Arquivos do marcador: wordpress

Baywords está de volta

Selo de comemoração da volta do Baywords, publicado em ThePirateBay.org.

Selo de comemoração da volta do BayWords, publicado em ThePirateBay.org.

Hoje, após um ano em manutenção, o BayWords passou novamente a aceitar o registro de novos blogs, conforme anúncio publicado hoje.

BayWords é um projeto  criado pelos mesmos fundadores do The Pirate Bay, cujo objetivo é oferecer a criação de blogs gratuitos e sem qualquer forma de censura.

Os principais motivos para a criação do serviço, segundo o anúncio intitulado “Fight censorship!”, foram a exclusão do blog de um amigo dos fundadores em WordPress.com, por violação aos termos de serviço, e a decisão de uma corte estadunidense que obrigou o Google a revelar a identidade de um blogueiro anônimo.

A volta do serviço é com certeza um largo passo para a proteção da livre manifestação do pensamento.

Gerenciamento total com OpenID

Uma das principais vantagens do OpenID é a possibilidade de se vincular o acesso de todas suas contas em uma só, com um só nome de usuário e uma só senha. Isso não apenas torna o processo de ter várias contas mais cômodo, mas também pode oferecer diversas vantagens em matéria de segurança: suas senhas, afinal, não ficarão guardadas nos servidores das contas. Mais que isso, centralizar o acesso é também centralizar a segurança. A atenção do administrador deixa de ficar dispersa na segurança de vários  servidores com diversos processos de autenticação e passa a focar-se apenas na segurança do provedor do OpenID.

Alguns administradores, por essa razão, fazem uso de domínio próprio e uma implementação autônoma do OpenID para servir aos seus propósitos. Isso pelo fato de assim sendo poderem ter controle total sobre o funcionamento e segurança do processo de autenticação. Uma das formas de fazer isso, como tive a oportunidade de mencionar em outro artigo, é utilizar o WordPress em conjunto com o plugin OpenID. Eu mesmo faço uso dessa solução. No entanto, utilizar o mecanismo de autenticação do WordPress pode ser fonte de paranóia constante, pelo simples fato de se ter a responsabilidade pela segurança de todo o sistema. Se esse sistema falhar, todas suas contas configuradas para funcionar com OpenID estarão comprometidas.

Buscando contornar esse problema, pensei em uma solução: configurar o WordPress para delegar a função de autenticação a outro provedor. Assim continuaria a poder usar meu domínio como endereço válido, mas me beneficiaria do sistema de autenticação de outro serviço.

Escolhi, como provedor, o myOpenID. Minhas razões foram duas: a tradição, pelo fato de ser o mais antigo serviço do tipo, fundado pelo criador do OpenID, e a segurança, já que usa sempre SSL e dispõe de meios alternativos para autenticação, como telefone ou certificados criptográficos.

Para fazer as configurações necessárias, procedi da seguinte maneira:

  1. Em “Usuários” > “Seu perfil” (profile.php), ajustei a opção “OpenID Delegation” para meu endereço no myOpenID.
  2. Em “Usuários” > “Your OpenIDs” (users.php?page=your_openids), adicionei o OpenID para meu próprio blog, http://opvs.org/.

O segundo passo permite que se autentique em seu próprio blog usando o OpenID do seu domínio. Sem o primeiro passo, contudo, seria formado um loop infinito, dado que estaria tentando se autenticar com OpenID em sua própria página de autenticação.

Com a delegação, portanto, não apenas é possível se autenticar em seu blog usando o endereço do próprio como OpenID, mas também se resolvem todos os problemas de incompatibilidade que acompanham o plugin para WordPress.

Para incrementação da segurança após esse procedimento, é aconselhável a alteração da senha de autenticação no blog para algo mais seguro, como uma senha grande, gerada por computador, com letras, números e símbolos. Como todo processo de autenticação ficará a cargo do novo provedor de OpenID, a única senha que precisa de fato ser lembrada é a usada perante este.

Segurança barata: Semisecure Login Reimagined

Barata, digo, no sentido de gratuita. O dispositivo sobre o qual escreverei está longe de ser tosco ou pouco engenhoso.

O Semisecure Login Reimagined (SLR) é um plugin para WordPress cujo objetivo é dar mais segurança ao processo convencional de autenticação em um blog. Sua função parte de um contexto: o de que, na maioria dos blogs que rodam em domínio próprio, a página de autenticação (“wp-login.php”) é desprovida de uma camada de segurança criptográfica, fazendo com que a senha seja transmitida em puro texto do navegador para o servidor de hospedagem. Desta forma, a senha pode ser facilmente interceptada no caminho, comprometendo a segurança do sistema.

A forma tradicional para contornar esse problema é a utilização do SSL. Com ele, um certificado é disponibilizado pelo site em  conjunto com uma chave pública para criptografia, que será usada pelo navegador para criptografar toda a informação transmitida. Essa informação, então, será apenas decodificada pelo servidor de hospedagem, garantindo segurança na comunicação de uma ponta à outra.

O processo de adoção da tecnologia SSL, no entanto, é bastante custoso. Sua implementação envolve não apenas a obtenção de um endereço único de IP, mas também de um certificado. Caso o certificado seja assinado por uma autoridade reconhecida para tanto, o custo total estará na ordem de no mínimo 60 US$ por ano, considerando como referência os preços praticados pelo DreamHost.

Nesse contexto, o SLR oferece uma solução gratuita para a transmissão insegura de dados. Seu modo de funcionamento consiste na utilização de criptografia RSA para, através de um navegador com suporte a JavaScript, criptografar a senha com uma chave pública e transmitir a informação criptografada ao servidor de hospedagem, que por sua vez a decodificará com uma chave privada e fará o processo de autenticação.

O mecanismo de funcionamento do SLR é genial. É claro que ele não irá em absoluto substituir o SSL, mas definitivamente é uma solução eficaz e, no contexto dado, melhor do que nada. Desnecessário dizer que seu uso deve não apenas ser considerado elemento essencial para a segurança de qualquer blog, mas também indispensável para qualquer um que, assim como eu, se utiliza do WordPress para autenticação por OpenID.

Mais informações podem ser encontradas no site do autor bem como na página do projeto.