (modo texto!) e o Mosaic na pré-história…

Para saber mais:

• Home do Windows 7, em Microsoft.
• Especial: como atualizar o Windows XP para o 7, por Serdar Yegulalp, InformationWeek EUA, 2009-08-19, em IT Web.

Tweet

Tweet

Meu artigo com um tutorial sobre instalar uma “impressora virtual” para gerar arquivos PDF, a partir de qualquer programa capaz de imprimir no Windows, foi bastante revisado e ampliado. É uma verdadeira evolução do artigo, que é uma das páginas mais populares de meu site.

Na atual revisão, foi incluída uma importante seção nova, “Alternativas comparadas”, resultado de minha avaliação de cinco ferramentas gratuitas para gerar PDF, disponíveis na Internet.

Minha preferência continua sendo pelo FreePDF XP, que é tomado como base no restante do tutorial. Mas o quadro resumo comparativo e a galeria de imagens apresentados devem prover subsídios para que pessoas com diferentes preferências e requisitos possam escolher a solução que melhor lhes adequa.

Além disso, o artigo foi atualizado para refletir as versões mais recentes de Ghostscript e FreePDF XP disponíveis.

Não deixe de conferir o trabalho resultante, em:

• PDF Livre com (ou sem) o Ghostscript.

E, por favor, poste aqui seu comentário sobre a comparação das ferramentas!…

Tweet

Tweet

As atualizações automáticas do meu Windows (Windows Update) propuseram a instalação de uma nova versão do software “Notificação do Programa de Vantagens do Windows Original”, também conhecido pelo nome em inglês Windows Genuine Advantage (WGA) Notifications.

Segundo a página de informação do download, esta nova versão 1.8.0031.9 do programa de verificação anti-pirataria do Windows, lançada em final de setembro, traz as seguintes características:

• Instalação melhorada – Um assistente de instalação atualizado para este pacote inclui um novo contrato de licença (EULA) e exibe o resultado da validação imediatamente ao final do processo de instalação. Não requer reinicialização (reboot) após a instalação e — atenção! — recebe automaticamente futuras atualizações do WGA Notifications.
• Notificação persistente na área de trabalho – uma imagem aparecerá na área de notificação se sua cópia do Windows não for genuína. Você pode interagir com ícones sob a imagem, mas não será capaz de interagir com a imagem em si ou escondê-la. A notificação persistente continuará a ser exibida até que a cópia do Windows seja regularizada.
• Fundo preto da área de trabalho – Após instalar esta versão do WGA Notifications em uma cópia de Windows XP pirata (que falhar na validação), o fundo da área de trabalho (desktop background) mudará no próximo logon para preto puro. Você será capaz de redefinir o fundo para qualquer imagem (wallpaper) ou outra cor de fundo, mas a cada 60 minutos o desktop será redefinido para preto, até que a cópia do Windows seja genuína. O fundo preto enfatiza a nova notificação persistente da área de trabalho.

Pergunto novamente: E aí, Você aceita?

Para saber mais:

• Informações sobre o programa Vantagens do Microsoft Original
• Declaração de privacidade do programa Vantagens do Microsoft original – quais são os componentes do programa MGA/WGA, que dados são coletados e como são usados.
• Descrição do aplicativo de Notificações do Programa de Vantagens do Windows Original (KB905474).
• Vantagens do Software Original Microsoft – Centro de Suporte
• Download details: Windows Genuine Advantage Notifications – versão 1.8.0031.9, 2008-09-23, 1,5 MB.

Tweet

Tweet

A Microsoft criou o padrão OOXML para concorrer com o OpenDocument Format (ODF), surgido do OpenOffice.org e que rapidamente se tornou um padrão aberto internacional para documentos, desenvolvido pelo OASIS Group e ratificado pela norma ISO/IEC 26300 em 2006.

