-
Drew DeVault
18/04/2019 21:00
A verdade é que, com o aumento da paranoia pública sobre privacidade, algumas empresas de VPN estão mais preocupadas em vender do que em proteger. Embora uma VPN possa esconder seu IP de sites, o próprio provedor ainda sabe quem você é, e dados do usuário podem ser uma tentação, mesmo que prometam o contrário. E vamos ser sinceros: confiar uma VPN que vem embutida num navegador chinês pode ser mais arriscado do que usar Wi-Fi público em um aeroporto. Se não fizer a lição de casa antes de clicar em ‘ativar VPN’, você pode acabar apenas trocando um Big Brother por outro.
-
Fabien Sanglard
03/04/2019 21:00
O 3dfx Voodoo 1 é quase um Jedi no universo dos gráficos 3D, e sua dominância de 1996 a 1998 pode ser comparada a um perÃodo de paz na galáxia dos games. Com seu poder de transformar a realismo pixelado em algo que lembrava mais um filme do que um jogo, ele ajudou a definir uma era. Quem diria que um chip gráfico poderia ser tão icônico? Logo, os devs que cresceram com ele provavelmente têm muitas histórias épicas para contar,
-
Dan Luu
18/02/2019 21:00
A eterna discussão sobre o tratamento de mulheres em Overwatch ganhou uma abordagem experimental interessante. O estudo revelou que, ao contrário do que muitos poderiam imaginar, "a taxa de comentários sexuais não era claramente diferente" entre os nomes masculinos e femininos. Isso desafia algumas suposições populares, já que mais comentários direcionados a jogadores do que a jogadoras foram registrados. Parece que a batalha no chat pode ser mais sobre habilidade do que sobre gênero, mas quem precisa de um novo patch quando você tem uma controvérsia sem fim?
-
Drew DeVault
09/02/2019 23:00
É sempre bom ver uma análise clara sobre tantos mitos que cercam o Wayland, especialmente quando a comunidade parece mais dividida que os fãs de Star Wars e Star Trek. Por exemplo, a ideia de que "Wayland não é mais seguro" devido a um keylogger ignora que qualquer sistema pode ser comprometido se o atacante já tiver acesso. E essa questão das capturas de tela... Wayland não é o vilão aqui; ele é só conservador em sua abordagem, deixando espaço para extensões. No final, é preciso entender que enquanto Wayland pode não fazer tudo, ele também não é o monstro que muitos pintam.
-
Russ Cox
23/01/2019 15:00
Baixar e executar código de estranhos na internet é como comer um sanduÃche que alguém deixou na mesa do café da manhã. Pode parecer tentador, mas não dá pra prever se vem com uma dose de malware à la 'seu computador virou um zumbi'. É importante lembrar que a segurança nas dependências é vital, e sempre vale a pena conferir a procedência do que estamos rodando por aÃ. Afinal, em um mundo de pacotes do npm, a segurança não deveria ser ignorada.
-
Drew DeVault
13/01/2019 01:00
No post de hoje, o criador do sr.ht fala sobre a importância de backups e redundância, que são como as vidas extras nos games: você gostaria de ter, mas nem todos os serviços fazem essa lição de casa. Ele destaca que, enquanto algumas informações são mantidas em disco com redundância – olá, PostgreSQL e repositórios Git – outras são apenas efêmeras, como aquelas piadas ruins que você faz no chat. E, claro, ZFS e suas snapshots a cada 15 minutos são o verdadeiro MVP aqui, garantindo que mesmo o "oh não, deletei alguma coisa" não seja o fim do mundo. No geral, o post é um lembrete de que, em tecnologia, a preparação é tudo.
-
Drew DeVault
12/01/2019 23:00
O sr.ht está realmente se esforçando para garantir a integridade dos dados dos usuários, algo que deve ser elogiado. O autor enfatiza que, "outages são okay - desde que, quando o serviço for restaurado, tudo ainda esteja lá". Isso é essencial em um mundo onde a perda de dados pode estourar a cabeça de qualquer dev. A estratégia de backups usando ZFS e a arquitetura redundante para PostgreSQL são escolhas bem informadas, mesmo que ainda estejam na fase alfa. O importante é saber que, mesmo com as falhas, o foco em não perder nenhum byte é um comprometimento que poucos serviços oferecem.
