A visualizar apenas posts da categoria Sem Categoria

A tua password é segura? Se tem 6 caracteres com letras maiúsculas, minúsculas e números então alguém com uma simples Radeon HD 5770 consegue descobrir a tua palavra-passe em menos de 5 segundos.

Mas decorar uma password complexa é impossível, por isso aqui ficam umas dicas para escolher palavras-passe seguras.

Palavras-Passe seguras

Actualmente com uma simples placa gráfica e o ighashgpu é possível descobrir passwords “complexas” em pouco tempo. A capacidade de processamento de um GPU é muito superior ao de um CPU, enquanto que um CPU iria demorar 17 segundos a descodificar uma password como pYDbL6, um GPU precisa de apenas 4 segundos com o ighashgpu.

E como é que isto te afecta? Bom, nem todos os sites onde usas passwords encriptam estes dados de forma segura. Existem programadores desleixados que guardam as passwords em texto ou apenas encriptam com md5, e contra mim falo que já fiz os mesmos erros.

Não tens maneira de saber se o site onde te estás a registar é seguro (excepto se o indicarem na politica de privacidade por exemplo), então o melhor é tomarmos medidas preventivas para evitar que os teus dados sejam usados por terceiros.

Usar palavras-passe seguras

O primeiro passo é criar uma palavra-passe segura e complexa. Actualmente uma password com 8 caracteres pode ser considerada obsoleta, mas o nosso cérebro não é bom a decorar passwords. UJ7&f-{)Yi54ut é uma boa password, mas quem é que vai decorar algo tão complexo?

É por isso que sou adepto das passprhases, por exemplo Eu vi um Sapo, tralalala… é bastante simples de escrever e de decorar. Mas estou a usar palavras que vêm num dicionário e isso vai contra tudo o que leste na net. É verdade, se usares frases comuns como I have a dream! ou nomes de músicas como Gangnam Style estão a facilitar a vida dos hackers. Mas qual acham que é a password mais segura?

UJ7&f-{)Yi54ut equivale a uma protecção de 89 bits enquanto que Eu vi um Sapo, tralalala… equivale a uma protecção de 120 bits. A diferença são vários anos entre elas para crackar e não precisam de a escrever num papel.

O ideal é usar uma frase que seja fácil de lembrar e que seja especifico a ti mas que não seja fácil de adivinhar por outras pessoas. Por exemplo, uma boa passphrase para o Hélio Imaginário seria O medo a mim não me assiste! com uma segurança de 135 bits, mas como o seu vídeo tornou-se viral já não é boa ideia ;)

Sites que não aceitam a minha password

Nem todos os sites aceitam passwords com espaços e aplicam limites máximos ao tamanho de uma password, o que complica a tarefa de criar uma passphrase. Aqui podemos criar a password EuviumSapo,tralalala… que tem um nível de protecção de 107 bits por exemplo. Mas isto só se aplica se quisermos memorizar a password na nossa cabeça.

Uma palavra-passe para cada site

O ideal em termos de segurança é ter uma palavra-passe para cada site. É impossível memorizar tanta palavra-passe, mas podemos usar aplicações que facilitam esta gestão. Por exemplo o Opera tem um gestor de passwords que memoriza e encripta as passwords de vários sites em 3DES e ainda permite sincronizar essa informação entre computadores com o Opera Link.

Existe ainda o LastPass que faz uma gestão semelhante e tem plug-ins para vários browsers, incluindo Apps para Android, Windows Phone 7 e iOS. Se não confias em ter a tua password online podes usar o KeePass que tem um nível de segurança surpreendente.

Assim apenas necessitas de memorizar uma passphrase e podes gerar passwords aleatórias para cada site sem necessitar de saber quais são.

E porque é isto importante?

Vamos supor que usas em todo o lado a password password123 e um desses sites com a tua informação pessoal (email, username) é atacado. A partir daqui os teus dados podem ser usados para aceder a outros serviços como a tua conta de email ou o teu perfil do Facebook.