O padrão OOXML original basicamente refletia o formato de arquivos do Microsoft Office 2007. Em uma estratégia de poder corporativista, a Microsoft conseguiu padronizar o OOXML pela ECMA Internacional. Em seguida, submeteu o padrão ECMA à ratificação rápida pela ISO, valendo-se do privilégio de aprovação “via expressa” (fast track) que a ECMA possui junto à ISO.

Mas mesmo na via expressa, o processo de padronização na ISO sofreu forte resistência, tendo sido inicialmente reprovado. Em nova tática de manipulação corporativista, a Microsoft conseguiu aumentar a participação simpatizante na ISO promovendo a introdução de representantes de países e membros poucos expressivos no grupo especialista da ISO.

Finalmente, em abril de 2008, o padrão OOXML foi aprovado como a norma ISO/IEC DIS 29500. Mas para isso o padrão original teve que sofrer uma série de adaptações em resposta aos questionamentos internacionais registrados por ocasião da primeira reprovação do padrão na ISO.

Contudo, com as modificações, nem mesmo o Microsoft Office 2007 tem suporte total ao padrão ISO 29500 do OOXML. Segundo a Microsoft, só o Office 14, ainda sem data prevista, terá o suporte ao formato OOXML atualizado para compatibilidade total com o padrão aprovado na ISO.

Enquanto isso, devido à grande pressão dos clientes, a Microsoft anunciou que já no primeiro semestre de 2009 o Microsoft Office 2007 Service Pack 2 (SP2) introduzirá suporte ao formato ODF versão 1.1. Veja mais no artigo OOXML backwards compatibility led Microsoft to ODF, por Tom Espiner, 2008-05-22, para a ZDNet UK.

Ou seja, nem a própria Microsoft tem todo o OOXML implementado, e oferecerá no Microsoft Office suporte ao formato ODF antes de ter implementado todo o padrão OOXML conforme aprovado na ISO. Coisas de Microsoft…

Para saber mais:

• Padrão Ecma Office Open XML obtém certificação internacional ISO, release de imprensa Microsoft PressPass Latin America, São Paulo, 1º de abril de 2008.
• Microsoft Office “Open” XML, por Márcio d’Ávila, 2007-01-22.

Tweet

Tweet

No portal IBM developerWorks, está sendo publicado um tutorial em três partes sobre desenvolvimento para web com o Eclipse Europa, usando Java, PHP e Ruby; por Michael Galpin, Desenvolvedor do eBay.

• Web development with Eclipse Europa, Part 1: The Java EE for Eclipse, 2007-11-20.
• Web development with Eclipse Europa, Part 2: PHP development tools, 2007-12-11.
• Web development with Eclipse Europa, Part 3: Ruby Development Toolkit and RadRails, 2007-12-18.

A terceira parte, sobre Ruby, deve sair breve saiu dia 18. Para acessar o conteúdo do tutorial, é necessário registrar-se gratuitamente no portal IBM developerWorks.

Outro artigo muito interessante, para quem está considerando suas opções de infra-estrutura para aplicações Java EE na web. JBoss, Geronimo, or Tomcat? — Três servidores de aplicação Java open source comparados, por Jonathan Campbell, JavaWorld.com, 2007-12-11. Só faltou cobrir também GlassFish.

O recente artigo An easy way to make your code more testable, no blog Programblings, me levou a outro artigo excelente.

We don’t write tests. There just isn’t time for luxuries, por James Golick, um desenvolvedor de softwre em Montreal, 2007-08-28. Golick, com argumentos objetivos passo a passo, contesta a afirmação que muito se houve de desenvolvedores ou times de software: “Não escrevemos testes ou fazemos cobertura de testes porque não temos tempo.” ou “Escrever testes toma tempo demais.”

Todo desenvolvedor precisa testar seu código, de alguma forma. A diferença é que alguns escrevem testes automatizados, enquanto outros usam humanos (normalmente, o próprio desenvolvedor) para verificar o comportamento correto. Então, o argumento “testar-nos-atrasa” reside na premissa que verificação manual é mais rápida que escrever testes automatizados.

