Arquivos do marcador: software livre

Razões para preferir o Identi.ca ao Twitter

Dentre os serviços de µblogging, o Identi.ca talvez seja o segundo mais popular depois do Twitter. Embora ainda pouco conhecido pela cultura internética de massa, o Identi.ca oferece muitas vantagens que os outros serviços não oferecem. Este artigo busca expor, de maneira sintética, quais são esses recursos e por quê eles fazem do Identi.ca o modelo de serviço para μblogs do futuro.

Leia mais »

Segurança barata: Semisecure Login Reimagined

Barata, digo, no sentido de gratuita. O dispositivo sobre o qual escreverei está longe de ser tosco ou pouco engenhoso.

O Semisecure Login Reimagined (SLR) é um plugin para WordPress cujo objetivo é dar mais segurança ao processo convencional de autenticação em um blog. Sua função parte de um contexto: o de que, na maioria dos blogs que rodam em domínio próprio, a página de autenticação (“wp-login.php”) é desprovida de uma camada de segurança criptográfica, fazendo com que a senha seja transmitida em puro texto do navegador para o servidor de hospedagem. Desta forma, a senha pode ser facilmente interceptada no caminho, comprometendo a segurança do sistema.

A forma tradicional para contornar esse problema é a utilização do SSL. Com ele, um certificado é disponibilizado pelo site em  conjunto com uma chave pública para criptografia, que será usada pelo navegador para criptografar toda a informação transmitida. Essa informação, então, será apenas decodificada pelo servidor de hospedagem, garantindo segurança na comunicação de uma ponta à outra.

O processo de adoção da tecnologia SSL, no entanto, é bastante custoso. Sua implementação envolve não apenas a obtenção de um endereço único de IP, mas também de um certificado. Caso o certificado seja assinado por uma autoridade reconhecida para tanto, o custo total estará na ordem de no mínimo 60 US$ por ano, considerando como referência os preços praticados pelo DreamHost.

Nesse contexto, o SLR oferece uma solução gratuita para a transmissão insegura de dados. Seu modo de funcionamento consiste na utilização de criptografia RSA para, através de um navegador com suporte a JavaScript, criptografar a senha com uma chave pública e transmitir a informação criptografada ao servidor de hospedagem, que por sua vez a decodificará com uma chave privada e fará o processo de autenticação.

O mecanismo de funcionamento do SLR é genial. É claro que ele não irá em absoluto substituir o SSL, mas definitivamente é uma solução eficaz e, no contexto dado, melhor do que nada. Desnecessário dizer que seu uso deve não apenas ser considerado elemento essencial para a segurança de qualquer blog, mas também indispensável para qualquer um que, assim como eu, se utiliza do WordPress para autenticação por OpenID.

Mais informações podem ser encontradas no site do autor bem como na página do projeto.

Manifesto de um Cypherpunk

por Eric Hughes. Tradução minha, do original em inglês.

Privacidade é necessária para uma sociedade aberta na era eletrônica. Privacidade não é segredo. Um assunto privado é algo que alguém não quer que todo o mundo saiba, mas um assunto secreto é algo que alguém quer que ninguém saiba. Privacidade é o poder de seletivamente revelar a si mesmo para o mundo.

Se duas partes têm algum tipo de relação, então cada um tem memória de sua interação. Cada parte pode falar acerca de sua própria memória disso; como poderia alguém impedir? Alguém poderia aprovar leis contra isso, mas a liberdade de expressão, ainda mais que a privacidade, é fundamental para uma sociedade aberta; nós não buscamos restringir nenhum tipo de expressão. Se muitas partes falam juntas em um mesmo espaço, cada qual pode falar para todos os demais e agregar juntos conhecimento sobre indivíduos e outras partes. O poder das comunicações eletrônicas permitiu esse tipo de expressão conjunta, e ele não irá partir meramente porque nós poderíamos querer assim.

Já que desejamos a privacidade, devemos assegurar que cada parte de uma transação tenha conhecimento apenas daquilo que é diretamente necessário para esta. Já que qualquer informação pode ser dita, devemos assegurar que revelemos o mínimo possível. Na maioria dos casos a identidade pessoal não é relevante. Quando compramos uma revista em uma loja e entregamos dinheiro para o caixa, não há necessidade de que saibam quem sou. Quando eu requisito ao meu provedor de correio eletrônico para enviar e receber mensagens, meu provedor não precisa saber com quem estou conversando ou o quê estou dizendo ou o quê outros estão dizendo para mim; meu provedor apenas precisa saber como fazer a mensagem chegar lá e quanto eu os devo. Quando minha identidade é revelada pelo mecanismo subjacente da transação, não tenho privacidade. Não posso então revelar-me seletivamente; devo sempre me revelar.

Portanto, privacidade em uma sociedade aberta requer sistemas de transação anônimos. Até agora, dinheiro tem sido a forma primária desse sistema. Um sistema de transação anônimo não é um sistema de transação secreto. Um sistema anônimo capacita os indivíduos para revelarem suas identidades quando desejado e apenas quando desejado; esta é a essência da privacidade.

