Software – Página: 5 – Blog do Márcio d'Ávila

Máscara de formatação em campos de formulário HTML

19 de março de 2010

9:49

2 comentários em Máscara de formatação em campos de formulário HTML

Artigos meus já cobriram aspectos básicos de Validação de formulários HTML com JavaScript e até mais específicos como Tratamento de CPF e CNPJ em JavaScript.

Para completar, você pode querer também um controle maior de vallidação durante a digitação de um campo de formulário HTML, com o recurso de máscara de formatação.

Neste caso, não vamos reinventar a roda. Já há artigos e bibiotecas prontas para realizar esse trabalho disponíveis livremente na Internet. Em especial, gostei muito do plugin Masked Input para a bibioteca jQuery.

JavaScript Input Masks, coletânea de soluções disponíveis, em Web Resources Depot.
Máscara em campos de formulário – Uma solução simples e crossbrowser com expressões regulares, por Elcio Ferreira, autor do blog de tecnologia fechaTag e um dos mantenedores do portal Tableless.
Biblioteca Mask JavaScript API, por Dan G. Switzer, II.
Javascript Input Mask.

jQuery

Masked Input Plugin (em inglês) para jQuery, por DigitalBush.com. Extensão de entrada com máscara para a biblioteca javascript jQuery. Permite ao usuário preencher mais facilmente um campo (input) de tamanho fixo com dados em determinado formato (datas, números de telefone, etc). Testado em Internet Explorer 6/7, Firefox 1.5/2/3, Safari, Opera, e Chrome.
Máscaras em campos de formulários com jQuery, por Anderson Custódio, 2008-11-17, em Pinceladas da Web.
Máscara para campos INPUT do formulário, por profissionalmmn, 2007-04-19, no blog Ajax JQUERY & Javascript.
jQuery Plugins – Masket Input.

Prototype

How to create input masks in HTML – HTML Input Mask, por Baron Schwartz (Xaprb). Novo repositório do código em Google Code: Flexible JS Formatting Libraries.

Rails

Inputs plugin com jQuery (jRails), por Jésus Lopes. Repositório do projeto em GitHub: inputs.
JSMask – Máscara em campo texto com Prototype, por Ozéias Sant’ana. Repositório do projeto em GitHub: js_mask.

Artigo PDF atualizado

by Márcio

14 de março de 2010

20:38

Leave a comment on Artigo PDF atualizado

Notícias, Software, Tecnologia, Windows

Atualizei agora meu artigo PDF Livre com (ou sem) o Ghostscript, um dos mais úteis e populares de meu site para usuários de Windows. o artigo ensina como utilizar ferramentas gratuitas para gerar facilmente arquivos PDF a partir de qualquer aplicativo no Windows.

O doPDF na nova versão 7.1, passou a suportar também 64-bits em Windows 2000, XP, Vista, 7 e Server 200x. O tamanho do instalador saltou dos modestíssimos 1,73 MB da versão 6.3 build 309 para 4,29 MB na atual versão 7.1 build 330. Ainda assim, é um tamanho muito compacto (o menor download dos gratuitos avaliados no artigo) considerando que inclui tanto o driver de impressão quanto o respectivo conversor para PDF, e inclui suporte para as plataformas 32 e 64 bits. O diálogo de salvar foi ligeiramente aprimorado com novas opções de exibição, mas continua bem limpo e fácil.

O Bullzip Free PDF Printer também foi atualizado para a versão 7.1.0.1159, com melhor suporte a Unicode e UTF-8 no conteúdo de seus arquivos de configuração (ini), em títulos de documentos, nomes de arquivo de saída e nas mensagens exibidas. Também passou oficialmente a suportar o Windows 7 e a API Microsoft.NET.

Também atualizado o software livre PDF Creator para a versão 0.9.9, cujo instalador cresceu apenas 0,1 MB. Esta nova versão adicionou os recursos de permitir que você defina perfis de impressão (cada perfil armazena as configurações de impressão para determinado propósito) e de permitir que sejam criadas múltiplas impressoras PDFCreator, cada uma associada a um perfil. Recurso similar já existia no FreePDF permite usos interessantes, como ter uma impressora interativa para uso geral, que abre a caixa de diálogo padrão e permite definir as propriedades de qualidade e o arquivo de saída, e outra que salva automaticamente e sem interação em determinado formato de qualidade e de pasta/arquivo de saída, ideal para automatizar uma função de geração automática de PDF acionada por de determinada aplicação.

Mercado de ECM 2009

by Márcio

2 de dezembro de 2009

0:54

9 comentários em Mercado de ECM 2009

Arquitetura TI, Documento e Informação, Software

Finalmente! Esperava pela atualização das análises do mercado de ECM pelos principais institutos, desde a aquisição da Vignette pela Open Text, e foram publicados o Quadrante Mágico do Gartner, e o Forrester Wave, para 2009.

No que os dois relatórios 2009 tem consenso: EMC, IBM, Oracle e Open Text mantém forte liderança nesse mercado.