Assim começa o raciocínio que se desenvolve ao longo do inteligente artigo. Leia e veja se você também concorda que a prática de testes automatizados pode ser bem produtiva.

Se práticas de desenvolvimento de software interessam a você, então sugiro ler também os artigos Pair Programming vs. Code Reviews, por Jeff Atwood, 2007-11-18; e Pair Programming vs. Code Reviews – It’s a no Brainer, por Mark Levison (Ottawa, Canadá), 2007-12-14. Eles confrontam programação em pares e revisão de código.

Conforme anúncio no Javalobby, acabou de ser lançada em dezembro a nova certificação Sun Certified Programmer for the Java Platform, Standard Edition 6 (CX-310-065) da Sun.

SCJP é a certificação de programação na linguagem Java, a mais fundamental no caminho de Certificações Sun para a Tecnologia Java. É também uma certificação bem reconhecida no mercado de trabalho. A nova versão do SCJP atualiza o programa da para cobrir Java SE 6.0.

Para saber mais:

• Sun Certified Professional, por Wikipedia.
• Referências sobre Certificação Java, por Márcio d’Ávila.

Entrando na programação de páginas web, vale a pena ler The Problem With innerHTML, por Julien Lecomte, 2007-12-12.

E do HTML para o CSS. A escala graduada de 1 a 6 para Rate Your CSS Skill Level: Final Version & Poll montada pelo portal CSS-Tricks oferece critérios para você avaliar em que nível está sua habilidade com CSS. Minha auto-avaliação foi de 4. Para atingir 6, você tem que estar em estado graça ou ser membro da especificação no W3C.

Da programação para os utilitários nerd. Hoje descobri algo interessante para quem às vezes lida com a linha de comando no Windows. Windows PowerShell. Esta janela de console melhorada virá no Windows Server 2008, mas qualquer usuário de Windows original (com a devida validação WGA) pode baixar gratuitamente da Microsoft.

Download Windows PowerShell 1.0 – PowerShell 1.0 para Windows XP Português do Brasil (KB926140).

Documentação: Windows PowerShell Documentation Pack (para baixar, em inglês e outros idiomas).

Já para quem conhece e sente falta dos comandos do Linux ao usar a linha de comando do Windows, recomendo meu velho conhecido GnuWin32, projeto em SourceForge que porta pacotes de utilitários GNU/Posix para Windows nativo (usando MinGW). O projeto disponibiliza centenas de pacotes binários, em arquivos ZIP para baixar.

Recomendo obter a ferramenta GetGnuWin32, que traz um script que baixa/atualiza todos os pacotes mais recentes do GnuWin32, e outro que descompacta todos os pacotes em uma pasta gnuwin32. Depois é só copiar/mover essa pasta para onde achar mais adequado (por exemplo, C:\ ou C:\Arquivos de programas\) e adicionar gnuwin32\bin ao PATH. Feito isso, grep, find, sed, tar, diff e mais quase mil outros comandos estarão disponíveis na linha de comando do Windows (inclusive na PowerShell).

Por falar em Linux, uma última nota. O IDG Now! noticiou que as Urnas usarão Linux em eleições de 2008.

O TSE autorizou a substituição dos sistemas operacionais VirtuOS e Windows CE para o sistema aberto Linux, adaptado pelo próprio órgão, em todas as 430 mil urnas eletrônicas usadas nas eleições de 2008, que escolherão prefeitos. Segundo o Tribunal, o objetivo é conferir mais transparência e confiabilidade à urna e ao processo eleitoral.

Tweet

Tweet

Os consultores de segurança Billy (BK) Rios, da Verisign, e Nate McFeters, da Ernst & Young, vêm há vários meses realizando pesquisas sobre vulnerabilidades na forma como os programas em Windows lidam com URIs, em especial os diversos esquemas (esquema é a parte inicial do URI, que precede os dois-pontos e especifica o tipo ou protocolo do recurso; como http: e mailto:) e os tratadores de URI registrados no Windows.

