Sexta-feira, 26 Outubro 2007

Descobrindo senha de banco de dados

Você já passou por aquela situação de desconfiança, onde ao informar a senha de acesso ao banco de dados e pensou "poxa, tenho de informar a senha em texto limpo ?", desejando que a senha estivesse cifrada.

Isso por padrão ocorre em alguns servidores de aplicativos, onde a senha de acesso ao banco de dados é informada em texto limpo, em outros servidores de aplicativos a senha ecoa em asteriscos, deixando o usuário confortável que a senha está segura. Bem, não acredite nisso, a senha não está segura.

O que quero mostrar é que a senha pode ser extraida de outras maneiras, como inspecionar os pacotes de mensagens IP. O que pode garantir a senha é uma combinação de práticas e configurações para deixar o ambiente mais seguro.

Passo aqui um exemplo de como obter a senha do oracle configurado em um servidor de aplicativos conhecido no mercado.

Vejam abaixo na configuração da conexão, que a senha esta protegida por asteriscos

Faça os seguintes passos, para ver a senha no log

Usar a biblioteca JDBC de debug da oracle: ojdbc14_d.jar
Usar o driver XA oracle.jdbc.xa.client.OracleXADataSource

Incluir as seguintes propriedades de JVM

-Doracle.jdbc.Trace=true
-Doracle.jdbc.LogFile=/var/tmp/oracle-trace/trace1

Reiniciar o servidor de aplicativos

Basta acompanhar o log de trace do oracle ou do servidor de aplicativos, que a senha será impressa desta maneira

INFO: OracleXADataSource.getXAConnection()
03/10/2007 15:33:16 oracle.jdbc.xa.client.OracleXADataSource getXAConnection
INFO: OracleXADataSource.getXAConnection(user = claudio, passwd = admin123)
03/10/2007 15:33:16 oracle.jdbc.driver.PhysicalConnection setAutoCommit

Bonito não é ?

Para o Oracle é usado uma funcionalidade documentada, que é o trace das chamadas. Mas infelizmente, a senha é impressa junto. E vejam que nem com SSL, a senha é protegida.

E é necessário ter privilégios de administração do servidor de aplicativos.

Quando que isso pode ser útil ?

Já trabalhei em lugares onde a senha do banco de dados, era digitada no console do appserver, pelo próprio pessoal da equipe de DBA, e em algumas situações era necessário realizar alguma pesquisa no BD, então essa dica vale a pena.

Em banco de dados de código livre fica mais fácil, basta usar o código fonte do driver JDBC, modificar o código fonte para imprimir a senha e pronto.

Em banco de dados que não são de código livre, basta criar sua classe que estende DataSource e sobrecarregar o método getConnection e fazer um proxy para o DataSource do driver JDBC.

Então, percebam que os asteriscos no textfield não significam segurança para a senha do banco de dados.

Tenho essa dica há uns 3 anos e percebi que não escrevi sobre ela ainda.

Se essa dica foi útil para você, deixe um comentário, informando como ela lhe ajudou !

Escrito por claudio at 7:17 AM categorizado por Dicas e Scripts

Tags: java dicas

Comentários (0)

Quarta-feira, 24 Outubro 2007

Conexão Java 2007 - Palestra sobre performance

Conexão Java 2007, eu vou !

Já percebi outros blogueiros comentando sobre o Conexão Java 2007, próximo dia 09 de novembro em São Paulo. Então eu já estava atrasado para escrever sobre isso.

Recebi um convite para efetuar uma palestra sobre Performance de Aplicações Java, e aceitei com honra participar de tal evento que conta com prestígio da comunidade Java.

Performance é um tema bastante abrangente, e como tenho uma certa atração por esta área, então tenho muitas horas para conversar e explicar sobre esse tema, cobrindo, análise, ferramentas, técnicas, ambientes, código e infraestrutura. Provavelmente o evento não irá ceder o auditório para 3h de palestra + discussão.

Então nesta palestra coloco como foco a performance em aplicações Java, mostrando os problemas comuns em um projeto que não consdera a performance desde a concepção, e como consequência a aplicação não se comporta bem em produção.

