DEV Community: Isadora Ribeiro

Guia rápido e fácil para novos usuários de XMPP

Isadora Ribeiro — Tue, 15 Jul 2025 14:08:33 +0000

Este é um artigo traduzido e livremente adaptado desta publicação maravilhosa que chegou até mim pelo fediverso!

Por que o XMPP é importante?

XMPP (também conhecido como Jabber) é o padrão da Internet para mensagens instantâneas.

Recursos de bate-papo modernos

O XMPP oferece suporte a recursos modernos de bate-papo de forma padronizada e interoperável (ao contrário do IRC). Os recursos incluem:

Suporte a vários dispositivos, mensagens offline, mensagens multilinha, estilo de mensagens, criptografia de ponta a ponta, correção de mensagens, exclusão, respostas, recibos, marcadores de leitura, notificações de digitação…
Sincronização de contatos e salas, avatares, transferência de arquivos, pré-visualização de imagens, adesivos, reações a mensagens, chamadas de áudio e vídeo criptografadas, encadeamentos de mensagens…

Federado, não centralizado

O XMPP é federado, em vez de centralizado (ao contrário do IRC, Telegram, Discord, Signal, Slack, …).

E isso significa:

Você não está preso a um aplicativo "oficial": você pode escolher qualquer aplicativo que desejar.
Você não fica preso a um único servidor: você pode escolher o servidor com os recursos, a política de privacidade e o suporte ao cliente que desejar. E, independentemente do servidor escolhido, você pode conversar com usuários de qualquer outro servidor, usando qualquer aplicativo XMPP.
É resistente à "enshittificação" - se um operador fechar, ou for assumido por um bilionário ou se tornar maligno/anti-usuário, você pode alternar os servidores e continuar acessando todos os seus contatos existentes, por meio de todos os seus aplicativos existentes.
O XMPP é uma grande rede de servidores pequenos e independentes. - Eles são menores e alvos menos convenientes para backdoors, aquisições corporativas, processos judiciais, ataques DDoS, etc., do que os servidores centralizados do Telegram, Discord, Signal, Slack, etc.
Você pode configurar seu próprio servidor (público ou privado), o que fornece um nível incomparável de confiança no servidor.

Mesmo que um serviço centralizado (como o Signal) libere o código-fonte sob uma licença gratuita, não é possível confiar que seja o código que ele está realmente executando. Somente a autohospedagem oferece essa garantia.

Software que respeita a liberdade

O XMPP possui um ecossistema diversificado de clientes e servidores que respeitam a liberdade.

Fácil de auto-hospedar

O XMPP é fácil e leve para auto-hospedagem. Há servidores XMPP em Lua, Java, C e outras linguagens.

Protocolo governado pela comunidade

O protocolo é governado por uma comunidade preocupada com a privacidade (a XSF ) e não por uma única empresa.

Pontes (bridges)

Ele tem pontes para outros protocolos de bate-papo, então você pode usar qualquer cliente XMPP para todos os seus bate-papos.

Biboumi para IRC
Bifrost para Matrix
Slidge para Discord, Facebook Messenger, Matrix, Mattermost, Signal, Skype, Steam Chat, Telegram e WhatsApp.

Começando

A maneira mais fácil

A maneira mais fácil de ingressar na rede XMPP é instalar o Quicksy a partir da Google Play Store ou da Apple App Store . Ele usa seu número de telefone para registro, descoberta de contatos e recuperação de senha. A conta Quicksy funciona como qualquer conta XMPP e pode ser usada em qualquer cliente XMPP.

Eu recomendo o Quicksy para a maioria das pessoas que:

não quer perder tempo selecionando um servidor,
não use um gerenciador de senhas e
não se importe de usar o número de telefone deles para se registrar.

Se for esse o seu caso, instale o Quicksy e divirta-se!

Se não for você, você precisa selecionar um servidor, criar uma conta e instalar um cliente.