Em julho, eles descobriram a Falha no tratamento de URL em Windows XP e 2003 com Internet Explorer 7 instalado, que permite execução de código remoto: Microsoft Security Advisory (943521). Esta vulnerabilidade foi divulgada em final de julho (Secunia SA26201) e consta na lista Common Vulnerabilities and Exposures (CVE) sob o número CVE-2007-3896 — mais informações no National Vulnerability Database (NVD).

A falha foi detectada manifestando-se através do navegador Firefox em Windows XP com Internet Explorer 7 instalado, afetando até a versão 2.0.0.5. Em poucos dias, Firefox e Thunderbird 2.0.0.6 já bloqueavam a falha, registrada como Mozilla Foundation Security Advisory 2007-27. Detalhes podem ser vistos no acompanhamento dos bugs Mozilla 389580 (CVE-2007-4041) e 394974 (CVE-2007-4841).

À época, os mais inflamados da permanente competição Firefox × Internet Explorer levantaram discussões sobre de qual navegador era a “culpa” da vulnerabilidade. Conforme sugeriu o próprio Billy Rios, ambos falharam.

Logo ficou claro que a origem da falha foram mudanças no tratamento de URIs em bibliotecas atualizadas pelo IE7, em Windows XP e 2003. Mas todos os programas que também não tratavam URIs maliciosas para prevenir o problema se tornavam vetores dessa vulnerabilidade ao ativar certos endereços (URIs) internet.

O comportamento falho no processamento de URIs foi detectado e solucionado no Firefox e Thunderbird 2.0.0.6, Skype — corrigido na versão 3.5.0.239 –, Trillian IM — corrigido na versão 3.1.7.0 — entre outros.

O mais recente anúncio de atualização de segurança foi do Adobe Reader/Acrobat 8.1.1 (visualizador/processador de PDF), que também trata a tal falha em Windows XP/2003 com IE7 instalado (Adobe Security bulletin APSB07-18 e CVE-2007-5020, 2007-10-22), que afeta Adobe Reader e Acrobat até versões 8.1 e 7.0.9.

O que mais me impressiona é que o problema de URIs maliciosas está sendo corrigido nos diversos programas afetados, mas a Microsoft até hoje ainda não solucionou a falha original que o IE7 em XP/2003 introduziu em julho!

Tweet

Tweet

[Atualização: Em abril de 2008, o padrão OOXML conseguiu ser aprovado como a norma ISO/IEC DIS 29500. Veja o artigo Nem Microsoft consegue implementar todo OOXML.]

O conjunto de formatos de documento Office Open XML (OOXML), oriundo dos formatos do Microsoft Office 2007 padronizados pela ECMA International, não foi aceito como padrão ISO na votação que se encerrou domingo, dia 2 de setembro. A decisão final ocorrerá em Genebra, de 25 a 29 de fevereiro de 2008.

O processo de votação durou nove meses e foi aberto a 104 países membros da ISO/IEC, que avalia o padrão ECMA-376 como a proposta ISO/IEC DIS 29500, Office Open XML file formats, no subcomitê técnico JTC1 / SC34.

O subcomitê é composto por países membros, representados por seus órgãos nacionais de padronização, divididos entre países participantes (P) e observadores (O). Tem ainda conexão com os organismos internacionais ISUG, OASIS e W3C. O Brasil é membro participante (P), representado pela Associação Brasileira de Normas Técnicas (ABNT).

Uma aprovação na ISO/IEC requer que pelo menos 2/3 (i.e. 66,66%) dos votos emitidos por países participantes (P) do comitê sejam positivos; além disso, não pode haver mais que 1/4 (25%) do total de países votantes negativo. Computam-se apenas os votos válidos, não incluídas abstenções.