No que divergem: Para o Forrester, Microsoft avança e ganha momento mas tem diversas lacunas de funcionalidade, se posicionando apenas como forte competidor. Além disso, por seus critérios Hyland e HP são alternativas competitivas no nicho de conteúdo transacional e de negócios, sendo competentes em document management, imaging and capture, e records management; mas ficam devendo forte suporte em áreas como Web (WCM), document output management e digital asset management. E o open source Alfresco, embora mais atrás, tem aumentado sua amplitude na cobertura de ECM para desafiar os players proprietários como alternativa de baixo custo.

Já no critério do Gartner, Microsoft se posiciona tão líder quanto os outros quatro grandes, e Hyland (OnBase) e Autonomy (que adquiriu a Interwoven em março 2009) são respectivamente um desafiante e um visionário muito próximos de adentrarem o quadrante líder.

[photopress:ecm_forrester_wave_2009.png,full,centered]

Fonte: Forrester, The Forrester Wave™: Enterprise Content Management Suites, Q4 2009 [PDF] (outro endereço); 2009-11-12; por Stephen Powers, Brian W. Hill, and Craig Le Clair; para profissionais de Information & Knowledge Management; reproduzido por Oracle.

[photopress:ecm_gartner_quadrante_2009.png,full,centered]

Fonte: Gartner, Quadrante Mágico para Enterprise Content Management, 2009 [PDF]; 2009-10-15; por Toby Bell, Karen M. Shegda, Mark R. Gilbert, Kenneth Chin, Mick MacComascaigh; reproduzido por EMC, também por Oracle e por Microsoft.

Veja também o relatório do instituto Datamonitor Documents and Records Management: An Analysis of Market Trends to 2013 (Strategic Focus), fevereiro 2009, em Scribd.

Records Management / Gestão Arquivística Documental

No meio do ano o Forrester já publicara uma análise específica sobre os fornecedores de soluções em Records Management (RM), que em português podemos chamar de Gestão Arquivística de Documentos (GAD). GAD/RM é um dos componentes do universo de ECM.

De acordo como normas como o padrão internacional ISO 15489:2001 – Information and documentation — Records management Part 1: General e Part 2: Guidelines (originário do Padrão Australiano – AS), assim como normas e legislação do Brasil, os documentos arquivísticos são a informação registrada, produzida e recebida no decorrer das atividades de um órgão, entidade ou pessoa, dotada de organicidade e que sirva de prova dessas atividades. Os documentos e arquivos podem ser públicos (relativos ao poder, órgãos, agentes, empresas e serviços públicos) ou privados.

E a gestão arquivística consiste nos procedimentos referentes à produção, tramitação, uso, avaliação e arquivamento destes documentos em fase corrente e intermediária, visando a sua eliminação ou recolhimento para guarda permanente. (Resolução nº 20 Conarq, Art. 1º) Um elemento essencial para a gestão arquivística é a manutenção e aplicação de uma tabela de classificação (por assunto), temporalidade e destinação (ciclo de vida) de documentos.

Os quatro grandes de ECM também se posicionam na liderança desse segmento, mas existem outros dois líderes até mais fortes que os demais quando o foco é RM/GAD: Computer Associates (CA) e Autonomy (baseada na aquisição da Meridio em 2007).

[photopress:gad_forrester_wave_q2_2009.png,full,centered]

Fonte: Forrester, The Forrester Wave™: Records Management, Q2 2009 [PDF]; 2009-06-23; por Brian W. Hill; para profissionais de Information & Knowledge Management; reproduzido por Oracle.

A área de Records Management nos Estados Unidos é muito direcionada em torno dos padrões de conformidade exigidos pelo Departamento de Defesa Americano (DoD). Mas os fornecedores de GAD também tem buscado certificação aderente aos dois mais proeminentes modelos mundiais: o Victorian Electronic Records Strategy (VERS) do Governo Australiano, e o MoReq2 – Model Requirements for the management of electronic records Europeu.

[photopress:gad_forrester_certif_2009.png,full,centered]
O MoReq2 é originário do modelo inglês MoReq. Estes modelos foram a base de referência para o padrão brasileiro e-ARQ Brasil [PDF] do CONARQ – Conselho Nacional de Arquivos, bem como o recente MoReq-Jus – Modelo de Requisitos para Sistemas Informatizados de Gestão de Processos e Documentos do Poder Judiciário do CNJ – Conselho Nacional de Justiça.

Para saber mais:

Lei Federal nº 8.159, de 8 de janeiro 1991, Dispõe sobre a política nacional de arquivos públicos e privados e dá outras providências. Seu Art. 26 cria o Conselho Nacional de Arquivos (Conarq), órgão vinculado ao Arquivo Nacional, para definir a política nacional de arquivos, como órgão central de um Sistema Nacional de Arquivos (Sinar). Lei regulamentada pelo Decreto nº 4.073, de 3 de janeiro de 2002.
Legislação Arquivística Brasileira, coletânia de referências mantida pelo Conarq.
Records Management & MoReq2, por Dr. Ulrich Kampffmeyer, PROJECT CONSULT GmbH, apresentação para innova.doc 2009, Barcelona, Espanha, 2009-10-06, disponibilizada em Scribd.
Dublin Core Metadata Initiative (DCMI), Especificações DCMI padronizadas na norma internacional ISO 15836.