Como irei focar no problema e sua solução não posso deixar de mostrar as ferramentas que dão suporte a resolução desses problemas. Basicamente irei mostrar esses tópicos

Performance na concepção do sistema
Problemas e soluções comuns de memória e CPU
Ferramentas e Técnicas

O objetivo nesta palestra é fornecer um conjunto de técnicas, dicas e ferramentas de como abordar e resolver o problema.

Se você trabalha em alguma empresa ou projeto que está com problemas em desempenho, venha e conheça um pouco do que será mostrado.

Escrito por claudio at 2:46 PM categorizado por SouJava

Tags: soujava java palestra eventos performance

Comentários (4)

Quinta-feira, 18 Outubro 2007

Controle sua apresentação OO pelo seu telefone celular

Em palestras, é muito comum o palestrante controlar o avanço e retrocesso dos slides, pressionando o botão do teclado ou mouse.

Mas sempre tem uma galera que não fica contente com as coisas convencionais, então que tal usar seu telefone celular para controlar o avanço/retrocesso dos slides ?

É exatamente isso que faz a aplicação Mobile OpenOffice Controller, de autoria do Bruno Ghisi e Lucas Torri.

Testei e funcionou de primeira, recomendo a todos. Isso serve de uma boa demostração de tecnologias diferentes.

A aplicação usa

UNO (Universal Network Objects) do OpenOffice
Java Micro Edition
Projeto Marge
Conexão bluetooth (projeto Marge)

Faça você o teste também e dê um feedback sobre o funcionamento.

Escrito por claudio at 5:09 AM categorizado por Java

Tags: java dicas

Comentários (0)

Oportunidade de trabalho na Summa Technologies

Pessoal, segue oportunidade para 2 vagas em nosso time na SummaTech em São Paulo

Desenvolvedor Pleno/Senior

Experiência:
Arquitetura de aplicações Java EE
Desenvolvimento de aplicações Java
Conhecimentos avançados de Java EE

Formação:
-Engenharia da Computação e afins
-Ciências da Computação
-Sistemas de Informação

Requisitos Técnicos:
-Conhecimentos em Java SE e Java EE
- Sockets
- IO
- Multi-threading e programação concorrente
-Análise de desempenho e performance de aplicações (performance tunning)
-Desenvolvimento de aplicações para ambientes de alta disponibilidade e missão crítica
-Experiência na utilização de ferramentas de análise de performance de aplicações (ex: JMeter)

Desejável:
-Sistemas Operacionais: Solaris e Linux
-Bancos de Dados Relacionais

Idiomas:
Inglês intermediário

Diferencial:
- Sun Certified Java Programmer
- Sun Certified Java Developer
- Sun Certified Architect
- Experiência em produtos Fog Light (Quest Software)

Para seus colaboradores a Summa fornece como diferenciais um excelente ambiente de trabalho, oportunidades de crescimento profissional à frente de projetos inovadores, remuneração e valorização profissional compatíveis com o perfil e experiência de cada pessoa.

A Summa Technologies oferece consultoria especializada em todas as etapas de desenvolvimento de software, desde a capacitação da equipe técnica (mentoring) e arquitetura de sistemas até análise de desempenho e ambientes de execução, com ênfase em aplicações escaláveis de missão-crítica. Seus consultores são palestrantes frequentes nos principais eventos nacionais e internacionais de tecnologia, com participação direta em todos os três sistemas brasileiros premiados com o JavaOne Duke Award.

Contato........: Thais Fernandes
Telefone.......: 11-3055-2058
E-Mail.........: curriculo@summa-tech.com

Escrito por claudio at 2:37 AM categorizado por Summa-Tech

Tags: summa oportunidade vaga

Comentários (0)

Quarta-feira, 17 Outubro 2007

Mauricio Leal e Bruno Ghisi em podcast do java.net

Na comunidade de Mobile and Embedded do java.net, existem podcasts com entrevistas e notícias.

Então aviso que foi publicado um podcast intitulado "Mobile & Embedded Community Stars", com entrevista de dois brasileiros membros da comunidade, Maurício Leal e Bruno Ghisi. Fica meu agradecimento e paráens a ambos pelo trabalho que conduzem junto a comunidade Java Mobile.

O Maurício Leal, amigo foi motivo de outro podcast "Mobility and the Mobile and Embedded Community", e participa em eventos compartilhando seu conhecimento em Java Mobile.

