novembre 2007 Blog Posts
Carlo è stato il big bang di UGIdotNET e poco tempo fa ha lasciato Microsoft per dedicarsi alla sua grande passione: la fotografia. Ultimamente si è dato molto da fare e continua a pianificare nuovi viaggi in giro per il mondo. L'ultima notizia è che questo weekend ci sarà una mostra a Milano presso la Galleria Rubin (via Bonvesin de la Riva, 5, Milano, +39 02 76265327) sul viaggio in Etiopia. Sulla bravura del fotografo alzo il pollice, se siete nei pressi e avete voglia di vedere delle belle immagini fatevi sotto. ...
Ho appena concluso il webcast sul Threat Modeling, il processo che consente di identificare errori di progettazione/architettura di una applicazione, non solo riguardo alle problematiche di sicurezza. Se, per assurdo, dovessimo solo scegliere uno dei processi di SDL, quello irrinunciabile sarebbe il Threat Modeling. Così racconta Michael Howard nel suo libro "The Security Development Lifecycle" che abbiamo regalato a tutti coloro che hanno fatto visita al nostro booth "Security" al TechEd di Barcelona. Tra i punti più interessanti c'è la differenza di modello usato dal team di SDL e dall'ACE team di Microsoft. I primi hanno accumulato...
A parte la smania di installare il nuovo Visual Studio, la domanda è ovviamente lecita e ovviamente me la sono posta fin dalle prime pre-release. Ecco quindi la mia lunga lista che ho collezionato in questi mesi (sicuramente non completa ma rende l'idea) delle nuove caratteristiche del Framework 3.5 e di Visual Studio 2008. Nota importante. Ho una lista separata per tutto quello che riguarda Visual C++ 2008 e lo sviluppo nativo. La sto ancora elaborando e posterò qualcosa su questo in seguito. Specifiche ufficiali http://msdn2.microsoft.com/en-us/vstudio/aa948851.aspx CLR: Latency mode (leggasi quello che...
Si, la notizia che sta per essere rilasciata la tecnologia DPWS (Device Profile for Web Services) sul Micro Framework .NET è diventata pubblica al recente TechEd Europe 2007. In pratica è possibile realizzare un servizio WCF che controlli unità remote dotate di Micro Framework. Per il momento nessun supporto per WS-Security e quindi l'unico modo per isolare i device dalla rete è quello di cablarli su una rete fisica differente. Questa è una vera rivoluzione che potrebbe cambiare tantissimo il mondo industriale che è realmente molto indietro dal punto di vista del software. Dopo tanti anni che sognavo...
Questa mattina ho dato il via alla nuova serie dei webcast sulla sicurezza. L'argomento di oggi era SDL ma sotto una veste molto diversa dal solito.... il sottotitolo rendeva molto l'idea: "SDL by example". Insomma un taglio pratico enumerando molti dei punti di attenzione che SDL raccomanda, con esempi il più concreti possibile e citando le tecnologie che permettono di mitigare o risolvere il problema al meglio. Lunedi prossimo ci sarà quello sul Threat Modeling.
Non parlo di hack nel senso più comune del termine, ma il problema riguarda certamente l'Application Security. Il fatto: In questi giorni ho "ricevuto" circa 60000 trackback su alcuni miei post del blog. Il risultato: I post diventano non caricabili da browser perché la pagina è troppo lunga e il download durerebbe probabilmente ore. Apparentemente durante questi lunghi caricamenti la web application va in crash e IIS giustamente ricicla. Tentativo di mitigazione da parte dell'utente: È inutile tentare di cancellare 10 post alla volta (questo è il massimo consentito nella pagina amministrativa di subtext) visti...
Al ritorno dal TechEd 2007 è tempo di somme. Le mie tre mezze giornate di ATE (Ask The Expert) al booth Security SDL sono state fantastiche. Ho avuto l'enorme onore di stare con Michael Howard al booth per diverso tempo. Al booth veniva regalato il suo libro su SDL "Security Development Lifecycle" e ovviamente ha avuto per tutto il tempo nuvole di attendees per averne una copia autografata. Alla ATE eravamo parecchi Italiani (Janky, Lorenzo, Mario, Davide, ...) e Mario è riuscito a riproporre un suo vecchio cavallo di battaglia sulle CAPI . Poi...
Dopo una breve introduzione dell'architect sulle problematiche deil'estensibilità di una applicazione, la parola passa a Jesse Kaplan, autore dell'articolo sugli AddIn su msdn magazine. Alla creazione del plugin e dell'host i primi problemi che sorgono, tipicamente sono: Discovery Activation Isolation Lifetime Management Sandboxing Unloading Poi nelle versioni successive sorgono i problemi della compatibilità delle versioni precedenti e future. Si parte dallo scenario Host, cioè una applicazione che vuole hostare degli...
