Reader

Now we have an asciinema inside our bolhaverso, more info at https://bolha.io.

• https://asciinema.bolha.tools

Here one example of HTML embed

<a href="https://asciinema.bolha.tools/a/5" target="_blank"><img src="https://asciinema.bolha.tools/a/5.svg" /></a>

Here one example of markdown embed

[![asciicast](https://asciinema.bolha.tools/a/5.svg)](https://asciinema.bolha.tools/a/5)

Here with the player embeded

<script src="https://asciinema.bolha.tools/a/5.js" id="asciicast-5" async="true"></script>

:)

“A pintura é poesia muda; a poesia, pintura cega.” Leonardo da Vinci.

Por que quem escreve códigos (pessoas programadoras) também deveriam escrever poemas?

Resposta curta.

Porque, em certa medida e em relação à criatividade, os primeiros nos limitam, enquanto os segundos nos estimulam.

Resposta longa.

Códigos são conjuntos reduzidos de instruções que damos aos processadores. Poemas são materializações atemporais e n-dimensionais da poesia no texto escrito ou oral. Lembrando, poesia é aquele sussurro rítmico que nos sopra o espírito e se manifesta através das artes (plásticas, cênicas, literárias, musicais…). Os primeiros são construções humanas, a segunda (dizem), revelação divina.

Poemas, então, são bloquinhos leves de textos escritos (e declamados), semanticamente saturados de imagens poéticas voláteis, como fótons borboletas voando despreocupadas próximos a discos de acreção das singularidades cósmicas; por isso, no poema, também são possíveis divisões por zeros.

Assim como a gravidade é o efeito da distorção de corpos massivos no tecido espaço-tempo, o discurso poético é o efeito de sentidos nos espíritos dotados de linguagem.

Um poema relido jamais replica os mesmos efeitos da primeira leitura, nunca! O poema é o mesmo, enquanto materialidade textual, a leitura não. As variáveis tempo e subjetividades se transpassam em sentimentos diversos, como partículas colidindo em aceleradores, decaindo em outras sensações, novas e fundamentais.

E da mesma forma que as partículas ganham massa nas interações com o campo de Higgs, cada (re)leitura de um mesmo poema fornece imagens (e altera o estado de consciência) na realidade de quem o lê (se assim o permitir, claro).

Em contraste, o código de computador, apesar das refatorações (diversas possibilidades de arranjos de suas variáveis), ainda assim, sempre dará um mesmo e esperado resultado. A constante faz parte de sua natureza, enquanto objeto virtual e rascunho de simulacro da realidade que tenta representar.

O processador binário, apesar de incrivelmente rápido, não possui aquele “sussurro inspirador”, nem se expande como uma mente antes de inalar (e às vezes, quase se afogar) o momento da criação (incluindo a literária). O processador trava em seus processamentos e a IA (inteligência artificial) até alucina. Mas apenas um cérebro orgânico se contrai e se dilata a cada sentimento, o pulso do amor razão (aquela ilusão vinda do coração).

Neste sentido, até as alucinações da IA orgânica (indivíduo atormentado) servem de matéria-prima para a escrita, literária e poética. Podemos escrever poemas com códigos (e vice-versa) e podemos ensinar a IA gerativa a copiar nosso jeito de escrever códigos com poemas (e vice-versa), mas apenas o jeito… porque programar também pode ser uma atividade artística, mas a atividade artística… entendeu né?

Falando em servir, a arte não serve para nada, nem ninguém, nesse sentido capitalista de serviço. Relembrando Ferreira Gullar, “A arte existe porque a vida não basta”, fazemos arte (e poesia) para viver outras vidas. É quase impossível aprender todas as linguagens de programação, mas muito fácil experienciar todas as estórias d'As mil e uma noites…

A linguagem de máquina é isso, uma redução simplória do pensamento humano. Talvez daí a dificuldade de muitos em programar. Como encaixar algo como criatividade em casquinhas de amendoins do tamanho de bits? Se for seu caso, não se sinta menos inteligente por isso; inteligência é qualidade (habilidade que se desenvolve), não quantidade.

