Não sei se é só a mim, mas depois de fazer o update para o 10.5.3 o spaces passou a comportar-se de maneira diferente. Agora ao mudar de desktop, a aplicação em que se está a trabalhar muda de foco para o finder o que é de certo modo irritante. Por exemplo, se estiver a programar e tiver um PDF com informação no desktop 1 e um IDE ou editor de código no desktop 2, ao mudar de um para o outro tenho que explicitamente colocar o foco no editor ou IDE para continuar a bater o código caso contrário vou estar a teclar para o boneco pois é o finder que está selecionado… Alguém mais já notou isto?

Update: Ao que parece não é bem como descrevi, mas sim quando mudamos para um desktop “vazio” passa a ficar sempre o finder selecionado, o que continua a ser irritante :P

Se precisarem de actualizar um sistema RHEL (Red Hat Enterprise Linux) e a licença tiver expirado, ou ainda demorar a vir (meu caso), podem adicionar os repositórios do CentOS que é uma réplica do RHEL com a diferença que não tem suporte incluído e não se paga nenhuma licença. Convém salientar que se a máquina ainda tiver uma licença activa, a partir do momento em que efectuarem esta alteração no sistema, perdem por completo o suporte da Red Hat.

Para adicionar então os repositórios CentOS no RHEL basta criarem um ficheiro em /etc/yum.repos.d/ com o nome CentOS5.repo e o seguinte conteúdo:

[CentOS5 base]
name=CentOS-5-Base
mirrorlist=http://mirrorlist.centos.org/?release=5&arch=$basearch&repo=os
#baseurl=http://mirror.centos.org/centos/$releasever/os/$basearch/
gpgcheck=0
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

[CentOS5 updates]
name=CentOS-5-Updates
mirrorlist=http://mirrorlist.centos.org/?release=5&arch=$basearch&repo=updates
gpgcheck=0
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

[CentOS5plus]
name=CentOS-5-Plus
mirrorlist=http://mirrorlist.centos.org/?release=5&arch=$basearch&repo=centosplus
gpgcheck=0
enabled=0
gpgkey=http://mirror.centos.org/centos/RPM-GPG-KEY-CentOS-5

Agora é só gravar o ficheiro e activar estes novos repositórios no yum. Para isso basta fazer:

yum –-enablerepo=CentOS-5*

E se quiserem fazer o import da key do repositório (recomendado):

rpm –import http://isoredirect.centos.org/centos/5/os/i386/RPM-GPG-KEY-CentOS-5

Agora é só fazer um yum update e dentro de segundos temos o sistema RHEL actualizado com os pacotes CentOS e a diferença é mínima.

Se mais tarde for necessário reverter estas alterações basta desabilitar o repositório (yum --disablerepo=CentOS-5*).

Tirado de: xkcd.com

Não, não mudei do Ubuntu para Fedora por causa da vulnerabilidade encontrada no pacote OpenSSL Debian :P Mudei sim porque me apeteceu mudar de “ares” e de usar algo mais perto do old school (Red Hat) sem ser uma distro que necessitasse de muito tempo livre, coisa que ultimamente não tenho (antes que comece a ser atacado por utilizadores de Gentoo e Slackware).

Por enquanto fico-me pelo Fedora 9, que me agradou bastante, tirando aquelas nonsenses de não ler mp3 por default e outros codecs afins utilizados vastamente por todos os seres humanos, menos pelos developers do Fedora. Mesmo sendo codecs proprietários, são essenciais à componente multimédia de qualquer desktop e por isso o acesso aos mesmos deveria ser facilitado, coisa que o Fedora não faz à excepção do codec mp3. Mas por mim isso é mínimo e facilmente resolvido.

Uma das principais diferenças que notei foi a rapidez do Fedora em relação ao Ubuntu. Tempos de boot e shutdown significativamente mais baixos. A outra diferença foi… a falta do apt. O yum é porreiro, mas o apt é O package manager. De resto, a nível gráfico é gnome… igual em todas as outras distros com gnome, com uma vantagem em relação ao Ubuntu: um theme default que não tem castanhos. Debaixo do capot é um sistema Red Hat, cuja organização sempre preferi relativamente a sistemas Debian.

Aqui ficam uns links que podem ser úteis a quem se quiser iniciar nesta distribuição de linux:
- http://www.mjmwired.net/resources/mjm-fedora-f9.html
- http://www.fedoraguide.info

O mod_status é um módulo do Apache que gera uma página dinâmica com estatísticas do servidor web que são úteis ao administrador. Dado isto, convém proteger esta página de modo a não ser possível aceder externamente.

