Daniduc.net - blog

O Jonny do InfoBlog publicou um artigo sobre como ele invadiu (fez um “deface”, no jargão) um blog conhecido, aproveitando pra passar uma lição de moral, ou uma “moral”, como ele chamou nos comentários, sob forma de dica:

Por isso a minha dica é: Se você é expert em POG (programação orientada à gambiarra), JAMAIS divulgue seu código-fonte. (ITAYA, J. K. Cuidados com o Wordpress #1 - O dia que hackeei um blog conhecido. InfoBlog. Acesso em 8/5/2008)

Como é muito chato discordar do autor de um blog em seu próprio território, resolvi elaborar meus argumentos aqui. Tá, é mentira, eu discordo dos autores em seus próprios blogues o tempo todo. Sim isso me torna um chato de marca maior, mas não foi por isso que resolvi responder aqui. Eu respondi no blog do Jonny, mas meu comentário lá ficou gigante, a resposta do Jonny maior ainda, então resolvi organizar um pouco a putaria e, já que vou usar mais espaço, que seja o meu próprio. Além disso, ninguém pode discordar de mim aqui

Resumindo a história, foi o seguinte: o autor de um blog fez um plugin (uma extensão pro programa de blogs) que continha um erro. O autor escreveu o plugin pra seu próprio consumo, em seu blog razoavelmente popular (eu nunca tinha ouvido falar, mas eu não sou integrado na movimento hype tchap tchuras in cool descolado da Blogsofera brasileira, então não sou parâmetro). No intuito de ajudar os outros, o autor divulgou o código-fonte de seu plugin, caso outras pessoas estivessem interessadas em usar em seus próprios blogues. O plugin foi escrito, segundo o Jonny, sem grandes cuidados ou revisões por parte do autor em seu ambiente de produção (jargão tecno-corporativo que define um serviço em uso). Bom, Jonny se interessou pelo plugin, leu o código-fonte e encontrou um erro de programação, popularmente conhecido por bug, que permitia que um visitante qualquer inserisse um texto qualquer no blog do cara. E foi o que Jonny fez, inserindo uma propaganda de seu próprio blog. O autor foi avisado, notou o erro, corrigiu o bug e lançou nova versão do plugin. A seguir, Jonny escreveu o artigo, condenando o autor por ter liberado o código-fonte na Internet sem maiores cuidados, sem saber o que estava fazendo, e isso permitiu que seu blog fosse invadido e mudado, o que não teria ocorrido caso o código ficasse secreto.

Jonny se esforça por basear seu argumento de que o bug não teria sido descoberto por ele caso o autor não tivesse liberado o código. Eu acredito que seja verdade. Veja, não sei o quanto Jonny sabe de programação, mas se ele diz que seria incapaz de descobrir o bug sem acesso ao código-fonte, eu acredito nele. E também acredito que seja mais difícil em geral das pessoas descobrirem bugs com o código-fonte escondido, embora não acredite que o bug nunca seria descoberto com o código-fonte escondido (se fosse verdade, não existiram bugs descobertos no Windows, que esconde seu código-fonte), nem acredite que nunca descobrir bugs seja uma coisa boa.

Jonny conclui, ou parece concluir, que o bug não ser descoberto é bom, porque assim o blog do nosso escritor descuidado de plugins não teria sido desfigurado. Eu concluo que o fato do bug nao ter sido descoberto é ruim, porque ao ser descoberto ele pode ser corrigido, o que torna o programa melhor e o blog do autor (e de todas as pessoas que baixarem e usarem o plugin) mais seguro.

Mas talvez eu esteja sendo injusto com Jonny. Vamos reformular. Ele pode estar dizendo que divulgar o código fonte na Internet é um jeito ruim de descobrir bugs, porque você não tem controle sobre quem os descobre e o que a pessoa irá fazer com a descoberta. Eu acho que é o inverso: quanto mais secreto, menos controle você tem do que a pessoa irá fazer com a descoberta, e que divulgar o código-fonte é um jeito bom de descobrir e eliminar bugs. Vejamos.

Qual parece ser o cenário ideal de Jonny? O autor escreve um programa. Revisa. Revisa. Revisa. Não acha erros. Toma grandes cuidados com seu código. Testa-o antes em um abiente de desenvolvimento (jargão técnico-corporativo pra definir um serviço que simule um outro que esteja em uso, permitindo fazer testes que, se derem errado, não afetarão o serviço em uso). Lança na Internet, sem o código-fonte. Ninguém acha o bug, porque ninguém tem acesso ao código-fonte. O autor revisa de novo e acha um bug, que só ele descobriu. O autor lança nova versão, com bug corrigido, sem ninguém ter feito um vergonhoso deface em seu blog.

Eu acredito que esse cenário ideal não existe. O autor certamente cometerá erros que ele não vê e vai passar o resto da vida sem ver. O próprio Jonny reconhece esse fato:

O maior problema é que quem escreve um programa pode fuçar milhares de vezes o código-fonte e não encontrar um bugzinho (por impericia ou por imprudência). Você já deve ter escrito um texto, verificado milhares de vezes e mais tarde uma 2ª pessoa do nada acha um erro gramatical grotesco. (Fonte: idem)

Eu acredito que dificultar o processo de outros acharem seus bugs só trabalha contra você. Quanto mais se demora pra descobrir um bug, mais ele se espalha e mais difícil é de corrigir em todos os lugares. Quanto mais secreto é seu código, mais chance de apenas uma pessoa descobrir o bug, concentrando o poder de decidir o que fazer com ele na mão dessa pessoa (ou grupo pequeno de pessoas). Portanto, menos controle você tem sobre o que será feito com o bug descoberto. Se mais pessoas inspecionam o código, mais pessoas podem explorar, mas também mais pessoas podem te avisar antes disso. Ficar na esperança de que ninguém mais vai descobrir seu bug, só você em uma revisão futura é contar com a sorte. Esperar que você irá escrever códigos sem bugs, ou que todos os bugs serão encontrados em um abiente de desenvolvimento antes de irem pra produção é irreal.

O segredo faz com que o fato de existirem pessoas mais espertas, mais atentas ou simplesmente com uma outra perspectiva do que a sua própria (não encontrar bugs não é só fruto de imperícia ou imprudência), trabalhe contra você. Tornar público seu código faz o inverso: faz o fato trabalhar a seu favor. Eu acredito que a crítica de seus pares só acelera o processo de melhoria de seu trabalho, e quanto mais pessoas criticando, mais rápido o progresso.

Por isso minha dica é: Sempre divulgue seu código-fonte, especialmente se você é um POG (Programador Orientado à Gambiarra). Isso vai tornar seu programa mais seguro e você um programador melhor, um P menos OG.