Selecione um servidor e crie uma conta

Recomendações de servidores públicos podem ser encontradas em providers.xmpp.net ou compliance.conversations.im . Alguns servidores permitem o registro a partir do cliente (chamado Registro In-Band - IBR), outros exigem que você se registre no site deles para evitar spam.

Se você tem interesse em hospedar um servidor privado, o Snikket visa simplificar bastante a tarefa. Ele também é um "rebrand" de servidores e clientes XMPP populares para oferecer uma experiência semelhante à de serviços centralizados, mais simplificados.

Instalar um cliente

Para os clientes, recomendamos…

Em dispositivos móveis:

Conversations, Monocles Chat, Cheogram para dispositivos Android modernos. Todos disponíveis pela loja F-Droid
Yaxim ou Bruno para dispositivos Android antigos/de baixo custo, disponíveis na Google Play Store
Monal ou Siskin para iOS, disponível na App Store

No desktop:

Monal para macOS, disponível na App Store
Gajim para Windows, disponível na Windows Store
Gajim para GNU/Linux, disponível nos repositórios oficiais ou site gajim.org

No navegador:

Converse.js conversejs.org

Mais clientes podem ser encontrados em xmpp.org/software . Há uma excelente tabela comparativa de clientes em apps.xmpp24.de/en.

Evite clientes com suporte XMPP ruim, como Pidgin e Thunderbird.

Como atrair pessoas para o XMPP

Plataformas proprietárias e centralizadas dominam atualmente o mundo das mensagens instantâneas. Muitas pessoas preferem usar essas plataformas em vez do XMPP. Se nos importamos em retomar o controle de nossas comunicações, é imperativo que resolvamos isso.

Basicamente, tudo se resume a isso: usar XMPP para tudo.

Faça o máximo possível do seguinte:

Minimize o valor que você cria para outras plataformas:

Tornando-se mais difícil de ser alcançado lá, por exemplo, verificando-os com menos frequência do que o XMPP, respondendo-os mais lentamente do que o XMPP, etc.
Minimizar sua atividade neles, por exemplo, usá-los apenas para convidar outras pessoas para o XMPP.
Abandoná-los completamente.

Aumente o valor que você cria para o XMPP:

Tornando o XMPP seu principal meio de comunicação.
Participar ativamente das comunidades XMPP.
Informar às pessoas que você prefere ser contatado via XMPP. Se solicitado, explique o motivo.
Ajudar a integrar amigos, familiares, colegas, estudantes, etc. ao XMPP. Se necessário, apresentá-los a contatos em comum e canais nos quais possam ter interesse.
Não diga a eles para "usar XMPP"; diga a eles para "instalar o Quicksy [da Play Store/App Store]". Isso permite selecionar um cliente e um servidor de uma só vez, além de oferecer descoberta de contatos e recuperação fácil de senhas. Informe-os sobre clientes alternativos e "XMPP" (o protocolo subjacente) posteriormente. Movendo comunidades, equipes, empresas, etc. existentes para o XMPP.
Escolhendo o XMPP como chat principal para novas comunidades, equipes, empresas, etc.

E peça para que outros sigam os mesmos passos acima!

Esta é uma maneira fácil de contribuir para softwares que respeitam a liberdade e tecnologias que respeitam a privacidade, sem exigir as habilidades de um programador, tradutor ou designer

Essas sugestões vêm da experiência — e comprovadamente funcionam, desde que você tenha a coragem e a firmeza necessárias.

Quanto mais pessoas usarem e promoverem o XMPP exclusivamente, mais rápido teremos um mundo onde a comunicação federada, sustentável, respeitadora da liberdade e da privacidade se tornará a norma.

E muito importante: seja um bom anfitrião, adicione seus amigos no seu cliente XMPP e estimule conversas nesse novo canal!

Recuperando a soberania e a privacidade da sua comunicação pessoal e corporativa

Isadora Ribeiro — Thu, 05 Jun 2025 20:27:45 +0000

Há cerca de 26 anos nasceu um protocolo de comunicação de código aberto, federado e com todos os princípios primordiais de liberdade e descentralização que balizaram o início da Internet.