Ser bom em qualquer atividade tem a ver com esse esforço consciente de desenvolvimento. O “saber de cor”, do latim/francês, “savoir par coeur”, é uma expressão do tempo em que se acreditava que este órgão comandava a razão, e com sentido de saber automático. Talvez por isso, muitos se sintam perdidos nas “rotas antigas” das novas linguagens e frameworks. Isso mesmo, por enquanto, uma linguagem nova é só um caminho diferente para se chegar num lugar conhecido.

Por isso é importante lembrar, a Ada Lovelace nos abstraiu problemas reais em códigos (virtualização) para a gente viver a vida (realização), não para continuarmos apertadores de botões. A ideia é a liberdade, não a prisão. Atualmente, a alegria da codificação vem mais da percepção da falta do ponto e vírgula após horas ou dias de angústia, do que da real criação do desejado objeto virtual; uma falsa alegria, portanto.

Já a alegria da escrita, literária ou poética, por sua vez, vem da consciência estética e fruição da leitura. O texto final nunca existe, porque é um continuum no espaço-tempo, uma grande conversa de gerações de leitores passadas, presentes (ausentes) e futuras. Daí a necessidade de esticar a mente através da escrita, principalmente a poética.

Porque o pensamento computacional é apenas seguir caminhos rígidos de um mundo (capital) vazio e árido. Pensamento poético, entretanto, é escrever as próprias trilhas da vida, buscando aproveitar o que de melhor for possível, como no poema “Existência”, de Valdelice Soares Pinheiro:

Desenho a mão
que faço
em meu destino,
confuso o pé
que traço
em Meu caminho.

Eu sou
na estranha vertigem
dessa estrada,
meu ponto de partida
e de chegada.

Estão seguros quem usa:

• OpenBSD
• Alpine Linux

Não estão seguros

• Linux (no geral)
• FreeBSD

E o Debian?

Do bookwork (12) pra frente, tem que que atualizar, do bookworm pra trás tá de boa.

E o Ubuntu?

Do 22.04 pra frente tem que atualizar.

E o AlmaLinux?

Tem que atualizar o 9.x.

Quais versões do openssh são vulneráveis?

Todas antes da 4.4.x, referente ao bug inicialmente encontrado em 2006.

Da 4.4.x até 8.4x tá tudo certo, foi corrigido pelo projeto.

O bug voltou (regresshion) da 8.5p1 e seguiu ativo até a 9.7p1.

A versão, 9.8p1, que foi lançada no dia 01/Jul/2024, não é afetada pelo bug. 

Refs

Valeu Qualys pelo reporte.

https://blog.qualys.com/vulnerabilities-threat-research/2024/07/01/regresshion-remote-unauthenticated-code-execution-vulnerability-in-openssh-server

[s] Guto

Aqui vamos mostrar como criar um compartilhamento no VMWARE Fusion do Mac, e como montar no Linux.

No Host (VMWARE Fusion)

Vá em VMWARE/Settings/Sharing

No meu caso, eu criei um um compartilhamento como nome gutocarvalho que aponta para

/Users/gutocarvalho

No Ubuntu (Guest)

instale o open-vm-tools e reinicie a VM

apt update && apt install open-vm-tools -y
reboot

quando a vm voltar, crie o diretório para montar

cd  ~/Desktop
mkdir MacOs

agora vamos montar

vmhgfs-fuse .host:/gutocarvalho /home/gutocarvalho/Desktop/MacOs -o subtype=vmhgfs-fuse 

fixando a configuração no /etc/fstab

.host:/gutocarvalho    /home/gutocarvalho/Desktop/MacOs       fuse.vmhgfs-fuse    defaults   0    0

Pronto!

referências

• https://docs.vmware.com/en/VMware-Workstation-Pro/17/com.vmware.ws.using.doc/GUID-AB5C80FE-9B8A-4899-8186-3DB8201B1758.html

Essa ferramenta cria um timeline com seus toots, é tipo um portifólio pessoal.

Acesse e configure já

https://justmytoots.bolha.tools

;)

À organização,

Nosso coletivo, Quadrinistas Uni-vos, reconhece e valoriza a iniciativa de incentivo à leitura promovida com a ação dos vouchers distribuídos aos estudantes da rede de ensino público. Porém, precisamos destacar que existem falhas na iniciativa que deixam uma parte considerável dos quadrinistas de fora, seja por serem incapazes de aceitar os vouchers devido às suas condições de trabalho, ou mesmo por estarem sujeitos a sofrer prejuízos.

