Blog do Márcio d'Ávila

Tweet

Quantas pessoas você conhece com cem anos de idade? Se essa meta de longevidade já é um desafio para o homem, mais ainda o é para empresas. Os números revelam o quanto isso é raro. Segundo análise da Standard & Poor’s Capital IQ para o noticiário USA TODAY, de um universo de mais de 5 mil empresas de capital aberto dos Estados Unidos, apenas 488 completaram 100 anos de idade, e somente 23 firmas americanas privadas (com declaração financeira auditada) tem 100 anos ou mais.

E é nesse raro universo que a IBM — International Business Machine — completou 100 anos de existência em 16 de junho de 2011.

Mais impressionante ainda é chegar ao centenário inteiríssima, com um valor de mercado de US$197 bi, o que faz da IBM atualmente a quinta empresa mais valiosa dos EUA — pouco atrás de Microsoft e bem à frente da Google (Financial Times US 500) –, e a 18ª no ranking anual Fortune 500 das maiores corporações da América para 2011 — a primeira no ramo de Tecnologia da Informação.

Quando se fala em tecnologia, a invenção do computador pessoal — ou Personal Computer, o famoso PC — pela IBM em 1981 já parece um passado remoto. Ter em 1913 sua máquina de tabulação Holerith em aplicação industrial, então, isso sim é história da tecnologia. E em 1917 a IBM chega ao Brasil, sendo a primeira filial fora dos Estados Unidos!

O senhor Thomas J. Watson assumiu a presidência da empresa em 1915. Em 1924, renomeou a empresa, de Computing Tabulating Recording Corporation (CTR) para International Business Machines (IBM). Seu lema sempre foi “THINK” (pense). A crença do senhor Watson é simples e profunda:

“Todos os problemas do mundo podem ser facilmente resolvidos, se as pessoas estiverem dispostas a PENSAR”.

Isso e muito mais está no vídeo IBM 100 × 100 (13 minutos), que pode ser visto legendado em português, em que 100 IBMers — com idades em ordem decrescente — contam fatos marcantes da empresa ocorridos no ano em que nasceram:

Fonte: IBM 100:100 x 100 — Um centenário de conquistas que mudaram o mundo (legendado em português), IBM Brasil em Youtube.

Em 100 anos de existência, a IBM soube evoluir não apenas a tecnologia mundial, mas o perfil da própria empresa, que passou pelas máquinas automáticas, grandes computadores, computadores pessoais e software, e hoje continua com produtos líderes de mercado, em famílias de software como Rational, WebSphere, Cognos, Tivoli, Lotus e FileNet, além de sistemas, servidores e storages de grande porte.

Parabéns IBM!

Para saber mais:

• IBM 100 Anos – Dos cartões perfurados da CTR ao Supercomputador Watson, por WebDig, 2011-06-18. É desta fonte o crédito da imagem no início do artigo.
• IBM joins elite group of 100-year-old companies (em inglês), por Matt Krantz e Jon Swartz, USA TODAY, 2011-06-16.
• Centenário IBM, press kit da IBM Brasil.
• IBM100.com (em inglês), portal oficial da IBM Global para seu centenário.
• IBM celebra centenário de inovações, press release da IBM Brasil, 2011-03-10.
• A IBM centenária, por F. Penim Redondo, 2011-03-03, em IBMemória.
• IBM’s Centennial (em inglês), por Irving Wladawsky-Berger (executivo da IBM aposentado após 37 anos de empresa, hoje consultor), 2011-06-13, em seu blog.

Tweet

Tweet

Lendo o artigo CHAOS Report: Métodos Ágeis Aumentam Taxa de Sucesso de Projetos, postado no Blog ScrumHalf em 11/02/2011, obtive os dados do mais recente relatório do Standish Group CHAOS Manifesto 2011, atualizado para dados sobre o sucesso e falha de projetos de TI da pesquisa realizada em 2010.

Em comparação com o relatório CHAOS Manifesto 20010, relatando a pesquisa realizada em 2008, a taxa de projetos rotulados como Sucesso aumentou de 32% para 37% enquanto a taxa de projetos rotulados como Fracasso diminuiu de 24% para 21%. A taxa de projetos com o rótulo de Deficit também decresceu de 44% para 42%.

A taxa de sucesso de 37% é a maior encontrada pelas pesquisas do Standish Group desde 1994.

Segundo o artigo, o Standish Group aponta quatro razões para a melhoria significativa encontrada em 2010 em relação a 2008:

1. Processos Ágeis: A utilização desses processos cresce a uma taxa de 22% CAGR (Compound annual growth rate). Hoje representam 9% de todos os projetos de TI e são adotados em 29% do desenvolvimento de novas aplicações. O instituto conclui que o crescimento da taxa de sucesso está diretamente relacionado ao aumento da adoção de metodologias ágeis.
2. Modernização: Esses projetos, que entre outros focam na conversão de código/banco de dados, tem taxa de crescimento anual menor do que a dos processo ágeis. Entretanto tem taxa de projetos rotulados como sucesso maior. O instituto conclui que isso acontece devido ao mecanicismo desses processos e de um ambiente relativamente mais homogêneo de perfil de profissionais.
3. Pacotes Empresariais: O número de novos projetos de implantação de ERP e CRM diminuiu. Como, segundo o instituto, consistem em projetos de grande risco com resultados questionados, a diminuição de novas implantações contribuiu para aumentar a taxa de projetos rotulados como sucesso.
4. Processos em Cascata: Consistem nos métodos tradicionais e já representaram quase 50% do número de novas implementações. Como crescem a 1% CAGR, sua utilização relativa diminuiu, contribuindo, assim, positivamente para a taxa de sucesso.