Nenhum destes critérios foi atingido na votação do DIS 29500, que teve 53,12% positivos nos votos válidos dos 41 participantes “P” (17 dos 32, com 9 abstenções) e 26,1% negativos totais (“P” + “O”), 18 dentre 69 válidos. Detalhes da votação podem ser conferidos em OOXML Perdeu, por Avi Alkalay, IBM Brasil, 2007-09-04; e Results of the OOXML Ballot of 2nd September (em inglês), por NoOOXML.

A secretaria da ISO decidiu levar a questão adiante até um Ballot Resolution Meeting (BRM – encontro de resolução de votação), para decisão final. De 25 a 29 de fevereiro do ano que vem, representantes nacionais vão se encontrar em Genebra, na Suíça, para discutir e realizar a votação final do OOXML.

Até lá, as especificações do OpenXML devem ser editadas e adaptadas para atender aos 63 comentários submetidos à ISO, por órgãos nacionais de padronização de países membros, durante o período de revisão.

Histórico

A Microsoft havia submetido o formato OOXML para padronização pela ECMA em novembro de 2005. Foi uma reação à padronização do formato aberto de documentos do OpenOffice.org Open Document (ODF) versão 1.0 pelo OASIS, em maio de 2005 e então aprovado como padrão internacional ISO/IEC 26300, em novembro de 2006.

A especificação OOXML, gigante nebuloso de mais de 6000 páginas, teve seu rascunho aprovado pela ECMA em novembro de 2006 e logo submetido à ISO/IEC, para avaliação como padrão internacional. O processo na ISO/IEC corre em caráter de “via expressa” (fast track), valendo-se de acordos existentes entre ECMA e ISO.

Em dezembro de 2006 a ECMA aprovou a especificação OOXML como o padrão ECMA-376. Já na ISO, a controversa proposta não teve aceitação tão fácil.

Durante os nove meses que se passaram desde então, o formato OOXML foi duramente criticado por especialistas e organizações em torno da comunidade de software livre mundial, tanto quanto às falhas e inconsistências no formato quanto à lisura do pretenso padrão, que de tão complexo e intrincado mostra não ser verdadeiramente aberto, de forma que só o Microsoft Office seria efetivamente capaz de implementá-lo.

Bastidores da votação

A ABNT votou “não com comentários” pelo Brasil. O voto brasileiro contra o OOXML é coerente com o país onde o governo, a diplomacia e grande parte da comunidade de desenvolvedores e usuários apóia e é engajada no software livre no Brasil e no mundo. Em contraposição, OOXML é um padrão proposto por um único fornecedor comercial e implementado por um único produto proprietário, o Microsoft Office.

As discussões no Grupo de Trabalho (GT2) da ABNT para o OOXML, em 21 e 22 de agosto, foram conturbadas e inconclusivas, conforme relatos do membro Avi Alkalay, IBM: Indefinição Marca Fim da Votação do OOXML na ABNT; Impressões Sobre Reunião Final da ABNT; e OOXML: Brazil Says NO. Foi consenso porém que não se queria abstenção de voto do Brasil e que todos concordavam com os 63 comentários recebidos na ISO para o OOXML. Assim, restavam as opções “sim com comentários” e “não com comentários”. Com a ponderação de que o “não” daria mais força aos comentários, decidiu-se finalmente pelo voto brasileiro “não com comentários”.

Sobre o GT2 da ABNT e sua decisão, veja também os artigos sobre OpenXML por Cezar Taurion, IBM; e a explicação sobre os resultados da votação na ISO por Eugenio Guilherme Tolstoy De Simone, atual diretor da ABNT, divulgada pelo blog Homembit em “Valeu ou não valeu?”, 2007-09-05.

BR-Linux.org divulgou em 30 de agosto que às vésperas do final do prazo, EUA e Suécia mudaram seus votos. Nos Estados Unidos, seu comitê representante INCITS teve dia 29/08 uma inesperada decisão de voto a favor depois que quatro membros — grupo GS1, Lexmark, National Institute of Standards and Technology (NIST) e o Departamento de Defesa (DoD) Americano — mudaram seus votos, anteriormente contrários. Veja o resultado completo da votação no INCITS.