Ameaças e ataques cibernéticos no mundo real

by Márcio

14 de novembro de 2009

14:51

2 comentários em Ameaças e ataques cibernéticos no mundo real

Cotidiano, Ensaios, Internet, Pragas virtuais, Segurança, Software, Tecnologia

O programa de TV 60 Minutes da rede americana CBS que foi ao ar em 8 de novembro passado apresentou a reportagem “Guerra Cibernética: Sabotando o Sistema”, em que sugere que apagões no Brasil podem ter sido causados por ataques hacker.

Tudo começou com a seguinte declaração recente do presidente dos EUA Barack Obama, que disse (tradução livre minha):

“Nós sabemos que intrusos cibernéticos sondaram nossa rede elétrica, e em outros países ataques cibernéticos fizeram cidades inteiras mergulhar na escuridão.”

Segundo a CBS, fontes militares dizem que ele se referia ao Brasil, aludindo que ataques de hackers teriam sido causa dos apagões ocorridos no país em 2005 e 2007. O jornalista afirma que os dados foram retirados de uma investigação específica sobre casos de ataques e crimes virtuais contra a infraestrutura de diversos governos. Os ataques seriam semelhantes aos sofridos nos Estados Unidos em 2009. (fonte: INFO Online).

A reportagem da CBS é cheia de sensacionalismo e tem pouco enfoque no embasamento e comprovação técnicos. Mas a notícia vem espalhando temores e sucitando teorias da conspiração, impulsionada pela esteira de sensibilização da população pelo blecaute que atingiu dez estados brasileiros — além do Paraguai — na noite de 10 de novembro.

Teoria da conspiração

Um exemplo do alarde provocado é o artigo A verdade sobre o apagão, por Maycon Maia Vitali, no Blog Hack’n Roll. Nele o rapaz de 23 anos, motivado pelo assunto, fez uma sondagem superficial na internet e encontrou uma vulnerabilidade de segurança em um sistema do Operador Nacional do Sistema Elétrico (ONS) do Brasil.

A falha no site apontada por Vitali foi corrigida na sexta-feira, três dias após o apagão que afetou 18 Estados brasileiros, conforme afirmou o diretor-geral do ONS, Hermes Chipp.

Como bem destaca o blogueiro Jomar Silva, não é porque um sistema de administração de contratos de transmissão da ONS está online que outros sistemas críticos de operação da rede elétrica estarão abertos na internet, nem tampouco supor que a falha simples encontrada pelo rapaz corrobore para comprovar que o sistema de energia elétrica do Brasil em si esteja comprometido e vulnerável a ataque de crackers.

A incursão de Vitali apenas reforça o que todo especialista em segurança da informação diz: não há segurança absoluta, não há sistema 100% seguro.

Autoridades brasileiras da ONS, Aneel (Agência Nacional de Energia Elétrica), Min. Minas e Energia e Presidência já afirmaram categoricamente que os sistemas críticos de operação e controle da rede de energia elétrica do Brasil não estão acessíveis através da Internet e descartam a possibilidade de sabotagem virtual.

Portanto, o post pode ser caracterizado como FUD — acrônimo do inglês Fear, Uncertainty and Doubt, para designar a tática de desinformação que visa desacreditar uma entidade ou fonte, incitando medo, incerteza e dúvida nas pessoas. Mas é um exemplo de como o efeito de histeria se espalha.

Relatórios de tendências

Bem mais concreto é o recente relatório de Tendências na Segurança de Aplicações Web para os dois primeiros trimestres de 2009, divulgado pela empresa Cenzic, especializada em segurança: Web Application Security Trends Report, Q1-Q2 2009, divulgado em 2009-11-09.

Publicado periodicamente desde 2007, o relatório revela que mais de 3,1 mil vulnerabilidades foram identificadas no primeiro semestre deste ano, índice 10% superior ao verificado no segundo semestre de 2008. Desse total, 78% são em aplicativos web. 87% das aplicações analisadas tinham falhas sérias que poderiam expor informações críticas ou confidenciais dos usuários durante transações (fonte: IT Web).

De acordo com a Cenzic, as vulnerabilidades SQL Injection — como a identificada por Maycon Maia Vitali na aplicação web do ONS — e Cross Site Scripting tiveram maior participação nos ataques pela web, com 25% e 17%, respectivamente.

Outro documento, o “Top Cyber Security Risks”, do SANS Institute, publicado em setembro, revela que mais de 60% dos ataques na internet focaram aplicativos web. Isto porque nos últimos anos a quantidade de vulnerabilidades identificadas em aplicações tem sido muito superior àquelas em sistemas operacionais e redes.

Segurança

No mínimo, todo esse assunto é um alerta sobre como as ameças em um mundo tecnológico e conectado vão saindo da ficção científica futurística e galgando a realidade dos dias de hoje.

Mas se há ameaças mil à solta, há também informação, produtos e serviços de sobra para as instituições, governos, empresas e pessoas poderem se instruir, preparar, prevenir, mitigar e reagir às possibilidades e incidências de vulnerabilidades e falhas de segurança em sistemas.