Dopo un quarto d'ora di yoga ho deciso di andare a vedere la sessione su TDD. La sessione è priva di slides, agenda agile (scritta a manina dal relatore) e domande libere da parte del pubblico. Purtroppo il risultato è stato di andare completamente fuori tempo... due domande risposte su sei fatte dal pubblico. La demo presentata riguarda due banalissime pagine web che pubblicano una lista di titoli di libri da cui poi si possono vedere i dettagli. Lo speaker pone l'accento sulla separazione della vista dal controller, e fin qui sono daccordo ma con TDD non ha...
La sessione di Chris Corio inizia spiegando come funziona l'intergrity level in Windows Vista. Gli Integrity level sono quelli usati da IE per lavorare in protected mode che consente di mitigare eventuali attacchi di injection o similari. In pratica i processo con privilegi più bassi non può accedere a processi di livello più alto, mentre può accedere in sola lettura ad oggetti (file, registry, heandle in genere) che siano di livello più elevato. L'inofrmazione degli integrity level è dentro le SACL (normalmente usate per l'auditing) per non rompere le compatibilità con le DACL (le classiche ACL delle permission)....
Il boot dove sono stato in questi giorni a fare la ATE (Ask The Expert) è quello della sicurezza insieme a Michael Howard, Ali Parker e Ziv Fass del gruppo SDL (Security Development LifeCycle) di Microsoft.
In questi giorni c'è stata una discussione sul nuovo tool di threat modeling che ho presentato in varie sessioni durante i workshop UGI e durante WPC. Il nuovo tool adotta un modello nuovo che affronta la problematica dal punto di vista del defender, mentre il modello precedente presenta invece il problema dal punto di vista dell'attacker (modello del libro di Swiderski).
La risposta di Michael a...
Si, ancora il grande Michael Howard che presenta una vera raffica di consigli per gli sviluppatori. Il punto di partenza è che la security non si può vendere come feature ma è necessario aprire gli occhi e valutare quanto potrebbe costare un eventual exploit dell'applicazione. Il primo consiglio pratico dovrebbe essere noto a tutti: non fidsarsi mai dei dati che arrivano alla nostra applicazione. "Data is evil" è meglio di qualsiasi altra spiegazione. Poi un consiglio d'oro che viene ripreso più volte durante la sessione: nel codice non bisogna mai cercare condizioni per cui...
Yes, you can see the attendees from Steve perspective (I'm in the front row on the right side): http://blogs.msdn.com/texblog/archive/2007/11/07/talking-debugging-in-the-tent-at-teched.aspx So... here is Steve from our perspective!
Non è sempre facile trovarsi insieme liberi da impegni e finalmente quest'anno ce l'abbiamo fatta. Così sono riuscito ad invitare al party italiano due carissimi amici di Visual C++, Steve e Ale accompagnato dalla moglie Lin. Non è stato facile perché Steve era reduce della sua bellissima sessione sul crash dump e Ale avrà domattina la sua sessione sullo standard C++0x. Bella e numerosa la compagnia ma lo stomaco era vuoto così siamo scappati al porto olimpico al ristorante e ci siamo deliziati con un buon piatto locale. Janky ha dato il meglio di se stesso ma questa...
Magnifica la sessione di Steve Teixeira sul debugging di codice nativo con Visual C++ 2008. Alcune di queste cose sono anche presenti nella versione 2005 ma in tanti nella sala non ne conoscono l'esistenza, quindi Steve passa all'attacco e spara a raffica una serie di fantastici tips&tricks. Lo switch /GS per trovare i problemi di Buffer Overrun Secure Iterators nelle STL abilitato di default e controllato con _SECURE_SCL Static Code Analisys compie una analisi del codice prima del deploy e identifica eventuali errori in compilazione. Di...
Don Smith di Pattern and Practices e Olaf Conijm presentano la sessione sulla nuova edizione delle software factories che sarà pubblicata probabilmente domani. In sostanza la sessione è prevalentemente demo. Le service factories stanno facendo enormi passi avanti e l'integrazione con WCF e gli strumenti di modellazione è decisamente matura. Il punto più importante è la facilità con cui è possibile rigenerare il codice senza perdere le customizzazioni e la pluggabilità che consente di estndere facilmente le librerie e costruire facilmente le verticalizzazioni Certamente è necessario valutare con attenzione quando fare...
La sessione inizia con un'interessante considerazione: l'unica metrica che è stata trovata valida per giudicare il numero di vulnerabilità è l'età del codice, tanto più vecchio quanti più security bug. I risultati sono valutabili da tutti per numero di bollettini di sicurezza che sono diminuiti in modo sostanziale. Molte vulnerabilità sono state evitate applicando semplicemente il processo SDL: per esempio evitando di installare per default componenti che hanno dimostrato di avere delle vulnerabilità. Sembra un esempio sciocco ma quando parliamo di milioni di installazioni, fa certamente una grossa differenza. Altri bug eliminati semplicemente per aver...