Não... não é o SMTP - protocolo base da troca de e-mails (até porque esse é mais ancião um pouco). Foi o XMPP (Extensible Messaging and Presence Protocol), à época chamado também de Jabber.

Diversas soluções comerciais adotaram o XMPP para viabilizar seus produtos de mensagens instantâneas: Google Talk, WhatsApp e outros mensageiros nasceram sob as raízes do XMPP mas, ao longo do tempo, modificaram tanto o "idioma" (protocolo) que acabaram criando "dialetos" que somente usuários da mesma plataforma conseguem se comunicar.

Imagine se o Gmail enviasse e-mail apenas pro Gmail. Se o Hotmail só enviasse e-mails para Hotmail. O que seria da comunicação nos últimos 30 anos (comercialmente falando; no mínimo)?

Depois de algumas experiências com XMPP lá em 2004, esse ano eu resolvi retomar meu contato com o protocolo. Pra minha total alegria o ecossistema evoluira increvelmente: novos softwares para servidor, para cliente, bridges para outros protocolos (IRC, WhatsApp, Matrix, etc), enfim. Um admirável mundo novo.

Com toda uma mudança no cenário global de big techs, IAs, privacidade, segurança e geopolítica, e ainda "entalada" com o fato de empresas com a Meta nos colocarem num "chiqueirinho virtual" (onde só podemos conversar com pessoas de igual aplicativo) e usando cada vez mais nossos dados e hábitos para controlar que conteúdos nos serão oferecidos, resolvi tomar uma atitude.

O WhatsApp (esse é o foco, mas poderíamos estar falando de outras soluções de bigtech) acabou virando uma "tornozeleira eletrônica de bolso" pois somos praticamente obrigados a ter uma conta nesse aplicativo pois o mundo se amparou nesse meio de comunicação.

Além dessa questão, o WhatsApp é operado por uma empresa estrangeira, com políticas de uso questionáveis (recentemente foi aberta possibilidade de uso comercial por empresas de apostas, por exemplo) e sua empresa controladora tem se envolvido cada vez mais em desobediência à soberania brasileira. Ainda há a questão de que toda comunicação que passa pelos Estados Unidos é controlada e monitorada pelos seus órgãos de inteligência e segurança nacional - independente da gente pensar que a criptografia ponta a ponta do WhatsApp realmente é garantida.

Mas o princípio da Internet é a liberdade, a descentralização e, em especial, a possibilidade de escolha.

Assim nasceu o isaCloud Messenger: uma alternativa para mim, família, amigos e comunidade de ter um mensageiro instantâneo livre de bigtechs, bilionários, IAs e bets.

O que mais me apaixona sobre o isaCloud Messenger é que ele oferece:

Liberdade:

usuários do isaCloud Messenger podem falar com pessoas de qualquer outro servidor que converse o mesmo "idioma" (protocolo XMPP)
pelo seu cliente de mensagens, é possível excluir todos os dados da sua conta, inclusive do servidor
opera com protocolo de comunicação de código aberto e os clientes também são de código aberto

Privacidade:

as contas não são vinculadas ao seu número de celular ou qualquer outro dado pessoal: você escolhe um nome de usuário e pronto
você não vai receber SPAM porque seu nome de usuário não está vinculado a um número público de telefone, ou endereço de e-mail que pode ter vazado em alguma lista

Segurança:

criptografia ponta a ponta de altíssimo nível
criptografia de mensagens offline arquivadas para entrega futura
PFS (perfect forward secrecy), onde mensagens históricas só podem ser descriptografadas pelos dispositivos que trocaram essas mensagens
criptografia de trânsito

Se isso é bom para nossa vida pessoal, imagina para sua empresa? Poder ter um mensageiro instantâneo cujos dados são todos mantidos em sua própria infraestrutura, com sua governança e seus usuários integrados à sua base corporativa de autenticação (OIDC, por exemplo) garantindo total segurança sobre quem se comunica pelo seu mensageiro privado.