Para se ter uma simples ideia, já existe, há um bom tempo:

Normas, em especial a família de normas NBR ISO/IEC 27000 sobre gestão e melhores práticas em segurança da informação e gestão de riscos, e a norma (disponível gratuitamente) ISO/IEC 15408 – Common Criteria (CC) de critérios para avaliação de segurança de sistemas de tecnologia da informação (TI).
Manuais de metodologia para testes e análises de segurança, como o Open Source Security Testing Methodology Manual (OSSTMM), criado por Pete Herzog e provido pelo ISECOM, o Instituto para Segurança e Metodologias Abertas, sem fins lucrativos.
Cursos, como o brasileiro Hackers Expostos: Técnicas de intrusão em redes corporativas, ministrado por Filipe Balestra na empresa 4Linux.
Serviços, como os de análise de segurança e testes de invasão oferecidos pela empresa brasileira Módulo Security.
Informação e ferramentas aos montes, em maior parte disponível de forma pública e aberta na Internet. Um exemplo: Vinte Controles Críticos para Efetiva Cyber Defesa: Consenso de Auditoria e Guidelines, trabalho desenvolvido pela colaboração de diversos experts em segurança, atualizado pelo Center for Strategic and International Studies em 2009-08-10.

O mal existe, mas o bem também. Para dissipar presságios do caos, basta que não apenas os crackers (hackers do mal), mas principalmente as instituições e pessoas de bem se preocupem, envolvam, invistam e ajam seriamente em segurança.

Suporte ao acordo ortográfico nos programas

by Márcio

10 de novembro de 2009

0:59

1 comentário em Suporte ao acordo ortográfico nos programas

Cultura e Entretenimento, Documento e Informação, FAQ, Internet, Multimídia, Software, Tecnologia

Com o início da vigência do Acordo Ortográfico da Língua Portuguesa no Brasil em 2009, uma necessidade decorrente dos usuários de computador é o suporte a esta reforma ortográfica nos programas.

O mais importante são os revisores ortográficos e gramaticais dos editores de texto, bem como dos programas onde há campos de entrada/digitação de texto, como os clientes de e-mail e os campos de texto dos navegadores/browsers internet.

Veja a seguir quais já oferecem suporte ao Acordo Ortográfico da Língua Portuguesa.

LibreOffice/BrOffice/OpenOffice e Mozilla

O VERO – Verificador Ortográfico do projeto BrOffice.org inclui suporte ao acordo ortográfico, corretores ortográfico e gramatical e divisão de sílabas, desde a versão 2.0 já disponível em 1º de janeiro de 2009, graças ao trabalho do sergipano Raimundo Santos Moura.

Está disponível para uso com os programas do pacote de escritório LibreOffice/BrOffice.org (editor de texto, planilha, apresentações, desenho) versões 2.x em diante.

Disponível também com os programas de internet da fundação Mozilla — o navegador Firefox, o cliente de e-mail Thunderbird, a suíte Seamonkey — na forma de extensão como dicionário pt_BR para o corretor ortográfico nativo.

Baixe o VERO aqui.

Microsoft Office

O Microsoft Office 2010 já tem suporte nativo ao Acordo Ortográfico.

A Microsoft liberou em 14/10/2009 o pacote de atualização KB972854 de 30/09/2009 para o Microsoft Office 2007, provendo suporte ao Acordo Ortográfico.

A página sobre a Atualização para o Verificador Ortográfico, Dicionário de Sinônimos e Verificador Gramatical do Microsoft Office 2007 também apresenta informações adicionais sobre a reforma ortográfica e indica Artigos sobre a Reforma Ortográfica da Língua Portuguesa.

Baixe a Atualização para o Office 2007 aqui.

Como o Microsoft Office 2003 já encerrou seu ciclo de vida principal de suporte — em 14/04/2009, e entrou em suporte estendido apenas para atualizações de segurança até 2014 — a Microsoft deixou o suporte a essa versão de fora da atualização.

No Office 2007 com a atualização, observei que permanecia a autocorreção ao digitar de “linguiça” para “lingüiça” (com trema). Foi preciso eu remover manualmente: Opções do Word > Revisão de Texto > Opções de AutoCorreção > Substituir texto ao digitar > selecionar a substituição de linguiça > escolher o botão Excluir.

Para saber mais:

Acordo ortográfico no Office 2007, por Rodrigo P. Ghedin, 2009-10-14, no blog WinAjuda.
Office 2003 sem novo acordo ortográfico, 2009-10-16, no blog Windows All About.
Office 2003 está fora da atualização da reforma ortográfica, por Nando Rodrigues, PC World, 2009-10-14, em IDG Now! Brasil.
Reforma ortográfica para o seu computador, fonte: O Dia Online, 2009-02-04, em BrOffice.org.
ieSpell – Corretor ortográfico para Internet Explorer, 2009-09-11, no blog Infoescravo. ieSpell, plug-in independente gratuito para uso pessoal; a empresa brasileira Portall disponibiliza um dicionário Português, mas não é atualizado para o Acordo Ortográfico.

