Software Security from a Specialist: Gary McGraw

I just listened to an excellent interview with Gary McGraw, a security guru, in the Software Engineering Radio, and I suggest software developers to hear it too.

Some points he touched:

  • Software security is about how to approach computer security if you are a developer or a software architect.
  • Security problems come from 2 points: (a) bad or buggy implementation as buffer overflows etc and (b) lack or poor architectural risk analysis. So even if you took a lot of care while writing the code you may have forgotten completely to authenticate users. This is a bad design (b) issue. Both problems — implementation and design — must be mitigated.
  • You can’t be 100% secure, but if you have considered security in the design and in the implementation of your software, you will be a lot better than simply shipping software without thinking about security.
  • Although people may have very good reasons to think that Open Source software is less secure than closed source because a cracker can see the code and find flaws, the bad guys actually use the binary version of a software to find the flaws, using low level debuggers, stack analyzers, decompilers and other kinds of things. Open Source software is not really in any worse shape that any other kind of software. He also says that Open Source software is not also better, from a security perspective. He does not believe in that theory that everybody is looking at the code and may find and fix bugs. Me neither.

I guess this is my last post of 2007 and I wish everybody a happy new year.

A Blogosfera

Um blog é um website qualquer cujo conteúdo é organizado como um diário (log, em inglês), ou seja, por datas e em ordem cronológica. O nome surgiu quando “web log” virou “weblog”, que em uma brincadeira se transformou em “we blog”, para enfim se popularizar em “blog”.

A cultura dos blogs tem um dicionário de jargões:

  • Post: um artigo ou publicação que pode conter texto, imagens, links, multimídia, etc. Um post tem um título, data e hora, é categorizado sob um ou mais assuntos como “vinhos”, “tecnologia”, “viagens”, “poesia”, etc., definidos pelo dono do blog. Usa geralmente linguagem mais direta e descontraída, e pode ser tão longo quanto um extenso artigo, ou conter somente poucas palavras. Um blog é uma seqüência de posts.
  • Comentário: visitantes do blog podem opinar sobre os posts, e esse é um lado muito importante da interatividade dos blogs.
  • Permalink: um link permanente, o endereço direto de um post específico.
  • Trackback e Pingback: um post que faz referência a outro post, até mesmo em outro blog.
  • Feed: há ferramentas que permitem ler vários blogs de forma centralizada, sem ter que visitá-los separadamente. O feed é uma versão mais pura do blog, contendo somente os últimos posts em formato XML (RSS ou ATOM), e serve para alimentar essas ferramentas. Podcasts nada mais são do que feeds contendo mídia, ao invés de só texto.

Blog é um nome mais atual para o que se costumava chamar de “home page”. A diferença é que antes da era dos blogs, uma pessoa que quisesse ter um website pessoal, tinha um enorme trabalho para publicar conteúdo de páginas, que geralmente eram estáticas, não interativas, e francamente, sem graça. Era um processo manual que exigia algum conhecimento técnico, e por isso eram geralmente os técnicos que publicavam conteúdo na web.

Com a padronização do conteúdo em ordem cronológica, em posts, surgiram uma série de ferramentas e serviços de blogging, sendo os mais conhecidos o WordPress, Blogger, LiveJournal e MovableType.

Eles facilitaram a publicação de textos, links, multimídia, de forma organizada e bonita, e a web ficou muito mais interessante. Se antigamente um escritor precisava ter influência com editoras para publicar trabalhos, hoje qualquer pessoa é um escritor em potencial. E, sim, os blogs revelaram inúmeros ótimos escritores — alguns viraram celebridades —, só porque agora eles tem acesso a uma plataforma de publicação independente e direta: a Internet.

Os “blogueiros” (bloggers, pessoas que possuem e escrevem em seus blogs) visitam e lêem outros blogs, fazem comentários, criam links e se referenciam, criando uma espécie de conversa distribuída.

A consolidação da cultura dos blogs fez surgir alguns serviços como Technorati, Truth Laid Bear, BlogBlogs, Ping-o-matic, Digg, dentre outros, que tem a habilidade de seguir a conversa. Mais ainda, eles conseguem medir a popularidade de um blog ou de um assunto, e mensurar sua vitalidade e popularidade na web. Usando extensamente idiomas XML como XHTML, RDF, RSS e ATOM, eles conseguem notificar um blog de que ele foi citado em outro blog, ajudando o primeiro a publicar automaticamente um pingback ou trackback, mostrando quem o citou e como.

A Blogosfera é o fenômeno sócio-cultural materializado nessa malha de interações digitais entre os blogs e seus autores. Pode ser comparada a Comunidade de Software Livre. Onde esta cria software de forma distribuída e de acesso livre e direto aos usuários finais, a Blogosfera trabalha com idéias em geral, poesia, fotografia, multimídia, notícias, de qualquer um que se disponha a escrever para qualquer um interessado em ler.

Como dizem Doc Searls e David Weinberger no artigo Mundo de Pontas (“World of Ends”), a Internet é uma grande esfera oca com a superfície formada por pontas interconectadas. Bem, nós somos as pontas e ela é oca porque não há nada no meio que limite a nossa interação. Essa metáfora explica como os bloggers ganharam voz ativa na sociedade livre da Internet, onde falam bem de quem gostam e denunciam quem ou o que não gostam. Sendo público e interativo, qualquer assunto verídico e bem conduzido tem potencial para virar uma bola de neve ao ponto de iniciar um escândalo político (exemplo), obrigar uma empresa a admitir que deve fazer um recall de produtos defeituosos, ou de dar informações muito precisas sobre a bomba que explodiu no bairro durante uma guerra (warblog).

O Software Livre, a Blogosfera e outros movimentos socioculturais que estão por vir são um resultado direto da benéfica massificação da Internet.

