Três notas rápidas:

• Conforme esperado o SP1 do Performance Point acabou de sair.Download aqui. Destaque no monitoring para a melhoria de performance nos filtros, suporte para win2008 e default reports.
   
• E para combinar com o Monitoring  que instala perfeitamente no Vista, podemos agora tentar também o sharepoint! Pois é, o pessoal da bamboo conseguiu por o Sharepoint a correr no vista, com um processo de setup simples qb. É ou não é o post do ano?.... pelo menos até agora, e vai ser dificil de bater :) Pessoalmente gosto de ter pelo menos o sql+olap+reports e visual studio sempre à mão sem ter que recorrer a vms, e mal tenha uns minutos acho que vou arriscar neste tb. Intercept.dll ...boa....
   
• Adivinhem lá quem anda às voltas com BI & Data Mining? :)

Alguns mesitos, pouca coisa J, depois do último post... pareceu-me uma boa altura para reactivar os posts no blog. Atravessada uma fase um pouco mais complexa em termos de disponibilidade que obrigou a outra optimização do tempo disponível as coisas parecem entrar num ritmo mais propício a estas actividades. A correr mesmo bem dava até para re-activar a minha conta no hattrick, mas bem.... o melhor é não pedir demais. ;)

Obviamente as minhas áreas de foco sofreram algumas alterações e actualmente concentro  a minha atenção em:

·         Área de Business Intelligence, Performance Point, Reporting Services, SQL Server, OLAP, etc

o   O curioso também desta área é que é transversal a praticamente qualquer outra área, pessoal ou profissional... tendo em mente que é dificil melhorar o que quer que seja sem algum tipo de feedback destas soluções

o   Aplicação de modelos de desenvolvimento mais ágeis no âmbito de projectos BI: testes de regressão, tdd, etc

·         Tudo o que cruza com as áreas anteriores

o   Sharepoint, Visual Studio, Work flow, etc

·         FailFast, Controlo de excepções, testes unitários, asserts, tecido nervoso aplicacional, etc

·         Produtividade & organização Pessoal, GTD & derivados, integração outlook pdas, etc

·         Gestão de projectos e orientação técnica

Distribuir o tempo disponível por todas estas áreas de estudo não é fácil,e embora tenhamos que prestar mais atenção a algumas áreas core (desde 2004-2005, a área de BI) sempre apreciei bastante as ideias que se levam de umas áreas para outras, pelo que há que (pelo menos) tentar estar actualizado qb dentro do que for humanamente possível. J Caso claro disto mesmo é a área de segurança que fornece um background muito sólido para muitas outras áreas.

Portanto tópicos alvo não faltam, mas terão que aguardar próximos posts, entretanto 2 ou 3 notas mais relevantes para quem trabalha na área de BI:

·         Ideias interessantes para ajudar na migração entre ambientes de projectos Analysis Services

o   Analysis Services Project Configurations

·         Como usar autenticação windows mesmo fora de dominio através do “runas /netonly /user ....”

o   How To: Connect to SQL Server, VS TFS, etc using Windows Authentication when computer is not on Active Directory Domain (XP and Vista!)

o   muito útil no contexto Analysis Services, vários projectos, vários clientes e domínios, etc,

o   funciona claro para qualquer processo que necessite de fluir as credenciais, semelhante ao que saved passwords do xp já fazia

·         A última versão da VM demonstração da suite BI da Microsoft (V6, curiosamente só disponível aqui ? ) Via New version of the Business Intelligence VPC from MS

o   São uns generosos 17 GB com tudo o que existe de BI da MS, com demos preparadas, scripts de warm up, etc.

o   Pelo menos com 2GB alocados a performance foi qb para cenários de teste e apresentações.

o   Diferenças para a  versão anterior aqui: Microsoft Business Intelligence VPC Release 6 (resumindo: o software de base é o mesmo mas as demos são bastante mais)

·         Para quem não quer ou não pode usar as VMs existem sempre os virtual labs, exemplo:

o   TechNet Virtual Lab: Microsoft Office Performance Point Server 2007- Dashboard End to End

Quanto à segurança, como diria um conhecido arqueólogo: “ part time!” ;) 1 abraço e até breve!