Além disso, é uma forma de se proteger com relação a questões geopolíticas e jurídicas que podem, por exemplo, banir o uso de ferramentas como Telegram, WhatsApp e Signal do país em caso de descumprimento de demandas legais.

Pessoalmente, penso que faz muito sentido recuperar a governança e soberania da comunicação das empresas brasileiras - inclusive no setor público.

A Meta, X e outros players que se cuidem: isaCloud Messenger já está operando :)

Referências sobre criptografia:

SRE é sobre criar softwares que resolvem problemas de operação de outros softwares

Isadora Ribeiro — Mon, 22 Jan 2024 00:26:09 +0000

No último domingo tive a oportunidade de conversar com um novo amigo sobre a incrível jornada em SRE - Site Reliability Engeering.

Em um espasmo mental consegui resumir pra ele que um dos aspectos mais interessantes de SRE é que boa parte do nosso tempo é dedicada a desenvolver software e que scripting não é suficiente: você precisa ter proficiência em desenvolvimento de software porque seu software precisará ter log estruturado, métricas, performance, persistência e uma série de requisitos técnicos em que o Bash não vai te salvar - ou seria um martírio, no mínimo.

Mas que tipo de software SRE desenvolve? Vou elaborar alguns exemplos para ajudar nesse entendimento:

Command-lines

Com um ecossistema de infraestrutura e regras de negócio cada vez mais complexos, desenvolver CLI's pode ajudar times de operações N1, N2, infra e até DevOps na interligação de diferentes soluções por meio de uma interface única de controle.

Middlewares

Aplicações backend que integram com soluções externas ao seu produto e interagem com seu produto conforme determinadas condições. Por exemplo, interagir com um datacenter que provê blocos de IPv4, consultar serviços externos de block lists e, conforme alguma condição, notificar seu produto para tomar uma determinada decisão - como bloquear um cliente, pausar uma campanha, etc.

Produtores e consumidores

Aplicações backend que acompanham a operação de um produto, consomem tópicos de mensageria em busca de determinados eventos e, consumidos esses eventos, envia esses dados para um database de séries temporais que permite extrair informações quantitativas de um determinado fluxo do produto.

API's

Construção de API's http/rest que recebem callbacks de serviços externos ao seu produto e constróem séries temporais de dados para permitir criar visualizações de operação ou fluxos do produto.

Aplicações sidecar

Aplicações que rodam junto a outros softwares, como load balancers, permitindo análise de tráfego e tomadas de decisão em relação às requisições conforme regras de negócio próprias do produto.

Uma das principais certezas em SRE é que dificilmente um outro time vai "saber o que demandar".

SRE é muito sobre visão de produto e negócio e habilidade em desenvolvimento de software.

É saber que todos os principais fluxos do produto precisam ter visibilidade para que possam ser operados.

É sobre fornecer dados em tempo real de operações para outros times como atendimento, suporte N1, suporte N2, infra, dev, etc.

SRE é sobre resolver problemas de operação de software - seja ele de natureza tecnológica, humana ou processos - com mais software.

Quer uma dica para evoluir em SRE? Seja uma pessoa inconformada e que não espera a demanda chegar.

Com carinho,
Isadora.

Literatura acerca do tema em:
Google SRE Books

Para quê serve o Stream Processing Offload Engine do HAProxy?

Isadora Ribeiro — Fri, 19 Jan 2024 13:27:17 +0000

Pergunta recebida: pra que serve esse SPOA (Stream Processing Offload Agent) do HAProxy?

O HAProxy suporta pelo menos 2 formas de extensão para inspeção de tráfego: script Lua ou SPOE (Stream Processing Offload Engine).

Esses recursos permitem que tu inspecione o tráfego conforme tuas regras de negócio e enriqueça a transação (requisição-resposta) com variáveis que podem ser posteriormente avaliadas em ACL’s e ações como bloquear a requisição, fazer throttling, logar algo específico.

Esse mecanismo SPOE define um protocolo SPOP (Stream Processing Offload Protocol) que permite comunicar com aplicações externas, tipo em Go (óbvio!), para que elas implementem lógicas de negócio que tua aplicação principal precise.