Estes dados me permitem autalizar o gráfico do artigo Sucessos e falhas em projetos de TI, postado exatamente um ano atrás. Agora ele fica assim:

No campo da Modernização, o Standish Group disponibiliza, na área de Amostra de Pesquisas (requer registro gratuito), o relatório NonStop Modernization (abril 2011) em que lista as prioridades de investimento em TI para 2011, The Standish Group’s annual Top 10 Areas of IT Investiments:

1. Modernização de aplicações (SOA, BPM, etc.)
2. Upgrade de infraestrutura (hardware, software)
3. Melhoria da segurança
4. Coud computing (SaaS, Utility Computing)
5. Desenvolvimento de novas aplicações
6. Capacitação da equipe
7. Disponibilidade de aplicações e sistemas
8. Conformidade e governança
9. Consolidação e otimização
10. Presença web e comércio eletrônico

E destaca os Três Conceitos e Seis Passos para a Modernização Contínua:

Conceitos:

1. Compreender seu projeto de modernização e o ambiente deste: a organização deve dominar o projeto de evolução que vai executar, compreender seus custos, riscos e benefícios, as diferentes opções e suas implicações, e deve ter um plano claro para seguir e guiar sua condução.
2. Refatorar: Standish Group estima que cerca de 80% dos recursos e funcionalidades de uma típica aplicação missão-crítica não são usados; deve-se, portanto, remover as partes não utilizadas antes de se migrar programas, evitando esforço inútil.
3. Modernizar a infraestrutura: atualizar hardware defasado e proprietário para sistemas blade comuns, aumentando a consolidação e trazendo mais simplicidade e flexibilidade.

Passos:

1. Modernize o banco de dados
2. Modernize a experiência do usuário
3. Modernize a aplicação
4. Modernize a disponibilidade
5. Modernize a segurança
6. Modernize a operação

Quanto aos processos ágeis, é interessante citar que o Manifesto Ágil completou 10 anos em 2011. Para abordar os desafios encarados por desenvolvedores de software, um grupo inicial de 17 metodologistas formou a Agile Alliance, em fevereiro de 2001. Este grupo formulou um manifesto para encorajar melhores maneiras de se desenvolver software, e baseado nesse manifesto definiu quatro valores e doze princípios que formam os fundamentos do movimento ágil.

Os quatro Valores do Manifesto Ágil:

• Indivíduos e interações acima de processos e ferramentas;
• Software funcionando acima de documentação abrangente;
• Colaboração com o cliente acima de negociação de contrato;
• Responder a mudança acima de seguir um plano.

Dentre as metodologias ágeis, o Scrum é um processo de desenvolvimento iterativo e incremental para gerenciamento de projetos e desenvolvimento ágil de software.

Para saber mais sobre o manifesto ágil e scrum:

• Agile Software Development Alliance (Agile Alliance).
• Manifesto for Agile Software Development (em inglês) e Manifesto para Desenvolvimento Ágil de Software (em português); veja também os Princípios por trás do Manifesto Ágil.
• Examining the Agile Manifesto, por Scott W. Ambler.
• Desenvolvimento ágil de software (em português) e Agile Software development (em inglês), verbetes na Wikipédia, a enciclopédia livre.
• Agile Manifesto 10th Anniversary series (em inglês), artigos publicados por InfoQ.
• Scrum Alliance.
• Scrum (em português) e Scrum (development) (em inglês), verbetes na Wikipédia, a enciclopédia livre.
• Scrum em 2 minutos, por Ivan Sanchez, 2007-02-07, no blog Coding Dojo Floripa – Desenvolvimento Ágil.
• Scrum: metodologia ágil para gestão e planejamento de projetos, em Improve It.

Aproveitando o assunto de projetos, também atualizei meu artigo introdutório PMBOK e Gerenciamento de Projetos, um dos mais acessados e citados do meu site, refinando as seções sobre o gerente de projetos e suas habilidades interpessoais, e também aquela sobre a instituição IPMA com sua filosofia e certificações.

Para saber mais:

• Chaos report: Como esta a TI no mundo?, por Washington Souza, 2010-08-09, Blog CMMI.

Tweet

Tweet

Enquanto eu atualizava as versões de software no artigo PDF Livre com (ou sem) o Ghostscript (revisão 21), descobri dois problemas de compatibilidade.

Por sorte, ambos são contornáveis, conforme explico a seguir.

Aceleração por hardware no Firefox 4

Um comentário sobre o anúncio do PDFCreator 1.2.1, no Blog da PDFForge, explica um problema na aceleração por hardware do navegador web Mozilla Firefox 4 que afeta as impressoras virtuais PDF.

Sintomas facilmente perceptíveis são que o arquivo PDF gerado fica bem maior e o texto não fica editável.

De fato, este problema está confirmado no site de suporte do Mozilla Firefox. Eu também o constatei, no Firefox 4.0.1 com as impressoras virtuais PDF (doPDF, PDFCreator, FreePDF etc.).

Para solucionar o problema, desative a aceleração por hardware no Firefox 4, que vem ativada por padrão:

1. Menu Firefox > Opções.
2. Painel “Avançado”.
3. Aba “Geral”.
4. No grupo “Navegação”, desmarque a opção “Quando disponível, usar aceleração por hardware”.
5. Dê “OK”.
6. Reinicie o Firefox.

Este problema foi documentado em um novo tópico 4.1 do artigo.

Detecção do Ghostscript 64 bits no FreePDF

Esta revisão 21 do artigo também foi atualizada com um novo tópico 3.1 sobre a detecção e configuração do executável coreto do Ghostscript 64 bits no FreePDF.

