ottobre 2004 Blog Posts
Per due/tre settimane non so se riuscirò a collegarmi a Internet, quindi potrete stare un po' tranquilli, senza subirvi le mie stupidate quotidiane.
Naturalmente questo varrà anche per forum, mail, messenger e chi più ne ha più ne metta!
Ci rivediamo a fine mese...
Come si dice in questi casi: subscribed!
Se poi non sapete di chi sto parlando, beh, sto parlando dei creatori dei più bei tool per Windows, senza ombra di dubbio.
Se siete ancora indecisi potete rimanere sbalorditi sul loro sito...
[fonte: Jonathan Hardwick]
Faccio fatica a seguire i commenti ai post... non i miei, intendo ai post degli altri...
Non so se la soluzione giusta sia inviare mail di notifica (come fa Dave Burke) per ogni commento a chi si registra, oppure un qualcosa client side in RSS Bandit (o nel vostro prg preferito) che mi informi regolarmente in caso di commenti ai post che decido di monitorare...
Comunque così non si può andare avanti!
Cosa fate se vi manca l'ispirazione per finire qualcosa? Nel mio caso devo finire un articolo per ioProgrammo...
Beh, per ora la soluzione migliore che ho trovato è di distrarmi cinque minuti scrivendo nel blog...
E voi in questi casi?
Come già detto in questo post (WebLog Marketing...) i blog sono visti come un ottimo strumento per pubblicizzare i propri prodotti, almeno quelli in lingua inglese.
Quindi potete capire cosa ha scatenato l'ondata di post (compreso i miei... ) su MaxiVista, come in passato ci sono stati i post su XDN, ORMapper (non quello di Frans...), etc...
Per quanto mi riguarda non ho problemi nel farlo, a tre condizioni:
che il prodotto sia valido, faccia quello che promette e che non abbia side-effects...
che posso riportare che ho ricevuto la licenza omaggio, per far capire a chi legge la mia posizione
che riguardi almeno lontanamente .NET,...
Dopo Pierre e tanti altri, anch'io finalmente ho provato MaxiVista (grazie anche ad una licenza free...) e sono rimasto molto ben impressionato...
E' un ottimo programma, molto semplice da installare, che permette di utilizzare i monitor dei PC che magari non usiamo come copia del nostro monitor (ad esempio per presentazioni) o come estensione del desktop.
Grande!
Frans Bouma (MVP olandese, creatore di LLBLGen Pro, un O/R Mapper molto potente) ha scritto un ottimo articolo su un tema che come possiamo immaginare (ci campa... ) lo interessa molto da vicino.
Anche se Frans può sembrare una persona un po' burbera (e chi lo ha incrociato sui vari newsgroups lo sa...), in verità è una persona molto disponibile e competente, e lui sicuramente di questi argomenti se ne intende!
Al TechEd Europe 2004 Frans ha tenuto una sessione BOF sugli O/R Mapper. All'inizio è stato un po' impacciato ma, grazie all'ottima conoscenza della materia, ha portato a termine una...
Ecco un bellissimo articolo su come capire se una sessione è precedentemente scaduta: http://aspalliance.com/articleViewer.aspx?aId=520&pId=1
L'idea è molto semplice, verificare la presenza del cookie di ASP.NET (proveniente dalla sessione precedente) e della contemporanea validità di Session.IsNewSession() che indica che una nuova sessione è stata creata, e il risultato è servito!
Naturalmente il tutto non vale in caso di sessioni cookieLess... ma probabilmente a pensarci cinque minuti il workaround si trova...
Ehi, ma è sabato sera, quindi... sforzatevi un po' voi
[fonte: www.gotdotnet.com]
Cercando di dare una mano ad Andrea, ho trovato questo:
http://translation.langenberg.com/
comodo per fare traduzioni che Babelfish e Google non fanno ancora...
Anche se visti i risultati i traduttori automatici servono più per farsi due risate...
E' da qualche giorno che noto una cosa un po' inquietante...
Ci sono post e richieste che mi arrivano direttamente via form dei contatti che mi chiedono aiuto su questo o quell'altro problema.
A me fa molto piacere aiutare chi ha bisogno, ma ho due considerazioni da fare:
se la richiesta è attinente ad un post, allora i commenti del post sono il posto giusto, al massimo spetta a me indirizzarvi a qualcos'altro.
se la richiesta non è legata a nessun post, ed è una richiesta 'generica', che non riguarda direttamente me o quello che...
Praticamente ricorsivo
Alcune note dopo l'uso:
- avere la possibilità nell'editor HTML di fare elenchi puntati e
numerati
- possibilità nell'editor HTML di inserire immagini specificandone l'URL, se
poi gestisse lui l'upload nella gallery sarebbe una vera libidine...
