MAIS SOBRE NAVEGADORES — PARTE XII

NADA OFENDE MAIS QUE A VERDADE.

No léxico da informática, o termo programa designa um conjunto de instruções em linguagem de máquina que descreve uma tarefa a ser realizada pelo computador, e pode referenciar tanto o código fonte — escrito em alguma linguagem de programação, como C, C #, JavaScript, TypeScript, VB.NET, C++ etc. — quanto o arquivo executável que contém esse código.

Navegadores de Internet (ou browsers, tanto faz) são programas como outros quaisquer, e como tal estão sujeitos a bugs (erros de programação), que são tão indesejáveis quanto inevitáveis (daí a indústria do software considerar “tolerável” a ocorrência de “x” bugs a cada “y” linhas de código).

O problema se agrava na mesma razão do agigantamento de sistemas e programas. Para que se tenha uma ideia, os arquivos de instalação do Windows 3.1 (lançado em 1992), cabiam em oito disquetes de 1.44 MB. A partir do Win 95 OSR/2 e até o Win ME, a Microsoft forneceu os arquivos em CD, e do XP em diante, em DVD. E não à toa: os arquivos do Win 7, por exemplo, se fossem armazenados em disquetes, formariam uma pilha da altura de um edifício de 9 andares. Agora imagine o Win 10, cujo código-fonte ocupa ½ terabyte e se estende por mais de 4 milhões de arquivos (para mais detalhes, siga este link).

Por óbvio, quanto mais complexo for o programa, maior será o número de linhas de código e, consequentemente, a possibilidade de ocorrerem erros de programação. Também a título de ilustração, o Office 2013 era formado por 50 milhões de linhas de código, e o Mac OS X Tiger, por quase 90 milhões. Para ocupar menos espaço em disco, o Win10 comprime automaticamente os arquivos do sistema — o nível de compressão utilizada depende de uma série de fatores, e as funções Atualizar e Restaurar utilizam os arquivos de tempo de execução, criando uma partição separada de recuperação redundante, permitindo, assim, que os patches e atualizações permaneçam instalados após as operações e uma redução de até 12 GB na quantidade de espaço requerido pelo sistema.

Mesmo partindo do projeto (fase alfa) e burilando o programa etapa por etapa (beta, closed beta, open beta, e release candidate) até a versão gold (comercial), os desenvolvedores podem cometer erros pontuais que, por sua vez, podem driblar o controle de qualidade do fabricante (sem mencionar que problemas resultantes de incompatibilidades de software ou de hardware são difíceis de antecipar).

Claro que é possível desenvolver e disponibilizar a posteriori patches (remendos) ou novas versões (conforme o ponto do ciclo de vida em que o produto se encontra quando o bug é identificado), mas isso gera custos e pode comprometer a imagem do fabricante. Sobretudo se a emenda ficar pior que o soneto — problema recorrente em updates semestrais do Win10 e em diversos "KB" distribuídos nos Patch Tuesday (atualizações mensais de qualidade que a Microsoft libera mensalmente, sempre na segunda terça-feira). 

Observação: Se você instalar um patch para corrigir um problema e descobrir que ele criou outro (ou outros) problemas, clique aqui para ver com proceder.

Continua...

FALHA NO WINDOWS 10 QUEBRA SEGURANÇA DE NAVEGADORES

PARA CONHECER OS AMIGOS, É NECESSÁRIO PASSAR PELO SUCESSO E PELA DESGRAÇA. NO SUCESSO, VERIFICA-SE A QUANTIDADE E NA DESGRAÇA, A QUALIDADE.

No segundo capítulo da série ERA DA INSEGURANÇA eu relembrei mais uma vez (porque já o havia feito dúzias de vezes nas quase 5.000 postagens publicadas desde a criação do Blog) que nenhum software é perfeito e nenhum dispositivo computacional é 100% seguro, e o que se pode (e se deve) fazer para minimizar os riscos é manter sistema e programas atualizados e blá, blá, blá...

Também como já disse em diversas oportunidades (a exemplo da postagem do último dia 4), updates podem ser um tiro pela culatra se o remédio que deveria curar o paciente agrava o quadro leva o infeliz a comer capim pela raiz na chácara do vigário. Feito esse preâmbulo e a devida remissão às postagens publicadas, cuja leitura recomendo, passo ao que interessa:

Em publicação no Blog do Project Zero, do Google, o pesquisador James Forshaw relatou uma falha na versão 1903 do Windows 10, lançada no primeiro semestre do ano passado, que pôs em risco a segurança de navegadores — mais especificamente ao Chrome.