Em meu computador com apenas o Ghostscript 9.02 64-bits instalado, o FreePDF detectou incorretamente a DLL C:\Program Files\gs\gs9.02\bin\gsdll64c.dll, ao invés do executável C:\Program Files\gs\gs9.02\bin\gswin64c.exe. Tive que configurar manualmente o executável correto, nas opções do programa.

Para verificar e corrigir o caminho do Ghostscript, siga os seguintes passos:

1. Execute o programa FreePDF, pelo menu iniciar do Windows.
2. Escolha o menu Editar & Opções.
3. Escolha a opção (em forma de link) “Run Admin Config”.
4. Em “Localização das pastas”, verifique o que está preenchido em “Caminho do Ghostscript”.
5. Para Ghostscript 64 bits versão 9.02, o caminho do executável correto deve ser
   C:\Program Files\gs\gs9.02\bin\gswin64c.exe. Para o Ghostscript
   32 bits, o executável deve ser gswin32c.exe.
6. Acione o botão “Salvar” e, em seguida, feche a janela de opções e o programa.

Este problema de detecção não ocorreu com o Ghostscript 32 bits, com o qual o FreePDF detecta corretamente o executável gswin32c.exe.

Por fim, a revisão do artigo contempla o lançamento do Ghostscript 9.02, doPDF 7.2.367 e PDFCreator 1.2.1, atualizando os links de download do Ghostscript e numeração, datas de lançamento e tamanhos das novas versões de impressora PDF.

Tweet

Tweet

Recentemente recebi divulgação do novo ambiente de desenvolvimento MyEclipse G, uma lançamento da Genuitec (produtora do MyEclipse) e Skyway Software que reúne ferramentas de desenvolvimento essenciais para as plataformas, frameworks e serviços de aplicações da Google.

Fonte: MyEclipse G.

Observando a descrição do produto, pude refletir sobre a imensidão da abrangência de tecnologias que o Google tem disponibilizado, em pelo menos três grandes frentes:

• Desenvolvimento de aplicações web: Frameworks como o Google Web Toolkit (GWT) (a home-page em português parece desatualizada, falando do GWT 1.7, enquanto a em inglês já destaca o GWT 2.3 mais recente) e Google Guice. O projeto GWT, além de ampla documentação, oferece para download: GWT SDK, com as bibliotecas essenciais e compilador que você precisa para escrever aplicações web; o Google Plugin for Eclipse que inclui no IDE Eclipse suporte para projetos GWT e GAE, além de uma versão simplificada do GWT Designer; Speed Tracer, uma extensão para o navegador Google Chrome que permite pontuar problemas de desempenho em aplicações web; e o GWT Designer standalone (full), um ambiente de desenho de Java GUI poderoso e bidirecional para criação visual de interfaces de usuário, assisência de layout e geração automática de código GWT.
   
• Infraestrutura para execução de aplicações web: Google App Engine (GAE) permite que você execute seus aplicativos da web na infraestrutura do Google.
   
• Plataforma para dispositivos móveis: Android: camada de software para celulares e tablets que inclui um sistema operacional, middleware e aplicações. O Android SDK, disponível no portal Android Developers, provê ferramentas e APIs necessárias para se iniciar o desenvolvimento de aplicações para a plataforma Android usando a linguagem de programação Java. Há também o Android Development Tools (ADT) Plugin for Eclipse IDE. As muitas milhares de aplicações disponíveis para Android, boa parte delas gratuitas, ficam disponíveis no Android Market (assim como o iPhone tem o Apple Store).

Isso fora o navegador web Google Chrome (dica: para obter o instaldor offline standalone, acrescente o parâmetro &standalone=1 na página de download) e o sistema operacional Google Chrome OS, baseado no sistema operacional Linux e totalmente voltado para Internet (Já ouviu falar no Chromebook?). Ambos são desenvolvidos através do projeto de software livre Chromium.

Todas as ferramentas oferecem ampla documentação. O Google ainda aproveita seus canais de mídia para divulgar informação, como os blogs no Blogger — GWT blog, GAE blog, Google Mobile blog, Official Google Blog, blog oficial Google Brasil — e o canal Google Developers de vídeos no Youtube. E ainda realiza o grande evento anual Google I/O.

Mesmo com a Microsoft tendo comprando a Skype em seu maior acordo de aquisição, por US$ 8,5 bi em maio último, estou achando que agora é a vez da Google “dominar o mundo” do software na era da Internet.

Tweet

Tweet

Enquanto aqui no Brasil o design arredondado e sem antena dos roteadores Linksys (by Cisco) ainda me parece o máximo…

Fonte: Linksys by Cisco – Roteadores sem fio, LATAM/Brasil.

… Lá nos EUA, a nova linha E-Series da Linksys deixa o nosso topo de linha WRT160N no chinelo.

Fonte: Cisco Linksys E-Series Specs, USA.

Com design ultra liso e arrojado, os modelos topo de linha contam com dual band simultânea atingindo velocidades até 300+300 Mbps (E2500 e E3200) e 300+450 Mbps (E4200), compatibilidade com o padrão “a” (dispositivos Wireless-n/b/g/a), portos ethernet Gigabit (ao invés dos tradicionais 10/100) para cabos de rede, entrada para disco (storage) USB, e facilidades super legais como Parental Control (Controle dos Pais) — bloqueio de acesso para domínios e horários do dia direto no roteador — e Guest Access (Acesso de Visitantes) — uma rede sem fio separada para visitantes, evitando que você tenha que fornecer a senha da sua rede sem fio principal.