Os exemplos mais conhecidos de SPOA são a implementação de Web Application Firewall (ex: Coraza WAF) e análise de geolocalização.

No meu caso, preciso registrar um histórico com o último timestamp de acesso a hostnames únicos.

Armazeno isso em base chave-valor e injeto um header “Last-Access: 1705443033” (por exemplo) quando uma aplicação nossa chama o proxy numa rota específica, tipo “algum-hostname/get-last-access”. Essa aplicação usa essa informação para regras de renovação de certificados TLS.

Esse mecanismo SPOE não é bloqueante e tudo é bem configurado para que esse processamento externo não onere a requisição mais que um determinado limite de tempo.

“Mas Isa, não era mais fácil fazer em Lua?”

Se tua lógica é bem simples, pode fazer.

Mas não era o meu caso :)

Com carinho,
Isadora.

HAProxy FAQ

Isadora Ribeiro — Fri, 19 Jan 2024 13:19:45 +0000

Algumas perguntas que recebo sobre HAProxy:

Por que usar um HAProxy se meu provedor de nuvem já tem balancer?
Como posso criar uma estrutura tolerante a falhas?
Só posso utilizar como proxy reverso HTTP?

Independência de provedor, autonomia para customização, domínio tecnológico, integração facilitada com sua aplicação, extensão de funções com Lua e Stream Processing Offload Engine (SPOE) - que permite avaliar tráfego usando aplicações Go, C, Python, .NET Core, etc.
Router/switch com Virtual IP (VIP) à frente das instâncias, uso de Network Load Balancer para dividir tráfego entre instâncias em diferentes zonas, VIP com keepalived ou corosync on-prem, DNS round robin, etc.
O HAProxy pode ser usado com Redis, MySQL e outros. Com as opções flexíveis de health check, pode-se enviar comandos e esperar respostas para decidir a disponibilidade de um server num cenário primário-secundário de balanceamento. Pode-se usar até agentes externos de checagem.

Estou sempre estudando sobre o tema e vai ser legal receber dicas de como vocês usam o HAProxy :)

2 links sobre o item 3:

Using HAProxy with the proxy protocol to better secure your database

HAProxy advanced Redis health check

E sobre HAProxy como ingress controller em Kubernetes, outro link:

Dissecting the HAProxy Kubernetes Ingress Controller

Com carinho,
Isadora.

Por que o HAProxy é meu balancer/proxy favorito

Isadora Ribeiro — Fri, 19 Jan 2024 13:12:15 +0000

Quando me perguntam sobre load balancers e proxy reverso eu só tenho uma resposta: HAProxy.

Vou dividir algumas das features que considero mais top e que me fazem escolher esse software há mais de 14 anos.

10 razões para escolher o HAProxy como seu balancer favorito!