- possibilità di recuperare i msg dal server e i modificarli
- possibilità nell'editor di postare direttamente, senza dover fare salva e
poi publish...
- se schiaccio su Categories non si apre la combo, devo per forza usare la
freccetta...
- avere una preview, magari nella status bar, delle categorie selezionate
... poi non ti lamentare che ti do troppo lavoro da fare!!!
Mi diletto molto a vedere le statistiche sui miei blog, ma oggi mi è venuta una curiosità...
Ma quanti guardano il blog di UGI? Intendo la main page...
Magari un bel contatore degli accessi avuti nel giorno e nella settimana... visto che tanto il totale non vuol dire nulla
Chissa se Andrea, il santo protettore del sito UGI, ci farà qualche altra sorpresa...
Technorati Tags: UGIdotNET
Ravanando nelle statistiche del mio blog in inglese, ho visto che il post sulla vulnerabilità di ASP.NET che riportava la notizia di Raf sulla Windows Authentication, e il resoconto degli altri blog in italiano che si erano susseguiti nel week-end, ha avuto un casino di page views... beh per me più di 3000 views sono davvero molte...
Incuriosito ho guardato i referer e ho scoperto perchè... Cercando con Google ASP.NET Vulnerability il mio blog viene al secondo posto, dopo il sito di SANS, ma prima di tutti gli altri blog e soprattutto prima delle pagine Microsoft...
Come diceva "qualcuno"... Non ci poooosssssoooooo creeeedeeeereeee!...
Ecco un'altra pezza di Microsoft che installa un ValidationModule nella GAC e lo aggiunge al machine.config, in modo da proteggere tutti i siti.
Microsoft has released an ASP.NET HTTP module that Web site administrators can apply to their Web server. This module will protect all ASP.NET applications against all potential canonicalization problems known to Microsoft.
Vediamo un po' come va...
Pronto... prova... mi sentite?
Ah... finalmente è in Inglese...
Non credo di usarlo seriamente fino a quando i blog di UGI non useranno la nuova versione del FreeTextBox... non sopporto dover scrivere i post a mano...
Mi sa che mi tocca passare a IMHO
Non ho parole!
Technorati Tags: UGIdotNET
Questo me lo segno, in modo da non doverlo ricercare un'altra volta
http://www.denisbauer.com/NETTools/FileDisassembler.aspx
E' un plug-in per Reflector, che dato un assembly lo decompila tutto e ne salva il risultato...
Se poi qualcuno facesse un convertitore che ripristina le convenzioni di Visual Studio.NET (global.asax, region, etc...) uno non farebbe neanche fatica...
Pensateci se rilasciate software serio senza offuscarlo con un prodotto serio...
Più che altro spero di non essere costretto a disinstallarlo...
http://www.neowin.net/comments.php?id=24668&category=main
Certo che lasciare i Wink attivi e potenzialmente disastrosi... ma erano così bellini, soprattutto il tizio col gavettone
Speriamo in una bella patch...
https://sourceforge.net/projects/webmailplus/ Che fatica...
Ho messo anche i sorgenti sotto CVS, tra qualche ora appariranno nel sito
Tra le novità della versione 1.1 M1 c'è il supporto per le mail della famiglia Wind/Libero. Per farle funzionare bisogna inserire le seguenti URL:
libero
inwind
iol
blu
a seconda della mail da leggere.
Fatemi sapere...
Finalmente sono riuscito a mettere qualcosa sul sito Web del progetto WebMail! hostato su SourceForge.
http://webmailplus.sourceforge.net/
Per ora c'è il manuale utente, ma per la mia imbranataggine con certi tool, è già tanto...
Grazie a Marco Abis per avermi messo sulla strada giusta
Ora mi tocca domare il CVS...
P.s. se avete 5$ che vi puzzano, potete anche donare qualche cosa al progetto!
What You Should Know About a Reported Vulnerability in Microsoft ASP.NET - da Microsoft Security
What You Should Know About a Reported Vulnerability in Microsoft ASP.NET - da Brian Goldfarb
Programmatically check for canonicalization issues with ASP.NET
Ma l'upload di un file via browser faceva brutto?
Capisco il CVS, ma il resto mi sembra come al solito complicare le cose inutilmente...
Le istruzioni per usare il resto fanno proprio schifo...
Mah, consoliamoci con la stabilità...
Si ancora
Oggi ho attivato il ripristino della conversazione all'apertura di un contatto, ed è una cosa fantastica...
Finalmente posso chiudere le finestre se occupano spazio, e ritrovarmi al punto di prima nella conversazione appena le riapro...
Ecco un altra cosa a cui non riesco a rinunciare...