Empresas têm usado blogs como forma de se aproximarem de seus clientes. Sua linguagem descontraída, não-institucional e principalmente interativa derruba barreiras e potencializa comunidades. Bons blogs corporativos passaram a ser peça chave do ciclo de desenvolvimento de produtos, como plataforma de divulgação das próximas novidades e ponto de coleta direta de opiniões de usuários.

O que você está esperando para ingressar na Blogosfera ?

OOXML é Incompatível com Formatos Anteriores

É importante enfatizar que a Microsoft anda dizendo que o OOXML é bom e necessário porque garante compatibilidade com o formato anterior (.doc etc).

Isso é uma imprecisão grosseira que cai bem nos ouvidos de quem não é técnico ou quem não pára pra pensar o que isso significa.

Explico: O .doc e companhia são formatos binários (ilegivel aos olhos humanos), e o OOXML é um formato baseado em XML (texto puro comprimido). Só este fato faz com que seja impossível haver compatiblidade entre os dois formatos. Dessa perspectiva, OOXML é mais compatível com ODF do que com .doc e companhia.

O que sim pode ser compatível com .doc e OOXML ao mesmo tempo é a suite de escritório MS Office, um programa que lê e escreve esses formatos — e que pode fazer o mesmo com ODF. Mas a guerra toda é sobre os formatos e não sobre programas, certo !?.

OOXML — o formato — não é compatível com nada anterior a ele, e agradeceria se pessoas influentes (mas imprecisas) parassem de achar e dizer que é.

Adeus Lavrador, espero poder te reencontrar

O Lavrador de Café

Para lembrar o triste dia de hoje em que você, Lavrador de Café, um belíssimo Portinari, deixou o MASP para viver noutro lugar. É de ti que mais sentiremos falta.

Se cansou de ter o Trianon como vista do outro lado da avenida, espero então que encontre um cafezal sem fim para contemplar.

Como cantou Mercedes Sosa, na composição de Horacio Salinas:

Para Cándido Portinari la miel y el ron, y una guitarra de azúcar y una canción, y un corazón.

(imagem gentilmente roubada do blógue Ritual Café)

Complete a Ponte

Lotus SymphonyE parece que o pessoal de marketing aqui na IBM tem usado a imaginação para mostrar a linha de produtos de colaboração com o lúdico site Complete A Ponte. Fizeram também uns vídeos engraçadinhos.

Um dos produtos mais em voga que está lá é o Lotus Symphony, suite de escritório gratuita, compatível com o formato aberto ODF, os proprietários do MS Office (.doc, .xls, .ppt) e também com o formato do antigo Lotus Smart Suite (.lwp, .prz, .123, .wk4). Ou seja, o Symphony pode ser usado para converter tudo isso para o moderno ODF.

Mas há outras coisas lá também como o Lotus Connections que traz para o ambiente corporativo o que há de mais atual na Web 2.0, como Wikis, Blogs, tagging e comunidades e redes sociais (a la Orkut). E claro não poderiam ficar de fora o Lotus Domino, servidor de workgroup mais popular do mundo, e outros.

Visite e complete a ponte !

Anarchy at ISO

The fundamental question, lack of tangible answer and the probable consequences

This is a translation for a blog post by Jomar Silva, head of the ODF Alliance Chapter Brazil.

In the coming days I’ll celebrate (or regret) one year working with OpenXML in ISO, and I must admit that the more time goes by I’m more far of finding a plausible answer to the most fundamental (and forgotten) question: “Why two standards ?”

The claim of proponents is the legacy support, which is not technically proven in more than 6 thousand pages of specification. It is also not proven the claim that the OpenXML fulfills the specific users needs… Did any of them read the specification of ODF (ISO / IEC 26300)?

The commercial reasons for the existence of this second standard is more than obvious and have been widely commented worldwide, but doesn’t it work as a warning that something is going wrong? Does the initiatives of international standardization are just moved by commercial interests of six guys and the argument that standardization helps to reduce artificial barriers to free trade is nothing more than cheap and utopian ideology?

Would the ISO 9000 be what it is for Quality worldwide if its opponents had proposed and made whatever was needed to ensure many different standards of quality, addressing different user needs? Will ISO accept in the coming years a proposal for more flexible quality standard, which is compatible with the legacy of disorganization that some companies still have today? Does the lack of ability of a small company to have and maintain decently a quality system based on the ISO 9000 configures “specific users needs” and therefore demand a new international standard?

Let us move to environmental issues? Do small and medium businesses have conditions and structure to maintain an ISO 14000 certificate correctly? Do the allegations of China on emissions of carbon (by the way, supported by USA position) configures the existence of the specific user needs in order to prepare a new environmental standard?

The precedent that OpenXML brought to international standardization, in my point of view, is the worst possible because based on the existence of two standards for editable documents, or at least the ability to mobilize the world and spend huge amounts of money in this discussion, will not allow the JTC1, the ISO, IEC and anyone else to refuse the discussions of new rules or alternatives standards for any economic sector. This really worries me, because all the efforts of standardization achieved in recent decades can go up in the garbage can in a short time and the worst is that everyone seems not to see it is happening. Want to see an example of the mess… I give one of the bests…

The PDF format is an ISO standard, the PDF/A which is the ISO 19005-1:2005, published in October 2005. It was developed based on a subset of the specification PDF 1.4 of Adobe. Several countries and organizations around the world have already adopted this standard as the default for non-editable documents.

Microsoft has released Windows Vista along with a new standard for non-editable electronic documents, called XPS (XML Paper Specification), which uses the same packaging concepts of OpenXML (OpenPackaging Convention) to represent non-editable documents. Who guess where XPS is standardized as another “Open Standard” wins a gift… ECMA… A lot of creativity is not needed to understand that this standard will also be submitted to ISO through a FasTrack in the coming months, just following the OpenXML opened path to that.