Nos EUA, a linha de entrada Valet ainda tem o design dos nossos, só que ao invés de preto são nas cores azul e prata. Mas já incluem os recursos de Parental Control e Guest Access. E o Valet Plus (M20) tem inclusive Gigabit ethernet. O “charme” da linha Valet é o utilitário configurador que vem em um dispositivo USB, ao invés de um CD.

Quando é que isso chega ao Brasil, hein?

Tweet

Tweet

Já falei aqui no blog dezeneas de vezes que as ameaças e a preocupação com segurança digital na internet são tão importantes quanto quando se vive em qualquer grande cidade do Brasil ou do mundo — e em maior escala. A internet apresenta riscos para inocentes, ingênuos e desinformados: tanto crianças quanto adultos despreparados.

Na internet, como na vida, existem perigos: boatos, trotes, mentiras, engodos, fraudes, ataques, crimes.

Mas não é por isso que devemos deixar de lado todo o potencial de benefícios do mundo de informações e serviços que a internet também nos propicia na comodidade do computador.

A chave de tudo é informação sobre segurança digital. E, felizmente, isso também é o que não falta, livremente disponível na própria internet, inclusive em bom português.

A maior parte desses recursos tem linguagem acessível a qualquer pessoa, em geral na forma de cartilhas didáticas. Outros são relatórios e informativos mais técnicos, como pesquisas sobre segurança que servem para pautar as diretrizes e ações de profissionais e equipes de tecnologia. Faço aqui uma coletânea de algumas das principais fontes de informação disponíveis.

Cartilhas

• Cartilha de Segurança para Internet do CERT.br – Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil.
• Cartilhas da FECOMERCIO – Federação do Comércio do Estado de São Paulo, por Renato Opice Blum, Conselho Superior de Tecnologia da Informação:
  • Perigos da internet: como os pais podem proteger seus filhos – cartilha-ti-kids.pdf [PDF], novembro 2008.
  • Cuidados com a Internet: Crimes Virtuais – cartilha-crimes-virtuais-baixa.pdf [PDF], setembro 2008.
  • Monitoramento Eletrônico: Sugestões para controle de e-mails e recursos tecnológicos – arquivo_cartilha_01.pdf [PDF], setembro 2005.
  • Internet: como usar a web para projetar a imagem da sua empresa e ampliar negócios – como_usar_a_web.pdf [PDF], novembro 1999.
• Computador, use-o com mais segurança, cartilha de prevenção a crimes tecnológicos, por Polícia Civil do Distrito Federal, Departamento de Atividades Especiais, DICAT – Divisão de Repressão aos Crimes de Alta Tecnologia.
• Cartilha Navegar com Segurança (PDF). Navegar com Segurança: Protegendo seus filhos da pedofilia e da pornografia infanto-juvenil na Internet. Por Ministério Público do Estado de Minas Gerais, Promotoria Estadual de Combate aos Crimes Cibernéticos, novembro 2008.
• Terra – Cartilha de Segurança para Internet.

Relatórios e Pesquisas

• Ernest & Young – Pesquisa Pesquisa Global sobre Segurança da Informação, em Ernest & Young Terco – Análises – Pesquisas, realizada pela Ernst & Young com executivos de 1,3 mil empresas, órgãos governamentais e entidades sem fins lucrativos em 55 países.
• Global state of information security survey, pesquisa mundial por CIO Magazine, CSO Magazine e PricewaterhouseCoopers (PwC).
• Relatório de Ameaças à Segurança na Internet, relatório anual por Symantec Empresas – Pesquisa e análise da segurança.
• Pesquisas e Relatórios McAfee, incluindo o Relatório de criminologia virtual, relatórios periódicos sobre ameaças e spam, entre outros.

Para saber mais:

• Referências sobre Segurança Digital, ver Informação e Notícias em Português.
• Referências sobre Vírus, ver Centros de Informação por Produtores de Antivírus.
• Phishing Scam – A fraude inunda o correio eletrônico, por Márcio d’Ávila, 2004 a 2010.
• O vírus mais ativo da Internet, por Márcio d’Ávila, 2004.

Pronto. Agora você não tem desculpa que tem medo da internet por falta de informação. Boas leituras!

Tweet

Tweet

O instituto Gartner atualizou recentemente seu relatório “MarketScope for Ajax Technologies and RIA Platforms”. Aproveito para apresentar o resumo dessas tendências e alguns diagramas explicativos e estatísticas sobre Ajax e RIA.

Introdução

A técnica de interação e troca de dados assíncrona entre o cliente e o servidor web, identificada pelo acrônimo Ajax — Asynchronous Javascript And XML –, termo introduzido pela Adaptive Path em 2005, se populariza cada vez mais nas aplicações web e tem contribuído significativamente para melhorar a interatividade e experiência do usuário, oferecendo respostas imediatas à interação do usuário.

Vão se multiplicando as alternativas de bibliotecas e frameworks para desenvolvimento de aplicações web com suporte a Ajax, visando tornar o uso da técnica mais fácil, organizado e produtivo na construção de aplicações, de forma cada vez mais transparente, integrada e sistematizada.

Também têm se popularizado o uso de plataformas tecnológicas para web visando RIA — Rich Internet Applications –, termo introduzido pela Macromedia (Adobe) em 2002, que significa uma interface com usuário web mais rica — em componentes e comportamentos — e responsiva (resposta imediata, sensível ao contexto), similar a aplicações desktop.

As plataformas RIA podem ter como base um runtime específico, incorporado ao navegador web cliente através de plug-ins, ou se beneficiar do avanço da sofisticação das técnicas e componentes nativos baseados em Ajax.