O fundo do poço da terceirização

by Márcio

1 de outubro de 2009

4:34

4 comentários em O fundo do poço da terceirização

Ensaios, Gestão, Software, Tecnologia

O artigo que recomendo é de 11 de setembro, mas a tragédia que ele descreve não é a das torres gêmeas.

Fala da crise na relação entre empresas e seus fornecedores de serviços de desenvolvimento e manutenção de sistemas, que nunca foi muito harmonioso, mas parece estar chegando ao fundo do poço.

Leia o artigo No Fundo do Poço, por Paulo F. Vasconcellos (*), em seu blog Finito. Estou certo que, se você é profissional de TI/software — contratante ou fornecedor — o relato ilustrativo da crônica vai soar no mínimo plausível, quiçá familiar.

Acrescento a seguir minha reflexão sobre o tema.

Terceirização de TI é um caminho de fluxo intenso nas empresas. Já foi do desenvolvimento de software ao SaaS, da consultoria em infraestrutura ao cloud computing.

As motivações mais comuns são economia — de dinheiro, tempo, ou pessoal. Já as mais nobres incluem busca por flexibilidade, eficiência e até agregar valor ao negócio. Mas os resultados concretos muitas vezes são recheados de casos de problemas, frustrações e insucessos.

Para as empresas contratantes, creio que o mais importante é perceber que terceirização não é uma válvula de escape nem eliminação de um trabalho, mas sim a troca de um modelo de trabalho — baseado em produção interna — por outro — baseado em contratação.

Se por um lado libera a empresa da execução interna de uma série de atividades que passam a ser realizados por terceiros, por outro lado cria ou intensifica outras.

A terceirização exige que a empresa invista internamente na inteligência e análise de negócios, no estreitamento das relações da TI com as áreas demandantes e suas reais necessidades — o que costuma ser sintetizado pela expressão “alinhamento estratégico” — e na gestão de projetos e contratações.

O ambiente empresarial propício da contratante ainda suscita boa padronização e maturidade dos seus processos de trabalho (pelo menos das áreas que demandam a TI). E ao lidar com fornecedor, por mais “parceiro” que este seja, deve-se sempre seguir o princípio “confiar mas vigiar”.

Se na terceirização de TI, especialmente em software, não houver a devida preocupação e investimento da empresa contratante nestes aspectos que citei, essa troca corre o sério risco de não ser vantajosa, não colher a economia, a melhoria ou o produto esperados.

(*) Paulo F. Vasconcellos é consultor e palestrante com mais de 20 anos de experiência em projetos de tecnologia da informação, pioneiro na Formação de Analistas de Negócios (FAN).

Seleção de programas gratuitos para Windows

by Márcio

19 de setembro de 2009

18:31

1 comentário em Seleção de programas gratuitos para Windows

Software, Tecnologia, Windows

Há muito tempo tenho vontade de elaborar uma Seleção de programas gratuitos ou livres para Windows que eu utilizo e recomendo.

São pouco mais de vinte programas que considero imperdíveis, em categorias como Documentos, Arquivos, Mídia, Internet e Segurança. Há também alguns utilitários mais técnicos, ou voltados para programação, ou ainda para os adeptos do Unix/Linux que por algum motivo estão “presos” ao Windows.

Pois bem, a vontade agora deu lugar à ação. No link acima, você encontra minha lista. Com o tempo, pretendo atualizá-la com mais indicações.

Espero que seja útil!

Quadrantes Mágicos BI atualizados

by Márcio

15 de setembro de 2009

12:30

Leave a comment on Quadrantes Mágicos BI atualizados

Arquitetura TI, Gestão, Oracle, Software

Ontem falei da atualização de mercado do relatório de Quadrante Mágico do Gartner para ECM/WCM.

Hoje atualizo os quadrantes mágicos para as plataformas de inteligência de negócios (business intelligence – BI), desde meu artigo com a visão geral das ferramentas e do mercado de BI em 2008.

Magic Quadrant for Business Intelligence Platforms, 2009, por James Richardson, Kurt Schlegel, Rita L. Sallam e Bill Hostmann, 2009-01-16, Gartner. Reproduzido por MicroStrategy (PDF, requer registro gratuito); Oracle (Press: Oracle Placed in Leaders Quadrant in Latest Business Intelligence Platforms Magic Quadrant, 2009-01-22; Industry Analyst Reports sobre Oracle BI).

[photopress:bi_gartner_magicq_2009.png,full,centered]

Fonte: Gartner, janeiro 2009.

Líderes: IBM (Cognos), Oracle, SAS, Microsoft, SAP (Business Objects), Information Builders, Microstrategy.

Magic Quadrant for Corporate Performance Management Suites, 2009, por Neil Chandler, Nigel Rayner, John E. Van Decker e James Holincheck, 2009-04-30, Gartner. Reproduzido por Oracle (Press: Leading Analyst Firm Positions Oracle’s Hyperion in Leaders Quadrant for Corporate Performance Management Suites, 2009-01-07; Industry Analyst Reports sobre Oracle EPM).

[photopress:bi_gartner_magicq_cpm_2009.png,full,centered]

Fonte: Gartner, abril 2009.

