novembre 2016 Blog Posts
Ieri a WPC 2016 ho avuto il piacere di parlare di Services UI Composition, tante domande e una bella discussione a seguire. Ovviamente la domanda più gettonata era: OK, tutto bello…ma quando devo scrivere? L’utente in moltissimi casi non deve solo leggere dati, ma ci deve anche interagire, manipolando le informazioni che sono “sparse”sui vari servizi. Il vero segreto non è la tecnologia ma la conoscenza profonda dei processi di business È necessario spendere tempo, tanto tempo, per comprendere a fondo come sono modellate le interazioni nella realtà, quali informazioni sono...
Sono reduce da quasi 3 intere giornate passate a Codemotion, quasi 3 perché sabato sono stato un po’ latitante :P. È stata la prima volta e nel complesso devo dire che è stata una priva volta che non dimenticherò. Il workshop è andato molto bene, con tantissima partecipazione attiva, quindi è andato molto bene grazie a voi che avete partecipato. Quello che ho visto della conferenza nel complesso mi è piaciuto, devo dire che la cosa che mi ha colpito di più è stata la quantità di gente. Il mio collega Sean Farmar venerdì mattina è arrivato prima di...
Martedì 6 dicembre sarò all’evento KLab a Fiorenzuola D’Arda. La serata sarà super DevOps oriented. Due sessioni con le mani in pasta nella realtà di tutti i giorni Inizierà il sottoscritto con una sessione di live coding finalizzata a realizzare un piccolo esempio di sistema distribuito basato sui dettami di SOA e usando NServiceBus per l’implementazione. A seguire Carlo ci farà vedere come usare Octopus Deploy per gestire tutto il ciclo di rilascio. Fatevi sotto! L’evento è gratuito ed è l’occasione perfetta per passare una piacevole serata in compagnia e per godere...
Come CartaSi e Telepass fallisce miseramente nell’esporre la pagina di login su HTTP con POST verso HTTPS, con l’aggravante che lo fa verso un dominio diverso. Ma perché? Il problema del POST da HTTP verso HTTPS è che basta fare tampering della pagina di partenza reindirizzare la POST verso un altro dominio e abbiamo le credenziali dell’utente. Ma si può fare di peggio La password è salvata in chiaro, te la mandano allegramente per posta, ed è pure case insensitive. Oh my… Scappate a gambe levate. Qui non ci sono consigli da...
Citando: http://www.internazionale.it/opinione/oliver-burkeman/2015/10/27/irreperibili-felici-stress È sempre piacevole trovare conferme alle proprie convinzioni: Tutte le notifiche disabilitate, tutte le notifiche disabilitate, tutte. Notifiche e time zone Non è tutto li. Ho sempre di più la sensazione, spiacevole sensazione, che la cosa ci stia un po’ sfuggendo di mano. Con Lucia andiamo ogni tanto in un ristorante giapponese a Pavia, e puntualmente incrociamo una coppia (che quindi deduco ci vada molto più spesso di noi) che passa la cena nel seguente modo: Ordinano con il cellulare in...
Un po’ come fa CartaSi anche Telepass cade nel falso senso di sicurezza. Praticamente ci manda una “one time password” in chiaro via mail. Questo perché sappiamo tutti che SMTP è un protocollo sicuro per definizione. Ergo qualcuno intercetta la mail, fa login prima di voi, cambia la password e ciaone. Consiglio: non c’è mezzo di avere un processo di reimpostazione della password sicuro. Assicuratevi di averne una molto complessa e che non usate da nessun’altra parte (cosa che dovrebbe essere il comportamento standard)
Vi ho già detto di “Progettare una UI per Microservices”. A questo il divertimento è doppio: GitFlow & GitHubFlow: gestire al meglio prodotti e progetti con Git (e non solo) Un sistema di Source Control è solo uno strumento per conservare, condividere e versionare il codice? O possiamo sfruttare il nostro motore di Source Control per gestire e semplificare il processo di sviluppo? L'obiettivo è comprendere a fondo Semantic Versioning, le differenze tra GitFlow e GitHubFlow, come usare branch e PR per gestire il ciclo di vita e di rilascio e infine capire...
La domanda di Fabio mi spinge a trattare subito IT/Ops: immagina una ui che vede dal canale di lettura una projection di nome SuperOrder che è un mix di quello che server side avviene a fronte dell'evento dal canale di scrittura di OrderUpdated\Created and CustomerUpdated\Created e dalle quali viene creata una denormalizzazione che confluisce in SuperOrder tutto chiaro, il “problema” è che se scegliamo Services UI Composition come strada una projection risultato un mix tra quello che succede in servizi diversi non esiste, a meno che non ci sia uno specifico caso d’uso...
Onorato, come sempre, di tornare anche quest’anno a WPC 2016. La sessione principale di quest’anno è: Progettare una UI per Microservices Come possiamo progettare una UI quando il back-end è composto da decine (se non di più) di Microservices? Abbiamo la giusta separazione e autonomia lato back-end, ma tutto alla fine deve tornare insieme lato front-end. Come evitiamo che si trasformi nel solito caos di spaghetti code? Come evitiamo che operazioni semplici si trasformino in un tornado di web request? Durante questa sessione costruiremo un esempio di UI per Microservices, usando AngularJS, in...