Dos quadrinistas que possuem CNPJ, a maior parte deles é MEI, porém, parcela considerável atuam apenas como pessoas físicas, e mesmo aqueles que portam um MEI não possuem contadores para tirarem dúvidas a respeito de nota fiscal.

Entendemos que, devido a essas questões, os vouchers beneficiam apenas alguns poucos quadrinistas, que conseguem emitir essas notas junto às livrarias que alugam os estandes e que são formalizadas através de um CNPJ como “vendedoras de livros”.

Muitos quadrinistas, por não conseguirem emitir notas de produtos por questões contábeis, acabam recorrendo a terceiros para emiti-las, a fim de conseguir alcançar as crianças e adolescentes visitantes das escolas, um público que dificilmente teria acesso ao seu trabalho de outra forma. Alguns artistas, com o objetivo de atingir o público, aceitam os vouchers e os utilizam em estandes de editoras fazendo compras e gastando um recurso que deveria ajudar a pagar seus custos. Um programa importante de incentivo à leitura não pode deixar de fora uma parte considerável da produção quadrinística brasileira.

Na edição de 2022, ano em que se deu início a essa política de fomento cultural, quadrinistas aceitaram vouchers, e ao entrarem em contato com as escolas para receber, posteriormente ao FIQ, foram ignorados. Essa relação desigual que se deu entre os quadrinistas e algumas das instituições escolares levou a prejuízos financeiros para nossa categoria, já tão precarizada em suas condições de vida e trabalho.

Devido ao que aconteceu em 2022, nesta nova edição do FIQ muitos quadrinistas optaram por não aceitar os vouchers, limitando ainda mais a sua utilização às livrarias, que já faziam muitas vendas dentro do evento. Isso prejudica também o alcance do poder de compra dos estudantes, que não podem adquirir o quadrinho que estão interessados e sim o material de quem aceita os vouchers.

Para que exista uma distribuição mais democrática entre os quadrinistas independentes e as livrarias, o coletivo Quadrinistas Uni-vos sugere (e se coloca à disposição para contribuir nisso) que o evento faça uma intermediação encarregada pela emissão de notas e recebimentos, aos moldes de outras feiras, como a “Feira do livro de Osasco” que acontece no Estado de São Paulo.

Uma outra alternativa sugerida pelo coletivo é a utilização de cartões pré abastecidos com o valor do voucher, exclusivo para utilização entre os artistas e livrarias, possibilitando uma transação menos burocrática e acessível tanto para os beneficiados quanto para os compradores que, por consequência, terão acesso a mais opções de títulos.

Para além dessa sugestão e a fim de profissionalizar o setor, o FIQ pode tornar-se um espaço de aprendizado e avanço, oferecendo cursos gratuitos para os artistas selecionados junto ao SEBRAE, orientando e tirando dúvidas contábeis e fiscais.

Estamos à disposição para um diálogo aberto e construtivo. Juntos, podemos construir um cenário de quadrinhos cada vez mais justo e representativo.

Atenciosamente,

Coletivo Quadrinistas Uni-vos.

Ousar sonhar

Ousar viver

é preciso se organizar

pra no coletivo debater

e o sonho transformar

em realidade a viver

Olá, meu nome é zé, e já tive um blog brevemente no fediverso, escrevi uns 3 posts mas depois desanimei, sei lá. nem sei mais qual era o endereço. Acho que vou voltar a escrever um pouco, sinto falta disso as vezes. Eu escrevi pra alguns blogs por uns anos, mas depois parei, desanimei um pouco. Percalços da vida. Pra quem não me conhece eu sou paranaense, escrevia sobre series, filmes jogos, politica, o que me interessasse no momento. Quando eu era mais novo eu tinha uma energia, uns surtos criativos, me vinha uma certa inspiração que eu produzia sem parar por horas, hoje não consigo mais, mas vou tentar escrever pelo menos um pouco, porque acaba sendo uma terapia pra mim, e eu sinto falta.

Nunca perder a razão. Estamos cercados, cansados, famintos, feridos. Eles têm armas, treinamento e apoio. Somos uma massa organizada, somos os que criamos riqueza, somos o futuro que está nascendo. Observar, notar os pontos de falha e, unidos, em uma só força revolucionária, esmagá-los impiedosamente.