O diagrama de blocos a seguir correlaciona esquematicamente RIA, Ajax e DHTML.

Créditos: Márcio d’Ávila, 2008-2011.

RIA

Enquanto as aplicações gráficas Cliente/Servidor trouxeram riqueza à experiência de usuário que não havia no ambiente mainframe, plataformas RIA fazem o mesmo em relação às aplicações web primitivas.

Créditos: Uday M. Shankar, Adobe Flex – an introduction, mar/2008 (em Slideshare).

Segundo estatísticas do site Stat Owl, levando em consideração os diversos sistemas operacionais e navegadores web existentes, em setembro de 2008 o suporte runtime instalado para Adobe Flash já era 97,48% (verdadeiro padrão de facto), Java 81,37% e Microsoft Silverlight apenas 17,64%. Em abril de 2011, estas mesmas plataformas evoluiram para percentuais de penetração 95,65%, 77,31% e 63,92% respectivamente.

Percebe-se, portanto, uma notável expansão do suporte à tecnologia RIA da Microsoft no período medido, enquanto o pequeno decréscimo de Flash pode ser explicado pela ausência de suporte ainda existente em alguns ambientes operacionais de dispositivos móveis que vem se popularizando, como Apple iOS (iPhone e iPad).

Fonte: Stat Owl, Rich Internet Application Market Share – RIA Market Penetration and Global Usage comparing Adobe Flash, Microsoft SilverLight and Java, set/2008 a abr/2011.

2009

Em 2009, o mercado ainda estava incipiente e muitos produtos foram considerados pelo Gartner em tecnologias Ajax e plataformas RIA, dez deles classificados com tendência positiva ou muito positiva.

Fonte: MarketScope for Ajax Technologies and RIA Platforms, Gartner, por Ray Valdes e outros, 2009-12-31, reproduzido por Adobe (PDF).

2011

Atualizando a pesquisa em 2011, o mercado ainda se mostra em evolução, com oito produtos apontados como tendência positiva ou muito positiva.

Comparando com 2009, Adobe Flash e Microsoft Silverlight tiveram sua tendência refreada (Positivo), enquanto a versátil biblioteca livre JavaScript jQuery obteve maior evidêcia (Muito Positivo).

Saíram da lista Magic Software uniPaaS e MB Tech Bindows; Ext JS se tornou Sencha, enquanto Sun foi incorporada à Oracle; e entram agora Canoo Engineering RIA Suite (UltraLightClient framework baseado em Java EE) e Vaadin (framework RIA Java baseado em GWT widgets e extensa coleção de componentes UI).

Fonte: MarketScope for Ajax Technologies and RIA Platforms, Gartner, por Ray Valdes e outros, 2011-03-31, reproduzido por Microsoft.

Conclusão

Tecnologias RIA e Ajax têm se tornado cada vez mais difundidas e maduras.

Podemos inferir, pela evolução do Gartner MarketScope, que plataformas RIA com componentes ricos nativos (Ajax e DHTML) — boa parte delas baseadas em frameworks livres e Java server/EE) — tem ganhado força, em detrimento daquelas baseadas em runtime próprio.

É provável que o emergente padrão HTML 5, quando se estabelecer, reforce ainda mais esse movimento.

Para saber mais:

• Market share de navegadores web, 2010-08-02.
• Tecnologias RIA, 2010-06-22.
• Aplicações Internet Ricas e Acessíveis, 2010-04-07.
• JavaScript news: biblioteca PHP.js e desempenho no Firefox 3, 2008-03-01, atualizado em 2008-03-15.
• Coletânea de referências JavaScript Ajax, 2007-06-09, atualizado em 2007-08-16 e 2008-04-27.
• Novo impulso ao JavaScript, 2007-05-21.
• RIA do Ajax, artigos sobre RIA e Ajax, por Frederick van Amstel, em Usabilidoido.
• O que é Rich Internet Application (RIA) [Aplicação de Internet Rica]?, por Erko Bridee, 2007-10-09, no blog Acontecimentos.
• Rich Internet Applications and AJAX – Selecting the best product (em inglês), por Marc Domenig, consultor de TI, em Javalobby.
• Ajax: A New Approach to Web Applications (em inglês), por Jesse James Garrett, 2005-02-18, em Adaptive Path — introdução do termo Ajax.
• Macromedia Flash MX — A next-generation rich client (PDF em inglês), por Jeremy Allaire, março 2002, Macromedia (adquirida pela Adobe em 2005) — introdução do termo RIA.
• Free resources for quickly developing AJAX applications (em inglês), por Antonio Lupetti, 2009-02-24, no blog Woork.

Tweet

Tweet

Está em fase Beta a versão 3.4 do pacote de programas de escritório LibreOffice, mas você ainda pode chamá-lo de BrOffice.

LibreOffice é o mais popular e bem sucedido pacote de escritório como software livre, com editor de textos/documentos, planilha eletrônica, apresentações, desenhos/ilustrações e banco de dados, baseado no formato aberto de documentos OpenDocument (ODF), e também compatível com os formatos do Microsoft Office.

Contudo, o nome e andamento do projeto de software livre desse pacote tem passado por vários caminhos.

Nascida como StarOffice, a suíte foi rebatizada para OpenOffice.org após a compra da empresa alemã StarDivision pela Sun Microsystems em 1999.

