Blog Tecnologia e Educação

Será lançada, em janeiro de 2010, uma novidade tecnológica genuinamente brasileira que promete avanços no processo de ensino-aprendizagem do país e, possivelmente, do mundo. Trata-se de um novo ambiente virtual, chamado Com8s – uma alusão à palavra inglesa “comates”, que significa colegas – que centraliza diversos aplicativos web em um único lugar, melhorando a comunicação e interação entre professores e alunos.

Com8s - Tecnologia brasileira à serviço da Educação

A ferramenta, que também pode ser utilizada por qualquer usuário da Internet, é voltada para o segmento educacional e permite que professores e alunos compartilhem e editem conteúdos, criem grupos de estudo e fóruns, realizem provas, pesquisas, enquetes e videoconferências em tempo real, a qualquer momento, fora da sala aula. Desta forma, estudantes e docentes podem intensificar seus relacionamentos, visto que a maioria dos jovens passa boa parte do tempo navegando na Internet.

Interface do Com8s

A novidade é um salto ousado no âmbito tecnológico e educacional do país, pois, sendo gratuita, incentiva a democratização do acesso aos serviços web de qualidade, além de aproximar os alunos dos seus mestres. Atualmente é possível cadastrar-se no site do Com8s, no entanto, somente no final de janeiro ele estará disponível para utilização, já em diversos idiomas.

Se você mantém um blog, uma de suas atividades é verificar o tamanho do sucesso que seu blog faz em diversas ferramentas de busca. Ser encontrado no Google, Yahoo, Orkut, Facebook ou Twitter é uma forma de obter visitas e ser reconhecido.

Hoje em dia temos o Twitter como uma das grandes ferramentas de comunicação e relacionamento. Conseguir emplacar um link para seu blog no Twitter é uma boa fonte para seu blog ou site.

Topsy

Um bom site para ver como anda sua popularidade no Twitter é o Topsy. Entre no site e faça uma busca para ver os resultados desta busca no Twitter.

Mas para saber sobre o seu blog, faça o seguinte: pesquise pelo endereço de seu blog, digitando “site:” antes do endereço. Por exemplo, você pode digitar na busca por algo como “site:blog.cidandrade.pro.br“. À esquerda dos resultados é possível filtrar o período dos resultados entre sempre, mês, semana, dia ou hora. À direita você pode encontrar os usuários do Twitter que mais citaram links para seu blog. E na parte superior é possível enviar para o próprio Twitter o resultado de sua busca.

Alguns leitores falaram comigo sobre a dificuldade de obter fotos de cantoras e cantores famosos, nacionais ou internacionais.

Pois eu tenho uma dica simples que atende a esta necessidade ou a buscas semelhantes como de atores e atrizes ou qualquer tipo de celebridade.

Tutorial

O primeiro passo é entrar no Google Images.

Google Images

Faça a busca que desejar. Eu tenho algumas dicas

• cantoras
• cantores
• cantoras famosas
• cantores famosos
• cantoras internacionais
• atrizes
• atores
• atrizes famosas
• cantoras negras
• cantoras americanas
• atrizes negras
• celebridades internacionais
• celebridades ruivas

E todo tipo de combinação que possa ser imaginada. No meu teste eu digitei “cantoras” e clique no botão “Pesquisar Imagens”.

Ao obter o resultado, clique em “Mostrar Opções”.

Mostrar Opções no Google Images

Você pode fazer experiências com as opções que aparecerem. No momento o que nós queremos e clicar nas opções “Rosto” ou “Foto”.

Opções do Google Images

Dependendo de seu objetivo, pode ser útil restringir a busca a imagens que você possa utilizar sem restrições. Para tal clique em “Pesquisa Avançada de Imagens” e procure a melhor opção para você na caixa “Direitos de Uso”.

Pesquisa Avançada

Aliás, fico muito feliz em ver que o rosto de cantora em destaque é o da Joss Stone, uma das cantoras mais bonitas do mundo.

Joss Stone

SQL Injection é uma técnica para obter dados ou acesso a aplicações que utilizam bancos de dados. Esta técnica utiliza a inserção de códigos SQL em formulários de páginas de Internet.

Ao inserir texto em campos como de nome de usuário ou senhas, ele geralmente é inserido em expressões SQL e checados em um banco de dados. O acesso à aplicação é concedido ou não, dependendo do resultado da execução da expressão SQL.