Lembro de títulos e autores, de sentimentos em mim despertados. Há imagens que persistem em minha memória, tão sólidas, tão profundas, e ao mesmo tempo nada nítidas. Mais os sentimentos do que as imagens. Mas sou incapaz de discorrer sobre essas obras. Nada, há uma tempestade infinita em minha cabeça, e é essa tempestade e essa incapacidade que me fazem não ter paciência com detalhes, com demoradas descrições. Quando não estou só, quero a essência.

Subimos uma ferramenta anti-paywall

Subimos nosso 13ft, uma ferramenta antipaywall

• https://open.bolha.tools

Subimos nosso Pastebin

• https://yabin.bolha.tools

Subimos um editor de PDF

Subimos uma ferramenta para manipular arquivos PDF.

• https://spdf.bolha.tools

Subimos um novo editor de diagramas

Subimos mais um editor de diagramas.

• https://excalidraw.bolha.tools

Subimos um concliador de agendas

Subimos o conciliador de agendas cal.com

• https://bolha.in

Subimos novos clientes Mastodon

• https://phanby.bolha.us
• https://pinafore.bolha.us

Subimos ferramentas para mastodon

Esse gera um gráfico de relacionados da sua conta.

• https://circles.bolha.us

Mande seu feedback no mastodon!

[s] @gutocarvalho@bolhas.us

Para quem não gosta de tirar as mãos do teclado encontrará no qutebrowser a melhor opção de navegador. Isso porque ele é extremamente configurável, com diversas opções de integração e personalização. No entanto, ainda possui algumas limitações.

Muitos programadores e usuários que preferem o uso do teclado em detrimento do mouse optam pelo editor Vim. Na medida em que o referido navegador baseou seus comandos e várias funcionalidades neste editor, seus usuários irão se sentir “em casa”, sabendo, de modo bem intuitivo, diversas teclas de atalho. Seu uso básico consiste em pressionar f. Com isso, os links da página serão destacados; então basta pressionar as respectivas letras do link desejado.

Semelhantemente ao Vim, o qutebrowser permite inúmeras configurações no arquivo config.py, tal qual ocorre no .vimrc. Entre elas, cabe destacar personalizações que permitem um visual minimalista assim como o uso integrado a outros aplicativos, por exemplo: abrir vídeos do Youtube no MPV Player ou utilizar o ranger como gerenciador de arquivos para upload.

Contudo, encontra algumas limitações, como a não abertura de sites como imgur (ao menos na versão 2.5.0, disponível para minha distro, Pop! OS 22.04 LTS). Atualização: em 12/06/2024 confirmei com um usuário de Arch Linux, com versão 3.2.0 do qutebrowser e, nela, está funcionando normalmente. Além disso, não permite a instalação de extensões / add-ons, a despeito de possuir um ótimo ad-blocker nativo e permitir uma configuração de tema escuro similar ao Dark Reader.

Por tais razões, o qutebrowser é o melhor navegador orientado ao teclado, sobretudo para os usuários do editor Vim. Uma vez que é altamente configurável, permite um nível de personalização que vai desde sua parte gráfica até seu modo de operação. Cabe ressaltar a integração com outros aplicativos, como MPV Player. Ainda que encontre algumas restrições, a exemplo da ausência de extensões, o saldo é positivo, pois reduz drasticamente a dependência do mouse, proporcionando uma navegação focada, mais ágil e menos poluída.

Abaixo, uma demonstração em vídeo:

---

Este foi o primeiro post do “Bem-vindo a FOSS”. Seu nome vem de um jogo de palavras com foz: “sf.1. Ponto onde um rio deságua no mar, em um lago ou em outro rio; DESEMBOCADURA” e F.O.S.S., acrônimo para Free and Open Source Software (em português, numa tradução livre, “Programa Gratuito e de Código Aberto”).