Como diz o ditado português, “Em casa de ferreiro espeto de pau”. E a fundação Apache não escapa à sabedoria popular. Não fui eu que descobri, até porque o meu tempo para estas coisas é nulo ultimamente, mas foi sim este senhor que descobriu que o mod_status do site www.apache.org está acessível ao público:

www.apache.org/server-status?refresh=5

Com este URL acedemos à tal página de estatísticas. Dentro de toda informação que podemos encontrar nessa página (além de estatísticas de CPU, uptime, etc.) é possível encontrar todos os requests que estão a ser feitos ao site naquele instante. Ou seja, nesses requests podemos encontrar caminhos para zonas do site que não são possíveis visualizar através do google por exemplo, além de ID’s de sessão, tokens ou passwords que possam vir incluídas num GET.

Com o simples descuido de não proteger correctamente os módulos do Apache, põe-se em risco zonas privadas do site e até mesmo os seus utilizadores.

O site do Apache é apenas um exemplo (e o que menos se esperava), dos muitos que se encontram com este tipo de informações sensíveis abertas ao público…

Este post é mais uma nota pessoal para me poder relembrar a utilização do comando scp, dado que quando mais preciso dele nunca me lembro da sintaxe :P

Para tranferir por scp (secure file copy) um ficheiro que está num servidor remoto para a nossa máquina, basta fazer o seguinte comando:

scp user@servidor:~/caminho_para_o_ficheiro .

Se o servidor usar um porto diferente para correr o servidor ssh, basta acrescentar o parâmetro -P seguido do número do porto.

Para efectuar o oposto, copiar um ficheiro da máquina local para uma máquina remota, basta usar o seguinte comando:

scp caminho_para_o_ficheiro user@servidor:~/

O ficheiro irá ser copiado para a home do user utilizado no comando :)

Já fiz o update do beta 5 para RC1 e só posso dizer que está cada vez mais perto da perfeição. Se ainda não fizeram o update, aqui fica o link: http://www.mozilla.com/en-US/firefox/all-rc.html.

Tenho também recentemente andado a utilizar a extensão No-Script.

“The NoScript Firefox extension provides extra protection for Firefox, Flock, Seamonkey and others mozilla-based browsers: this free, open source add-on allows JavaScript, Java, Flash and other plugins to be executed only by trusted web sites of your choice (e.g. your online bank), and provides the most powerful Anti-XSS protection available in a browser.”

Nos dias que correm, em que os sites encontram-se carregados de scripts, e nem todos legítimos, esta extensão começa cada vez mais a justificar-se. No entanto, inicialmente é complicado encontrar 90% dos sites não funcionais porque o No-Script bloqueou o javascript, mas depois de adicionar os principais sites de confiança, torna-se suportável :)

Hoje, ao abrir o meu macbook na faculdade (encontrava-se em sleep), como de costume pediu-me a password do user. Ao começar a escrever, noto que a textbox não deixava inserir mais do que 3 caractéres. Depois de andar um pouco à nora, decidi fazer cancel no login e tentar novamente, já com sucesso. No entanto reparei que ao entrar na conta, tinha o leopard a pedir-me a chave da rede Eduroam e na textbox já apareciam alguns caractéres… quase de certeza os mesmos que eu tentava inserir como password no login para acordar do sleep…

Este tipo de problemas parece já vir de tempos longínquos, desde a altura dos iBooks, como prova fica este post no fórum oficial da Apple, onde um gato “owna” completamente o iBook do dono, que tinha o ecrã bloqueado, estando apenas em cima do teclado.

Provavelmente já devem ter reparado, que em alguns sites quando olham para a barra de endereços encontram no URL caracteres que não fazem à partida nenhum sentido, como por exemplo:

http://www.site.pt/o%20meu%20ficheiro.php

Na realidade este endereço é o mesmo que:

http://www.site.pt/o meu ficheiro.php

Acontece que o computador não sabe o que são espaços nos nomes de ficheiros então dá-se uma conversão para código ASCII. Neste exemplo %20 é o código ASCII do caracter espaço em hexadecimal.

Isto pode no entanto ser perigoso para os utilizadores menos informados ou distraídos dado que podem receber por exemplo num e-mail um link como o seguinte:

http://www.site%0d%46%41%4c%53%4f.pt

Pode parecer que isto vai para ao endereço www.site.pt, mas na realidade vai para a www.site_falso.pt onde poderá estar à espera do utilizador uma réplica do site original para proceder à captura de dados sensíveis.

Este é só um dos muitos exemplos na aplicação do código ASCII de modo malicioso. Outro exemplo bastante comum é utilizá-lo para enviar num URL código Javascript:

http://site.pt/?variavel=%22%3E%3Cscript%3Ealert%28%27Ola%20Mundo%27%29%3C%2Fscript%3E

Este URL quando introduzido num site com vulnerabilidade XSS faz o site enviar um alert com a frase “Ola Mundo”. Com um pouco de imaginação e conhecimentos de Javascript, conseguem-se fazer alguns estragos.

Aqui fica um link para o site da W3 Schools onde poderão ler um pouco mais sobre URL encoding:

http://www.w3schools.com/tags/ref_urlencode.asp