O Bruno Ghisi, conheci no JustJava, onde conversamos um pouco sobre Java Mobile e alguns problemas da plataforma, que ainda não foram solucionados (como certificação digital). O Bruno é líder do projeto Marge (framework para desenvolvimento em Java com Bluetooth).

Parábens ambos profissionais e membros da comunidade Java brasileira.

Vi que no site do projeto Marge uma referência ao projeto mOOo Impress Controller, uma aplicação que é possível controlar o avanço dos slides do OpenOffice, através do telefone celular. Fiz o download e amanhã coloco minhas impressões.

Escrito por claudio at 5:21 PM categorizado por SouJava

Tags: soujava java noticias

Comentários (1)

Terça-feira, 16 Outubro 2007

Site péssimo, Linhas Aéreas Gol

A empresa aérea Gol, com preços baixo oferece vantagens frente às concorrentes.

Mas não tente usar o serviço de atendimento virtual, pois não funciona.

Tanto o atendimento on-line e o formulário de contato não funcionam.

Tentei usar o serviço de atendimento por chat, onde solicitam várias informações (nome, telefone, cpf, email, cidade, estado, etc), foram preenchidas corretamente (inclusive a máscara de formatação 11-2222-3333), mas algum javascript rídiculo (com seu popup) não hesitava em me informar que o email ou o telefone foi preenchido incorretamente. Basta pressionar o botão de envio seguidas vezes que a validação ignóbil se alterna entre os dois campos. Desconfio que esse problema seja porque a equipe de TI da Gol, imagine que só exista plataforma windows. Ponto negativo para a equipe TI da Gol.

Então tentei usar o formulário de contato, para escrever sobre esse problema, onde após preencher todos os campos e escrever o motivo original (onde salvei em outro editor, para segurança), ao submeter, surge a seguinte tela

Já que não é possível enviar formulário, então desabilitem isso. O que é deprimente, a mensagem é estúpida.

Outro problema, é ao clicar nos links das promoções da página principal (atualmente aparece a promoção da volta por R$ 10), é aberta uma página que tem o link para acesso à compra da passagem, mas quando clica-se no link para escolher o trecho, surge uma página em branco, nada mais. Então olhando o código fonte HTML, vejo outra agressão ao padrão HTML

<html>
<head>
<title>Gol linhas Aéreas Inteligentes</title>
<form method="post" name="frmRedirect" action="http://compre3.voegol.com.br/skylights/cgi-bin/skylights.cgi">
<input type="hidden" name="module" value="SB">
<input type="hidden" name="language" value="PT">
<input type="hidden" name="mode" value="JURO">
</form>
<script language="javascript">
frmRedirect.submit();
</script>
</body>
</html>

Para resolver isso basta concatenar os inputs em uma requisição GET

http://compre3.voegol.com.br/skylights/cgi-bin/skylights.cgi?module=SB&language=PT&mode=JURO

Se com o firefox é assim, imaginem os usuários Opera e Konqueror. Para não falar de outros navegadores mais exóticos.

Escrito por claudio at 7:48 PM categorizado por Diversos

Comentários (3)

Quarta-feira, 10 Outubro 2007

Aussie Floyd, eu fui

Fui ao show do Aussie Floyd no Via Funchal na última sexta-feira, dia 05/out. Ao chegar já estava tocando Mother, procurei rapidamente meu lugar, meio que tropeçando nos outros, então encontrei minha cadeira. Cadeira ? isso mesmo, todo mundo sentadinho e comportado. Mas em várias músicas a galera levantava para cantar.

O show foi ótimo, farei algumas considerações abaixo, mas foi muito bom, consegui escutar os maiores sucessos, tanto da época do Roger Waters bem como depois (On The Turning Away).

Em várias músicas, a galera toda levanta e assovia, canta junto, muito bacana. Das músicas que tocaram lembro: Mother, On The Turning Away, Pigs, Money, Comfortably Numb, Another Brick in the Wall, Run Like Hell, Wish You Were Here, Time, Us and Them, Welcome to the Machine, Take It Back, Learning To Fly, In the Flesh, Eclipse, Brain Damage

Minha ressalva quanto ao show, foi que o não teve equipamento de luz diferenciado, como se vê nos vídeos da banda no youtube, teve o equipamento de luz tradicional. Outra ressalva foi que tocaram apenas 2h, com um bis apenas, poderiam ter tocado mais. É sempre assim, nêgo nunca tá satisfeito :-D

Quando existir um Pink Floyd Forever 24h, me avisem, assim estarei saciado.