Dessa forma, seu objetivo é dar dicas sobre aplicativos FOSS, visando custo zero para aquisição, liberdade de uso e desprendimento das soluções proprietárias, principalmente daquelas pertencentes às big techs.

tags: #FOSS #OpenSource #BemVindoaFOSS #qutebrowser #MPV #ranger #navegador #browser #Vim

Tudo vazio. As poucas pessoas que encontro estão com mais medo. Ah, que vida lazarenta! Quando eu tinha casa, família e trabalho, era uma alegria, mesmo com as dificuldades. Comer, só amanhã. É a merda de um feriado.

hoje vim mostrar algumas ferramentas interessantes para testar sites e seus certificados ssl.

a ideia aqui é verificar se a configuração de SSL/TLS em nosso webserver ou reverseproxy está dentro dos conformes.

sslscan

instalando via homebrew

brew install sslscan

rodando scan contra a bolha.us

sslscan bolha.us

saída

version: 2.1.3
OpenSSL 3.3.0 9 Apr 2024

Connected to 144.217.95.91

Testing SSL server bolha.us on port 443 using SNI name bolha.us

  SSL/TLS Protocols:
SSLv2     disabled
SSLv3     disabled
TLSv1.0   disabled
TLSv1.1   disabled
TLSv1.2   enabled
TLSv1.3   enabled

  TLS Fallback SCSV:
Server supports TLS Fallback SCSV

  TLS renegotiation:
Session renegotiation not supported

  TLS Compression:
OpenSSL version does not support compression
Rebuild with zlib1g-dev package for zlib support

  Heartbleed:
TLSv1.3 not vulnerable to heartbleed
TLSv1.2 not vulnerable to heartbleed

  Supported Server Cipher(s):
Preferred TLSv1.3  256 bits  TLS_AES_256_GCM_SHA384        Curve P-521 DHE 521
Accepted  TLSv1.3  256 bits  TLS_CHACHA20_POLY1305_SHA256  Curve P-521 DHE 521
Accepted  TLSv1.3  128 bits  TLS_AES_128_GCM_SHA256        Curve P-521 DHE 521
Preferred TLSv1.2  128 bits  ECDHE-RSA-AES128-GCM-SHA256   Curve P-521 DHE 521
Accepted  TLSv1.2  256 bits  ECDHE-RSA-AES256-GCM-SHA384   Curve P-521 DHE 521
Accepted  TLSv1.2  256 bits  ECDHE-RSA-CHACHA20-POLY1305   Curve P-521 DHE 521

  Server Key Exchange Group(s):
TLSv1.3  192 bits  secp384r1 (NIST P-384)
TLSv1.3  260 bits  secp521r1 (NIST P-521)
TLSv1.2  192 bits  secp384r1 (NIST P-384)
TLSv1.2  260 bits  secp521r1 (NIST P-521)

  SSL Certificate:
Signature Algorithm: sha256WithRSAEncryption
RSA Key Strength:    2048

Subject:  bolha.us
Altnames: DNS:*.bolha.us, DNS:bolha.us
Issuer:   R3

Not valid before: May  9 23:23:16 2024 GMT
Not valid after:  Aug  7 23:23:15 2024 GMT

a saída é bem compreensível e nos ajuda a arrumar problemas, não é muito detalhado, mas já dá uma boa visão da coisa.

testssl

brew install testssl

rodando scan contra a bolha.us

testssl.sh bolha.us

saída

No engine or GOST support via engine with your /opt/homebrew/opt/openssl@3/bin/openssl

###########################################################
    testssl.sh       3.0.8 from https://testssl.sh/

      This program is free software. Distribution and
             modification under GPLv2 permitted.
      USAGE w/o ANY WARRANTY. USE IT AT YOUR OWN RISK!

       Please file bugs @ https://testssl.sh/bugs/

###########################################################

 Using "OpenSSL 3.3.0 9 Apr 2024 (Library: OpenSSL 3.3.0 9 Apr 2024)" [~69 ciphers]
 on Sunny:/opt/homebrew/opt/openssl@3/bin/openssl
 (built: "Apr  9 12:12:22 2024", platform: "darwin64-arm64-cc")


 Start 2024-05-27 18:44:39        -->> 144.217.95.91:443 (bolha.us) <<--

 rDNS (144.217.95.91):   vps-09521806.vps.ovh.ca.
 Service detected:       HTTP


 Testing protocols via sockets except NPN+ALPN

 SSLv2      not offered (OK)
 SSLv3      not offered (OK)
 TLS 1      not offered
 TLS 1.1    not offered
 TLS 1.2    offered (OK)
 TLS 1.3    offered (OK): final
 NPN/SPDY   not offered
 ALPN/HTTP2 h2, http/1.1 (offered)

