June 2006 Blog Posts

Come passare un sabato a scrivere codice.

Questo fine settimana cercherò di terminare la tanto attesa whitepaper sulla sicurezza delle web applications. Inoltre, mi sono posto l'obbligo di portare a termine anche il mio "wrapperone" che rende più semplice l'uso delle classi dedicate alla criptografia di .NET.

posted @ Friday, June 30, 2006 11:56 AM | Feedback (6)

Differenze tra Link Demands e Regular Demands? Eccole qui

Un regular demand si scatena ogni volta che il codice di demand viene eseguito. Un link Demand, invece, solo quando viene compilato JIT (Just in Time). Un regular demand può essere un attributo dichiarativo o una chiamata imperativa. Un link Demand, è sempre rappresentato da un attributo dichiarativo nel metodo. Un Link Demand è decisamente più veloce di un regular demand per il semplice fatto che viene eseguito una singola volta e non esegue uno stack walk.

posted @ Thursday, June 29, 2006 11:43 AM | Feedback (5347)

[Security 28] Link Demands

Durante l'analisi di un nuovo progetto, qualcuno (ndr guardandomi) ha posto la seguente domanda."Cosa significa chiedere i permessi per svolgere una determinata azione in un contesto generico applicativo? " La risposta a questa domanda può sembrare decisamente semplice, tuttavia non è proprio così ovvia. Pertanto, ho proposto di aprire un dibattito al riguardo. Ogniuno ha espresso la sua opinione ed il risultato generale è stato che, per richiesta di permessi s'intende il reclamare il permesso ad eseguire una determinata operazione su un determinato componente. La mia reazione è stata piuttosto inusuale, ho chiesto di realizzare un semplice snippet che chiamasse un metodo di...

posted @ Tuesday, June 27, 2006 12:30 PM | Feedback (5334)

Ho una nuova compagna

Benvenuta a casa dolcezza!

posted @ Saturday, June 24, 2006 5:38 PM | Feedback (18)

security whitepaper #1

Ultimamente sto postando poco, è vero, problemi di grande importanza mi stanno allontanando dal blog. Ma a parte questo, che non è il motivo di questo post, volevo informarvi che da circa quattro giorni sto lavorando ad una whitepaper che rilascerò (spero) la prossima settimana. Il titolo è in fase di definizione, ma i contenuti iniziano ad essere molti. Si parla di sicurezza delle web applications ed in generale dell'amministrazione remota dei contenuti (le famose aree admin). Tutto questo nasce con l'idea di sensibilizzare Programmatori/PM/Clienti riguardo ai problemi derivati da uno sviluppo non orientato alla sicurezza. Attualmente i contenuti sono : Remote Code Execution Come proteggersi dai Google...

posted @ Wednesday, June 14, 2006 11:41 AM | Feedback (8)

PinPad e gli algoritmi di codifica

Oggi ho avuto la mia prima (ma tanto attesa) esperienza con i PinPad.Dopo aver ascoltato l'interessante introduzione del responsabile dei sistemi informativi (lui si che ne sà),mi sono lanciato su un sistema di terze parti che gestisce il sistema di criptaggio dei dati PIN e PAN della carta strisciata. L'architettura ideata è veramente geniale, sarà sicuramente un piacere prendere parte a questa attività. Da grande appassionato di Unconventional Programming, ho veramente apprezzato l'opportunità che mi è stata data, anche se... l'algoritmo lo avrei fatto meglio io

posted @ Monday, June 5, 2006 8:19 PM | Feedback (7)

Recensione di Pocket ASP.NET 2

Iniziano ad arrivare le prime recensioni e le prime mail dai lettori.La più gratificante è stata quella di un giovane ragazzo che, grazie a quello che ha letto nel libro, è riuscito a passare un colloquio di lavoro . Ma anche quella di un programmatore senior che mi ringrazia per l'interessante capitolo sulla sicurezza. Che dire la soddisfazione è tanta.. Grazie Grazie Grazie!La recensione di Sergio Palumbo di sepanet.it è poi stata un altra bella sorpresa. "E' piccolo ma ottimo per iniziare, questo manualetto di ASP.NET 2.0 di Alessio Marziali e Luciano Noel Castro. Parte, infatti, da un'introduzione ad ASP.NET che consente subito di...

posted @ Saturday, June 3, 2006 9:52 PM | Feedback (5339)

[Security 27] NamedPermissions Set

Dopo l'introduzione fatta in precedenza, andiamo a scoprire definitivamente il significato dei NamedPermissions Set. Sia chiaro, il loro utilizzo non è che faccia la differenza.. ma sicuramente può aiutarci a sviluppare con maggiore ordine. Dopo essermi fatto le mie personali convinzioni entriamo nel tecnico. Come abbiamo capito, il permissions set ritornato dall'evidence dell'assembly in esecuzione non contiene tutte le permissions che ci sono state assegnate dai code groups. Per esempio, potrei usare l'oggetto FileStream senza problemi, ma l'oggetto FileIOPermissions non verrà mostrato nel permission set associato. Per riuscire a visualizzare tutte le permissions c'è da svolgere un lavoro in più. Il come lo vedremo nel prossimo post....

posted @ Saturday, June 3, 2006 6:00 PM | Feedback (5416)

[Security 26] Permissions Sets

E' vero; avevo detto che avrei parlato di ben altre cose, ma rileggendo la serie di post mi sono    accorto che stavo tralasciando una parte molto importante. I Named Permissions Sets . Cosa sono e come funzionano lo scopriremo nel prossimo post (sec 27). Ho scelto questa scaletta per facilitare la lettura a chi non avesse familiarità con i Permissions Sets.Come si può ben intuire un Set di Permissions è l'unione di due o più Permissions che un assembly può avere. Ricordiamoci sempre che esistono differenti policies, ogniuna delle quali con differenti code groups...

posted @ Saturday, June 3, 2006 3:34 PM | Feedback (5402)