BR-Linux.org

Em uma web cada vez mais sufocada pelo tráfego de bots e agentes, a Cloudflare propõe que os navegadores assinem um pacto com ela, e a Mozilla morde a isca – junto à Google e à Microsoft.

A Cloudflare anunciou como um triunfo a adesão da Mozilla, Chrome e Edge ao seu pacto que a transforma na fiadora de que o tráfego é mesmo gerado por uma pessoa (ou por um “bot autorizado”, nas palavras dela).

E a Cloudflare e seus cavaleiros farão isso, veja só, por meio de “tokens anônimos” a serem distribuídos por sites de comércio eletrônico ou outros que tenham meios de avaliar a “pessoalidade” de cada interação.

Ou seja: você faz uma transação on-line num site que conhece seu cartão de crédito ou documentação, e ganha fichas "anônimas" garantidas pela Cloudflare, comprovando que você é mesmo uma pessoa, aí as usa automaticamente para ser aceito como pessoa também por outros sites que não conheçam o seu cartão de crédito e os seus documentos.

Essas fichas de acesso à web controlada pela Cloudflare serão chamadas de Private Access Control Tokens (PACT), e terão a função de fundamentar “um protocolo de preservação de privacidade para ajudar humanos e bots a provar que seu tráfego não é malicioso”.

Distópico, não? Não surpreende que a Mozilla de 2026 tenha aderido. Além de colocar uma condição transacional para comprovação de algo que ninguém deveria ter que comprovar, ainda centraliza numa empresa a emissão e garantia dessa comprovação.

Referência: Cloudflare, Inc. - Cloudflare Collaborates With Leading Browsers to Develop a Privacy-First Protocol For the Global Internet

O fundamental fwupd, adotado por variadas distribuições e também por fabricantes de computadores, atualizou sua série 2.0 com mais de 200 correções acumuladas, trazidas da série 2.1.

As versões correntes do fwupd são as da série 2.1, mas várias distribuições ainda suportam usuários que instalaram o fwupd 2.0.x, e é a elas que se destina essa atualização.

Repositórios e instaladores de firmware são um vetor importante para a atuação de malwares, razão pela qual o fwupd (e o LVFS, cria do mesmo desenvolvedor, Richard Hugues) tem recebido muita atenção em termos de atualização e correções de vulnerabilidades.

Referência: Release 2.0.21 · fwupd/fwupd

Novo post de Igor Giamoniano na Sociedade Pinguim:

Steam, Proton, drivers melhores e comunidades mais ativas tornaram a experiência muito mais acessível. Quer jogar no Linux e não sabe qual distribuição escolher? Que tal Linux Mint ou Nobara? Descubra qual é a ideal para você!

Referência: Nobara ou Linux Mint: qual a melhor distro para jogos em 2026? - Sociedade Pinguim

Saiu hoje a versão 9.1 do nano, sem grandes novidades em termos de recursos, mas marcando a primeira atualização desde o início da série 9.0, em abril deste ano.

O editor Nano, que roda no terminal em modo texto, é leve em recursos, tem usabilidade caprichada e é sucessor do clássico Pico, traz em sua nova versão algumas atualizações na marcação de sintaxe para linguagens como Lua e C, e melhorias no tratamento dos arquivos de backup criados automaticamente, tanto em operações normais de salvamento, quanto em situações emergenciais, na tentativa de preservar o conteúdo caso o sistema sofra alguma pane ou interrupção.

Referência: nano – News

Todos sabemos que, na sigla IoT, a letra S significa a Segurança, e a LG e a Samsung nos dão mais um motivo para perceber isso: 1/3 de uma amostra das suas Smart TVs investigadas estavam com proxies instalados.

Não é exatamente uma botnet: nesse caso, são apps gratuitos (como simuladores de aquários ou de lareiras, ou versões de jogos clássicos como o Pac-Man) que, na instalação, colocam um discreto e vago aviso de que os "recursos de conectividade livres" da TV serão utilizados enquanto o app estiver rodando.

O usuário dá ok, nunca mais vê esse aviso, e a sua TV se transforma em um intermediário para empresas e indivíduos que alugam, do fornecedor do app, essa frota de equipamentos para finalidades diversas - como fazer scan anônimo de sites para agregar seus conteúdos, ou fingir que estão clicando em anúncios, por exemplo.

Nesse nível básico, já não se trata de algo inocente. Mas a coisa se complica quando esse serviço de proxy sofre abusos, e vira canal para a prática de crimes, ou mesmo porta de entrada para outros dispositivos na rede da casa ou empresa que instalou essa TV – como já aconteceu, por exemplo, com a botnet Kimwolf.

Usuários de smart TVs da Samsung e LG, saibam: trata-se de uma escolha. Outros fabricantes, como Amazon e Roku, explicitamente proíbem que esse tipo de recurso seja incluído nos apps distribuídos para rodar em seus dispositivos. Já a LG e a Samsung não apenas permitem, como os distribuem.