 Testing cipher categories

 NULL ciphers (no encryption)                  not offered (OK)
 Anonymous NULL Ciphers (no authentication)    not offered (OK)
 Export ciphers (w/o ADH+NULL)                 not offered (OK)
 LOW: 64 Bit + DES, RC[2,4] (w/o export)       not offered (OK)
 Triple DES Ciphers / IDEA                     not offered
 Obsolete CBC ciphers (AES, ARIA etc.)         not offered
 Strong encryption (AEAD ciphers)              offered (OK)


 Testing robust (perfect) forward secrecy, (P)FS -- omitting Null Authentication/Encryption, 3DES, RC4

 PFS is offered (OK)          TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 ECDHE-RSA-AES256-GCM-SHA384
                              ECDHE-RSA-CHACHA20-POLY1305 TLS_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256
 Elliptic curves offered:     secp384r1 secp521r1


 Testing server preferences

 Has server cipher order?     noyes (OK) -- TLS 1.3 and below
 Negotiated protocol          TLSv1.3

 Negotiated cipher            TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Cipher order
    TLSv1.2:   ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-CHACHA20-POLY1305
    TLSv1.3:   TLS_AES_256_GCM_SHA384 TLS_CHACHA20_POLY1305_SHA256 TLS_AES_128_GCM_SHA256


 Testing server defaults (Server Hello)

 TLS extensions (standard)    "renegotiation info/#65281" "server name/#0" "EC point formats/#11" "status request/#5"
                              "supported versions/#43" "key share/#51" "max fragment length/#1"
                              "application layer protocol negotiation/#16" "extended master secret/#23"
 Session Ticket RFC 5077 hint no -- no lifetime advertised
 SSL Session ID support       yes
 Session Resumption           Tickets no, ID: yes
 TLS clock skew               Random values, no fingerprinting possible
 Signature Algorithm          SHA256 with RSA
 Server key size              RSA 2048 bits
 Server key usage             Digital Signature, Key Encipherment
 Server extended key usage    TLS Web Server Authentication, TLS Web Client Authentication
 Serial                       0336FF7DB32A882837BB8D1D791BBEE83FBF (OK: length 18)
 Fingerprints                 SHA1 3716ABB14E60606D6F40316A4CE9DB1ECD0A38FE
                              SHA256 BBA4737C05193C99C1D40478BDE0E0E69FE9948B1106B16DD511927790DD3BFB
 Common Name (CN)             bolha.us  (CN in response to request w/o SNI: bolha.blog )
 subjectAltName (SAN)         *.bolha.us bolha.us
 Issuer                       R3 (Let's Encrypt from US)
 Trust (hostname)             Ok via SAN (SNI mandatory)
 Chain of trust               Ok
 EV cert (experimental)       no
 ETS/"eTLS", visibility info  not present
 Certificate Validity (UTC)   72 >= 30 days (2024-05-09 23:23 --> 2024-08-07 23:23)
 # of certificates provided   2
 Certificate Revocation List  --
 OCSP URI                     http://r3.o.lencr.org
 OCSP stapling                offered, not revoked
 OCSP must staple extension   --
 DNS CAA RR (experimental)    available - please check for match with "Issuer" above: issue=letsencrypt.org
 Certificate Transparency     yes (certificate extension)


 Testing HTTP header response @ "/"

 HTTP Status Code             200 OK
 HTTP clock skew              0 sec from localtime
 Strict Transport Security    730 days=63072000 s, includeSubDomains
 Public Key Pinning           --
 Server banner                Mastodon
 Application banner           --
 Cookie(s)                    (none issued at "/")
 Security headers             X-Frame-Options: DENY
                              X-Content-Type-Options: nosniff
                              Content-Security-Policy: base-uri 'none'; default-src 'none'; frame-ancestors 'none';
                                font-src 'self' https://bolha.us; img-src 'self' https: data: blob: https://bolha.us;
                                style-src 'self' https://bolha.us 'nonce-itY5bK+IRi3Upw4iF9lusw=='; media-src 'self'
                                https: data: https://bolha.us; frame-src 'self' https:; manifest-src 'self'
                                https://bolha.us; form-action 'self'; child-src 'self' blob: https://bolha.us;
                                worker-src 'self' blob: https://bolha.us; connect-src 'self' data: blob:
                                https://bolha.us https://cdn.bolha.us wss://bolha.us; script-src 'self'
                                https://bolha.us 'wasm-unsafe-eval'
                              Referrer-Policy: same-origin
                              Cache-Control: max-age=15, public, stale-while-revalidate=30, stale-if-error=86400
                              X-XSS-Protection: 0
 Reverse Proxy banner         X-Cached: HIT