O recurso de sandbox do navegador tem como objetivo isolar umas das outras as páginas acessadas, impedindo que um site malicioso interfira nos outros que está sendo exibido e permitindo que o sistema operacional e outros apps se mantenham intactos. Até então, ele era totalmente dependente do Windows para funcionar corretamente, mas a atualização introduziu uma mudança na forma como o sistema encarava processos em sandbox, fazendo com que o recurso que deveria isolar o navegador não funcionasse adequadamente.

Na prática, isso significa que algum processo malicioso em execução no Chrome poderia vazar para outras partes do sistema. E como a falha era resultado de uma brecha do Windows 10, outros navegadores que dependiam da função também foram comprometidos. À Forbes, a Mozilla confirmou que o bug afetava o Firefox quando instalado no sistema da Microsoft, assim como a Opera, desenvolvedora do navegador homônimo. Segundo Forshaw, até mesmo o Edge, da própria Microsoft, estava exposto.

A vulnerabilidade passou quase um ano aberta até que fosse descoberta pelo Project Zero, que alertou a Microsoft e concitou-a a adotar medidas de segurança cabíveis. A solução criada pela empresa para fechar a brecha foi incluída no último Patch Tuesday (liberado em 14 de abril). Caso você não tenha atualizado seu sistema, faço-o sem demora, até porque agora a brecha de segurança é de conhecimento público.

PROBLEMAS COM O PACOTE KB4549951 DO WINDOWS 10

O QUE SABEMOS, SABER QUE O SABEMOS. AQUILO QUE NÃO SABEMOS, SABER QUE NÃO O SABEMOS: EIS O VERDADEIRO SABER.

Nenhum software é imune a erros de programação — ou bugs, como se convencionou chamar essas falhas. Eis porque desenvolvedores responsáveis, como a Microsoft, desenvolvem patches e updates destinados a sanar problemas e/ou acrescentar novos recursos e funções a seus produtos. Portanto, manter o Windows e os demais aplicativos atualizados não é uma questão de opção, mas de necessidade, ainda que nem todo bug envolva necessariamente questões de segurança.

Em meados de 2015, a Microsoft promoveu o Windows a serviço e mudou sua politica de atualizações. Até o lançamento do Win10, novas edições do sistema eram lançadas a cada de 3 ou 4 anos, correções de falhas críticas e de segurança eram disponibilizadas mensalmente e “pacotes de atualizações” (que a Microsoft chamava de Service Packs) englobando as correções lançadas desde o lançamento da versão (ou de seu último service pack, conforme o caso) eram liberados em algum momento de seu ciclo de vida, visando adicionar ao sistema novos recursos e funções. A título de ilustração, o XP (a edição do Windows mais longeva) recebeu três Service Packs ao longo dos 12 anos de suporte que a Microsoft lhe concedeu.

Na nova política de atualizações que a Microsoft adotou ao lançar o Windows 10, o Patch Tuesday foi mantido, mas os Service Packs, não, até porque eles deixaram de fazer sentido diante das renovações semestrais que a empresa vem disponibilizando desde então — o próximo update de conteúdo, codinome 20H1 (ou v2004), que era esperado para abril, deve ser liberado já nas próximas semanas (detalhes nesta postagem).

O “xis” da questão é a enxurrada de problemas causados por praticamente todos os updates semestrais (atualizações de conteúdo) e alguns Patch Tuesday (atualizações de qualidade liberadas sempre na segunda terça-feira do mês).

Devido a bugs e outros problemas que escapam ao controle de qualidade da Microsoft, os patches, que deveriam implementar melhorias e aprimoramentos no sistema e seus componentes, têm produzido efeitos colaterais indesejáveis (que, por razões cujo detalhamento foge aos propósitos desta postagem, afetam alguns ou muitos usuários, com maior ou menor intensidade).  

Antigamente, eu costumava dizer que pioneiros são reconhecidos pela flecha espetada no peito, e aguardar o primeiro Service Pack antes de adotar uma nova edição do Windows era a prática mais recomendável (com a possível exceção do Vista e do Eight, que foram dois fiascos monumentais de crítica quanto de público, e, portanto, minha recomendação sempre foi manter uma distância segura deles). Mas isso deixou de valer para o Win10, que não recebe Service Packs, mas, como dito linhas atrás, é remodelado semestralmente por updates abrangentes que, lamentavelmente, têm dado muita dor de cabeça a muita gente.  