Se por acaso souberes que existiu um ataque e fores informado disso vais ter que andar a alterar todas as tuas passwords. Se tiveres uma password por site apenas tens que criar uma nova password para aquele site, e ao usares uma password complexa tens uma garantia que esta não será decriptada tão facilmente.

É impossível melhorares a forma como fazes um site se continuares a fazer os mesmos erros vezes sem conta. Se o teu site ainda tem alguns destes 5 sinais então provavelmente ele pertence à década passada.

Site típico do final dos anos 90

1) Introduções em Flash
1999 telefonou, eles querem a introdução em Flash de volta. O teu site não é nenhum filme que precise de uma introdução, e se vais fazer os teus utilizadores esperar mais de 3 segundos para conseguir ver o conteúdo do site eles vão-se embora.

2) Sites totalmente em Flash
Um site todo em Flash faz todo o sentido em conteúdos interactivos como um jogo para crianças, um simulador de um telemóvel ou um configurador que permita ver o interior e exterior do carro a 360º (embora existam alternativas actualmente). Se usas o Flash apenas para fazer alguns efeitos ou porque “é fixe” então estás mais de 10 anos atrasado.

3) Contadores com o número de visitas
Se tens um contador de visitas visível no teu site então deves ser um verdadeiro dinossauro da Internet, principalmente se o teu contador for da Bravenet. Passa a usar o Google Analytics e controla quem realmente visita o teu site. Ah, e sabes o significado de Hits? HITS: How Idiots Track Sucess.

4) Múltiplos scripts
Nada melhor para melhorar um site do que ter múltiplos scripts que em nada melhoram a experiência do utilizador. É giro entrar no site de uma empresa que vende alfaces e ter um livro de visitas, um script que mostra onde me encontro e o browser que uso (wow, eu não fazia a mínima ideia que estava em casa a usar o Opera, obrigado site!) e um script de suporte online que está sempre offline.

5) Música de fundo
Será que entrei num elevador? Normalmente num elevador a música é calma… Ah espera, é mesmo o teu site! Entrar num site e levar com música ou outros sons é mau. Imagina que sempre que entras no Google começava a tocar alto e bom som A Cabritinha do Quim Barreiros, podes ter a certeza que o Bing passava a ser o motor de busca mais utilizado.

O Google+ (ou Plus) é a nova rede social do Google. Ao contrário do Buzz que teve poucos utilizadores, o Google+ está bem integrado em todos os produtos do Google e tem tudo a seu favor para ser um sucesso.

Google Plus

Existem boas ideias vindas do Google, mas a sua execução nem sempre é a melhor. O Google Wave é um exemplo do que o email deveria ser actualmente, mas em vez de ser um produto à parte deveria estar integrado no GMail. Assim acabou por falhar.

Com o Google+ este erro foi ultrapassado e o serviço está devidamente integrado em todas as aplicações do Google. Mas o que afinal trás a mais o Google+ em relação a outras redes sociais?

Tem um aspecto sóbrio e profissional como o LinkedIn, permite que qualquer pessoa nos siga sem a nossa permissão como o Twitter mas permite que o nosso conteúdo seja partilhado apenas com quem queremos através de círculos.

O que me levou a aderir ao Google+ foi mesmo isso. Se eu quiser partilhar algo a nível público, como este post, posso-o fazer e toda a gente consegue ver este conteúdo. Se eu quiser partilhar umas fotos de uma viagem que fiz com um grupo de amigos posso partilhar apenas com o círculo que contém aqueles amigos e mais ninguém irá ver aquele conteúdo.

Por exemplo, se visitarem o meu perfil do Google+ apenas vão ver alguns posts que coloquei noutro blog, mas se o vosso perfil estiver no meu círculo de amigos já têm acesso às fotos da viagem. Isto faz sentido porque eu não quero partilhar com toda a gente conteúdo que possa ser pessoal ou de interesse apenas a um número de pessoas limitado.