O projeto OpenOffice.org surgiu em 2000 e contou com a participação brasileira a partir de 2001. Naquela época, surgiu a comunidade OpenOffice.org.br que o traduziu e o divulgou no Brasil até 2004. Em 2005, a comunidade enfrentou problemas com o registro da marca no país. Assim surgiu o BrOffice.org, o mesmo produto OpenOffice.org em português do Brasil (pt-BR), mais as ferramentas linguísticas para nosso idioma.

Depois que a Oracle comprou a Sun — principal mantenedora do projeto OpenOffice.org — em 2009, um grupo de desenvolvedores da suíte de produtividade OpenOffice.org, que não concordava com os rumos que o projeto seguia desde então, acabou por se desvincular da Oracle em setembro de 2010. Dessa dissidência surgiu a organização livre The Document Foundation (TDF), com a missão de apoiar e evoluir o conjunto de formatos de documentos OpenDocument e dar continuidade ao projeto original de software livre do OpenOffice.org, adotando o nome LibreOffice.

A comunidade brasileira de desenvolvedores do BrOffice apoia o projeto LibreOffice. Na versão 3.4 do produto, passará a adotar o nome LibreOffice, para maior homogeneidade. A TDF solicitou a marca original OpenOffice.org à Oracle e convidou a empresa a participar do projeto, mas sem sucesso até agora.

Um ponto central da dissidência é que o OpenOffice.org mantido pela Oracle tem seus release gerados por um ambiente de build proprietário, mantido por um pequeno time de engenheiros. O LibreOffice é software livre e baseado em ferramentas livres. Os mantenedores do projeto LibreOffice estão trabalhando na migração total para GNU Make como primeiro passo para facilitar compilações cruzadas de Linux para Windows. O objetivo é que, com o tempo, qualquer pessoa com tempo e um PC possa construir releases do LibreOffice a partir dos códigos-fonte.

StarOffice, OpenOffice.org, BrOffice.org, BrOffice ou LibreOffice, o que importa é que este é o mais competente pacote de programas de escritório em software livre disponível no Brasil, e se apresenta como uma alternativa realmente viável ao pacote comercial Microsoft Office.

Para saber mais:

• Agora o BrOffice se chama LibreOffice, 2011-04-05, em LibreOffice.org.br (BrOffice.org.br).
• Desenvolvedores do OpenOffice anunciam separação da Oracle, por IDG News, 2010-09-28.
• Projeto LibreOffice internacional (em inglês).
• The Document Foundation (TDF), fundação mantenedora do projeto LibreOffice (em inglês). TDF Blog (em inglês).
• Projeto OpenOffice.org – The Free and Open Productivity Suite, mantido pela Oracle (em inglês).

Tweet

Tweet

A autenticação multifator é algo que tem se popularizado rapidamente nos sistemas de internet banking (transações bancárias pela internet) e outras aplicações de identidade digital no Brasil e no mundo.

Espero que com esse artigo você tenha uma visão prática e abrangente dos fatores de autenticação, um aspecto da segurança que a maioria das pessoas utiliza de alguma forma em seu dia a dia.

Vamos começar definindo autenticação e seus fatores.

Autenticação

Autenticação, no âmbito da segurança digital, é o procedimento que confirma a legitimidade do usuário que realiza a requisição de um serviço, para o controle de acesso identificado. Este procedimento é baseado na apresentação de uma identidade junto com uma ou mais credenciais de confirmação e verificação.

Na definição objetiva de Wel. R. Braga, o processo de autenticar usuários consiste em determinar se um usuário é quem ele afirma ser.

A identidade ou identificador do usuário pode ser um nome criado especificamente para determinado ambiente, serviço ou aplicação, que se costuma denominar login ou logname. O login pode ser textual (um codinome) ou numérico (similar a um número de identidade).

Em algumas situações, pode-se aproveitar um identificador que o usuário já possui como login. Logins textuais muitas vezes permitem que se utilize o nome de uma conta de e-mail do usuário. Logins numéricos podem utilizar um número de documento de identidade como CPF, número do título de eleitor, RG, número de registro profissional (OAB, CRM, CREA etc.), número de inscrição do usuário no serviço, matrícula funcional etc.

Para confirmar a credencial, usa-se um elemento que deve casar unicamente com o identificador do usuário. É aí que entra o fator de autenticação.

Os fatores de autenticação para humanos são normalmente classificados em três casos:

• algo que o usuário sabe: senha, PIN (número de identificação pessoal), frase de segurança ou frase-passe, que normalmente deve ser apenas memorizada e não escrita, para garantir o segredo que torna o fator seguro;
• algo que o usuário possui/tem: certificado digital A3 (token ou smart card), cartão de códigos numéricos, token de segurança (gerador eletrônico de senhas únicas temporais), token por software, códigos enviados por telefone celular (SMS) etc.;
• algo que o usuário é: impressão digital, padrão de retina, sequência de DNA, padrão de voz, padrão de vasos sanguíneos, reconhecimento facial, reconhecimento de assinatura, sinais elétricos unicamente identificáveis produzidos por um corpo vivo, ou qualquer outro meio biométrico.

A autenticação mais comum é a combinação de login e senha, ou seja, utilizando apenas um fator. A senha memorizada, contudo, tem sua fragilidade. Tanto a identificação (login) quanto a senha (este fator “algo que você sabe”) podem ser revelados ou descobertos, permitindo a fraude de utilização ilegítima de identidade de uma pessoa por outra. Pode ainda ser esquecida, causando transtornos ao usuário, pois exigirão alguma forma de redefinição ou reposição de uma nova senha.

Por isso, bancos e outras instituições têm cada vez mais recorrido à utilização de mais um fator, como veremos na seção seguinte.