Até meados do ano passado, a única maneira de fugir dos patches problemáticos — no Win10 Home, porque na versão PRO a conversa era outra —  era alterar o horário ativo do computador (detalhes nesta postagem). No entanto, devido à caudalosa enxurrada de problemas causados pelos updates, a Microsoft finalmente deu o braço a torcer e restabeleceu o controle dos usuários sobre as atualizações também na versão Home (que é a mais popular entre usuários domésticos), tornando possível retardar a instalação por até 35 dias — tempo mais que suficiente para que eventuais bugs sejam sanados e os patches possam ser aplicados sem maiores aborrecimentos.

Diversos usuários do Win10 que instalaram o pacote KB4549951 relataram problemas. O update foi liberado no dia 14 do mês passado, com o fito de fechar brechas de segurança. A partir de então, reclamações começaram a pipocar na Web, inicialmente envolvendo a famigerada tela azul da morte, depois, problemas no Bluetooth e no Wi-Fi, sumiço misterioso de arquivos (fotos, documentos e aplicativos que haviam sido baixados da Windows Store), como se pode ver nos relatos publicados no site Windows Latest.

O Windows 10 já havia registrado um bug similar, que dava sumiço em arquivos dos usuários. Na época, a Microsoft reconheceu a falha, explicou que o patch criava um perfil de usuário temporário na hora da instalação, e que por isso os dados sumiam. E lançou uma correção.

Sobre o KB4549951, ainda não há notícia de correção — pelo menos até o momento em que eu estou escrevendo este texto. Até porque a Microsoft vem tratando o problema como algo meramente pontual.

Caso você seja afetado, desinstale o pacote problemático e aguarde a disponibilização do remendo. Mas tenha em mente que o bug não afeta todos os usuários e, portanto, não faz sentido você remover a atualização do seu PC se não estiver enfrentando problemas. Demais disso, a remoção pura e simples do KB4549951 não traz de volta os arquivos excluídos.

Aproveitando o embalo: A versão 80 do Google Chrome, liberada em fevereiro, promoveu uma alteração na forma como o navegador interpreta os cookies SameSite, visando melhorar a privacidade dos usuários dificultando alguns tipos de rastreamento por sites de terceiros (para mais detalhes, clique aqui). Todavia, um efeito colateral dessa transição é quebrar alguns sites que ainda não tenham se adaptado.

Devido à pandemia da Covid-19, a empresa resolveu desabilitar temporariamente o novo recurso, evitando que se tornassem eventualmente inacessíveis serviços essenciais, como o e-commerce ou páginas informativas de governos (leia a explicação no blog oficial do Google).

Segundo o Google, a ideia é reativar o recurso a partir do terceiro trimestre. A propósito: a versão oficial atual do Chrome 64 bits é a 81.0.4044.129.

A ERA DA (IN)SEGURANÇA — PARTE 8

O BRASIL PRECISA DE MENOS INSULTOS E MAIS SOLUÇÕES.

Suítes de segurança, antimalware, antispyware, firewall e outras ferramentas de defesa que você encontra a mancheias na Web, tanto em versões pagas quanto gratuitas, seja para Windows, seja para OS X, Android ou iOS, estão longe de ser muralhas intransponíveis. O próprio John McAfee, criador de um dos primeiros (e mais famosos) antivírus comerciais, desdenha da segurança oferecida por essas ferramentas, que, segundo ele, estão obsoletas.

McAfee pode ser um doido varrido, mas, quando se trata de programação, sabe o que está falando. O problema é que até agora ninguém inventou nada melhor, e a maioria dos analistas é unânime em relação aos riscos de navegar nas águas turvas da Web sem um arsenal de defesa responsável, ainda que nenhum software seja idiot-proof o suficiente para proteger o usuário de si mesmo, especialmente daqueles que criam senhas fortes e, por não as conseguir memorizar, escrevem num post-it e grudam no canto da tela.

Controvérsias à parte, a menos que você recorra a uma solução extrema — como um programa de virtualização —, instale uma boa suíte de segurança no seu computador e um programa equivalente no seu smartphone. Tanto num caso como no outro, basta pesquisar o Blog para encontrar dezenas de sugestões.

Observação: Igualmente importante e manter o Windows atualizado e dispor das versões mais recentes dos aplicativos de terceiros (guardadas as devidas proporções, o mesmo raciocínio se aplica a smartphones).