-
Fabien Sanglard
10/12/2018 23:00
A proteção do Dreamcast parecia à prova de balas, com seu GD-ROM e toda a pompa de um discão de 1 GiB. Mas como qualquer dev que já teve um projeto desmoronando sabe, "parecia" não é sempre realidade. A desmistificação começou com hackers que sacaram a sequência de boot e, como em um jogo de quebra-cabeça, transformaram a vulnerabilidade em acesso fácil. É quase irônico que a fraqueza tenha, de fato, contribuÃdo para o fim do último suspiro do hardware da SEGA.
-
Drew DeVault
29/10/2018 21:00
A questão do Commons Clause já deveria ter sido resolvida há tempos, mas aqui estamos, de novo. Como o autor aponta, essa cláusula tenta se infiltrar em licenças respeitáveis como a Apache 2.0, enganando desenvolvedores e usuários com uma aparência de open source. Dizer que seu software é "open source" enquanto usa essa cláusula é a mesma coisa que afirmar que seu gato é um leão—não importa o quanto você tente, a realidade é bem diferente. Respeitar as definições do FOSS é essencial para manter a integridade da comunidade de desenvolvedores.
-
Antirez (Salvatore Sanfilippo)
06/10/2018 17:08
Discutir comentários de código é sempre polêmico. O autor traz à tona a ideia de que "não são todos que pensam assim" e, sim, muitas pessoas acreditam que o código deve se explicar por si só. Mas, como a pesquisa em retro-game de hoje, algumas partes do código precisam daquela explicação adicional. Afinal, um bom comentário evita que a mente do dev entre em modo 'Inception' enquanto tenta entender o porquê de determinadas escolhas no código.
-
Coding Horror (Jeff Atwood)
Jeff Atwood
21/09/2018 06:50
A ideia de legado da "segurança cibernética" está tão ultrapassada quanto um disco de fita. A questão é que esse "mau comportamento digital" que antes parecia uma história de ficção já está mudando a narrativa do mundo real. "Infelizmente, vivemos em um mundo onde esse tipo de travessura digital está reescrevendo a história do planeta." Sem sombra de dúvida, é importante refletir sobre as implicações disso na nossa rotina de devs.
-
Drew DeVault
08/08/2018 00:00
Quando alguém diz que uma ferramenta que promete segurança não é realmente confiável, eu sinto que é hora de entrar no modo crÃtico. O autor destaca que "promessas de segurança sem explicar os trade-offs são antiéticas", e isso é um ponto válido. Em um mundo onde até as mensagens mais sutis podem ser interceptadas, confiar em um aplicativo que depende de serviços como o Google Play é como confiar no Darth Vader para te proteger de um ataque rebelde. Embora o Signal seja uma boa opção de código aberto, a comunicação segura realmente precisa ser mais que uma mera troca de mensagens. Afinal, se o produto diz que é seguro, ele deve agir como tal, e não deixar os usuário na incerteza.
-
Drew DeVault
07/08/2018 21:00
O autor faz um ponto interessante sobre as promessas de segurança do Signal, especialmente quando menciona que 'fazer promessas sobre segurança sem explicar os tradeoffs é antiético'. É um lembrete de que, no mundo da tecnologia, a confiança não é apenas uma questão de marketing; é sobre como esses serviços realmente operam atrás das cortinas. A parte sobre o Google Play Services sendo um 'rootkit' é válida, levantando questões sérias sobre privacidade e segurança. É aquele clássico dilema: quanto de liberdade e segurança você está disposto a trocar por conveniência?
-
Drew DeVault
04/08/2018 21:00
Para quem quer fazer um "Hello World" na configuração de servidores de e-mail, esse guia é um bom ponto de partida. O autor nos leva pela mão desde a instalação do Postfix até as configurações essenciais, e tudo isso com um toque de simplicidade. Cortar os detalhes como bancos de dados e filtros de spam é uma boa ideia para não sermos engolidos por complexidades desnecessárias. Se você sempre quis se sentir como um maestro de e-mails no seu localhost, é hora de pegar o violão e começar a tocar a canção do SMTP.
