maggio 2007 Blog Posts
Ogni minuto un bambino muore per cause collegate all’HIV/AIDS, e quattro nuovi contagi avvengono fra adolescenti di età inferiore ai 15 anni. E sono oltre 15 milioni i bambini nel mondo che hanno perduto uno o entrambi i genitori a causa della malattia. A oltre venti anni dall’inizio della pandemia, solamente una minima frazione delle risorse necessarie è effettivamente disponibile. La Campagna Uniti per i bambini, Uniti contro l’AIDS è stata promossa dall’UNICEF, con l’adesione, in Italia, di 11 organizzazioni: Amnesty International – Sezione Italiana, ANLAIDS, Archè, CESVI, CittadinanzAttiva, Comunità di Sant’Egidio, Croce Rossa Italiana, LILA, Medici Senza Frontiere...
Non sempre possimo utilizzare l'ultima novità anzi.. i compotenti COM, Win32 DLL sono ancora molto diffusi, pensiamo solo al se si tratta di continuare a migliore prodotti di livello enterprise, in questi casi non sempre si può ripartire da zero. Quali sono i problemi di sicurezza in questi casi? la CAS in questo caso non ci aiuta, il codice unmanaged ad essa sfugge nel codice che andiamo ad utilizzare effettivamente può esserci scritto di tutto e tanto per fare un esempio possiamo anche incorrere nel buffer overruns (detto anche buffer overflow) sono unsigned, quindi facilmente rimpiazzabili con cose non proprio buone e giuste...
Una delle cose che più mi ha entusiasmato dei web services è la loro estrema praticità. Quando si creano più applicazioni che hanno delle funzionalità comuni si possono inscatolare in un web services e lo sviluppo è sicuramente più celere. Quello che però alle volte sfugge è "una delle sue maggiori virtù, SOAP tanto per capirci, è anche il suo tallone d'achille per la sicurezza". Perchè sicurezza e cosa ci interessa in buona sostanza: l'identità del client messaggio valido ed integro durante la trasmissione privacy della comunicazione In questa faq riportata da Lorenzo a suo tempo...
Qualche giorno fa avevo detto che la formazione era agli sgoccioli....
Negli ultimi giorni altre 4 proposte e qualche minuto fa quattro Moc da erogare in lingua inglese per una realtà di livello mondiale, che in realtà erano previsti per Settembre....
Ed ora che faccio ?!?!?!?!?!
Sono contentissima, ci mancherebbe pure che mi lamentessi: esame, progetto importante di sviluppo, proposte di corsi anche di spessore notevole, personal english trainer (nel senso che faccio lezione all'aperto con la madrelingua da alcune settimane così unisco al moto, 1 ora di camminata, anche la conversation) per arrivare pronta, tra qualche mese, all'evento più importante della mia vita lavorativa. Pensare quante cose...
In questo post non mi soffermerò sulla crittografia asimmetrica, ricordo solo che il principio ha una solida base matematica che lo giustifica. Il primo e più famoso algoritmo è l'RSA dalle iniziali di Ron Rivest, Adi Shamir e Len Adleman del MIT. Storicamente prima di essere brevettato dal MIT fu ideato dal matematico britannico Clifford Cocks (piccola nota a margine.. le scoperte matematiche pure non possono essere brevettate sono considerate patrimonio dell'umanità..) quindi io lo chiamerei CRSA... La classe del .Net che si occupa di tutte queste problematiche è l'AsymmetricAlgorithm e della quale ne abbiamo due implementazioni: RSACryptoServiceProvider: q...
La mia caccia alle college non ha mai fine.. e sinceramente Marcie Robillard ha avuto una bella idea!!! Ha scelto proprio un nome originale:
Un'altra developer ... peccato che non sia italiana!
Il mio anno "formazione" è giunto quasi agli sgoccioli, ho ancora qualche corso spot da terminare/iniziare, ma il periodo tradizionale di maggior lavoro è settembre/giugno... le considerazioni su questa annata si racchiudono nelle righe successive di questo post. Oggi ho erogato l'ultima giornata del corso di Perl, un bel gruppo di 14 persone che ha avuto la pazienza di starmi a sentire blaterale... Pensare che sapevano già a cosa andavono incontro, dopo il corso di C ma hanno insistito tanto con gli organizzatori per fare con me l'altro modulo. Ok, dopo essermi fatta la statua ritorno con i piedi per terra .....
Dopo un pò di post introduttivi, oggi dopo un "real case" pensavo quanto sia importante pensare a monte alla sicurezza. Questo soprattutto in contesti dove i numeri sono n e le variabili "delicate" sono diverse.
Facendo un confronto con gli altri esami, ognuno ha avuto la sua importanza e sinceramente questo non è da meno a nessuno sia per difficoltà che per rilevanza in contesti reali.
Come sempre un ragionamento in più a monte evita tantissimi problemi a valle!
Ed ora .... data padding :)
Sospendendo un attimo la CAS, affrontiamo insieme il discorso dello strong name e dalla GAC.
Io ho un nome ed un cognome così anche i nostri assembly, anzi loro hanno molte più informazioni oltre il nome hanno:
la versione
la cultura
public key
digital signature
Tutto questo torna utile anche dal punto della sicurezza e capiremo dopo il perchè. Prima di tutto come gli diamo la public key e la digital signature? Semplice a dirsi sn.exe (strong name tool). Ed a farsi?
Ma ancor prima dove si trova:
C:\Programmi\Microsoft Visual Studio .NET 2003\SDK\v1.1\Bin
Passaggi:
generiamo l'snk: dal prompt dei comandi di VS.Net 2003 per creare un...
Oggi pomeriggio lo dedico tutto alla preparazione dell'esame quindi mano mano posto un pò di cose. Allora ritorniamo alla CAS Declarations... ok ma che scriviamo? Ad esempio in C# [assembly:RegistryPermission(SecurityAction.RequestMinumun,Read=@"HKEY_LOCAL_MACHINE\Software")] [assembly:FileIOPermissionAttibute(SecurityAction.RequestMinimun Read=@"C:\boot.ini")] In sostanza i tipi di permessi dichiarativi degli assembly sono: SecurityAction.RequestMinimun (permessi che deve soddisfare per l'esecuzione se il nostro assembly non soddisfa questi viene lanciata un'eccezione) SecurityAction.RequestOptional (non abbiamo eccezione) SecurityAcrion.RequestRefuse (non abbiamo eccezione) Vediamo un modo carino di utilizzare la SecurityAction [FileIOPermission(SecurityAction.Deny,All=@"C:\PostdiUgi\")] [WebPermission(SecurityAction.PermitOnly, ConnectPattern=@"http://www\.postdiugi\.it/.*)] Secondo voi che succederà? Comunque tutto questo è statico e se volessimo generare qualcosa...
Ripassando per l'esame ho provato a fare una piccola ricerca su Google, inserisco la parola CAS e mi è toccato spulciare fino a pagina 5 per iniziare a vedere qualche cosa d'attinente per il resto club alpini, società di costruzioni etc. ovviamente totalmente differente il risultato se inserisco Code Access Security.
L'argomento è talmente interessante che merita un post e dunque.. vediamo cosa posso aggiungere dopo le slide di Santini e Rialdi che per fortuna sono ancora disponibili per il download.
Prima d'attentrarci nei meandri dell'argomento in un mio vecchio post indicavo un articolo su msdn che spiegava il perchè è saggio utilizzare i...