Adobe has realized this and has already expressed itself. A press release from the company itself, from January of this year already announced the delivery of version 1.7 of the standard to ISO. This proposal has followed their natural path and this week the vote of the standard in ISO has finished. According to the expectation of a blog from Adobe, published yesterday, the standard was adopted. My personal opinion is that this approval is very important, because now PDF becomes a full international standard, not a subset as was the PDF/A.

So I warn all involved and concerned to allocate a part of their budget for 2008 to discuss the FasTrack of XPS, because I think it will be inevitable.

I wonder what will be the other standards that will be run over (or who tries to trample) within ISO. How much money will be spend in this decade to learn this lesson?

What makes me more disappointed is to see that all these things can put ISO in a delicate position in the international standardization scene. The mess ISO is letting to happen in its own rules may cause that to be an ISO standard or a John Doe’s standard will have same value (at least to IT industry). I think this whole mess threatens the reputation that this entity has, which for me has always been synonymous with seriousness and responsibility.

The existence of unique standards, built through community is what today allows me to access the internet and write this article and that allows you to read it here from anywhere, using any browser and any operating system. This is what allows us to buy any CD with music and to use in any CD player (from $50 thousand to $1.00). This is the world created by international standards but looks like its not good for everybody.

Commodity market competition is for serious companies, competent and committed with the differentiation to their customers… It is not for anyone, regardless of their size or achievements in the past…

To relieve a little bit the post, in the last weekend I decided to play my acoustic guitar and ended up playing a song that reminded me a lot about all that I wrote here. I think it encouraged me to write this article.

The song is “Anarchy in UK” by the Sex Pistols and when I played in the weekend, just switched the UK to ISO and things made sense… Perhaps this is the answer to the question that doesn’t have an answer…

The part that I found most interesting is:

Anarchy at the ISO
It’s coming sometime and maybe.
I give a wrong time, stop a traffic line.
Your future dream is a shopping scheme.

That is what they want… Anarchy at ISO!

ODF versus OOXML: Liberdade de Escolha

No blog de segurança do Fernando Cima, no Technet da Microsoft, está rolando uma discussão muito interessante sobre ODF x OOXML. Ele (e a Microsoft) tem insistido em um ponto que faz parecer que OOXML é algo necessário para dar liberdade de escolha:

Nenhum formato atende a todos os cenários de uso — nem o Open XML certamente — e por isso liberdade de escolha é a melhor saída. Este é o ponto filosófico mais amplo que você parece ignorar.

Liberdade de escolha se dá no nível dos produtos e não no dos formatos.

Um único formato padrão deve ser adotado para eliminar falta de interoperabilidade. Se ao longo do tempo surgem novas necessidades que o formato não suporta, a sociedade trata de melhorá-lo. E para isso o processo que mantém o formato deve ser aberto. A sociedade não faria isso — não era muito natural — a 15 anos atrás na alvorada da Internet, mas hoje é a prática corrente.

Então para a liberdade de escolha que eu e ele (conforme a citação) queremos, é necessário o seguinte:

  • Um único formato padrão que obrigatoriamente evolui abertamente. Caso do ODF e que não é o caso do OOXML (porque o OOXML é e sempre será a documentação do que já foi implementado de forma fechada no MS Office).
  • Multitude de ferramentas que suportam, geram e consomem este formato. Caso do ODF, OpenOffice.org, BrOffice.org, Symphony, Abiword, GNumeric, KOffice, Corel Office, etc etc etc; e que não é o caso do OOXML e MS Office.

Claro que alguém pode escolher formatos não-padrão-aberto e suas ferramentas proprietárias por alguma razão técnica ou psicológica não resolvida. Isso também é liberdade. Mas em 2007 já somos bem grandinhos para saber que a longo prazo isso vai lhe trazer falta de interoperabilidade, amarrações comerciais e preços inflexiveis por conseqüência.

O LSD de Tim Maia na Flips

Um dos livros mais divertidos que lí é o Noites Tropicais de Nelson Motta que conta vários lados-B da história da MPB desde a década da Bossa Nova, mais ou menos.

Um dos mais deliciosos é o trecho abaixo, sobre Tim Maia.

Fiquei feliz em ganhar o livro de presente de aniversário este ano. Já tinha lido-o, mas numa cópia emprestada. E é um livro que preciso ter para consultas randômicas, como essa história do Tim Maia.

Noites Tropicais

Tim foi a Londres e se esbaldou. Fumou, cheirou, bebeu, viajou de ácido, ouviu música, brigou com a mulher — tudo muito — e voltou para o Brasil com 200 doses de LSD para distribuir aos amigos. Assim que chegou foi à [gravadora] Philips, que ele chamava de “Flips”, onde visitou diversos departamentos, começando pelos que considerava muito caretas, como contabilidade e jurídico, onde cumprimentava o titular e repetia o mesmo discurso, com voz pausada e amistosa:

“Isto aqui é um LSD, que vai abrir sua cabeça, melhorar a sua vida, fazer de você uma pessoa feliz. É muito simples: não tem contra-indicações, não provoca dependência e só faz bem. Toma-se assim.”

Jogava um ácido na boca e deixava um outro na mesa do funcionário atônito. Como era um dos maiores vendedores de discos da companhia, todo mundo achou graça.[…] E Tim voltou para casa viajandão, dirigindo seu jipe e certo de que tinha salvado a alma da “Flips”.

Um barato, e recomendo a leitura.

BrOffice Chega ao Varejo

Ia a um grande hipermercado na região da avenida Pacaembú em São Paulo quando me deparei com essa loja de Internet no estacionamento. A palavra “compatíveis” me chamou a atenção.