É certo que no Facebook agora também se pode fazer o mesmo, mas não de uma forma tão simples e intuitiva como no Google+. O Google+ foi desenvolvido com este tipo de privacidade em mente, o Facebook foi desenvolvido a pensar numa partilha universal.

E se acham que o Google+ tem pouco movimento, não se esqueçam que “apenas” tem 20 milhões de utilizadores. E escrevo apenas entre-aspas porque para 3 semanas e só por convite não é nada mau. Também pode acontecer simplesmente estarem num círculo à parte em que ninguém partilha nada com vocês :lol:

Escrevi no ano passado sobre a nova interface do Adsense e que grande parte das alterações que fizeram não faziam sentido para quem lá fazia dinheiro.

Finalmente as coisas mudaram e agora sim posso usar a nova interface.

Google

Agora sim, ao entrar no Adsense temos acesso à informação que realmente interessa. O total feito no dia corrente, o total do dia anterior, o total do mês passado e o total do mês corrente.

Para mim estas são as métricas que mais consulto, assim como o total diário por canal, embora agora esta fique a mais 1 clique de distancia.

Para ajudar também existe agora um interface Mobile que funciona perfeitamente no Opera Mini e no browser nativo do Android e que dá todas estas informações de uma forma bastante simples.

Tem mais impacto a história de um cliente insatisfeito do que a de um cliente satisfeito. Faz parte da natureza humana ser negativo, e num país latino como Portugal falar mal é quase um desporto nacional, já faz parte da cultura.

Ora, hoje partilho aqui as minhas experiências positivas no suporte pós-venda.

Pessoas às compras

Para mim uma boa empresa/marca destaca-se no seu suporte pós-venda. Vender todos vendem bem, onde se destacam os bons e os maus exemplos é quando algo corre mal e precisamos de suporte.

Existem os que fogem às suas responsabilidades e colocam o problema como sendo culpa do cliente (embora por vezes tenham razão) e outros que resolvem as situações de forma exemplar.

Unilever / Lipton
Recentemente abri uma garrafa de Lipton Ice Tea com um sabor estranho e parecia que tinha gás. Após entrar em contacto foi combinado enviar um estafeta que levou a garrafa e me deixou outra nova. Posteriormente enviaram uma carta a explicar o que tinha adulterado o produto e ainda enviaram alguns brindes.

HP
Tinha uma máquina digital da HP (quando apareceram as máquinas fotográficas digitais) que após uns anos de uso deixou de ligar. Entrei em contacto com o suporte da HP que me enviou uma nova máquina e pediu para verificar se estava em condições e para os contactar no prazo de 15 dias para recolherem a avariada. Assim o fiz, o estafeta recolheu a máquina avariada e a nova ainda hoje funciona.

LG
Sempre tive monitores da LG, e dos 4 que tive, 3 ainda estão em uso. Um dos monitores que comprei (um 1720B) tinha 2 pixeis mortos quando o liguei. Na altura a política de troca obrigava a pelo menos 5 pixeis mortos para troca, mas após explicar a situação com algumas fotos a comprovar entraram em contacto comigo para agendar a troca do monitor. Veio um estafeta com um novo e levou o que tinha os pixeis mortos.

Canon
Tive uma Canon S1 IS que após terminar a garantia ficou com o CMOS avariado. Após consultar o site da Canon verifiquei que era um problema comum nestas máquinas e entreguei-a para reparação. Após alguns dias entraram em contacto comigo para levantar a máquina e qual não foi a minha surpresa quando, em vez de ter a máquina arranjada fora do período de garantia, me deram uma S5 IS nova.

Estas marcas / empresas têm o meu voto de confiança e sempre que vou adquirir um novo produto tenho-os em boa conta. O ideal é não ter problemas, mas se os tiver já sei com o que contar pela boa experiência que tive.