-
Drew DeVault
27/06/2018 00:00
O Let's Encrypt facilita a vida de quem precisa de TLS, mas não sem algumas complicações pelo caminho. Como o autor bem colocou, "a complexidade do certbot está nas nuvens", e quem já tentou usar sabe que é um labirinto de Python complicado. Acredito que o uso do acme-client, leve e minimalista, seja uma escolha sábia para quem quer evitar dramas em suas implementações. Afinal, menos dependências significam menos chances de quebrar, não é?
-
Drew DeVault
26/06/2018 21:00
O Let's Encrypt tem facilitado a vida de quem lida com TLS, mas a configuração pode ser uma verdadeira dor de cabeça. O autor compartilha sua jornada ao escolher entre o complexÃssimo certbot e o mais simples acme-client, que parece ter caÃdo nas graças dele. É um bom lembrete de que, à s vezes, menos é mais — e que até mesmo devs veteranos podem querer evitar a complexidade desnecessária. No final das contas, simplicidade e eficiência são o nome do jogo, especialmente quando você tem um grande número de serviços para gerenciar.
-
Antirez (Salvatore Sanfilippo)
13/06/2018 14:15
O Redis teve algumas vulnerabilidades de segurança identificadas, especialmente no subsistema Lua, após uma auditoria da equipe de segurança da Apple. Como o autor destaca, embora seja improvável que usuários comuns sejam impactados diretamente, os provedores de Redis na nuvem precisam ter cuidado, já que ambientes multi-tenancy podem expor essas falhas a usuários mal-intencionados. "Apenas um programa Python simples pode derrubar o Redis usando uma das vulnerabilidades do cmsgpack" — uma boa lembrança de que até mesmo um pequeno descuido pode resultar em grandes problemas. A resposta rápida na coordenação das correções é um bom exemplo de como a comunidade pode se unir em torno da segurança.
-
Antirez (Salvatore Sanfilippo)
02/06/2018 14:52
A recente manchete sobre "75% dos servidores Redis infectados por malware" realmente chama a atenção, mas é importante observar que isso se aplica apenas a instâncias expostas na internet e desprotegidas. "É como se fossem servidores HTTP... mas é Redis", o que basicamente significa que muita gente está deixando a porta aberta e dando boas-vindas aos invasores. O relatório da Incapsula é um lembrete de que por trás dessa popularidade do Redis pode haver um lado sombrio se as instâncias não forem bem configuradas. Seja esperto, não deixe sua instância Redis exposta como se fosse uma máquina de fliperama na calçada.
-
Drew DeVault
02/05/2018 21:00
A velha máxima da Microsoft, "abraçar, estender e extinguir", parece ganhar uma nova roupagem com o Google na jogada. Eles estão inovando, mas será que por trás do glamour dos novos recursos do Gmail, como os "emails autodestrutivos", não está apenas mais uma forma de controle? "Extinguindo" a concorrência com filtros de spam severos e ignorando padrões abertos, Google parece mais um artista de mágica que quer esconder suas cartas. E quanto ao AMP? Um verdadeiro festival de como fazer parecer que você está no controle, enquanto na verdade está puxando as cordas dos resultados de busca.
-
Dan Luu
27/03/2018 21:00
O "fsyncgate" revela um problema crÃtico na forma como o PostgreSQL lida com erros de fsync(). Como "um usuário encontrou corrupção de dados após um erro de armazenamento", fica claro que falhas como essa não deveriam passar batidas. A lógica de permitir a tentativa de reescrita em vez de parar e dizer PANIC pode acabar custando caro para a integridade dos dados. O aviso aqui é claro: se você está mexendo com dados importantes, dê uma olhada em como suas chamadas fsync() estão se comportando. A documentação é escassa, mas a atenção a esses detalhes pode ser a diferença entre uma recuperação de dados bem-sucedida e um grande "oops".