Na Suécia a coisa foi ainda mais feia. A subsidiária sueca da IDG divulgou o conteúdo vazado de um memorando da Microsoft em que um empregado oferecia vantagens financeiras em troca de seus parceiros se juntarem ao Swedish Institute of Standards (SIS) para votar sim ao OOXML. A Microsoft confirmou a informação, mas disse que a oferta, tão logo descoberta, foi prontamente retirada e que os gerentes da Microsoft Suécia voluntariamente notificaram o SIS do fato.

Antes disso, já haviam ocorrido críticas ao lobby da Microsoft Portugal em favor do OOXML. Veja em Portugal: Balanço da votação da proposta de norma DIS 29500, vulgarmente conhecida por OOXML, por Redação PSL Brasil, 2007-08-06; e Microsoft Stuffs OOXML Ballot Box in Sweden? (em inglês), por Jeff Kaplan, 2007-08-27.

Apesar de tudo, a Microsoft divulgou o esperançoso press release Strong Global Support for Open XML as It Enters Final Phase of ISO Standards Process (em inglês) ontem. O otimismo e súbito interesse em padrões da Microsoft foi comentado com espanto no artigo Microsoft OOXML ballot stuffing comes up short (em inglês), por David Hunter, 2007-09-04.

Para saber mais:

• Microsoft Office “Open” XML, por Márcio d’Ávila, 2007-01-22.
• Microsoft reclama do combate ao Office Open XML, por Márcio d’Ávila, 2007-02-20.
• Vote closes on draft ISO/IEC DIS 29500 standard (em inglês), ISO press release, 2007-09-04, International Organization for Standardization (ISO).
• Office Open XML e OpenDocument (ambos em inglês), por Wikipédia, a enciclopédia livre.
• OpenDocument XML.org (em inglês), mantido pelo OASIS ODF Adoption Technical Committee.
• Márcio’s Hyperlink: Open Document, referências sobre ODF e OOXML, por Márcio d’Ávila.
• OpenXML.info.
• Organização NoOOXML e a petição “Diga NÃO ao novo formato MS-Office como padrão ISO”.
• Seis perguntas aos órgãos nacionais de padronização, por Free Software Foundation Europe (FSFE).
• DIS 29500 Comments (em inglês), British Standards (BSi) OOXML-wiki.
• Response for National Body Comments from 30-Day Review of the Fast Track Ballot for ISO/IEC DIS 29500 (ECMA-376) — “Office Open XML File Formats” (PDF, em inglês), por Ecma International, 2007-02-28.
• Microsoft Office XML formats? Defective by design (em inglês), 2007-08-28.
• What Is Free Software (em inglês), por by Karl Fogel, autor de “Producing Open Source Software: How to Run a Successful Free Software Project”, 2005-29-09, em O’Reilly ONLamp.com.
• Ecma International aprova Office Open XML como padrão mundial do setor, por Microsoft Brasil Press Release, 2006-12-15.

Tweet

Tweet

Fonte: Fórum PCs, por SKuLL_DeviLL, 07 de agosto de 2007.

A polonesa Joanna Rutkowska voltou a utilizar o seu famoso Blue Pill para introduzir um código malicioso no Vista. Ela subiu no palco em Las Vegas e disse: “Vou falar sobre a proteção do kernel do Vista e porque ela não funciona”.

A palestra de Joanna Rutkowska, no encontro Blackhat, voltou a surpreender por sua clareza e pelos detalhes. Ela começou lendo um documento do Microsoft Vista que dizia, inclusive, que os usuários com privilégios de administrador não podiam carregar um código no modo Kernel sem a permissão do sistema. Depois ela sorriu com ironia.

No ano passado, Rutkowska fez uso do seu famoso Blue Pill, um malware que se introduziu no sistema de virtualização do Vista e lhe concedeu privilégios de administrador.