BrOffice em Cybercafés

Entrei para perguntar.

  • — Companheiro, o que é esse Word compatível ?
  • — Ah, é um programa aí que é compati…
  • — Tá, mas qual é o nome desse programa?
  • — É um que chama BrOffice.
  • — Muito obrigado. Tchau.

Se um cybercafé — que ganha a vida só com esse tipo de serviço — pode ser independente o suficiente a ponto de usar somente BrOffice, qualquer um também pode.

Você, usuário de alguma suite de escritório paga, te desafio a usar BrOffice.org, Symphony, Lotus Notes 8 ou qualquer outra suite baseada no OpenOffice.org por duas semanas e ver como se sai.

Microsoft Does Not Own OOXML

This is a reply to David Nielsen’s “OOXML and Microsoft” post. Since comments are closed there, I am writing here.

David, there is nothing wrong in Microsoft opening such an important spec. We should welcome this step. But there are several things that we should take care here:

  1. There is already an approved, open, internationally standardized spec for office documents: ODF. So OOXML can be another spec, but can’t be another standard spec for the same purpose. The standardization push is not welcome. It is simply too late, amongst other issues.
  2. Microsoft opened their spec not because they wanted, but because they needed to, after ODF acceptance as the ISO standard. If Microsoft will be successful in its anti-ODF campaign, they won’t need this openness status any more and I bet OOXML v2 will be closed.
  3. Microsoft does not own the spec. OOXML is Ecma’s document. What MS Office implements is a something that is today compatible with Ecma’s OOXML. But Microsoft already announced they can’t wait for ECMA to add new releases. In fact, there is no guarantee that something like MS Office 14 file format will be open or integrated into ECMA’s OOXML spec. This is an excerpt from Microsoft’s Brian Jones blog and shows how Microsoft does not own OOXML:

    To your last point, it’s hard for Microsoft to commit to what comes out of Ecma in the coming years, because we don’t know what direction they will take the formats. We’ll of course stay active and propose changes based on where we want to go with Office 14. At the end of the day though, the other Ecma members could decide to take the spec in a completely different direction.

  4. Microsoft is trying to fool everybody saying that OOXML is different from ODF. ODF is “a standard for office documents” while OOXML claims to be “a standard for office documents and compatibility with legacy office file formats”, just to not have a 100% overlap. But the “compatibility” part makes no sense because OOXML is textual XML and the legacy formats are binary. OOXML and legacy .doc, .xls, .ppt may have similar organization or structure but is impossible to be “compatible”. But even if OOXML wants to have a relation with legacy, the spec is incomplete and does not provide a mapping like “this OOXML tag is related to that stream of binary bytes in the legacy format”. In the National Bodies meetings to discuss OOXML standardization we proposed to include this mapping (then legacy .doc would become a truly open spec), or remove the compatibility statement from the spec title. If removed, OOXML would still be a beautiful spec, but could not be accepted as an ISO standards because of its full overlapping with ODF.
  5. OOXML reinvents the wheel and has many obscure parts. As a specification, currently OOXML doesn’t have a quality grade to be a standard.

Mandando Ver no Pilates

Acabei de voltar de uma super aula de Pilates !

Não iria fazer vocês, caros leitores, perderem tempo em ler um post sobre isso, se Pilates não fosse algo realmente sensacional.

Uma aula de Pilates

Quando perguntei para a minha namorada qua ktsu era esse negócio de Pilates, ela explicou da forma mais sucinta e precisa possível: é um tipo de yoga ocidental.

Eu sou o maior sedentário de todo o universo conhecido, mas depois de treinar quase desleixadamente por uns poucos meses, sinto me mais forte, fisicamente equilibrado, mais fino, mais forte, mais conciente do meu corpo e com mais vontade da fazer mais.

Funciona assim: faço uma aula por semana, com um professor dedicado para mim e isso me dá deireito a mais uma aula de match, que é grupal, com outros tipos de equipamentos. Então acabam sendo +/- duas aulas por semana.

O foco do Pilates é nos músculos ditos mais importantes do corpo: a barriga e as costas. Se você não os tem, não tem nada.

Pilates tem a ver com cair fichas. Cada professor tem um estilo próprio, foca em pontos sutilmente diferentes e lá vai mais uma ficha caindo. As vezes, parado no meio do corredor e conversando com alguém no trabalho, a simples posição parada, de pé, faz cair outra ficha porque agora meus músculos tem outros estímulos. Essas fichas tem a ver com posições que cansam menos, com músculos que nem sabia que tinha, etc.

Para os sedentários é no mínimo mentalmente muito interessante, e altamente recomendável. Por um sedentário assumido e incorrigível. Bem, quase incorrigível.

Creating OpenSearch plugins for Browsers

I just came across a Mozilla::Developer page that teaches how to let visitors on a site easily add that site’s search function into their browsers as a plugin.

If you are reading this in my blog and you select your browser’s search tool, this is what you’ll see:

OpenSearch option in browser’s tool

You’ll get the option to permanently add my blog’s search function to your browser. If you select it, you’ll have this:

OpenSearch option added to browser’s tool

To make it, I followed the instructions on the first link and created my OpenSearch description file. Look! Technorati, Microsoft, and many others have OpenSearch-enabled websites.

Zeroconf your Network

I remember the days when I was configuring DNS and DHCP for a small home network with only 2 or 3 computers.

This is not needed anymore since the invention of Zeroconf. As Wikipedia says, “is a set of techniques that automatically create a usable IP network without configuration or special servers. This allows inexpert users to connect computers, networked printers, and other items together and expect them to work automatically.”