Líderes: Oracle (Hyperion), SAP (Business Objects), IBM (Cognos).

Notificação do Office Genuíno (OGA) chega ao Brasil

by Márcio

13 de setembro de 2009

14:44

25 comentários em Notificação do Office Genuíno (OGA) chega ao Brasil

Notícias, Segurança, Software, Windows

Depois do WGA – Windows Genuine Advantage, o esforço da Microsoft para reduzir a pirataria do Windows, chega agora ao Brasil o OGA, Office Genuine Advantage para combater a pirataria do Microsoft Office.

Como sempre, sutilmente introduzido através das Atualizações Automáticas do Windows (Windows Update), o Notificador do Programa de Vantagens do Office Original da Microsoft é um utilitário que, se o usuário aceita instalar, não oferece recurso para ser desinstalado ou desativado posteriormente.

Se detecta uma cópia não original de um programa do Office (XP, 2003 ou 2007), o Notificador OGA passa a gerar uma série insistente de notificações com mensagens de programa não original:

Na inicialização de uma cópia do Office não original, exibe uma janela de mensagem e mantém um ícone na área de notificação do Windows;
Adiciona uma barra de ferramentas aos programas do Office não original, que exibe mensagem de notificação;
Para programas do Office 2007 pirata, adiciona também uma faixa (ribbon) com mensagem de notificação.

[photopress:oga.png,full,centered]

Imagem: Reprodução do Windows Update para Notificador OGA.

Veja transcrição dos termos de uso do Notificador OGA [TXT]. Você aceita?

Expansão

Conforme anúncio do Gerente Geral Microsoft para a Iniciativa de Software Genuíno (o programa anti-pirataria da Microsoft) em final de agosto, as Notificações OGA foram primeiro veiculadas como a atualização KB949810 para usuários do Office em quatro países — Itália, Espanha, Turquia e Chile — como um pequeno programa piloto, e não trouxe muitas reclamações, exceto quando o serviço de administração corporativa do Windows WSUS (Windows Server Update Services) acidentalmente publicou o notificador como atualização crítica durante 24 horas.

Assim, a Microsoft está gradativamente expandindo o OGA para mais países. A validação e notificações de Office Genuíno está sendo agora expandida para mais 13 países, que incluem Estados Unidos, Reino Unido, Peru, Porto Rico, Brasil, Austrália, Grécia, Irlanda, Países Baixos, Finlândia, Suíça, Índia, Taiwan e outros, chegando a um total de 41 países ainda este mês.

Com a expansão do programa, já há relatos de casos de incômodos ou problemas, principalmente em redes corporativas, de usuários legítimos de cópias originais do Office. Por isso, alguns especialistas recomendam que a instalação não seja feita e/ou que administradores de redes corporativas desabilitem a distribuição e instalação do OGA através do WSUS.

OpenOffice / BrOffice.org

Quem tiver uma cópia ilegítima (não original, pirata) do Microsoft Office, e quiser evitar todo esse incômodo, não perca mais tempo e faça como eu já fiz há muito tempo: adote o BrOffice.org (OpenOffice em português do Brasil) 3.1.1.

Gratuito, livre (software de código aberto e de livre distribuição) e cada vez mais completo e bem acabado, o OpenOffice/BrOffice.org inclui editores de documentos texto, planilhas, apresentações e bases de dados, e ainda um bom programa editor de desenhos e ilustrações (estilo CorelDraw) e um editor de fórmulas matemáticas e científicas.

O OpenOffice é totalmente compatível com os formatos de documento do Microsoft Office (Word, Excel, PowerPoint), inclusive os novos formatos do Office 2007. Mas oferece seu próprio formato nativo de documentos OpenDocument (ODF) que é completo e compacto, além de ser um padrão conciso e realmente aberto, norma internacional ISO. O OpenOffice ainda exporta nativamente documentos para o formato PDF.

O editor de textos (Writer) e de planilhas (Calc) do BrOffice são muito completos e robustos, oferecendo todos os recursos dos simples aos mais avançados encontrados no Word e no Excel.

O editor de apresentações (Impress) ainda não é tão inteligente como as facilidades de formatação automática do PowerPoint, mas atende bem e, espero, tende a melhorar ainda mais no futuro. Quanto ao banco de dados (Base), confesso que ainda não utilizo e por isso não tenho como opinar.

O único recurso que, creio, ainda pode melhorar compatibilidade é a linguagem de macros. O OpenOffice/BrOffice.org possui o recurso de macros, que podem ser programadas em BROffice Basic, Python, JavaScript ou BeanShell, mas a compatibilidade com o VBA (Visual Basic for Applications) do Microsoft Office ainda não é plena, principalmente porque esta última está intimamente integrada à própria API do Windows, o que obviamente traz dificuldades para programas independentes e multiplataforma como o OpenOffice.

Para quem não abre mão do Microsoft Office de jeito nenhum, saiba que você consegue comprar o Office Home and Student 2007 (Word, Excel, PowerPoint) com licença para instalar em três computadores por aproximadamente 150 reais. Nos Estados Unidos essa edição custa perto de 88 dólares.