Referência: Nearly Half of LG Smart TV Apps Contain Residential Proxy SDKs

Saíram ontem os preços da Steam Machine, e até a Valve reconhece que montar a sua própria máquina pode ser a opção superior – como uma breve ida às listas de preços de peças confirma.

Nós brasileiros precisamos considerar mais coisas nessa análise, porque tem logística internacional e tributação envolvida, além do fato de que a Valve não oferece a Steam Machine no nosso mercado (ao contrário das peças para a montagem, que poderiam ser compradas localmente, se alguém preferisse).

Claro que essa percepção vai estimular o surgimento de diversos tutoriais e comparativos, e essa tendência já se manifestou ontem mesmo, poucas horas após o anúncio do preço oficial, com esse artigo do TechRadar listando desde o gabinete até a CPU, GPU, memória e armazenamento para quem quiser montar seu similar, com desempenho superior e pagando menos.

Muitos outros virão, seguramente.

Referência: Disappointed by the Steam Machine’s official price? Build your own mini gaming PC instead with these deals | TechRadar

Criar cyberdecks, terminais portáteis e outros computadores para levar no bolso é tendência mundial, mas existe um atalho: comprar um pronto.

Claro que não tem nem metade da graça, e os produtos não tem 10% do charme de um modelo personalizado, mas às vezes optar por um produto do mercado faz sentido (quando o orçamento e a logística são compatíveis), e este artigo do It's Foss detalha 6 das opções à venda: Hackberry Pi CM5, PocketTerm 35, Pi Slate, uConsole, Cybert (foto) e Strike.

Eu também embarquei nesta onda, mas o meu terminal portátil não é para levar no bolso, e sim em um estojo, porque o meu caso de uso envolve digitação, e faço questão de teclas de tamanho padrão. Ele ainda não está pronto, mas já alcançou um estágio em que consigo usá-lo, e estou gostando demais da experiência de especificar e integrar o hardware, e desenvolver a camada que falta no software, bem com calma.

Referência: 6 Raspberry Pi Handhelds Worth Exploring (If You Have Money to Spend)

O computador de mesa da Valve voltado especificamente para os jogos ficou um pouco menos vaporoso hoje, com a confirmação oficial dos preços, que vão variar entre 1049 e 1428 dólares, dependendo de quanto armazenamento e se o usuário deseja um controle ou não.

Anunciada em novembro, a Steam Machine promete ser um computador de mesa que não esquenta nem faz barulho de ventoinha durante os jogos, e foi projetado especificamente para rodar os jogos da Steam.

Uma fila para interessados foi aberta, mas não inclui nenhuma hipótese de venda direta para o Brasil até o momento – o que não surpreende, dada a falta de opção disponível para os outros hardwares de jogos da empresa, há anos.

Em meio ao movimento mundial para fugir do VMWare, a cadeia Tesco anunciou que resolveu pagar o preço de migrar com pressa para outras alternativas, e pretende iniciar 2027 já livre do software de virtualização que hoje pertence à Broadcom, e antes foi da Dell e da EMC.

O motivo é similar ao de várias outras migrações: ao adquirir o VMWare, a Broadcom resolveu descumprir os contratos existentes de vários clientes, incluindo o da Tesco, que havia contratado 5 anos de suporte e manutenção das versões do software de virtualização adquiridas por ela, de boa fé, em 2021.

A Broadcom lançou um "prefiro não", e insistiu em vender novas versões a um preço bem mais caro, e se recusar a prover atualizações e suporte ao software previamente contratado. Como em outros casos, a Tesco levou a questão ao judiciário, e vai aguardar o julgamento, mas já decidiu não esperar pelo resultado para trocar de sistema. Ou, como diz o comunicado:

“Diante da conduta abusiva da Broadcom, e dada a importância da virtualização e do software e serviços de mainframe para o seu negócio, a Tesco foi forçada a incorrer em custos materiais para adquirir soluções alternativas com funcionalidade reduzida, e a migrar para esse software de uma forma, e num prazo, que cria riscos muito significativos para o seu negócio”.

Alguém vai pagar essa conta, naturalmente.

Referência: Tesco is sprinting to quit VMware and Broadcom despite rapid migration risks

Este post do final de semana no Diolinux apresenta uma lista de distribuições voltadas especificamente a jogos, e alguns critérios para escolher entre elas, ou mesmo uma distribuição tradicional, para o seu perfil de jogador:

“Steam Deck, Proton e distribuições gamer mudaram o cenário dos jogos no Linux. Mas até que ponto isso faz diferença para quem só quer instalar e jogar?”

Referência: A melhor distro gamer talvez não seja a que você imagina

Forças policiais de vários países limparam quase 15.000 sites WordPress infectados por malware e derrubaram mais de 100 servidores conectados à botnet SocGholish e a um grupo russo de crimes cibernéticos.