Zeroconf got my attention when I installed Ubuntu Linux in one of my home PCs and it automatically started to show hostnames instead of IPs of my other home computers on the same DNS-less network. On my other Fedora Linux hosts, I had to manually install the avahi-tools and nss-mdns packages and I got the same functionality — as described in the Fedora Post-Installations Configurations.

Still without a local DNS server, each host can be pinged, SSHed, browsed, SMBed, etc using the hostname.local model, not the their IP anymore. So the machine with hostname floripa broadcasts itself as floripa.local. The same happens for all machines.

But I still missed this functionality when using my laptop booted on Windows. This OS was unable to understand the Zeroronf broadcasts until I installed the Apple implementation for Windows called Bonjour that can be downloaded from here.

To have a better, visual understanding of what Zeroconf can do for you, the Avahi website (Zeroconf implementation on Linux) provides a series of screenshots of regular applications discovering services in the LAN. Most notable is Konqueror — KDE’s file manager — using the zeroconf:/ URL to browse LAN services.

Now I finally know that my home doesn’t need things like Bind/DNS anymore.

Worshiping Joyce in Rio

Some time ago, my New Yorker cousin came to visit Brazil and I wanted to make sure she was leaving with her iPod full of brazilian specialities. A few weeks later we exchanged this conversation by e-mail.

  • “Im listening to music you sent me while writing (I really like Joyce!…although right now im listening to Paulo Bellinati)” — she said
  • Joyce is a godess. I worship her every time I need a good something-between-samba-and-bossa-nova in my ears.”— in my reply

Joyce’s voice singing Bossa-Nova is probably what gets closer to the true spirit of Rio de Janeiro city.

Ipanema beach, Rio de Janeiro

Enough talking. This is some of her works. While listening, close your eyes and imagine a calm sunday walk in Ipanema beach.

(pictures link to the location they where found)

New Laptop

I am sort of away this days because I got a new laptop. Check it out.

Lenovo T61

My previous laptop was a IBM Thinkpad T40, Pentium M, 512MB RAM, 1024×768 screen size, CD-RW, Cisco WiFi/b, no bluetooth. Served me well for 4 years.

The new one is a Lenovo Thinkpad T61, Intel Centrino Pro (dual core), 2GB RAM, 1440×900 screen size, DVD-RW, Intel WiFi/g (see this comment to make it work), bluetooth, integrated SD/Memory Stick/xD/etc card reader, Firewire interface. Much better. Details on Smolt.

I am writing this while Fedora 8 (including some Livna packages) is being installed over the network, as you can see.

Homembit e Seu Novo Blog

Homembit parece nome de super-herói.

Apesar de isso só existir em quadrinhos, há um Homembit circulando entre nós e seus atos tem sido bastante heróicos ultimamente.

Estamos falando de Jomar Silva, diretor da ODF Alliance Brasil, pessoa com quem tive o prazer de trabalhar em diversas frentes, principalmente na saga da definição do voto do Brasil/ABNT no caso OpenXML.

Ele acabou de migrar seus pensamento para algo que finalmente podemos chamar de blog. Como de costume, seu feed está exposto na minha barra lateral e sugiro assinarem.

Se vocês achavam que o meu blog era fonte para as últimas novidades de ODF e padrões, esperem só até ver o dele. Um dos posts mais chocantes ainda está na primeira página, sobre o real compromisso da Microsoft com o OpenXML.

Chico Buarque e Seu Tanto Mar

Quem é que já foi ao bar Bom Motivo em São Paulo e não ouviu a canção Tanto Mar de Chico Buarque? O público no bar se empolga e bate palmas sincronizadamente durante a música. Coisa que só se vê lá.

Este é o video da música:

Poucos sabem que essa canção, que parece ingênua e alegrinha, parabeniza Portugal pela sua Revolução dos Cravos que derrubou a ditadura daquele país.

A letra foi censurada no Brasil porque ela é claramente uma nostalgia antecipada desejando que o mesmo acontecesse por aqui, bem no meio do nosso período de ditadura.

A versão que ouvimos em todo lugar tem uma letra atualizada de um período pós-ditadura. Mas a nostalgia ainda está lá: “Foi bonita a festa pá, fiquei contente. ♫ Ainda guardo renitente um velho cravo para mim. ♫ ”

Segue a letra original da canção, censurada e rara no Brasil.

Sei que estás em festa, pá
Fico contente
E enquanto estou ausente
Guarda um cravo pra mim

Eu queria estar na festa, pá
Com a tua gente
E colher pessoalmente
Uma flor do teu jardim

Sei que há léguas a nos separar
Tanto mar, tanto mar
Sei também que é preciso, pá
Navegar, navegar

Lá faz primavera, pá
Cá estou doente
Manda urgentemente
Algum cheirinho de alecrim

Se você for ao Bom Motivo, se o Luiz estiver ao violão, se tiver sorte, ele vai tocar a versão censurada da canção. Se não tiver sorte, tu podes protestar e pedir que ele toca.

Linux por todo lado

Seguindo o espírito de bisbilhotar os sistemas alheios, este feriado observei mais algumas novidades:

Sabrico Volkswagen
Ajudando minha namorada a comprar carro, observei o uso do emulador de terminal seguro PuTTY na loja da Sabrico. Parece que o sistema de estoque e preços deles é centralizado e acessado por SSH. Apertando o olho em partes da tela, uma barra de status mostrava o logon do vendedor e a palavra “LINUX”, provavelmente para indicar a plataforma daquela sua versão do sistema de gestão. Ou seja, esse sistema crítico roda em Linux na Sabrico e é acessado com segurança usando tecnologias Open Source: SSH.