Depois de lançar o Windows 10 como webservice, a Microsoft passou a fornecer atualizações de conteúdo semestrais e atualizações de qualidade mensais (o tradicional Patch Tuesday, que ganhou esse nome porque é liberado sempre na segunda terça-feira do mês). E da feita que falhas críticas e de segurança podem ser descobertas a qualquer tempo e que a correção nem sempre pode esperar até o próximo Patch Tuesday, não deixe de rodar o Windows Update a cada dois ou três dias — clique em Iniciar > Configurações > Atualização e Segurança > Windows Update > Verificar Atualizações — e aplicar as correções/atualizações disponíveis (se houver, naturalmente).   

Programas de terceiros (isto é, de outros desenvolvedores que não a Microsoft) não são contemplados pelo Windows Update, mas também recebem correções e novas funções ao longo de seu ciclo de vida. Dependendo do ponto do ciclo em que o software se encontra, os fabricantes podem optam por atualizações de versão ou pelo lançamento de novas versões, e os aplicativos mais amigáveis, a exemplo da maioria dos navegadores, aplicam atualmente as correções ou avisam que elas estão disponíveis. Outros, no entanto, precisam ser chegados manualmente — o que não é nenhum bicho de sete cabeças; na maioria dos casos, basta abrir o programa, localizar (entre os submenus ou num canto da janela) Atualizar, Procurar Atualizações, Check for updates ou algo parecido, clicar e seguir as instruções na tela.

Usuários mais “comodistas” podem recorrer a um software updater, que coteja as versões dos programas instalados com as informações constantes em seu banco de dados e oferece os links para as devidas atualizações. Eu testei uma porção desses utilitários e nenhum me satisfez plenamente, mas sugiro a quem interessar possa experimentar o IObit Software Updater, o Patch My PC , o Software Updater Monitor, o UCheck, ou o Glary Software Updater.

Continua...

AINDA SOBRE UPDATES BUGS E AFINS (PARTE 6)

A VOCÊ QUE ESTÁ CHEGANDO AGORA, CRITICANDO O QUE ESTÁ FEITO, E QUE DEVERIA ESTAR AQUI NA HORA DE FAZER: NÃO SEJA UM ESPECIALISTA EM USAR A CRÍTICA AO QUE ESTÁ FEITO COMO PRETEXTO PARA NADA FAZER. ASSINADO: AQUELE QUE FEZ O QUE FOI FEITO QUANDO NINGUÉM SABIA COMO FAZER.

Após o lançamento e durante todo seu ciclo de vida, o Windows (e outros produtos Microsoft) recebem suporte e atualizações mensais de qualidade através do Patch Tuesday — o nome se deve ao fato de a empresa de Redmond liberá-lo sempre na segunda terça-feira do mês —, além de correções críticas ou de segurança que, conforme a gravidade do problema, não podem esperar até o próximo Patch Tuesday. A questão é que esse açodamento pode acarretar problemas cuja solução exija uma nova correção (o patch do patch). Mas isso já é conversa para uma outra vez.   

Observação: O Patch Tuesday lançado no dia 11 do mês passado corrigiu quase 100 falhas de segurança nas edições 10 e 8.1 do Windows, dentre as quais uma vulnerabilidade de dia zero no Internet Explorer que vinha sendo explorada ativamente, além de fornecer atualizações para o Microsoft Exchange e o SQL Server, bem como para o Flash Player, o Adobe Reader e outros produtos da Adobe. Vale lembrar que o Windows 7 deixou de ser suportado no dia 14 de janeiro último, embora continue sendo largamente utilizado e diversas falhas corrigidas no último Patch Tuesday também o afetem. A menos que você seja usuário corporativo do Seven Pro e tenha contratado o plano (pago) de segurança estendida, está mais do que na hora de migrar para o Windows 10 (o Eight.1 continuará recebendo atualizações até 10 de fevereiro de 2023, quando termina seu suporte estendido, mas é um mico a ser evitado).

Como eu mencionei duas postagens atrás, outros desenvolvedores oferecem versões alfa (raramente) e beta (mais frequentemente) de seus programas a quem se interessar em utilizá-las gratuitamente em troca de feedback. Quando o software atinge a versão Gold (ou comercial), o fabricante passa a cobrar um valor a título de licença. Ao efetuar o pagamento, o usuário recebe a respectiva chave de ativação” (geralmente um código alfanumérico que valida a instalação do programa).

Dependendo do tipo de aplicativo e da política estabelecida pelo desenvolvedor, essa licença pode ser lifetime  (isto é, paga-se uma única vez para usar o programa indefinidamente) ou renovável (caso em que a licença expira após um prazo pré-definido pelo fabricante e, caso não seja renovada, o programa ou deixa de funcionar de receber atualizações).