 Testing vulnerabilities

 Heartbleed (CVE-2014-0160)                not vulnerable (OK), no heartbeat extension
 CCS (CVE-2014-0224)                       not vulnerable (OK)
 Ticketbleed (CVE-2016-9244), experiment.  not vulnerable (OK), no session ticket extension
 ROBOT                                     Server does not support any cipher suites that use RSA key transport
 Secure Renegotiation (RFC 5746)           supported (OK)
 Secure Client-Initiated Renegotiation     not vulnerable (OK)
 CRIME, TLS (CVE-2012-4929)                not vulnerable (OK)
 BREACH (CVE-2013-3587)                    potentially NOT ok, "gzip" HTTP compression detected. - only supplied "/" tested
                                           Can be ignored for static pages or if no secrets in the page
 POODLE, SSL (CVE-2014-3566)               not vulnerable (OK), no SSLv3 support
 TLS_FALLBACK_SCSV (RFC 7507)              No fallback possible (OK), no protocol below TLS 1.2 offered
 SWEET32 (CVE-2016-2183, CVE-2016-6329)    not vulnerable (OK)
 FREAK (CVE-2015-0204)                     not vulnerable (OK)
 DROWN (CVE-2016-0800, CVE-2016-0703)      not vulnerable on this host and port (OK)
                                           make sure you don't use this certificate elsewhere with SSLv2 enabled services
                                           https://search.censys.io/search?resource=hosts&virtual_hosts=INCLUDE&q=BBA4737C05193C99C1D40478BDE0E0E69FE9948B1106B16DD511927790DD3BFB
 LOGJAM (CVE-2015-4000), experimental      not vulnerable (OK): no DH EXPORT ciphers, no DH key detected with <= TLS 1.2
 BEAST (CVE-2011-3389)                     not vulnerable (OK), no SSL3 or TLS1
 LUCKY13 (CVE-2013-0169), experimental     not vulnerable (OK)
 RC4 (CVE-2013-2566, CVE-2015-2808)        no RC4 ciphers detected (OK)


 Testing 370 ciphers via OpenSSL plus sockets against the server, ordered by encryption strength

Hexcode  Cipher Suite Name (OpenSSL)       KeyExch.   Encryption  Bits     Cipher Suite Name (IANA/RFC)
-----------------------------------------------------------------------------------------------------------------------------
 x1302   TLS_AES_256_GCM_SHA384            ECDH 521   AESGCM      256      TLS_AES_256_GCM_SHA384
 x1303   TLS_CHACHA20_POLY1305_SHA256      ECDH 521   ChaCha20    256      TLS_CHACHA20_POLY1305_SHA256
 xc030   ECDHE-RSA-AES256-GCM-SHA384       ECDH 521   AESGCM      256      TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
 xcca8   ECDHE-RSA-CHACHA20-POLY1305       ECDH 521   ChaCha20    256      TLS_ECDHE_RSA_WITH_CHACHA20_POLY1305_SHA256
 x1301   TLS_AES_128_GCM_SHA256            ECDH 521   AESGCM      128      TLS_AES_128_GCM_SHA256
 xc02f   ECDHE-RSA-AES128-GCM-SHA256       ECDH 521   AESGCM      128      TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256