Hospital São Luiz
Encontrei com um amigo antes de uma aula de Yoga. Começou ter dores fortes e acabei levando-o ao pronto socorro do hospital. Como não tinha muito o que fazer, observei novamente o uso do PuTTY nos PCs da sala de enfermagem. No conteúdo da tela não havia muitos indícios de o servidor acessado rodar Linux, mas julguei que a probabilidade era altíssima. Outra coisa que me chamou a atenção foi o nome do servidor acessado pelo PuTTY: SRVIBM. Mais chance ainda de ser Linux, porque todos os servidores da IBM suportam este SO. Agora, há uso mais crítico para Linux do que em um renomado pronto socorro ?

Houve uma época em que empresas gastavam fortunas com licensas de emuladores de terminal, para acessarem seus servidores UNIX. Ah, e eles eram inseguros e sem criptografia, usando telnet puro e simples. Hoje Open Source está, com segurança, de ponta a ponta: do servidor ao emulador. Soluções de segurança são importantes o suficiente para terem que ser um commodity: devem ser baratas e fáceis de usar por toda parte. E o movimento Open Source tem o mérito de ter barateado e “commoditizado” esse mercado.

Parabéns às duas empresas !

E você? Onde mais tem visto o uso de Linux?

BlogPlex IBM

Tenho lido os bloggers da IBM todos agregados em um BlogPlex. Tem um time fera ali:

  • Cezar Taurion. Analisando com insights refrescantes simplesmente tudo o que acontece em TI. Open Source, Second Life, Web 2.0, Grid, Mobilidade, ODF.
  • Mario Costa. Web 2.0, colaboração e ferramentas, ODF.
  • Carlos Sena. Web 2.0, colaboração, ferramentas para gerir portais e dicas muito interessantes.
  • Edson Oliveira. Ferramentas Lotus.
  • Avi Alkalay. Eu pego carona na sabedoria deles e falo de mais de tudo um pouco. A facção TI do meu blog é agregada no BlogPlex.

Não deixem de conferir.

Cerveja Que Late Não Morde

Ainda da série traduções espetaculares, tem também esta foto de um cardápio onde o proprietário do estabelecimento se preocupou em traduzir algumas palavras para que turistas não se percam. Não sei se funcionou.

Cerveja que late

Juro que não coleciono essas coisas. Simplesmente aparecem na minha frente.

Esta, um amigo que acabou de voltar do Nordeste me mandou. Segundo ele, é do cardápio do restaurante Canion, na praia de Coqueirinhos, localizada ao sul de João Pessoa, Paraíba. Devem ter usado essas ferramentas de tradução online.

Coloque-se no lugar de um turista que não fala português e vai ler este cardápio. Acho que eu sairia correndo.

Please Encrypt Your BitTorrent Client !

Some evil ISPs implement traffic shaping to specifically limit BitTorrent bandwidth. This brings slower downloads to you and your peer.

All modern BitTorrent clients have encryption capabilities but most of them came disabled by default.

Please configure your client to encrypt connections. You will have faster downloads even if your ISP does not limit your traffic, but because your peer’s ISP does that.

By the way, today I started to use the ultimate BitTorrent client for Linux, BSD and UNIX: rTorrent. It is text and console-based, superlight, superfast, runs very well in my K7/192MB machine, accessible from anywhere through SSH and a screen window.

To install it:

Debian: bash$ sudo apt-get install rtorrent
Fedora/Red Hat: bash$ sudo yum -y install rtorrent

To enable encription I added this line to ~/.rtorrent.rc:

encryption=allow_incoming,try_outgoing,enable_retry

Linux no SERPRO

Não é novidade para ninguém que o SERPRO usa Linux massivamente.

Mas só para constar, hoje fui na unidade de São Paulo e logo na recepção, o PC da moça do cracha rodava Linux. Bisbilhotando a tela, vi no taskbar o Firefox, Thunderbird e a aplicação que cadastrava visitantes rodava dentro do Lotus Notes, tudo sobre Linux e KDE.

Na sala de conferências, o PC disponível para os apresentadores também rodava Linux e as apresentações eram esperadas no formato ODF.

Parabéns SERPRO.

Mobile Codes for Increased Productivity

Man, this is the coolest thing I discovered this month.

Before what I am going to show you now, the only ways to transfer data from your computer to your mobile device was to send an e-mail to yourself and read it in your cell, or through bluetooth, or infrared.

There is a new thing (for me) called Mobile Codes (or QR Codes according to Wikipedia, or Datamatrix) that combined with your mobile’s camera and simple software, will let you actually read the content from your computer screen.

OK, lets explain it with some images to make the concept more user-friendly. Look at the following image.

Think Open :: Think Linux

Yes, I know the image says nothing to you, but your camara-equiped mobile device is able to read “Think Open :: Think Linux”.

We can play with more stuff. The URL for this blog post is here (with a note attached):

http://avi.alkalay.net/2007/11/mobile-codes.html

Lets add some semantics. You can directly call an international number as 00551112345678 using the following barcode:

qrcode

Or SMS “Hi, I just discovered this barcodes that will make my life easier” to same number with this code:

qrcode

The Details

Some modern Nokia phones already come with the software needed to decode this datamatrix. For my Nokia E61i to work, I installed on it a free (registration required) program called Kaywa Reader (their site doesn’t list my model so I selected E65 and it worked fine). So I just shoot the software, point my mobile’s camera to the datamatrix and it instantly decodes the content.

To generate this images, I used the QR Code Generator by Winksite and the Nokia mobile code generator. In fact it all started when I found the Nokia Mobile Code website, almost by an accident.

Oh, and there is a handy Mobile Barcoder Firefox plugin to help me transfer URLs from browser to cellphone.

Install in your cellphone and have fun.

The iPhone Accelerometer

A sophisticated mobile device can do more than just play MP3s or make calls.

I had a lunch with a friend that hacked his iPhone to work in Brazil. Many people are doing that (or paying somebody to do it for them) around here. And he showed me something very interesting.