É comum que um teste deste tipo ocorra com uma instrução SQL como

SELECT * FROM Usuarios WHERE nome = 'nomedousuario' AND senha = 'senhadousuario'

Esta instruções só retornaria algum registro se a combinação de nome de usuário e senha combinar com os valores inseridos no banco de dados. O acesso seria concedido se algum registro retornasse ao se realizar esta consulta.

Imagine que alguém conseguisse executar uma instrução como

SELECT * FROM Usuarios WHERE nome = 'nomedousuario' AND senha = 'senhadousuario' OR 1=1

Neste caso todos os registros seriam retornados e o acesso seria concedido. O problema para forçar a execução desta instrução é o uso das aspas. Contudo, em uma instrução SQL, tudo o que vier após algum símbolo que indique comentário será ignorado. Dependendo do SGBD é possível utilizar símbolos como dois hífens (‘–’) ou o sustenido (‘#’) Então basta inserir uma aspa e uma instrução que sempre seja considerada como TRUE e os dois hífens para obter concessão de acesso. Por exemplo, ao digitar

' OR 1=1 --

como nome de usuário, a expressão SQL ficaria assim

SELECT * FROM Usuarios WHERE nome = '' OR 1=1 --' AND senha = 'senhadousuario'

concedendo acesso ao aplicativo sempre, sem nem mesmo precisar digitar a senha.

Outra forma de obter acesso é tentar passar como um usuário com acesso privilegiado, como ‘admin’. Entrar com

admin' --

no campo de nome de usuário deve ser suficiente para obter acesso aos sistemas e com privilégios de administrador! Este é um excelente motivo para você alterar o nome do usuário de administração padrão de sistemas adquiridos de terceiros ou de não usar contas de administração com nomes previsíveis.

Ataques mais destruidores podem ser executados em sistemas especialmente frágeis. Imagine que alguém digite em um formulário de login algo como

' OR 1=1 ; Drop table Usuarios --

Além da concessão de acesso o hacker conseguiria também remover uma tabela importante. Dependendo do sistema ele poderia tentar outros nomes de tabela como Clientes. Os ataques feitos sem pleno conhecimento da estrutura do banco de dados podem ser chamados também de Blind SQL Injection.

Veja que não comentamos aqui sobre a possibilidade de realizar SQL Injection diretamente na URL, mas estamos pressupondo que ao menos os desenvolvedores não utilizem o método GET em formulários de login.

Se quiser saber mais sobre técnicas simples de ataques na web, leia algo mais no CMS Wire ou no UnixWiz.

Soluções

Diversas soluções podem ser utilizadas para impedir um ataque por SQL Injection.

Uma delas é utilizar a função mysql_real_escape_string do PHP para tratar os caracteres especiais. Outra forma é o uso de Prepared Statements. O efeito é semelhante ao tratamento de caracteres especiais. O uso destas técnicas combinadas com a aplicação de Stored Procedures, pode aumentar ainda mais a segurança e desempenho de sua aplicação.

Teste

Vejamos um rápido tutorial de como realizar e proteger-se de um Blind SQL Injection.

Para testar a SQL Injection, criei um banco de dados “Teste” em MySQL com uma tabela “Usuarios” que contém dois campos: “Usuario” e “Senha”. Parece-nos familiar, não? O primeiro registro desta tabela é do usuário “admin” e senha “123456″. Foi inserido também o usuário “user” com senha “888888″.

A página “login.php” contém três formulários. O primeiro acessa uma página sem nenhum tipo de proteção. O segundo envia os dados para uma página que utiliza mysql_real_escape_string e o terceiro utiliza a técnica de Prepared Statements. A página “acesso.php” trata os dados enviados pela “login.php” de forma simples. A página “acesso2.php” utiliza a função de tratamento de caracteres especiais e “acesso3.php” utiliza Prepared Statements.

Digite

' OR 1=1 #

no campo de nome de usuário do login.php e veja como pode ser fácil acessar este “sistema”.

Outro teste pode ser feito digitando-se no mesmo campo

admin' #

Arquivos do teste podem ser obtidos clicando aqui..

Há anos este blog vem falando da Lei do Aprendiz. Aproveito então para divulgar o Programa Aprendiz Legal.

Este programa foi criado pela Fundação Roberto Marinho, em parceira com a Petrobrás.

O Aprendiz Legal é um programa de aprendizagem com foco na “preparação e inserção de jovens no mundo do trabalho”.

Para participar, basta entrar em contato com as instituições educacionais licenciadas pela Fundação Roberto Marinho em seu estado. Em São Paulo, por exemplo, temos o CIEE. Para encontrar as instituições entre no site do Aprendiz Legal e clique em “Como Participar” no menu superior.

Boa sorte!