Apesar das declarações da Microsoft afirmando que este problema foi solucionado antes que a versão final do Vista fosse encontrada no mercado, ainda existem muitas formas de atacar o Vista, e isso Rutkowska conseguiu provar com sobras.
Utilizando um driver da NVIDIA como proxy para escrever o código no Kernel, ela mostrou como um rootkit é capaz de enganar o sistema de segurança do kernel do Vista, que é o que supostamente evita a entrada do código não autorizado.

Este problema afeta não só o driver da NVIDIA, mas também o da ATI e quase todos os outros drivers de terceiros. Pior ainda: os drivers foram tão mal escritos e sua arquitetura tão mal desenhada que um usuário nem sequer precisa ter uma placa gráfica NVIDIA ou ATI instalada com o driver para se aproveitar desta falha. Basta apenas incluir o arquivo do driver junto com qualquer outro grupo de códigos, colocá-lo em algum lugar da unidade C: e utilizá-lo depois como um vetor de ataque.

Em seu blog “Segurança na Microsoft”, Fernando Cima postou o artigo Divulgado Código Fonte do Novo “Blue Pill” (03/08/2007) em que critica a efetividade do Blue Pill. O analista já havia analisado o primeiro Blue Pill (14/08/2006) apresentado por Rutkowska no evento Black Hat 2006.

Para saber mais:

• Virtualization Detection vs. Blue Pill Detection (em inglês), por Joanna Rutkowska, 3 de agosto de 2007, invisiblethings.org.
• Subverting Vista Kernel For Fun And Profit (em inglês), por Dave Bullock, 3 de agosto de 2006, eecue.com.
• Seguridad en Windows Vista (em espanhol), por Luther Blissett, 6 de agosto de 2006.
• Joanna Rutkowska (em inglês), por Wikipedia, the free encyclopedia. Veja também seu perfil em IT Defense 2006.
• Black Hat 2006 show highlights, fotos por Ryan Naraine, eWEEK.com.

Tweet

Tweet

Em artigo dia 30 eu comentei sobre uma vulnerabilidade divulgada que afetava o Firefox, mesmo na recente atualização 2.0.0.5.

No dia 30 mesmo a Fundação Mozilla lançou nova atualização de segurança Firefox 2.0.0.6 e, dois dias depois, Thunderbird 2.0.0.6, ambas endereçando duas vulnerabilidades:

• MFSA 2007-27: Unescaped URIs passed to external programs; crítica.
• MFSA 2007-26: Privilege escalation through chrome-loaded about:blank windows; de impacto moderado.

À medida que são discutidos mais detalhes sobre a falha reportada pelos pesquisadores de segurança Billy Rios e Nathan McFeters (MFSA 2007-27), percebe-se que a origem do problema envolve o tratador de URLs do Windows XP e 2003 com Internet Explorer 7. Ao repassar protocolos para o navegador Firefox (como http) ou o leitor de e-mail Thunderbird (como mailto), o tratador de URL, em determinada situação, leva indevidamente à execução de programas locais.

Independente da “responsabilidade” pelo problema ser dos programas Mozilla, como insiste em alegar o pesquisador de segurança especializado em Windows Jesper Johansson, ou da Microsoft, o fato é que a Fundação Mozilla agiu super rápido — como de costume — e já lançou uma versão impedindo a exploração maliciosa da falha nos programas Firefox e Thunderbird.

Para ficar mais seguro, atualize o navegador Firefox e o leitor de correio Thunderbird o quanto antes para a versão 2.0.0.6. Para ficar mais seguro ainda, utilize o Linux ao invés do Windows…

Para saber mais:

• Secunia Advisory SA26201: Microsoft Windows URI Handling Command Execution Vulnerability.
• Remote Command Execution in FireFox et al, por Billy (BK) Rios, 24/07/07.
• Mozilla Bug 389580: some schemes with %00 launch unexpected handlers on windows.

Tweet