Oggi al corso la porta del POP3 era chiusa... quindi Outlook non poteva accedere alla posta di Libero...
Stasera ho aggiunto il supporto per Libero a WebMail!, con controllo delle mail non lette e tutto il resto.
Domani testo meglio, e poi finalmente se trovo un minuto metto tutto su SourceForge...
Oggi sono proprio stanco...Primo giorno di un mini corso di due giorni, argomenti molto interessanti, e quando le cose mi piacciono mi stanco molto
Uno dei vantaggi di avere il blog su weblogs.asp.net è l'arrivo di offerte di WebMail marketing.
Praticamente funziona così:
loro mi regalano una copia di qualcosa (un software, un giornale, un servizio)
io ne parlo sul blog e li linko
il loro ranking su Google aumenta per via dell'alto punteggio di un link su weblogs.asp.net...
tutti sono felici... a parte forse qualche lettore del blog a cui non interessa il prodotto...
Chissà se anche in Italia c'è qualcuno che ha deciso di adottare questa tecnica...
Un post in cambio di qualcosa non si nega a nessuno
Dedicato ad Andrea Boschin ... http://www.thestylemachine.com/metele/
Il link me lo ha passato Giancarlo...
PROVATELO!!!
Ho appena postato sul blog inglese la mia avventura per rimuovere completamente le DLL contenenti la vulnerabilità del JPEG.
Fortuna che non faccio l'amministratore di decine di macchine
Toast con l'immagine del mittente del messaggio
Possibilità di log-in as busy, away, hidden
Nudge... ovvero un bel tremolio della finestra del messenger per "svegliare" chi sta dall'altra parte...
Visualizzazione delle emoticons nella lista contatti
Visualizzazione della propria immagine nella lista contatti
Possibilità di scegliere la dimensione delle immagini laterali per entrambi
etc...
Stamattina ho rinnovato la certificazione MCT...
Quindi sono a posto per un altro anno... sempre che le nuove regole non facciano vittime!!!
WinZip Warns of Security Flaws
Fortuna che ho già installato la 9.0 SR1 che sembra immune...
Tanto la prevengo io la SQL Injection...
Beh, provate a dare un'occhiata a questo post, che rende bene l'idea...
Dopo il mantra "usate URLScan" da ripetere 1000 volte ecco il secondo mantra della security: "usate i parameters"...
Da ripetere altre 1000 volte...
Mi sento come un bambino la mattina di Natale ogni volta che posso installare qualcosa in pre-beta...
Che devo dire... bellissimo...
La cosa che mi piace di più che finalmente mostra le emoticon anche nella lista degli utenti...
Non più ( bah ) o : - ) o tutti quei caratteri senza senso...
Bella anche la nuova interfaccia delle preferences, e molto divertente il discorso dei Wink, anche se per ora li vedo solo io
Peccato che non va il Messenger Plus!, aspetterò la nuova versione con ansia... come al solito
Poi tanti altri ritocchi e stupidate che però rendono la vita più comoda,...
Probabilmente bisogna ringraziare l'autore di questo post: URL Canonicalization
Anche a livello internazionale le cose si stanno muovendo...
Ecco un post che riassume un po' la situazione e da un po' di link ad altri post...
Working Around the IIS 5/ASP.NET Directory Security Vulnerability
Ho scritto una mail a Scott Guthrie per avere un commento ufficiale del team ASP.NET, vediamo che succede...
Intanto nel mio blog inglese, ho riassunto tutti i post fatti in Italia su Ugi, Devleap e AspItalia: http://weblogs.asp.net/lbarbieri/archive/2004/10/02/237049.aspx riguardo al problema.
"pare che questo sia una esclusiva nostra"...
Questo post è nato come un commento nel blog di Andrea Boschin, poi quando ha superato le 300 righe, sono passato di qua' che l'editor è un po' meglio...
Vediamo come è andata ieri pomeriggio.
Quando ho visto il post in inglese su weblogs.asp.net, poi quello in francese su dotnetjunkies.com, e alla fine la segnalazione originale su sourceforge ho cercato di capirci di più.
Mi sono consultato con Andrea Saltarello. Dopo svariate prove, sul mio PC non riuscivo a riprodurlo, quindi lui si è messo a scrivere una web app per verificarlo. All'inizio era scettico, ma poi... è...
Anche quest'anno è giunta l'ora del rinnovo della certificazione MCT.
Per chi non lo sapesse gli MCT vengono rinnovati di anno in anno, se hanno raggiunto gli obiettivi fissati.
Quest'anno è un anno di transizione, sono cambiate molte cose e tra gli obiettivi alla fine sono rimasti solo aver tenuto 80 ore di corso, ma dall'anno prossimo gli obiettivi saranno molto più duri...