The component that causes the screen to rotate based on the position of the iPhone is called Accelerometer, and it can do much more than that. It can provide programs the spatial position of the device.

Same accelerometers were used in IBM laptops to stop and protect hard drives if the user is shaking the computer too much.

Watch the following video I just made at lunch. It shows an old mechanical game that we all played when we were kids to learn about gravity, control and concentration. Now in the iPhone.

The game objective is to change the angle of the “table” to let the gravity make the ball move to the desired position. Thanks to the embedded accelerometer and fast graphics processor, the game feels very real.

Voltando às Raizes na UNESP Rio Claro

Tive a honra de ser convidado a palestrar sobre ODF no SECCOMP — evento de TI da UNESP Rio Claro. A coincidência é que eu mesmo me formei naquele curso, naquele campus, 12 anos atrás.

Já rodei o Brasil visitando diversas universidades de tecnologia e é bom ver como o nível do curso de Ciências da Computação da UNESP Rio Claro ainda está entre os mais a altos do país, ainda mais nesses tempos em que universidades (particulares) aceitam alunos sem nem sequer prestaram vestibular.

No meu tempo, o campus era conhecido por seu enfoque em hardware e robótica. Hoje os alunos mostravam cartazes sobre diversos trabalhos orientados a Web Services, posicionamento geográfico, aplicações distribuidas, mídia, etc.

Os alunos nem sabiam do antigo e esquecido foco em robótica. Tudo mudou porque entre o meu tempo e os dias de hoje, houve um divisor de águas gigantesco: surgiu a Internet, que aumentou o interesse em padrões, interoperabilidade etc.

A palestra foi sobre o Formato OpenDocumet e muitos alunos já conheciam e estavam engajados nesse assunto. Foi legal conectar idéias de ODF com a Web 2.0, evolução das comunidades e Open Source.

A certa altura, perguntei no auditório quais linguagens os alunos conheciam. Fiquei pasmo em observar que a linguagem oficial ainda é Pascal estruturado. É claro que os autodidatas depois (ou antes) se aventuram por C++, Java e outras.

Mas em pleno 2007, época em que Programação Orientada a Objetos reina absoluta em qualquer ambiente de desenvolvimento profissional, o primeiro contato dos universitários não pode mais ser só com Programação Estruturada. Hoje, POO já tem novos aliados como Programação Orientada a Aspectos e outras.

Isso é na verdade culpa da grade aprovada no MEC ou outras burocracias deste tipo. Para mudá-la, os estudantes devem se unir, tomar a mão dos professores e pedir a mudança dessa grade.

Vamos fundar o movimento Crie Objetos Já !

Android and the Open Handset Alliance

I like this kind of announcements and alliances. Makes me feel that openness and the right things can be successful.

Open Handset Alliance

The Android (formerly GPhone) platform (or parts of it) will compete with Windows Mobile, Symbian, S60, QTopia and other Open Source initiatives as Open Moko.

For developers there is nothing to download yet (expected for November 12).

Currently there is no single mobile platform that makes me truly happy. Symbian+S60 is the most advanced but still very proprietary. Windows Mobile seems to have a great future, and all Open Source initiatives are currently mediocre. Access (former Palm Source) is also going towards Linux but still feels proprietary.

If Android takes off — I mean, in a mature way — we will have the chance to use mobile devices as our computers: installing whatever OS we want.

I wish to welcome the OHA initiative and hope they can learn from the problems and mistakes of the GNU/Linux community to avoid them: ecosystem fragmentation because of too much platform packaging (a.k.a. too many distributions), overall lack of project management with architectural vision, too much religion, lack of true integration between different software components (because there is no real cross architectural vision), and lack of true support from proprietary hardware components manufacturers (a.k.a. lack of descent device drivers).

From the list of alliance members I miss names like Nokia, Red Hat (as a big Java player) and IBM. But I believe this is question of time.

Jogo Sobre !

Adivinha qual é o texto que aparece quando você perde o jogo Brick Breaker em um Blackberry 8700 configurado em Português ? Blackberry 8700

Vou dar outra chance, para você ver mais de perto.

Se te pedissem para traduzir “Game Over” ao pé da letra, palavra por palavra, o que você diria?

Jogo Sobre !

Game Over:Jogo Sobre

Apesar do FUD na Mídia, ODF Está Vencendo

Graças a algumas notícias rasas e um tanto irresponsáveis que andaram saindo na mídia brasileira e internacional sobre um tal “abandono do ODF pelos seus criadores”, algumas pessoas ficaram confusas. Saibam que é tudo distorção de fatos.

Aconteceu que a OpenDocument Foundation, que não criou o ODF, começou a se interessar por uma tecnologia do W3C chamada CDF, que é interessante mas bastante imatura ainda. Fiz uma análise mais técnica no post anterior.

Jomar — o homembit — da ODF Alliance Brasil também fez alguns comentários em um artigo na SoftwareLivre.org e em seu blog.

Nos e-mails que andaram circulando por aqui sobre o assunto, um bem interessante foi o do Roberto Salomon, integrante ativo da ONG BrOffice.org, que me liberou um Ctrl-C+Ctrl-V para cá.

De: Roberto Salmon (Arquiteto de TI na IBM Brasil e integrante do BrOffice.org)
Data: 05/11/2007 15:03
Assunto: Re: ODF abandona apoio a padrão próprio

Li essa notícia mas não fiquei tão surpreso quanto outros com a súbita mudança de opinião da OpenDocument Foundation. Em especial com o novo posicionamento do Gary e do Sam (com quem troquei muitos e-mails no passado). Acho que no novo posicionamento reflete um ressentimento pessoal e não uma posição técnica.