 Running client simulations (HTTP) via sockets

 Android 6.0                  TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 384 bit ECDH (P-384)
 Android 7.0 (native)         No connection
 Android 8.1 (native)         TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 384 bit ECDH (P-384)
 Android 9.0 (native)         TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Android 10.0 (native)        TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Android 11 (native)          TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Android 12 (native)          TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Chrome 79 (Win 10)           TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Chrome 101 (Win 10)          TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Firefox 66 (Win 8.1/10)      TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Firefox 100 (Win 10)         TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 IE 6 XP                      No connection
 IE 8 Win 7                   No connection
 IE 8 XP                      No connection
 IE 11 Win 7                  No connection
 IE 11 Win 8.1                No connection
 IE 11 Win Phone 8.1          No connection
 IE 11 Win 10                 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 384 bit ECDH (P-384)
 Edge 15 Win 10               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 384 bit ECDH (P-384)
 Edge 101 Win 10 21H2         TLSv1.3 TLS_AES_256_GCM_SHA384, 384 bit ECDH (P-384)
 Safari 12.1 (iOS 12.2)       TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Safari 13.0 (macOS 10.14.6)  TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Safari 15.4 (macOS 12.3.1)   TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Java 7u25                    No connection
 Java 8u161                   TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 521 bit ECDH (P-521)
 Java 11.0.2 (OpenJDK)        TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Java 17.0.3 (OpenJDK)        TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 go 1.17.8                    TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 LibreSSL 2.8.3 (Apple)       TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 384 bit ECDH (P-384)
 OpenSSL 1.0.2e               TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 521 bit ECDH (P-521)
 OpenSSL 1.1.0l (Debian)      TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 521 bit ECDH (P-521)
 OpenSSL 1.1.1d (Debian)      TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 OpenSSL 3.0.3 (git)          TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)
 Apple Mail (16.0)            TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256, 521 bit ECDH (P-521)
 Thunderbird (91.9)           TLSv1.3 TLS_AES_256_GCM_SHA384, 521 bit ECDH (P-521)

 Done 2024-05-27 18:48:11 [0214s] -->> 144.217.95.91:443 (bolha.us) <<--

esse é outro projeto que traz uma saída absurdamente detalhada do nosso site, certificado e configuração de SSL/TLS.

arrisco dizer que é um teste equivalente ao ssllabs da qualys (ssllabs.com/ssltest).

aqui conseguimos ver até quais devices a gente consegue atender com nossa configuração atual.

ssllabs-scan

instalando via homebrew

brew install ssllabs-scan

rodando scan contra a bolha.us

sslscan bolha.us

saída

 ssllabs-scan -grade https://bolha.photos
2024/05/27 18:54:13 [INFO] SSL Labs v2.3.0 (criteria version 2009q)
2024/05/27 18:54:13 [NOTICE] Server message: This assessment service is provided free of charge by Qualys SSL Labs, subject to our terms and conditions: https://www.ssllabs.com/about/terms.html
2024/05/27 18:54:16 [INFO] Assessment starting: https://bolha.photos
2024/05/27 18:55:15 [INFO] Assessment complete: https://bolha.photos (1 host in 56 seconds)
    144.217.95.91: A+

HostName:"https://bolha.photos"
"144.217.95.91":"A+"

a saída do cli é fraquinha, mas depois voce pode acessar pela web para ver em detalhes, fica cacheado.

• https://www.ssllabs.com/ssltest/analyze.html?d=bolha.photos

o ssllabs é um dos mais conhecidos testes de SSL do mercado, bem detalhado e dá um score para seu site, sendo um dos mais usados e confiáveis por profissionais.

outras ferramentas que podem ser úteis

ferramentas cli

• https://github.com/mozilla/cipherscan
• https://github.com/prbinu/tls-scan
• https://adulau.github.io/ssldump/

ferramentas web

• https://github.com/johannesschaefer/webnettools

leia as recomendações

Normalmente, dependendo do resultado do scanner, as ferramentas vão mostrar recomendações de como melhorar sua configuração, fique atento ao output de cada ferramenta.

sites web para checagem

• https://www.ssllabs.com/ssltest/analyze.html?d=bolha.photos
• https://observatory.mozilla.org/analyze/bolha.us

olha no detalhe as recomendações destes dois acima, são muito completos.

• https://mxtoolbox.com/SuperTool.aspx?action=https%3abolha.photos&run=toolpage
• https://www.ssl.org/report/bolha.photos

checando cifras

• https://ciphersuite.info

configuracao de ssl

• https://ssl-config.mozilla.org

refs

• https://github.com/rbsec/sslscan
• https://testssl.sh