È Kate Gregory la speaker per l'interoperability in C++/CLI con Visual C++ 2008. Lo scenario di interoperabilità è indubbiamente quello più appetibile per C++. Scrivere una porzione in codice nativo e l'interfaccia utente con C# ed infine mettere le due cose assieme. Sappiamo bene che PInvoke e COM interop non sono semp;re una strada semplice o percorribile. C++/CLI è certamente un ottima soluzione e anche molto performante. La novità che fa partire la sessione è la tanto attesa libreria STL/CLR che ha esattamente la stessa sintassi della STL (Standard Template Library). Solo cambiando include e namespace permette di...
I threat modeling è una componente fondamentale del processo SDL e Michael Howard presenta in questa sessione una introduzione alla stesura di un threat modeling. Il primo avvertimento è per gli architect e non ci sono parole che possono dirlo meglio di questa slide: Un punto fondamentale è quello di definire come verrà usata l'applicazione: c'è infatti una grossa differenza se l'utente è un tecnico che può capire come una minaccia viene mitigata oppure se è un utente casalingo. Bello l'esempio dell'amminstratore di sistema che naviga su Internet dal Domain Controller che è in grado...
Lo speaker è Dominick Baier, MVP Developer Security del mio gruppo con cui recentemente ho discusso diversi aspetti di Cardspace. Sul suo sito è pubblicato il famoso controllo asp.net per Cardspace che merita certamente. La sessione inizia con le varie opzioni di Transport e Message security e i relativi binding. Le possibili combinazioni sono molte e Dominick spiega in modo molto pragmatico i vari aspetti che sono rilevanti nella scelta della configurazione. Diverse demo accompagnano le spiegazioni mostrando tra le altre cose anche diversi aspetti interessanti sui certificati e le modalità di validazione delle credenziali. Poi si...
Ieri sera l'ultima sessione è di Michael Howard, personaggio che non ha bisogno di presentazioni e autore, tra gli altri, di Writing Secure Code. Avevo già chiaccherato a lungo con lui a Redmond in occasione dell'MVP Summit 2005 e scambiato diverse altre email visto che è un attivo supporter del nostro gruppo MVP Developer Security. Ieri mi ha detto che nei prossimi giorni dovremmo essere insieme al booth ATE della sicurezza . La sessione inizia con una introduzione al processo SDL sottolineando che ha dimostrato di funzionare nei casi casi reali in cui è stato applicato. Michael sottolinea che...
La popolosa sessione: "What is next for the .NET Framework and distributed applications" è di livello 200 e inizia con una panoramica molto soft sulle attuali tecnologie e sul trend delle architetture. I punti più rilevanti sono certamente questi: Il futuro non vede altra possibile alternativa al mondo SOA. Sempre più soluzioni che vedono i concetti di Modello e Servizio come fulcro dell'intera architettura. Biztalk ha un ruolo centrale per permettere il dialogo tra sistemi eterogenei e velocizzare il processo di integrazione La sicurezza si sta spostando velocemente verso...
Partiti ... Somasegar, Corporate Vice President della Developer Division, dà il via alla Keynote ripercorrendo la lunga list di prodotti che sono già stati lanciati nei mesi precedenti. Nell'auditorium sono presenti i 4000 attendees di quest'anno (+250 rispetto all'anno scorso): Poi si passa agli annunci ... Visual Studio 2008 RTM sarà disponibile già a fine mese... si avete letto bene, Novembre 2007 è la data di uscita di Visual Studio 2008. Entro fine mese gli abbonati MSDN potranno scaricarlo! MS Sync Framework, un framework per semplificare...
Ieri, prima della registrazione, insieme a i soliti ignoti abbiamo fatto un giro veloce per visitare la Sagrada Familia. Erano anni che non la rivedevo e devo dire che mi piace sempre di più.
Domani la registrazione e il briefing della ATE, poi da Lunedi parte il TechEd Europe 2007. Il gruppo Italiano MVP è bello folto: Lorenzo, Mauro, Mighell, Janky, Davide, Andrea e il sottoscritto scorazzeremo per il conference center. E poi c'è anche il grande Mario con cui condividerò un paio di slot al padiglione Microsoft alla ATE. Chi partecipa mi può trovare nella zona Ask The Expert, zona security, il Martedi e Mercoledi pomeriggio, e Giovedi mattina.
Mighell mi fa notare che c'è uno screenshot molto familiare a questo post dell'evangelist Tedesco di Microsoft: http://blogs.msdn.com/frankpr/archive/2007/11/01/cooles-gui-mit-dem-net-micro-framework.aspx
Dopo tanti anni di richieste a gran voce, WinPE è disponibile gratuitamente sul sito Microsoft: http://technet2.microsoft.com/windowsvista/en/library/129a1712-e3d8-46c1-bc09-a14349dc67db1033.mspx?mfr=true Pur essendo usato per semplificare le operazioni di preinstallazione dei PC, sappiamo bene che è utile per un infinito numero di operazioni di manutenzioni, recovery e troubleshooting.