giugno 2006 Blog Posts
Questo fine settimana cercherò di terminare la tanto attesa whitepaper sulla sicurezza delle web applications. Inoltre, mi sono posto l'obbligo di portare a termine anche il mio "wrapperone" che rende più semplice l'uso delle classi dedicate alla criptografia di .NET.
Un regular demand si scatena ogni volta che il codice di demand viene eseguito. Un link Demand, invece, solo quando viene compilato JIT (Just in Time).
Un regular demand può essere un attributo dichiarativo o una chiamata imperativa. Un link Demand, è sempre rappresentato da un attributo dichiarativo nel metodo.
Un Link Demand è decisamente più veloce di un regular demand per il semplice fatto che viene eseguito una singola volta e non esegue uno stack walk.
Durante l'analisi di un nuovo progetto, qualcuno (ndr guardandomi) ha posto la seguente domanda."Cosa significa chiedere i permessi per svolgere una determinata azione in un contesto generico applicativo? "
La risposta a questa domanda può sembrare decisamente semplice, tuttavia non è proprio così ovvia. Pertanto, ho proposto di aprire un dibattito al riguardo. Ogniuno ha espresso la sua opinione ed il risultato generale è stato che, per richiesta di permessi s'intende il reclamare il permesso ad eseguire una determinata operazione su un determinato componente. La mia reazione è stata piuttosto inusuale, ho chiesto di realizzare un semplice snippet che chiamasse un metodo di...
Benvenuta a casa dolcezza!
Ultimamente sto postando poco, è vero, problemi di grande importanza mi stanno allontanando dal blog. Ma a parte questo, che non è il motivo di questo post, volevo informarvi che da circa quattro giorni sto lavorando ad una whitepaper che rilascerò (spero) la prossima settimana. Il titolo è in fase di definizione, ma i contenuti iniziano ad essere molti. Si parla di sicurezza delle web applications ed in generale dell'amministrazione remota dei contenuti (le famose aree admin). Tutto questo nasce con l'idea di sensibilizzare Programmatori/PM/Clienti riguardo ai problemi derivati da uno sviluppo non orientato alla sicurezza. Attualmente i contenuti sono :
Remote Code Execution
Come proteggersi dai Google...
Oggi ho avuto la mia prima (ma tanto attesa) esperienza con i PinPad.Dopo aver ascoltato l'interessante introduzione del responsabile dei sistemi informativi (lui si che ne sà),mi sono lanciato su un sistema di terze parti che gestisce il sistema di criptaggio dei dati PIN e PAN della carta strisciata.
L'architettura ideata è veramente geniale, sarà sicuramente un piacere prendere parte a questa attività. Da grande appassionato di Unconventional Programming, ho veramente apprezzato l'opportunità che mi è stata data, anche se... l'algoritmo lo avrei fatto meglio io
Iniziano ad arrivare le prime recensioni e le prime mail dai lettori.La più gratificante è stata quella di un giovane ragazzo che, grazie a quello che ha letto nel libro, è riuscito a passare un colloquio di lavoro . Ma anche quella di un programmatore senior che mi ringrazia per l'interessante capitolo sulla sicurezza. Che dire la soddisfazione è tanta.. Grazie Grazie Grazie!La recensione di Sergio Palumbo di sepanet.it è poi stata un altra bella sorpresa.
"E' piccolo ma ottimo per iniziare, questo manualetto di ASP.NET 2.0 di Alessio Marziali e Luciano Noel Castro. Parte, infatti, da un'introduzione ad ASP.NET che consente subito di...
Dopo l'introduzione fatta in precedenza, andiamo a scoprire definitivamente il significato dei NamedPermissions Set. Sia chiaro, il loro utilizzo non è che faccia la differenza.. ma sicuramente può aiutarci a sviluppare con maggiore ordine. Dopo essermi fatto le mie personali convinzioni entriamo nel tecnico.
Come abbiamo capito, il permissions set ritornato dall'evidence dell'assembly in esecuzione non contiene tutte le permissions che ci sono state assegnate dai code groups. Per esempio, potrei usare l'oggetto FileStream senza problemi, ma l'oggetto FileIOPermissions non verrà mostrato nel permission set associato. Per riuscire a visualizzare tutte le permissions c'è da svolgere un lavoro in più. Il come lo vedremo nel prossimo post....
E' vero; avevo detto che
avrei parlato di ben altre cose, ma rileggendo la serie di post mi
sono accorto che stavo tralasciando una parte molto
importante. I Named Permissions Sets
. Cosa sono e come funzionano lo scopriremo
nel prossimo post (sec 27). Ho scelto questa scaletta per facilitare la lettura
a chi non avesse familiarità con i Permissions Sets.Come si può ben intuire
un Set di Permissions è l'unione di due o più Permissions che un assembly può
avere. Ricordiamoci sempre che esistono differenti policies,
ogniuna delle quali con differenti code groups...