aprile 2007 Blog Posts
Nel webcast di oggi perlerò di Threat Modeling focalizzando l'attenzione sul tool che ho già avuto modo di presentare durante gli "Architecture Days".
Il Threat Modeling è quel processo che permette di trovare analizzare le minacce che incombono su una applicazione, evidenziare i punti di ingresso per l'hacker, capire come possano essere sfruttati, valutare i possibili rimedi ed adottare un rimedio che abbia un coefficiente di rischio accettabile.
Tra le altre cose si potrà toccare con mano quanto il Threat Modeling evidenzi la differenza come una architettura sia prona a vulnerabilità se non è strutturata secondo i canoni di cui abbiamo già parlato...
È dalla lontana PDC 2005 che festeggio DLinq aka Linq2SQL come un buon DAL.
Quando la palla è passata ai ragazzi di ADO.NET hanno messo su Linq2Entities che tradisce e violenta la teoria OOP che vuole il disegno del modello osservando la realtà e non deducendolo da un database, piatto, bidimensionale e povero di informazioni come invece un grafo fa molto più egregiamente.
Adesso questa storia è finita e sono sicuro che sapranno fare un buon ORM se lo vorranno. Lo stesso Luca Bolognese, qui a Genova tre settimane fa, mentre gli parlavo della mia preoccupazione e cioè il rischio che DLinq venisse...
Nel primo post sulla memoria ho parlato di "Mem Usage" conosciuto anche come "Working Set".
Alcune definizioni con lo stesso disclaimer del precedente post.
Committed Page. Pagina di memoria allocate e presenti in RAM o su disco
Uncommitted Page. Pagine di memoria virtuale non ancora allocate, non usabili e non disponibili. In pratica i "buchi" nello spazio di indirizzamento virtuale. In pratica il tentativo di accedere in lettura o scrittura in una Uncommitted Page risulta nel classico e noto errore di "Access Violation"
Virtual Memory Size
Nel Task Manager di Windows è possibile aggiungere un'altra colonna e visualizzare il valore "VM Size" che corrisponde a "Private...
Oggi alle 14:30 parlerò di architettura e sicurezza.
Una delle cose su cui sono assolutamente convinto è che pensare di raggiungere la sicurezza di una applicazione con una manciata di best practices sia una soluzione 'tappabuchi' ma non porta a risultati durevoli nel tempo. Non si può infatti pensare alla sicurezza come una feature.
La sicurezza è parte integrante di ogni singola fase del ciclo di vita di una applicazione e deve partire dall'architettura.
Per questo motivo rimango molto perplesso quando vedo blasonate metodologie come la "Agile" che non cita quasi nulla la parola sicurezza nella sua documentazione. Con questo non significa che queste metodologie...
A quanto sembra nell'ultimo Workshop c'è stato molto interesse sulla parte in cui parlavo di memoria. Allora ho pensato di riscrivere nel blog alcuni di quei concetti e magari di espanderne altri per cui non c'è stato il tempo.
In ogni post, se necessario, anticiperò qualche definizione... lungi da me darne una versione enciclopedica, per quelle ci sono libri mastri quali "Windows Internals" di Solomon-Russinovich e "Advanced Windows" di Richter a cui rimando per ogni approfondimento. Lo scopo di queste definizioni è solo per non perdere il filo del discorso da parte di chi non è familiare con questi termini.
In Windows ogni processo...
Dopo aver mostrato al workshop come la CAS non brucia performance se non proprio poco e in casi di nicchia, è il momento di fare "rewind".
Si ricomincia quindi da zero e cercherò di spiegare cos'è la CAS, perché usarla e a cosa non serve.
Il webcast di oggi inizia alle 14:30 ... a presto :)
Splendida giornata e magnifico ambiente in cui scambiare idee, opinioni, spunti di riflessione.
Grazie a tutti quelli che l'hanno reso possibile ma in particolare ad Andrea che questa volta ha lavorato solo dietro le quinte e il merito dell'agenda che ha dimostrato tanto successo è certamente sua.
Infine grazie a tutti i partecipanti che si spostano da ogni parte d'Italia per venire a sentirci. Il feedback dei blog fin'ora è tutto molto positivo e questo ripaga lo sforzo fatto.
Ci siamo, le slides sono pronte e la sessione di Venerdi si preannuncia calda e interessante (almeno dal mio punto di vista).Questa volta ho avuto tips&hints da alcuni amici e conoscenti del Campus.
Non ho così potuto resistere a fare alcune digressioni sulla memoria che ... non posso raccontare qui .Insomma per i presenti, dirò cose sul GC che non mi avete mai visto scriverle prima .
A Venerdi! ... nel frattempo per due giorni spero di dilettare un'aula parlando di Asp.net.
Aspettando Longhorn Server :-)
Le slides sono già su, i tool sono pronti e alle 11:00 si parte per il webcast.
Il tema è la protezione delle applicazioni in ambito distribuito. Non sarà un webcast su come usare WS, WCF, Remoting, etc. ma ci focalizzeremo su quali scelte di configurazione abbiamo e come avviene generalmente un tentativo di attacco.
Le armi ci sono tutte, basta avere un approccio pragmatico...
Tante volte usando un prodotto ci sono tante cose che vorremmo vedere cambiate, aggiunte o eliminate... una sorta di CRUD sul prodotto finito
Chi pensa che non ci sia gente ad ascoltare si sbaglia. E su Visual Studio Team System ne sono più che sicuro perché l'"omino VSTS" di Redmond è il "nostro" Aldo Donetti che è in cerca di feedback per le prossime versioni del prodotto.
Pochi minuti di questionario a questo link e il gioco è fatto:http://c2.microsoft.fr/surveyIntlVSTS/?elng=1040
Eccolo: http://www.google.com/tisp/
Potremmo pensare ad una community cross-technology tra informatici e idraulici