Referências:

• Autenticação e Protocolos AAA, verbetes em Wikipédia.
• Fatores de autenticação, por Wel. R. Braga, 2009-09-28.
• Two-factor authentication, verbete na Wikipedia em inglês.
• Authentication World – The business of authentication (em inglês).

Fatores de autenticação e aplicações bancárias

Vistos os conceitos básicos, vamos comentar os fatores de autenticação exemplificados por sua utilização pelos bancos, em caixas eletrônicos e, principalmente, nas aplicações de internet banking.

O cartão magnético sempre foi utilizado pelos bancos. Além de armazenar a identificação numérica do usuário (banco, agência e conta), que é automaticamente lida nos caixas eletrônicos, ele é um fator de autenticação física do tipo “algo que você possui”. É combinado com a senha do cartão, fator do tipo “sabe”.

Com o aumento das fraudes e golpes em caixas eletrônicos, desde malfeitores próximos que observavam a senha digitada até o uso de equipamentos eletrônicos de fraude instalados nos caixas, os bancos começaram a inovar.

Algo que você sabe

Primeiro, vieram as técnicas de fornecimento indireto da senha. Menus de escolha mostrando mais de um dígito em cada opção. Isso faz com que um observador não saiba qual dos dígitos de cada opção é o da senha, sem reduzir a segurança — em termos matemáticos, em uma senha de 6 algarismos, escolhê-los em pares reduz as possibilidades de 10 dígitos para 5 pares, mas cada escolha (par) contém 2 opções de dígitos, então 10⁶ = 5⁶ * 2⁶ = 1 milhão.

Depois, veio o uso de mais de um fator na autenticação, o que caracteriza a chamada autenticação multifator que intitula este artigo. Primeiro, a criação de mais de uma senha, como senha do cartão, senha eletrônica de internet, senha de telefone, código mnemônico de letras. Em internet banking, o banco costuma solicitar uma senha eletrônica para autenticar no início, e depois pede a senha do cartão para confirmar uma transação bancária.

Ainda assim, os fatores do tipo “sabe” têm o problema de serem basicamente um segredo único memorizado, que pode ser descoberto involuntariamente, ou mesmo repassado voluntariamente. Saber algo não é um fator intrinsecamente único e individual. Ainda tem o problema de que quando são escolhidos pelo próprio usuário, este pode por comodidade ou preguiça escolher para senha um dado comum (como usar uma data de aniversário como senha numérica) e que pode ser conhecido por outras pessoas.

Algo que você possui

Então, os bancos passaram a acrescentar um fator do tipo “possui”. O fator desse tipo costuma ter o objetivo de transpor códigos que antes eram escolhidos e memorizados para dispositivos que transportam códigos seguros.

O primeiro fator desse tipo costuma ser o cartão de códigos. Um cartão impresso com vários códigos numerados (em geral, são 50 a 70 códigos de três ou quatro dígitos) é fornecido pelo banco e, na autenticação ou confirmação de uma transação, ele solicita um desses códigos. Bancos como Bradesco, Itaú e Real utilizam este fator. As fraudes sobre esses cartões são mais fáceis do usuário identificar, pois em geral solicitam que o usuário forneça todos os códigos numéricos do cartão ao mesmo tempo, e não apenas um por vez como o banco faz. O caso típico desse tipo de fraude é se travestir de uma operação de recadatro ou confirmação de segurança do próprio banco.

Outro fator que alguns bancos passaram a utilizar foi um dispositivo físico de geração de senhas únicas a intervalos de tempo. Tecnicamente conhecidos como dispositivos OTP (one time password), eles funcionam assim: em um mecanismo eletrônico, o dispositivo gera um código numérico válido por um período de tempo, em geral um minuto. Depois desse período, o dispositivo automaticamente gera outro código. A fórmula matemática utilizada para a geração desses números é conhecida pelo banco e sincronizada com seus computadores centrais, mas é um técnica complexa e praticamente imprevisível, denominada função pseudo-aleatória.

Bancos como antigo Unibanco (“multisenha”) e Itaú (“iToken”) utilizaram este fator (ilustrações a seguir). Apesar de seguro, ele tem alguns inconvenientes práticos. Para o banco, representa um custo extra da aquisição desse dispositivo para cada cliente, o que tem que compensar frente à redução de prejuízo em fraudes. Para o usuário (cliente), é um penduricalho a mais que ele tem que guardar e transportar consigo para onde precisar usar.

Outra variante do fator “possui” tem sido o envio de códigos para o celular do cliente via SMS. Similar ao dispositivo OTP, esse fator permite que um código diferente seja gerado a cada uso. O que o cliente deve efetivamente possuir de forma única é o seu telefone celular. Como hoje em dia as pessoas em geral portam consigo o celular, isso evita ter que se carregar o dispositivo OTP. Essa técnica exige uma abrangência e eficiência da rede celular da operadora, pois o usuário terá de receber o código via SMS no momento em que está realizando uma operação bancária eletrônica. Bancos como Citibank, Itaú e Banco do Brasil tem utilizado esse fator.

Para que um fator do tipo “possui” utilizando um dispositivo físico como o OTP ou celular seja utilizado indevidamente, é preciso que o pretenso usuário ilegítimo (fraudador) consiga obter o dispositivo, minimizando o risco de fraudes eletrônicas à distância.

Certificação digital

Merece destaque o fator de autenticação usando certificado digital. Certificado digital é um mecanismo genérico, padronizado e amplamente utilizado para identificação e assinatura digital seguras nas mais diversas aplicações. Funciona como uma carteira de identidade digital. São emitidos por entidades credenciadas confiáveis chamadas autoridades certificadoras (AC) e autoridades de registro (AR). Exigem a comprovação de documentos do usuário titular para emissão, e uma série de procedimentos técnicos e operacionais de segurança.