Prima di tutto d'ora in poi gli MCT non potranno tenere tutti i corsi, ma solo i corsi su cui hanno la competenza (decisa in base agli esami di certificazione sostenuti).
Seconda cosa verremo valutati sui feedback degli studenti, e questo...
Vista la richiesta, ho deciso di bloggare un elenco di fonti per restare aggiornati in fatto di sicurezza.
Non è completa, non è esaustiva, ed è fatta di sabato pomeriggio... quindi prendetela per quello che è.
Se qualcuno ha delle aggiunte, inseritele nei commenti, che mano a mano aggiorno la lista...
Microsoft Security Bullettins RSS Feed: http://www.microsoft.com/technet/security/bulletin/secrss.aspx
Microsoft Security Bullettins Search: http://www.microsoft.com/technet/security/current.aspx
Microsoft Downloads RSS Feed: http://www.thundermain.com/rss/, ci sono tutti i download, comprese le varie patch...
kbAlertz: www.kbalertz.com
NTBugTraq: http://www.ntbugtraq.com/
Internet Storm Center: http://isc.sans.org/
Siti più generici, ma sempre ben informati: www.neowin.net, bink.nu, entrambi disponibili come Feed RSS
Per cominciare direi che basta... poi vediamo!
In questo post molto ben fatto Roberto Brunetti entra nei dettagli tecnici del problema e ne fornisce una possibile soluzione, indipendente dal SO, dal Framework e dal fatto che usiate URLScan oppure no.
Una sola precisazione rispetto al post: URLScan può essere installato anche su IIS 4, e non solo IIS 5.x (2000 e XP).
So che ASP.NET non gira su IIS4/NT4, so che IIS 4 dovrebbe essere comunque estirpato da Internet, ma se proprio non potete farne a meno, almeno proteggetelo un po'...
P.s. sarebbe bello poter lasciare dei commenti sui Blog di devleap, cosa che in pochissimi hanno abilitato...
Forse con i commenti...
Moltissima gente c'è rimasta male per il problema di sicurezza dell'autenticazione Form-based di ASP.NET.
Il fatto che con un \ al posto di / si potesse bucare un sistema di autenticazione usato dalla stragrande maggioranza dei siti ASP.NET è veramente inquietante.
Ma succede. "Shit happens" diceva qualcuno...
La sicurezza è un qualcosa che va ricercato sotto tantissimi punti di vista.
In questo caso chi era protetto da URLScan (incluso in IIS 6, nell'IIS Lockdown Tool o installabile singolarmente) ha scampato il pericolo (sempre che non abbia giocato troppo con la configurazione del tool...) ma non sempre va cosi.
Nella sessione di giovedì Raffaele ha mostrato una...
Potete trovare tutto qui (sorgenti, installer, tutorial, licenza, etc...)
A me piace molto questo programma, e il fatto di poter sbirciare i sorgenti in C# è un ottimo aiuto per chiunque debba lavorare con la grafica in .NET.
Congratulazioni a tutto il team.
Che bello essere protetti senza saperlo!!!
URLScan fa il suo dovere anche nel caso del problema della Forms Authentication di ASP.NET.
Potete installarlo assieme a IISLockdown Tool (consigliato) o anche da solo e lui vi filtra le URL e i comandi HTTP che possono contenere caratteri o contenuti pericolosi.
Nel caso della vulnerabilità di ASP.NET, se provate a sfruttare il carattere \ o %5C per bucare un sito protetto da URLScan, questo rifiuta la richiesta, presentandovi una bella pagina d'errore e loggando l'accaduto:
[10-01-2004 - 16:25:26] Client at 127.0.0.1: URL contains sequence '\', which is disallowed. Request will be rejected. Site Instance='1', Raw URL='/Exploit/wannabesecure%5Csecurepage.aspx'
Quindi seguite il mio consiglio, quello...
Ecco il draft dell'agenda: http://www.ugidotnet.org/workshops/workshops_detail.aspx?ID=db538c59-1dc2-4d8b-ad95-9f7f8c1e949e
Ci sarò anch'io tra gli speaker... spero che questo non faccia scappare troppa gente
Technorati Tags: UGIdotNET
Grazie anche a Carlo per le foto di Fabio come mamma l'ha fatto se era rimasta un po' di credibilità dopo ieri (e ripeto SE) oggi viene proprio spazzata via....
Complimenti anche ad Andrea, immagino da cosa vi vestivate se al posto di Spiderman II avessimo guardato Mucche alla Riscossa!!!
Complimenti a tutti per l'ottima giornata e anche per la splendida serata
Technorati Tags: UGIdotNET