Mi spiace prendermela sempre con gli stessi, ma i signori di Telepass sono molto bravi: Quindi la questione è: per cambiare password non c’è bisogno di quella vecchia. Questo fa si che chiunque, ad esempio il bimbetto in una famiglia, possa creare un attacco DoS alla famiglia stessa. Lasciamo perdere il fatto del limite massimo di caratteri che mi fa solo pensare molto, ma molto male.
Nelle piccole realtà o nella solitudine di una Partita IVA la diversificazione tende ad essere controproducente: La diversificazione è la crescita basata su nuovi mercati e nuovi prodotti. Un'impresa che opera in più settori è, quindi, un'impresa diversificata. Fonte: https://it.wikipedia.org/wiki/Diversificazione_(strategia) Concentrarsi su una cosa sola aiuta a mantenere focus e a incanalare le energie dove serve. Internamente siamo soliti dire che avere i piedi in più scarpe è un segno di insicurezza, tende ad evidenziare il bisogno di avere più appoggi o più vie di fuga, solo che una realtà piccola...
Un leader non può essere impaziente. Se qualcuno in una posizione di potere, o presunta tale, è impaziente la deriva sarà autoritaria. C’è poco da fare.(nessun riferimento agli avvenimenti politici di questi giorni)
Il cambio password di CartaSi è un filino meglio della gestione del login e della home page, ma non è comunque sicuro. Funziona così: Andate sulla pagina di cambio della password Nessuno vi chiede la password vecchia, e già siamo messi male Una volta scelta la nuova password vi arriva via mail un codice OTP Inserite il codice OTP sulla pagina di cambio password e il cerchio si chiude. Peccato che uno dei sacri crismi della 2FA è che il...
Ci sono tante piccole cose che, se non avvengono, mi fanno sempre un po’ pensare quando sono convinto di avere a che fare con un professionista. Puntualità, dimestichezza con gli strumenti tipici della professione, capacità di leggere e comprendere una mail, capacità di rispondere ad una mail se questa contiene più di una domanda, rispetto del time-boxing ove definito, capacità di mantenere l’attenzione senza scadere in uso di Facebook, Twitter e/o chat varie. Non mi sembra di pretendere molto, nonostante questo l’esperienza mi fa dire che forse pretendo troppo :-(
I signori di Telepass riescono, per certi versi, a fare anche peggio di CaratSi. Anche in questo caso la home page su cui c’è la form di login non è in HTTPS, ma attenzione attenzione la form fa post verso HTTPS. Altro colabrodo di sicurezza vulnerabile a DNS Poisoning e a tutte le tecniche di phishing. Perché riescono a fare anche peggio? Semplicemente perché l’home page funziona alla perfezione anche in HTTPS (https://www.telepass.it/ecm/faces/public/telepass/) basterebbe quindi che una buon’anima configurasse il web server per consentire solo HTTPS e se proprio vogliamo mettesse un bel redirect da HTTP a...
Lo dico senza mezzi termini: questi signori non hanno la più pallida idea di cosa sia la sicurezza. E il problema è che quelli di CartaSi gestiscono i nostri soldi, il che rende la cosa ancor più grave. Arrivi sul portale e la home page in cui c’è il form per il login al portale titolari non è in HTTPS, la form di login viene caricata in un iFrame che è in HTTPS ma ovviamente l’intera pagina è soggetta a DNS Poisoning, e a tutte le tecniche di phishing, e quindi l’unico modo per essere sicuri che stai immettendo...
La fine del 2016 si preannuncia intensa: UGIdotNET: Join the Expert - Web Day Microservices development deep dive @ Codemotion WPC 2016 XE Community Meeting - Lavorare in team A quello aggiungiamo la registrazione di un altro podcast con i ragazzi di dotNET{podcast}. Se siete quindi interessati al mondo web il prossimo appuntamento è a Milano il 18 Novembre parlerò di “Single Sign On con IdentityServer”., in compagnia di amici che ne sanno a paccate, quindi non potete mancare...
È da un po’ che parlo di come lavoriamo in Particular. O meglio di come stiamo evolvendo da struttura tradizionale verso nuove frontiere, un po’stile Star Trek. Ho avuto l’onore di parlarne in pubblico, da punti di vista diversi, almeno 3 volte: DDD East Anglia: http://milestone.topics.it/events/ddd-east-anglia-2015.html DevMarche - Social Skills Afternoon: http://milestone.topics.it/events/devmarche-2016-lavoratore-remoto.html Community Days 2016 @ Future Decoded: http://milestone.topics.it/events/cdays-2016-milano.html dotNET{podcast} - Flat Company e Self-Management: http://milestone.topics.it/events/dotnetpodcast-137.html In previsione c’è un’altra tappa a Venezia per fine anno: ...