O governo Brasileiro definiu a estrutura nacional de emissão de certificados digitais, a ICP Brasil (Infraestrutura de Chaves Públicas Brasileira), seguindo o padrão mundial já estabelecido. Através da ICP Brasil, pessoas físicas podem emitir o seu e-CPF e pessoas jurídicas (empresas) o e-CNPJ. O uso de certificados digitais tem sido impulsionado no Brasil pelo governo, em especial:

• Fazenda e Receita Federal e Estaduais — Portal eletrônico e-CAC (onde o uso de certificação digital tem sido obrigatória para empresas e, por enquanto, opcionais para pessoas físicas), Escrituração Fiscal (SPED), Nota Fiscal Eletrônica (NF-e).
• Judiciário, através do processo judicial eletrônico.

Entre aplicações de internet banking de pessoa física em geral, só tenho conhecimento do Banco do Brasil que atualmente permite a utilização de certificado digital como forma de autenticação do cliente. (Podem haver outros bancos utilizando, mas desconheço.)

Este fator não é necessariamente emitido pelo banco (para o banco emitir, deve ser AR devidamente credenciada a uma AC), mas sendo um padrão mundial estabelecido, ele consegue identificar seu cliente pelo nome completo e pelo CPF contidos na identidade digital.

O certificado digital tem diversas vantagens. Sendo um dispositivo de identidade universal amplo, serve não apenas para aplicações bancárias mas para qualquer uso de identificação digital da pessoa que seja disponibilizado.

O certificado do tipo A3 utiliza um dispositivo físico — um chip que pode ser em um token USB similar a um pen drive, ou em um cartão inteligente smart card (que exige uma leitora própria) — funcionando portanto como fator tipo “possui”. Existe também um certificado tipo A1 via software que é gravado no disco do computador, mas é considerado um pouco menos seguro.

O certificado digital é baseado na técnica de segurança digital chamada criptografia de chave pública, onde existe um código secreto (chave privada) que fica inviolável dentro do dispositivo físico do certificado A3, e uma contraparte para identificação pública do titular do certificado (chave pública), preservando o segredo da chave privada.

O uso da chave privada é protegido por uma senha (PIN) ou mesmo por um leitor biométrico (atualmente, os certificados digitais com biometria mais difundidos acoplam um leitor de impressão digital). Ou seja, o do certificado digital embute múltiplos fatores de autenticação.

O empecilho essencial para popularizar o certificado digital como fator de autenticação é o custo. Atualmente, a emissão de um certificado A3 com validade de três anos custa algo entre 100 e 300 reais, incluindo o custo do dispositivo (token ou smartcard). Por medida de segurança, essa identidade digital precisa ser renovada ou reemitida ao término de cada período de vigência, a um custo que hoje gira em torno de 100 reais.

No sistema da novo documento de identidade brasileiro, o Registro de Identidade Civil (RIC), há a possibilidade de ele incorporar um certificado digital. Iniciativas como essa para popularização de meios de armazenamento de certificado digital, mais a disseminação de serviços públicos (governamentais) com uso destes, podem levar nos próximos anos a uma grande popularização que leve a um aumento de escala e consequente redução drástica do custo. Essa é uma grande esperança!

Para saber mais:

• Smart Card Alliance (em inglês).
• Cartão inteligente, verbete na Wikipédia.
• Smart card, verbete na Wikipedia em inglês.

Algo que você é

E a biometria como fator de autenticação? Teoricamente, parece ser o mais seguro e prático. Seguro porque parece difícil fraudar características físicas pessoais exclusivas como padrões de impressão digital, retina, veias, face etc. Prático porque você não precisa memorizar nem possuir nada, são características físicas que existem em seu corpo.

Mas dos três fatores, este é o que ainda possui os maiores desafios. Na prática, padrões biométricos ainda são sujeitos a problemas de abrangência e precisão. Não reconhecimento de uma pessoa legítima (“falso negativo”), a possibilidade mesmo que remota de identificar uma pessoa como a característica biométrica de outra (“falso positivo”), e a dificuldade de se estabelecer padrões biométricos que funcionem de forma efetiva para todos. Só para se ter ideia, na impressão digital, que é um dos padrões biométricos mais conhecidos e utilizados, uma pessoa muito jovem, idosa, que utiliza produtos químicos ou que faça trabalhos manuais duros que desgastem a pele podem simplesmente não ter uma digital legível de forma precisa.

Outro desafio preponderante de decisão da viabilidade e popularização no mercado é o alto custo. Dispositivos de leitura biométrica ainda são muito caros para se popularizar em larga escala atualmente.

Tweet

Tweet

Ontem publiquei em meu site a revisão 20 do popular artigo PDF Livre com (ou sem) o Ghostscript.

Esta revisão traz as seguintes novidades:

• Testadas e atualizadas as informações das versões mais recentes, até o momento, de Ghostscript (9.01) e dos utilitários de impressão PDF — doPDF 7.2.361, Bullzip PDF Printer 7.2.0.1304, PDF Creator 1.2.0.
• Por causa da crescente popularização do uso de sistema operacional de 64 bits com Windows 7 e Vista, estão listadas mais claramente as duas opções de 32 e 64 bits para download do Ghostscript, bem como foi incluído um quadro explicativo de como identificar de quantos bits é o seu Windows.
• Incluído um tópico detalhado (3.1) explicando como certificar-se que o tipo de papel está definido para A4, formato de papel padrão utilizado no Brasil.

Tweet