Se fazem 10 cêntimos por dia ou se consultam o AdSense de semana a semana então vão adorar a nova interface que está disponível agora a nível global.

Google

Hoje ao consultar os meus resultados do AdSense no final da tarde fui surpreendido por algo totalmente diferente e que não funciona num browser móvel. Desisti e chegando a casa, com um computador, efectuei o acesso e verifiquei que as coisas mudaram para pior.

É verdade que o design está muito melhor, nem se compara, mas quando consulto o AdSense quero ver números e não cantos redondos, sombras e gradients. Não me interessa minimamente saber na página inicial quanto é que recebi no último mês ou quanto dinheiro é que fiz e que irei receber eventualmente. São relatórios que têm interesse 2 ou 3 vezes por mês!

Depois de que me serve ver quanto dinheiro fiz nos últimos 7 dias? Eu quero saber quanto dinheiro estou a fazer hoje e quanto fiz ontem, tenho metas diárias a atingir e os meus valores são bastante estáveis diariamente. Quero ainda saber que canais contribuíram para o meu total diário.

Se mudasse a vista da página inicial para o dia actual e esta se mantivesse entre sessões, como acontece com a antiga interface, eu até que fazia vista grossa ao ruído que paira à volta destes dados, mas isto não acontece.

Se pudesse definir este tipo de relatórios na página inicial e escolher o que quero que apareça lá estava agora a dizer maravilhas da nova interface do AdSense. Infelizmente parece-me que efectuaram estas alterações a pensar naqueles que fazem pouco dinheiro ou visitam o AdSense uma vez por semana e não várias vezes ao dia. Estas alterações fazem-me lembrar a interface do AdMob que é miserável na apresentação de resultados.

É a história do AdWords de novo, mas desta vez com o AdSense. Espero que mantenham o layout antigo disponível, é que nem funciona no browser do Android, um produto do Google!

Existem países onde a tentativa de ataque a servidores e o envio de spam é superior aos restantes. Um desses países é a China, o qual decidi bloquear.

Após vários meses de teste decidi partilhar convosco os resultados.

China bloqueada

Preocupo-me bastante com a segurança dos servidores onde tenho os meus sites alojados. Aliás, programo sempre com a segurança em mente, colocando os mecanismos de defesa do servidor activos como último recurso. Existem programadores que o fazem ao contrário, não se preocupam com a segurança porque o servidor deve efectuar a protecção, acabando com os seus sites atacados por malware, muitas vezes a enviar spam do seu próprio domínio.

Sempre que analisava os logs de servidor ou era notificado de um bloqueio os países eram sempre os mesmos. Decidi analisar o tráfego de todos os sites que possuo, e apenas um destes países que me atacava não produzia visitas válidas.

Estou a falar da China, obviamente. Decidi então cortar o mal pela raiz e bloquear este país. Podem sempre usar proxys doutros locais, é certo, mas as notificações eram de IP’s associados à China.

No caso do CPanel com a firewall CSF basta adicionar a entrada CN para bloquear os IP’s provenientes deste país. Noutros sistemas podem ser utilizar uma das muitas listas existentes e adicionar as entradas ao iptables.

Resultados
Quando efectuei esta operação estava apreensivo pois tinha ideia que o load da máquina iria subir. Felizmente tal não aconteceu e as tentativas de ataque daquele país assim como o envio de spam acabaram.

Passei a ter menos alertas de tentativa de ataque e o número de mensagens de spam desceu consideravelmente. Tendo em conta que no meu caso não existe tráfego real vindo da China esta é uma medida interessante para aumentar a segurança de um servidor.

 
Copyright © 1985 - 2017 Eduardo Maio. Alguns direitos reservados.
eduardomaio.net - Às vezes mais valia ser Agricultor do que Programador
Ao navegar no blog eduardomaio.net está a concordar com os termos legais e de privacidade.