Dataplane API: é a sidecar API oficial que permite interagir com o HAProxy via rest. O próprio processo do HAProxy sobe ela através da diretiva “program”. Permite, dinamicamente, adicionar backends, server, acl’s, certificados, frontends, etc.
Stick tables: são hash tables em memória que permitem criar chaves tipo ip, string, binary, etc e vincular a elas diversos contadores (acumulativos) ou gauges (métricas por segundo). Pode usá-las para tomar decisões de tráfego, bloqueio ou somente para metrificar.
Admin socket: por baixo dos panos a Dataplane API interage com o socket de admin do HAProxy que permite realizar n operações a quente no proxy e, através dela, pode-se coletar as stick tables e mandar seus resultados para um InfluxDB/Prometheus.
PROMEX: o HAProxy pode ser buildado com Prometheus Exporter nativo, bastando adicionar uma regra no frontend:
http-request use-service prometheus-exporter if { path -m str /metrics }
SPOE: permite que apps externas, em Go, óbvio (:P), realizem análise do tráfego e sete variáveis na transação permitindo o HAProxy decidir o que fazer com o tráfego. Um exemplo clássico: validar Geolocalização, marcar na transação e deixar alguma ACL tomar decisão.
TLS: uma única instância de HAProxy pode fazer offload de centenas de milhares de certificados TLS sem dificuldade. Além disso, via API ou socket, pode-se carregar, atualizar ou revogar certificados a quente, podendo entregar esses arquivos posteriormente via filesystem.
Peers: o HAProxy nativamente pode operar em cluster, comunicando com outras instâncias e, inclusive, compartilhando as stick tables para fins de segurança, redundância e escala.
Lua: algo que pessoalmente não tenho utilizado, mas que é natural para o HAProxy (assim como Nginx), a inclusão de LUA permite também customizar a operação do HAProxy em diversos níveis - seja no boot dele, seja dinamicamente, por requisição.
Métricas: o HAProxy é de longe o balancer com melhor nível de visibilidade da sua operação. Possui um conjunto incrível de métricas que, arrisco dizer, não deixar faltar UMA informação que seja crucial ou informativa para a operação dele.
Logs: o nível de detalhe dos logs é incrível. Pra uma req tu obtém numa única linha, entre outras coisas:
- tempo que cliente levou pra fazer requisição
- tempo que a requisição ficou em queues internas
- tempo para conectar no servidor do backend de destino
- tempo de resposta do servidor
- tempo total da requisição
- status de terminação da conexão

Bem, se me chamavam de testemunha de Go, sei que vou ganhar o chapéu de testemunha de HAProxy também :)

Pela atenção, obrigada!

Com carinho,
Isadora.

Como ir além do monitoramento básico

Isadora Ribeiro — Fri, 19 Jan 2024 12:21:31 +0000

Em SRE uma das disciplinas essenciais é observabilidade - e um dos seus pilares é monitoramento.

Então, como monitorar melhor meu produto/plataforma seguindo algumas premissas de SRE? Como dar o próximo passo?

O básico de monitoramento todo mundo faz: instala mil “exporters” de Prometheus, coleta com eles dezenas de milhares de métricas, manda uma dúzia pro Grafana, integra com Alert Manager e voilà!

Para dar o próximo passo nesse tema é importante se questionar algumas coisinhas:

Métrica são dados, mas eu estou tirando informação delas?
Estou sabendo dar valor a essas métricas com gráficos e dashboards que dão significado real a elas?
Além de infra, tem mais lugares onde eu possa coletar métricas?
Tenho todas as métricas pra isso só com os “exporters” que tenho hoje?

(E o MAIS IMPORTANTE):

Estou conseguindo montar os principais FLUXOS do produto numa visualização que represente DISPONIBILIDADE, DESEMPENHO e EXPERIÊNCIA DO CLIENTE?

Esse trio DDXP (disponibilidade, desempenho e experiência do cliente) será o principal norte para uma mudança de mentalidade.

É bem provável que teremos de ir “além dos exporters padrão”, criar novos exporters, escavar dados de outras fontes para atender o trio DDXP.

É provável que tenhamos de executar queries na base transacional ou no broker de mensageria, torná-las time series em outro backend. Buscar métricas num JMX, num runtime profiler, fazer queries num MongoDB, ou num Redis.

Ou ainda criar aplicações de SRE que integram com Tampermonkey ou jMeter e coletam resultados de uso.

Buscar métricas em balancers e uni-las com as de aplicação para entender onde estão aqueles milissegundos preciosos de uma transação.

O fato é que a gente precisa buscar métricas onde quer que elas estejam e é certo de que ela não está só nos exporters.

Voltando pro princípio, o objetivo é conseguir ter uma visão unificada dos principais fluxos do produto/negócio com base em todas as métricas que se relacionam diretamente com Disponibilidade, Desempenho e Experiência do cliente.

E sim, só o Prometheus não vai ser suficiente. Certamente será preciso um outro tipo de time series db para complementar (TimescaleDB, InfluxDB, etc) e ir além dos counters e gauges padrão.

Enfim, esses são alguns insights para dar o próximo passo do monitoramento básico para um monitoramento rico :)

Obrigada por chegar até aqui!

Com carinho,
Isadora.