Privacidade em uma sociedade aberta requer criptografia. Se digo algo, quero que seja ouvido apenas por aqueles para os quais pretendi. Se o conteúdo de meu discurso é disponibilizado para o mundo, não tenho privacidade. Criptografar é indicar o anseio por privacidade, e criptografar com fraca criptografia é indicar um anseio não tão grande por privacidade. Ademais, revelar a identidade de alguém com certeza quando o padrão é o anonimato requer a assinatura criptográfica.

Não podemos esperar que governos, corporações, ou outras grandes e impessoais organizações garantam a nós privacidade como fruto de sua beneficência. É vantagem para elas falar de nós, e nós devemos esperar que eles irão fazê-lo. Tentar prevenir o discurso deles é lutar contra as realidades da informação. Informação não apenas quer ser livre, mas sua destinação é ser livre. Informação se expande para preencher o espaço de armazenamento disponível. A informação é o primo mais novo e forte do Rumor; informação é mais rápida, tem mais olhos, sabe mais e entende menos que o Rumor.

Devemos defender nossa própria privacidade se esperamos ter alguma. Devemos nos juntar e criar sistemas para permitir a efetivação de transações anônimas. Pessoas defenderam sua própria privacidade por séculos com sussurros, escuridão, envelopes, portas fechadas, apertos de mão secretos e mensageiros. As tecnologias do passado não permitiam uma forte privacidade, mas as tecnologias eletrônicas sim.

Nós, os Cypherpunks, nos dedicamos a construir sistemas anônimos. Nós estamos defendendo nossa privacidade com criptografia, com sistemas de encaminhamento anônimo de correspondência, com assinaturas digitais e dinheiro eletrônico.

Cypherpunks escrevem código. Sabemos que alguém deve escrever software para defender a privacidade, e já que não conseguiremos privacidade a não ser que todos nós façamos, nos colocaremos a escrevê-lo. Nós publicamos nosso código para que nossos companheiros Cypherpunks possam praticar e brincar com ele. Nosso código é livre para o uso de todos, mudialmente. Nós não nos importamos muito se você não aprova o software que escrevemos. Sabemos que software não pode ser destruído e que um sistema amplamente disperso não pode ser desligado.

Cypherpunks lamentam regulamentações à criptografia, pois criptografia é fundamentalmente um ato privado. O ato de encriptação, de fato, remove informação da esfera pública. Mesmo leis contra criptografia atingem até as fronteiras de uma nação e o julgo de sua violência. Criptografia irá inelutavelmente espalhar pelo inteiro globo, e junto com ela os sistemas de transação anônimos que ela possibilita.

Para a privacidade ser difundida ela deve ser parte do contrato social. Pessoas devem se reunir e juntos implantar esses sistemas para o bem comum. Privacidade apenas se estende até onde a cooperação dos companheiros de alguém na sociedade. Nós, os Cypherpunks, buscamos suas questões e suas preocupações e esperamos poder engajá-lo a fim de não nos enganarmos. Não iremos, porém, sermos afastados de nosso curso porque alguns possam discordar de nossos objetivos.

Os Cypherpunks são ativamente engajados em fazer as redes mais seguras para a privacidade. Vamos prosseguir juntos rapidamente.

Avante.

Eric Hughes <hughes@soda.berkeley.edu>

9 de março de 1993

Projeto de Lei 3.070/2008

Está em tramitação na Câmara dos Deputados o Projeto de Lei 3.070/2008, do Deputado Paulo Teixeira (PT/SP). O projeto prevê a adoção preferencial de de formatos abertos de arquivos por “órgãos e entidades da Administração Pública Direta, Indireta, Autárquica e Fundacional, bem como órgãos autônomos e empresas sob o controle estatal”.

A redação dos artigos vai além e se preocupa, por bem, em definir o que entende por “formatos abertos de arquivos”, considerando como tais aqueles que possibilitem a interoperabilidade entre aplicativos e plataformas, permitem a aplicação sem quaisquer restrições ou pagamento de royalties e que podem ser implementados plena e independentemente por múltiplos fornecedores de programas de computador, em múltiplas plataformas, sem quaisquer ônus relativos à propriedade intelectual. A especificação do termo é ponto chave do projeto, a fim de que se aponte, apesar do termo, a necessidade de utilização de formatos livres, não meramente abertos como é o caso do Office Open XML, da Microsoft.

O projeto foi bem sucedido, ao meu ver, em atingir sua finalidade. Seu objetivo principal é vincular toda a administração pública à utilização do Open Document Format, formato de arquivos padronizado pela norma ISO/IEC 26.300:2006 e mais conhecido por ser o padrão utilizado pelos programas OpenOffice.org e BrOffice.org. Seus efeitos, porém, vão além.

A redação dada aos artigos implica também na necessidade de utilização de outros formatos livres, como o Vorbis, para arquivos de áudio, e o Theora, para arquivos de vídeo, além de outros inúmeros disponíveis para as mais diversas finalidades.

Caso aprovada, porém, a então nova lei encontrará dificuldades para ser concretizada, por razão especialmente da pobre formação tecnológica da generalidade dos servidores públicos, nem sempre consciente das inovações e perigosas diferenças que existem nesse meio.