Convenhamos, 50 reais por cópia doméstica instalada não serve mais de desculpa para pirataria, para aqueles radicais que ainda se remetem aos tempos em que ter um Microsoft Office original em casa custava quase mil reais. Já nas empresas, onde a licença Home Student não serve, o caminho econômico viável é o BrOffice.org mesmo.

Para saber mais

Artigo da Base de Conhecimento Microsoft nº KB949810: Descrição do aplicativo Office Genuine Advantage Notifications (tradução automática, original em inglês).
Office Team Steps Up Efforts to Protect Customers from Pirated Software (em inglês), por Keith Beeman, General Manager, Microsoft Genuine Software Initiative, 2009-08-25, no blog Microsoft On The Issues.
Disable “Get Genuine Office”, Microsoft Nagging OGA (KB949810) (em inglês), em Squidoo.
Office Genuine Advantage Notifications (OGA KB949810) v2.0.48.0 Released To More Markets (em inglês), no blog My Digital Life, 2009-08-27.
Office Genuine Advantage, verbete na Wikipedia em inglês.

Segurança das aplicações web

by Márcio

10 de setembro de 2009

19:46

1 comentário em Segurança das aplicações web

Arquitetura TI, Ensaios, FAQ, Segurança, Software, Tecnologia

[Atualizado em 2011-08-21, com referências do OWASP.]

Depois do incidente de segurança envolvendo o portal da operadora Vivo que abordei ontem, um artigo de hoje da IT Web tem tudo a ver: 5 lições de segurança, por Greg Shipley, Tyler Allison e Tom Wabiszczewicz, da empresa Neohapsis especializada em GRC (GRC em inglês), para InformationWeek EUA, 10/09/2009.

No artigo, os especialistas quebram o silêncio típico do mundo corporativo sobre segurança e trazem uma síntese de sua experiência em observação direta das brechas de segurança do mundo real onde realizaram investigações forenses, para ajudar as empresas a entender como essas brechas acontecem e o que se pode fazer sobre elas.

Eles ressaltam: “Após centenas de casos, podemos afirmar, sem sombra de dúvidas, que os ataques estão mais sofisticados do que nunca. Com agilidade, eles exploram controles de segurança falhos e práticas operacionais negligentes e, munidos com ferramentas comuns para gerenciamento de rede, adaptam malwares. Táticas e tecnologias de segurança da informação também progrediram, mas não no mesmo ritmo.”

O mais admirável é que os recursos para mitigar as brechas de segurança são métodos razoáveis e bem conhecidos. O que é preciso é um esforço para que esses métodos sejam implementados e continuamente praticados de forma mais ampla e efetiva pelas corporações.

Problema – vulnerabilidades e ameaças nas aplicações

O Website de uma empresa geralmente serve como porta de entrada para os ataques. Aplicativos web são a porta preferida dos invasores.

Isso porque equipes de TI em geral investem apenas em segurança do perímetro e do tráfego da rede, incluindo proteções clássicas como firewall, antivírus, antispam, IDS/IPS, SSH, HTTPS e VPN. E mesmo nestes casos, não fazem um monitoramento proativo e contínuo, nem tem um plano de resposta a incidentes consistente e efetivo. Por outro lado, mantém sistemas desatualizados e ignoram aplicativos falhos que podem, facilmente, ser explorados.

Códigos de software com pouca ou nenhuma preocupação com segurança desde sua concepção — o que passa inclusive pela escolha de tecnologias que já englobem conceitos e mecanismos nativos de segurança, robustez e proteção — escancaram brechas de segurança por todos os pontos das aplicações.

Nas aplicações corporativas internas, as maiores preocupações costumam ser com vazamento de informações e com uso e permissões indevidos — até mesmo maliciosos, no caso de colaboradores insatisfeitos ou despreparados, negligentes, imprudentes.

Mas quando as aplicações são externas, especialmente em portais, sítios e serviços web abertos à Internet, o universo de ameaças subitamente se expande para o mundo todo, para qualquer pessoa no planeta com acesso internet, algum tempo disponível e intenções que podem ir da curiosidade inconsequente ao crime.

Aplicações sem segurança tipicamente expõem vulnerabilidades amplamente conhecidas — do conhecimento de qualquer hacker de plantão — e graves como:

Autenticação vulnerável, com usuários e senhas fracas, pouco ou nenhum controle a tentativas de acesso “força bruta” etc.
Baixa granularidade de permissões, de forma que um vez acessado com usuário legítimo muitas vezes se permite acessar alguns serviços ou situações que não seriam efetivamente necessárias ou mesmo devidos àquele usuário.
Ausência de validação, consistência e crítica de dados no lado servidor, quando um usuário está com JavaScript desativado ou defeituoso no lado cliente.
Ausência de validação de condições limite nos tipos, formatos, valores e tamanhos recebidos em dados ou parâmetros fornecidos pelo usuário, permitindo ataques como Estouro de buffer e de pilha, Corrupção de memória, Negação de serviço (DoS).
Ausência ou insuficiência de tratamento robusto, inteligente e proativo de exceções na aplicação. Muitas vezes a maior parte das inúmeras situações de erro ou exceção possíveis são esquecidas, descartadas ou subestimadas pelos programadores.
Ausência de mecanismos de rastreabilidade e auditoria, como gravação de registros de log/históricos de acessos e ações do usuário e do próprio sistema.
Mecanismos de proteção (integridade e privacidade) de dados com criptografia ausentes, simplórios/precários, ou mal implementados.
Não evitar Injeção de código, Injeção de SQL, Injeção de HTML e Cross site scripting (XSS) nas entradas de dados e parâmetros fornecidos pelo cliente/usuário.
Utilizar ou permitir a Inclusão de arquivos locais (ou remotos).