Apesar do nome, a OpenDocument Foundation foi criada para acobertar um projeto comercial que seria constituído no plug-in “DaVinci” que seria capaz de dar ao MS Office a capacidade de ler e gravar arquivos ODF de forma transparente e com total fidelidade de formato. Este plug-in foi anunciado, alardeado mas nunca mostrado e nem teve o seu código liberado.

Em pouco tempo, no entanto, o Sam descobriu que não havia financiadores disponíveis para custear o projeto. Os grandes, em especial a Sun, ou se posicionavam por um modelo 100% ODF nativo ou produziram seus próprios plug-ins. Estas ações derrubaram a possibilidade da OpenDocument Foundation se estabelecer como a referência para a conversão de documentos.

Apesar do nome, a OpenDocument Foundation nunca foi uma organização oficial do ODF. Lembre-se que o padrão é mantido pelo Consórcio OASIS e não pela fundação.

A declaração do Gary, citada como sendo “A verdade é que o OpenDocument nunca foi concebido para atender às exigências de mercado”, na verdade foi a de que o ODF não foi pensado para atender às exigências de interoperabilidade impostas pela Microsoft com a sua “convergência” para o OOXML. Isso é fato. A função do ODF não é ser compatível com o MS Office, na verdade, o ODF deve ser implementado por produtos e não se dobrar às peculiaridades de cada fornecedor de software.

Dizer que o ODF reflete a maneira como o OpenOffice.org faz as coisas é no mínimo desconsiderar os anos de discussão onde Boeing, o Estado de Massachussets, IBM, Sun e outras entidades definiram o que hoje é o ODF.

Infelizmente, acho que esta nota é o canto do cisne de quem já foi um grande incentivador mas que resolveu sair atirando por não contar mais com apoio nem da comunidade nem das empresas que um dia lhe deram atenção.

Só complementando, o Rob Weir tem um comentário que vale a pena no seu blog: http://www.robweir.com/blog/2007/10/cracks-in-foundation.html

Um apelo à mídia: por favor exercitem sua responsabilidade tradicional que sempre demonstraram e pesquisem mais sobre o assunto, ouvindo outras fontes e outras opiniões antes de escrever algo tão sensacionalista como aquela matéria.

ODF versus CDF

There are some news popping on the web about ODF to be substituted by W3C’s Compound Document Formats.

Read them carefully, read other sources too and try to understand first before making judgements.

Entities like OpenDocument Foundation are switching opinions in a quest for some sort of Universal Format, that still doesn’t exist, promoting CDF.

CDF is a W3C specification about mixing various XML idioms in one document. Things like SVG or MathML inside XHTML, etc. It is a good thing and an inevitable consequence of XML per se.

In my opinion, CDF is more suited to be used in web browsers and online. Some of its sub-specifications are still unifinished or incomplete — as CSS3, required for essential things like pagination.

The most irritating statement by OpenDocument Foundation is a chart from their site that says some several bizarre things:

  • OOXML would be compatible with legacy MS formats. If they can explain how a textual XML format can be compatible with a binary-only one I can accept it. Well, I won’t because I know they can’t.
  • CDF would be compatible with legacy MS formats. This is even worse. While a OOXML document may have same structure as its MS legacy binary equivalent, CDF is still completely different, built on top of technologies created for completely different purposes. If even OOXML can’t be compatible, CDF for sure isn’t compatible too. This is just a CDF-overselling incorrect argument.
  • ODF does not have an interoperability framework. What an “interoperability framework” means for people that does not even understand what is compatibility? In the Open Standards era, the proper use of them is already a simple path to interoperability. Want more sophisticated ways? Build tools around these Open Standards and you are done.
  • CDF would be big vendor-independent. That’s OK if W3C wants to stay independent. But CDF will go nowhere if no big vendor adopts it. And to be a real viable alternative to ODF it must prove its value to these big vendors.
  • ODF does not converges desktop, server, web and devices. Just one example that kills this argument is Google Docs. They are making a good (server) job letting (web) users upload, edit, maintain and download ODF documents. Google Docs is starting to be available for mobile devices too.

There are some people playing with CDF, mostly developers. Nice articles can be found in IBM developerWorks about it.

A successful format also needs user friendly software that implements it, cause I don’t expect my mother to write rich CDF docs in Notepad. That’s were the importance of OpenOffice.org (and all its derivatives) appear to help the ODF ecosystem.

So yes, use CDF to make great standards-oriented web pages, instead of proprietary Flash or Silverlight. But to say that CDF can be a universal format for office applications and documents is to overload the technology a little bit.

iPhone no Brasil

Parece que o iPhone está invadindo o Brasil. Não há acordos comerciais entre Apple e AT&T que segurem o desejo das pessoas por objetos de desejo. E cá entre nós, o iPhone é um objeto de desejo responsa.

Já vi alguém ostentando um em um restaurante, outro de um amigo arquiteto que comprou nos EUA e mandou desbloquear por R$200.

E hoje mesmo no trabalho um aficionado me mostrou seu novo iPhone de 8GB que comprou por US$299 e desbloqueou sozinho com um certo software chamado anySIM. Contou que há alguns métodos de desbloqueio, todos gratuitos. Há também um tipo de serviço pago que garante desbloquear sempre que houverem atualizações de firmware.

Na hora do almoço flagrei uma colega nada geek saindo do elevador com um iPhone na mão. Certeza que foi o marido geek dela que desbloqueou.

Não é a toa que o primeiro presidente da IBM — Thomas Watson — já dizia “Good Design is Good Business” incentivando edifícios com boa arquitetura etc. A Apple investiu todas as suas fichas em usabilidade e produtos muitíssimo bem acabados e conquistou o mundo.

Semanas atrás foi anunciado que a Apple atingiu um valor de mercado maior que a própria IBM.