Tirei algumas (poucas) fotos.

Aussie Floyd no Via Funchal

Gravei vídeos de algumas músicas, em especial acompanhem a música "Another Brick in the Wall" e percebam um arranjo especial no tempo 1:46

Segue abaixo um pedaço da música "Wish You Were Here"

Escrito por claudio at 9:11 PM categorizado por Musicas, Rock, Shows, etc.

Tags: musica show pink floyd

Comentários (0)

Terça-feira, 9 Outubro 2007

Vídeo do SouJava

Fiz um vídeo que mostra um pouco do que o SouJava já fez. Fiz de última hora, mas ficou bem legal.

Já recebi sugestões para melhorias e uma versão em inglês.

Se você tiver alguma sugestão, deixe um comentário ou escreva para mim: claudio em claudius com br

Escrito por claudio at 5:37 PM categorizado por SouJava

Tags: soujava java

Comentários (1)

Quinta-feira, 4 Outubro 2007

Aussie Floyd, eu vou

Mais Pink Floyd, mas desta vez com o Aussie Floyd - TAPFS - O cover do Pink Floyd, que faz turnê mundial. Já conheceu alguma banda cover que faz turne mundial ?

Veja algumas apresentações dos caras.

No passado (2002) não consegui ir ao show "In The Flesh" do Roger Waters (ex-vocal do Pink Floyd), e em uma outra data, também não fui em outra turnê to Aussie Floyd, só vi o cartaz quando sai do aeroporto dizendo que foi na noite anterior, grhumpffffffffff.

Mas, de uns tempos para cá isso mudou, pois assinei o feed do Whiplash, que contém muitas notícias de Rock em geral, então já marquei na agenda o show do Aussie Floyd. Não perco mais nenhum show.

O que me deixou indignado, foi que o Aussie Floyd viria para Brasília, estava tanto no site do Aussie Floyd, como no site do organizador, mas na semana do show, não vi nenhuma notícia relacionado ao show em Brasilia, então corri atrás enviei email para os organizadores e o TAPFS, não obtive resposta, mas depois tiraram Brasilia do circuito de shows, no site do TAPFS. Paciência.

Próxima sexta em São Paulo, via Funchal estarei no show do Aussie Floyd e também para uma palestra no evento JustJava.

Escrito por claudio at 3:13 AM categorizado por Musicas, Rock, Shows, etc.

Tags: musica show pink floyd

Comentários (0)

Quarta-feira, 3 Outubro 2007

JustJava 2007, nos vemos por lá

O evento JustJava começa hoje, e pela programação de palestras, tem muita informação importante.

São 3 dias de intensa informação, com tópicos que cobrem quase todos os aspectos da tecnologia Java. E apenas uma informação, coloquei um mapa fácil para chegar ao SENAC Santo Amaro.

O Mauricio Leal, escreveu uma série de mensagens que mostram um pouco de cada palestra e seu palestrante, procurem pelas mensagens com a palavra justjava.

Também vou assistir algumas palestras, sobre tuning e garbage collector, JavaServer Faces, AOP. Como chegarei ao evento apenas na quinta-feira, não conseguirei assistir algumas palestras que gostaria.

Minha palestra "Ferramentas e Técnicas para Resolução de Problemas em Desempenho de Aplicações em Java", marcada para sexta-feira as 16h, irei mostrar por onde começar a olhar o problema, quais ferramentas usar, qual o nível de intrusão no ambiente e problemas comuns.

As muvucas irão ocorrer na quarta e quinta-feira as 19:30. Para quem ainda não conhece, as muvucas são reuniões efetuadas após o eventos, cujo objetivo é reunir experts e interessados em um tópico, com sessões de perguntas/respostas e dicas. Considero a muvuca uma das partes mais bacanas do evento, pois permite ter uma interatividade maior com palestrantes, onde podem perguntar algo sobre a palestra que não teve tempo, durante a palestra.

Escrito por claudio at 3:22 PM categorizado por SouJava

Tags: soujava java palestra eventos performance justjava

Comentários (0)