A lista de possibilidades comuns poderia se estender. Mas por aí já se percebe que boa parte das aplicações na web são “queijos suíços” em potencial, em se tratando de abundância de furos de segurança.

Solução – informação e ferramentas desde o início

Ao abordarem que se deve levar segurança de TI a sério, os peritos apontam o caminho: “A melhor defesa de uma empresa é a integração da segurança no ciclo de vida de desenvolvimento de aplicativos. A criação de códigos com poucas falhas de segurança oferece um retorno maior do que se tentar reparar aplicativos em uso.”

A organização internacional Web Application Security Consortium (WASC) reúne um grupo de especialistas e praticantes de segurança e representantes de comunidades de código aberto, voltada para intercâmbio de idéias e organização e promoção de melhores práticas, em segurança de aplicação na World Wide Web. WASC consistentemente lança informação técnica, artigos, guidelines de segurança e outras documentações úteis sobre segurança de aplicações web.

Entre o material da WASC, destaco uma compilação com descrição de mais de 50 ameaças e vulnerabilidades em aplicações web, o Glossário de Segurança Web e o padrão de referência para avaliação de vulnerabilidades de aplicações web, Web Application Security Scanner Evaluation Criteria (WASSEC). O material é aberto, público e gratuito (em inglês).

Outra entidade dedicada a promover a melhoria da segurança em aplicações de software é a comunidade internacional Open Web Application Security Project (OWASP). Todas as ferramentas, documentação, fóruns e capítulos criados e mantidos pelo OWASP são livres, abertos e isentos.

Entre os projetos e material de referência mantidos pelo OWASP, destacam-se: Enterprise Security API (ESAPI), Development Guide, Ruby on Rails Security Guide, Secure Coding Practices – Quick Reference Guide, Application Security Verification Standard (ASVS), Code Review Guide, Testing Guide, OWASP Top Ten, AppSec FAQ Project, How To’s and Cheat Sheets, Software Assurance Maturity Model (SAMM), Comprehensive, Lightweight Application Security Process (CLASP).

Para a varredura e análise de vulnerabilidades em aplicações existem ferramentas para auxiliar e prover alguma automação e agilidade nos trabalhos. Há desde softwares livres como o Wapiti – Web application vulnerability scanner / security auditor e o OWASP Zed Attack Proxy, até produtos comerciais como IBM Rational AppScan e HP WebInspect / Application Security (veja também Web Application Scanners Comparison).

Também o padrão internacional ISO/IEC 15408: Information technology — Security techniques — Evaluation criteria for IT security é um conjunto de normas disponíveis gratuitamente.

O padrão ISO 15408 é baseado no Common Criteria for Information Technology Security Evaluation / Critérios Comuns para Avaliação de Segurança de Tecnologia da Informação (abreviado como Common Criteria ou CC). Este, por sua vez, é originado dos padrões para critérios de avaliação de segurança do Departamento de Defesa dos Estados Unidos (TSEC), Canadá (CTCSEC) e Europa (ITSEC, França, Alemanha, Países Baixos e Reino Unido).

CC é um framework padronizado de critérios para especificação, implementação e avaliação de requisitos e propriedades de segurança em sistemas de informação e produtos de TI. O rigor da avaliação é medido em sete níveis, Evaluation Assurance Level, EAL1 a EAL7. Cada EAL consiste em um pacote ou conjunto de requisitos de segurança, denominados Security Assurance Requirements (SARs).

Até eu dou modestas contribuições de informação sobre boas práticas que podem garantir um código de aplicação mais segura, nos artigos: Eficiência e segurança com SQL parametrizado e Senhas armazenadas com segurança.

Não faltam informação e recursos livremente disponíveis, em abundância e muitas delas de alta qualidade e fácil utilização, para que as empresas e instituições comecem a praticar e adotar a construção de aplicações seguras.

Essa preocupação é especialmente crítica na web, que cada vez mais se apresenta como um veículo de serviços e aplicações em larga escala e abrangência.

Empresas do meu Brasil (e do mundo!), cuidem seriamente da segurança de suas aplicações e serviços, especialmente na internet!

Para saber mais:

Referências sobre Segurança Digital e Privacidade, incluindo Informação sobre segurança, Entidades e centros, Criptografia, Infraestrutura de chaves públicas (ICP), Malware, Segurança de e-mail, Firewall, Prevenção e detecção de intrusos, Padrões, Protocolos e aplicações, Privacidade, Bibliografia e outros tópicos relacionados.