Blog do Eduardo Costa Meu blog pessoal

5Fev/101

Mais um exemplo de parâmetros GET

Tempos atrás, fiz um post sobre o Zope/Plone que atraiu alguns xiitas (que nem jogar pão para atrair pombo). Um dos graves defeitos desse sistema, na época, era a possibilidade de injetar mensagens com parâmetros GET.

Os xiitas Zope/Plone cairam matando, dizendo que o Google também é assim, que alterar parâmetro "q" também seria injeção, blá blá bla. Na época, o exemplo não era tão legal quanto o que vi no MeioBit hoje. José Serra falando de tequila no seu site? Não! Somente o exemplo de como um sistema orientado a gambiarras pode gerar as mais diversas piadas.

Pena que não guardei o link do Consegi, senão, tentaria colocar o mesmo anuncio de bebidas lá...

3Out/080

Razões para amar os xiitas

Quando postei uma ligeira crítica sobre o Zope/Plone, tinha certeza que os xiitas Zope/Plone iriam fazer a festa.

Adoro os xiitas. Parecem gaivotas, que se alvoroçam ao menor sinal de comida. Tanto gaivotas quanto xiitas são divertidos, pois basta jogar alimento para aparecer uma penca, se debatendo em uma deseperada luta de sobrevivência. O alimento dos xiitas é críticas a qualquer coisa que eles amem.

Algo me diz que tanto Tiago quanto Gustavo não leram o penúltimo parágrafo do meu post. Falei explícitamente que aquilo que mostrei "não é um bug nem uma invasão". Só é o tipo de recurso de POG que odeio.

Tiago: não falei de SQL-Injection. Injetar, segundo o Michaelis, também significa "importunar", que foi bem o que eu disse no post - é um ótimo recurso para importunar os amigos.

Gustavo: eu aproveitei bem meu curso. Sei instalar e configurar um sítio zope/plone do zero. Da mesma forma como sei executar chamadas WIN32 usando Assembly, ou fazer uma traqueostomia usando caneta BIC. Só não me peça para fazer nenhum dos três.

Agora, pergunto a qualquer xiita Zope/Plone que provavelmente odiou meu post: com tanto CMS nesse mundo, como o ExponentCMS, o Joomla, o XOOPS, mais uma dúzia em Java (tanto CMS quanto portais), vai acrescentar ALGO para QUALQUER PESSOA me chamar de idiota em meu próprio blog? Vai mudar o fato que eu ainda acho a interface de administração medonha? Vai mudar o fato que a mensagem de erro é um parâmetro GET?

Não, não vai. E digo mais: vai piorar, pois agora, além de não confiar na arquitetura (mensagem de erro em parâmetro GET - eca), e de achar a interface administrativa anti-intuitiva, agora tenho certeza que os xiitas Zope/Plone são mal-educados.

Em resumo, lembre-se que isso aqui é um BLOG PESSOAL. Não tem qualquer valor acadêmico ou mercadológico. Se querem mudar a opinião de alguém, não será na porrada. Estamos em 2008, rumo a 2009. A idade média acabou já faz algum tempo...

PS: Passar mensagem de erro em parâmetro GET é uma gambiarra bizarra, da época do ASP (pré-.NET) ou anterior, na qual os POGramadores não tinham como, ou não sabiam, guardar a mensagem em um atributo de requisição. Até guardar em sessão é melhor que mandar via GET.

28Jul/085

Razões para odiar Zope/Plone

Desde meu primeiro contato com o Zope/Plone que eu senti que havia algo errado com o sujeito. Descobri que eu estava certo quando fiz um curso no meu emprego anterior. "Medonho" é pouco para descrever a interface administrativa.

Eu poderia gerar quilômetros de posts descrevendo os problemas, mas acho que imagens valem mais do que palavras.

Injeção no Zope/Plone dos outros é refresco

Veja que maravilha pode ser injetada (e fotografada) na tela de comentários. Não é um bug nem uma invasão. É somente um recurso muito útil para fazer a festa no blog de seus amigos (e de seus inimigos). Podemos até chamar de "undocumented feature".

Pois é... Injeção no Zope/Plone dos outros é refresco...