Autoridades da Holanda, Canadá, Estados Unidos e Alemanha limparam infecções por malware SocGholish de 14.971 sites WordPress comprometidos, e tiraram do ar 106 servidores e domínios.

A operação, denominada Endgame, também aconselhou esses usuários de WordPress a alterarem suas credenciais, ativarem a autenticação multifator, excluirem quaisquer contas desconhecidas e manterem seus sites atualizados.

Esse mesmo conjunto de malwares interconectados tem sido usado em ataques desde pelo menos 2017, e funciona sequestrando sites (principalmente sites WordPress) e enganando os visitantes para que façam downloads de malwares, geralmente disfarçados como atualizações falsas do navegador.

Referência: Police cleans nearly 15,000 SocGholish-infected sites tied to Evil Corp

A nova versão do Yay, utilitário de apoio a usuários do repositório AUR, chega na esteira do recente incidente de segurança com esse repositório, e traz recursos para ajudar a mitigar situações similares.

O Yay oferece ferramentas adicionais para inspecionar, filtrar e automatizar o processo de revisão antes de instalar ou atualizar pacotes, e as novidades mais interessantes da versão 13.0 são o suporte a configurar seu funcionamento usando um script na linguagem brasileira Lua, tanto na inicialização, quanto em reação a uma série de eventos, por meio de hooks (que já existiam, mas agora podem chamar extensões em Lua).

Com relação ao recente AURpocalipse, o yay passa a exibir de forma bastante visível quanto tempo faz que um PKGBUILD foi atualizado, partindo da hipótese de que pacotes com mais tempo de existência tem mais chances de terem sido validados pela comunidade (o que não é uma regra geral, e basear-se nisso não é garantia de segurança).

Os desenvolvedores alertam contra o teatro da segurança: “verificações de metadados podem ajudar, mas devem complementar, e não substituir, a revisão do PKGBUILD. Isso não significa que não devamos fazer nada contra as ameaças que conhecemos ou que não devamos facilitar as revisões”.

Ainda assim, o exemplo que o anúncio oficial traz é um exemplo de um script em Lua que pode ser acionado automaticamente a cada instalação de pacotes, e que exclui da seleção pacotes que tenham sido atualizados nos últimos 3 dias…

Referência: After Recent AUR Security Scare, Yay 13.0 Adds New Review and Automation Features

O projeto Ubuntu pré-anunciou nesta semana o Myna, batizado em homenagem à faladora ave mainá, e que trará recursos de converter voz em texto, úteis para a acessibilidade, e também como ferramenta de produtividade.

A intenção é oferecer ao usuário uma experiência de ditado que pareça plenamente integrada ao seu desktop, ao mesmo tempo em que respeita a sua privacidade e roda inteiramente em hardware local, dispensando até mesmo uma conexão ativa à Internet durante o uso.

Para a versão inicial prevista para outubro deste ano, o plano é oferecer aos usuários de Ubuntu (com GNOME, no Wayland) um recurso de ditado, similar ao de outras plataformas: pressione um atalho de teclado, fale naturalmente, e veja o texto resultante aparecer no aplicativo que você estiver usando. Outros recursos, como comandos de voz e tradução, estão deliberadamente fora do escopo inicial, e poderão ser considerados em versões posteriores.

Referência: Introducing Myna: Speech to Text for Ubuntu Desktop - Project Discussion / Desktop - Ubuntu Community Hub

A versão 4.6 do Mastodon foi lançada esta semana, e a principal novidade é o suporte a Coleções, que são conjuntos de perfis que podem ser criados e compartilhados pelos próprios usuários, facilitando a disseminação e descoberta de contas para serem seguidas pelos demais usuários.

O recurso é similar ao existente em outras redes, e a versão do Mastodon é um pouco mais orientada à privacidade e ao combate a spam: o usuário precisa aceitar ser incluído em coleções, e pode se auto-remover de coleções em que não queira estar. Além disso, cada coleção só pode ter até 25 perfis, e não há comando para auto-seguir todos os integrantes de uma coleção: elas servem como um cardápio, e não como um prato feito.

Além das coleções, as interfaces visuais para consultar e editar os perfis de usuário foram redesenhadas considerando solicitações da comunidade, e as imagens do perfil (avatar e capa) passaram a ter um campo para descrição visual (alt text), juntando-se assim às demais imagens que circulam na plataforma.

Outras novidades da versão são a oficialização do Wrapstodon (aquele recurso de mandar um resumo do ano, em dezembro), e a possibilidade (oferecida apenas se tiver sido ativada pelo admin do servidor) de seguir por e-mail um perfil – o nome oficial do recurso é Newsletter, mas a finalidade específica é permitir que alguém que não tenha conta no Fediverso possa acompanhar em seu e-mail as atualizações de determinado perfil.

A lista completa de novidades você encontra no anúncio oficial.

Eu publico todos os dias no Mastodon, minha conta no Fediverso é @autobrain@arram.senta-la.cloud.

Referência: Mastodon 4.6 Released with Collections and Redesigned Profiles