O Nokia N900 é a evolução dos smartphones da Nokia e considerado por muitos mais do que um smartphone. Ele já passa a ser considerado mais como um dispositivo de Internet.

Nokia N900

Ele possui um excelente navegador de Internet, rodando sobre o Maemo, um sistema operacional baseado em Linux. O tamanho deste aparelho é um de seus destaques

Nokia N900 - Fonte: CNS Interactive

A tela sensível ao toque (touchscreen) de 3,5″ tem resolução de 800×480. Outra boa característica é o teclado QWERTY.

A Elecom lançou uma nova série de fones de ouvido (tipo earphone) no formato de pequenas pílulas. Trata-se da série Sundries Drugs Elecom.

Estes fones de ouvido estão disponíveis em 8 diferentes cores.

Veja-os!

Sundries Drugs Elecom: Fones de ouvido no formato de pílulas

Este artigo é curto e serve apenas para comunicar duas mudanças na blogosfera

A primeira é que o blog Música 21 foi fechado. A outra é que agora tenho um novo blog: Hospedagem de Sites Grátis.

Espero sua visita

Há algumas semanas que eu vinha sentindo a necessidade de incorporar acesso móvel à Internet em meu notebook com Ubuntu Linux. Vejamos então como foi o processo para utilizar o penmodem 3G ZTE MF100 da Vivo no Ubuntu 9.10 (Karmic Koala).

Após uma pesquisa inicial na Internet, optei por testar o suporte e o nível de conhecimento das operadoras sobre o uso de penmodem 3G no Ubuntu. Eu já havia certificado-me que os penmodem de todas operadoras poderiam ser utilizados no Ubuntu 9.10, em geral. Visitei lojas das quatro operadoras de São Paulo (Oi, Vivo, Claro e Tim) no Shopping Center Anália Franco e mais uma loja associada à Vivo. Atendentes de três operadoras foram categóricos em dizer que seus penmodem não funcionariam com Linux. Estavam errados! Em uma delas, era possível ver a referência de suporte ao Linux na caixa do penmodem que estava na vitrine. Na loja da Vivo um funcionário afirmou que tinha um modelo de penmodem que funcionaria com Linux, mas não passou segurança sofre a afirmação.

Apenas na CommCenter encontrei quem estivesse seguro do uso do penmodem com Linux, embora tivesse sido advertido que seria conveniente ter um bom conhecimento do sistema operacional. Outra vantagem desta loja foi a grande oferta de modelos e fabricantes de penmodem.

Em seguida fui pesquisar a área de cobertura e a satisfação dos usuários com as operadoras. A única área de cobertura diferenciada era a da Vivo, com a qual os usuários pareciam satisfeitos, tanto em análises de sites como em pesquisas no Twitter.

O próximo passo foi pesquisar os planos de 3G das quatro operadoras. A melhor opção era a da Oi, seguida de perto pela Vivo.

Depois destas pesquisas, minha opção foi pelo penmodem ZTE MF100 da Vivo, que adquiri na CommCenter.

Instalado o Ubuntu 9.10 nos três computadores de casa, fiz testes com roteiros de instalação e configuração que encontrei pela Internet. A imensa maioria destes roteiros tinham código demais e arquivos demais para o meu gosto. Consegui configurar o penmodem de maneira muito mais fácil.

Abri o Synaptic para instalar o gnome-ppp. Feita esta instalação, conectei o penmodem na porta USB. Ao aparecer o ícone ZTEModem, abri o ícone, fui à pasta do Linux e copiei o arquivo VivoBra_LinuxUI.tar.gz para meu diretório /tmp. Cliquei com o botão direito do mouse sobre o ícone ZTEModem e ejetei-o.

No diretório /tmp, descompactei o arquivo copiado. Abri um terminal (sim, não foi possível escapar dele) e digitei os comandos

cd /tmp/LinuxUI && sudo ./install.sh

Quando solicitado, pressionei uma tecla qualquer. Não impressione-se com a mensagem de erro ao final do processo. Reiniciei o computador para testar o resultado.

Inseri o penmodem, ejetei o ícone do ZTEModem e já surgiu uma tela para autorizar o acesso ao chaveiro de senhas.

Para completar o processo, cliquei em ALT+F2 e digitei o comando

gksudo gedit /etc/resolv.conf

Inseri os dois servidores DNS do Google, inserindo neste arquivo as linhas

nameserver 8.8.8.8
nameserver 8.8.4.4

Pronto! Basta agora inserir o penmodem quando desejar e ter acesso à Internet pela rede 3G da Vivo.