Fernando Lozano, da 4Linux, palestrou no JavaOne 2010

No dia 9 de dezembro, durante o JavaOne 2010, Fernando Lozano que é consultor e instrutor 4Linux apresentou a palestra “Segurança e Insegurança em Aplicações Internet Java EE", falando sobre ataques a aplicações, especialmente em aplicações web 2.0. 

Wednesday, 22 de December de 2010

De 7 a 9 de dezembro de 2010, no Transamerica Expo Center, aconteceu o JavaOne, um dos maiores eventos para desenvolvedores e que neste ano reuniu também a edição no Brasil da Oracle Develop 2010. No dia 9 de dezembro, durante o JavaOne 2010, Fernando Lozano que é consultor e instrutor 4Linux apresentou a palestra “Segurança e Insegurança em Aplicações Internet Java EE", falando sobre ataques a aplicações, especialmente em aplicações web 2.0. Lozano nos contou em detalhes sua experiência e impressões sobre o evento:

O evento O JavaOne é um evento tradicional do mundo Java, patrocinado por mais de 10 anos pela Sun, anualmente em São Francisco, EUA, e um dos maiores eventos de TI no mundo todo. Com a compra da Sun pela Oracle, esta decidiu realizar o JavaOne junto ao Oracle OpenWorld, outro evento tradicional do meio de TI Corporativa, apesar das diferenças de formato e público-alvo. A Oracle já fazia o OpenWorld em várias cidades do mundo, e resolveu "levar junto" o JavaOne, daí a primeira edição brasileira do Evento. Eu nunca havia estado antes em um OpenWorld, mas já estive em outros eventos de perfil e porte similares. Também já estive duas vezes no JavaOne em São Francisco, e não dá pra comparar a escala de um evento americano nos os eventos locais. Isto falando em termos de gente e vendas, não em termos de qualidade do temário técnico. A edição brasileira deste JavaOne + OpenWorld 2010 foi realizada no Centro de Exposições Transamérica. Para o JavaOne, haviam seis salas de conferência, além de dois laboratórios de hands-on e um conjunto de stands onde era possível brincar com produtos Java da Oracle, entre eles vários projetos open source como Glassfish e NetBeans, com o auxílio de profissionais da Oracle fazendo demonstrações dos produtos. Já o OpenWorld, em paralelo, ocupava um pavilhão inteiro de exposições, separado do JavaOne, onde você podia encontrar dezenas de fornecedores de sistemas de ERP, CRM e outros pacotes para o mercado corporativo. Junto com oito auditórios e vários stands de demonstração livre de produtos Oracle. Bom para comer e beber de graça ;-) Somente no temário do JavaOne havia espaço para soluções e palestras open source, já o OpenWorld era inteiramente voltado a produtos Oracle e venda de produtos por parceiros Oracle. No lado positivo, o público do evento foi um sucesso. Não cabia tanta gente na área do evento, nem nas palestras. A Oracle subestimou o interesse e participação da comunidade Java no Brasil. Também no lado positivo ter visto vários rostos conhecidos dos tempos da Sun e das comunidades que eram patrocinadas por ela, por exemplo Arun Gupta do projeto Glassfish. Isto me deu confiança em que haverá continuidade não apenas em produtos da empresa mas também em projetos open source voltados para Java. Esperamos que ano que vem a área reservada ao JavaOne seja bem maior! No lado negativo, a Oracle não "pescou" que o JavaOne é um evento para uma comunidade muito maior do que os clientes dela mesmo, ou os ex-clientes da Sun. Alguns hands-ons foram apresentamos no temário como "tecnologia Java" mas eram sobre "produtos Oracle", um formato que cabe no OpenWorld mas não tem nada a ver com o JavaOne. Isto deixou muitas pessoas (eu inclusive) insatisfeitas, mas acredito que o pessoal Oracle presente estava bem disposto a ouvir a comunidade e teremos este problema resolvido na próxima edição. A Oracle acabou pegando auditórios do OpenWorld (inclusive o principal, que seria para os keynote speeches) para alguns "repetecos" de palestras, no terceiro e último dia do evento, de modo a atender ao público que pagou (caro) para estar no JavaOne e não conseguiu entrar nos auditórios lotados. A Palestra O tema foi "Segurança e Insegurança em aplicações Web para a Plataforma Java EE". Auditório lotado, não dava nem pra sair de perto do microfone sem pisar em alguém. ;-) Foram apresentados recursos e melhores práticas de segurança para aplicações Java, assim como estratégias de ataque comuns, por exemplo CSS e injeção, e como evitar que uma aplicação Java fique vulnerável a estes ataques. Também algumas estatísticas provando que "Java é mais seguro". A palestra foi de nível introdutório, mais informativa do que formativa, sem longas listagens de código nem detalhes de APIs. O objetivo era conscientizar sobre a necessidade de ação pró-ativa dos desenvolvedores, não deixando a questão de segurança apenas para o pessoal de infraestrutura. Para o aprofundamento, foram indicados recursos como os sites do CERT e OWASP, além do Guia para Programação Segura da própria Oracle/Sun. Sem falar em ferramentas abertas, como o PMD e FindBugs, que auxiliam no processo de inspeção de código em busca por falhas de segurança.

Você pode baixar, clicando aqui, os slides desta palestra!

O público O público se mostrou bem interessado no tema, tanto pelas perguntas durante a palestra, quanto pelos e-mails recebidos depois da mesma. Fiquei muito feliz de estar novamente palestrando em um JavaOne, mesmo sendo "menor" que o evento americano. E mais feliz ainda com a participação da comunidade brasileira como vistantes e como organizadores do evento.

A 4Linux oferece treinamentos no mundo Java, além de consultoria em ambiente Enterprise Java , implementação, criação de ambientes em cluster, auditoria e migração para servidores de aplicações JBoss AS.

“Na palestra também foram apresentados recursos oferecidos por servidores de aplicações e portais para proteger aplicações que não foram originalmente codificadas pensando em segurança", finaliza Lozano. Sobre o palestrante: Consultor atuando há quase 20 anos no desenvolvimento de sistemas de informação e integração em redes heterogêneas, Fernando Lozano é hoje Arquiteto de Soluções Open Source pela 4Linux. Desenvolve profissionalmente com Java desde a versão 1.0. Já foi Community Manager do Java.net, Editor-Adjunto da Revista Java Magazine, Diretor de Tecnologia do Linux Professional Institute Brasil e Webmaster da FSF. Bacharel em Informática pela UFRJ e detentor de várias certificações profissionais do Sun, IBM, JBoss, LPI, Red Hat e até Microsoft. Autor do livro "Java em GNU/Linux" também lecionou em graduação e pós graduação pelas Universidades Estácio de Sá, UniAbeu, Bennet, SENAC e UFLA. Colaborador do IBM Developers Works, PC Magazine da extinta Revista do Linux. Já foi palestante em edições anteriores do JavaOne, SunTechDays e JustJava, além do FISL, LatinoWare, CONISLI e SOLISC, entre outros eventos nacionais e internacionais.nfira os cursos 4Linux para o mundo Java:

Servidores de Aplicações Java EE usando Tomcat (428) JBoss AS para Administradores de Sistemas (436) JBoss AS - Performance e Alta Disponibilidade para Aplicações Enterprise (467)

4Linux também oferece cursos à distância para desenvolvimento Java, ao vivo com professor online.

Programação Java para o Mundo Real OnLine_EaD (470) Desenvolvimento Ágil com Java OnLine_EaD (474)

Compartilhe esta página