Rui

Aproveitando que amanhã é dia de evento não podia deixar passar a sessão que o meu amigo e colega "DevScopeano" Bernardo Antunes vai apresentar. É precisamente a sessão de BI ao final do dia. Acho que vai ser uma sessão extremamente interessante, dado que existe muito para mostrar de BI no novo Office 2007, tanto server como client.  Portanto,  força Bernardo, lá estarei... desta vez bem mais relaxado na assistência! :) (e venha de lá esse blog!)

Como aperitivo, constatar como é muito mais fácil analisar informação com o novo Excel... baseado numa pequena prova de conceito pessoal:

ou

Curioso notar que o honroso 14º lugar foi conseguido apenas numa única noite. ;)

Para quem não tem grande tempo para dedicar aos livro técnicos, a grande maioria disponibiliza o material elaborado para o livro como download. Em alguns casos são verdadeiras pérolas (se calhar outros nem tanto).

Tenho andado de volta com o The Microsoft Data Warehouse Toolkit: With SQL Server 2005 and the Microsoft Business Intelligence Toolset que é claramente um caso que vale a pena. O livro devora-se mas os downloads por si só já são um excelente recurso (desde que exista já algum background sobre bi, outros trabalhos do Kimball,etc).

Os materiais podem ser obtidos aqui http://www.msftdwtoolkit.com/ToolsandUtilities/ToolandUtilities.htm .

Outro caso igualmente interessante em Delivering Business Intelligence with Microsoft SQL Server 2005 Este ainda não li, mas o material parece igualmente bom... uma boa razão para ler o livro. :)

Desconheço se alguma licença obriga à compra dos livros para poder usar os materiais sem restricções, o que é facto é que o download é livre.

Pena que este não disponibilize nenhum material... Não se pode ter tudo. Fico-me pela leitura então.  ;)

PS- Via J.D.Meier - ASP.NET 2.0 Internet Security Reference Implementation

"The ASP.NET 2.0 Internet Security Reference Implementation is a sample application complete with code and guidance.  Our purpose was to show patterns & practices security guidance in the context of an application scenario. We used Pet Shop 4 as the baseline application and tailored it for an internet facing scenario.  The application uses forms authentication with users and roles stored in SQL."

Algumas notas que se foram acumulando aqui em fila de espera para o blog.... pq agora só depois do mundial, pelo menos...  :)

Project REAL Reference Implementation
http://www.microsoft.com/downloads/details.aspx?familyid=b61a37b6-5852-4018-bba9-795a34123ed0&displaylang=en

Já há algum tempo que estavam disponíveis alguns artigos sobre este sample, que pretende ser de referência, para a implementações de soluções business intelligence sobre sql 2005. Acabadinho de chegar está toda solução com dados de amostra incluídos. Muita muita coisa para ver (200MB).

(via rss Microsoft Download Center, http://www.thundermain.com/rss/ , precioso este feed)

Windows Form Spy
http://www.codeproject.com/dotnet/wfspy.asp

Um sample bastante simples mas que já me serviu em algumas situações, permite a inspecção/manipulação  imediata de qualquer controlo em  aplicações windows forms. (1.0\1.1 se bem me lembro). Tb permite testar rapidamente alguns cenário de segurança, validações,etc.

Doodleware

A produtividade de editores visuais é um tema que sempre me levantou algumas questões... é com alguma frequência que torço o nariz quando associam quase que "matematicamente" os editores visuais a melhorias significativas de produtividade. Depende de muitos factores. Claro que a vantagem da visualização imediata é clara (chamemos-lhe o business intelligence para o developer :) ).... o nível de abstracção elevado tb ajuda muito, mas depois de trabalhar com os editores como o de biztalk, sql dts, sql is.... fica-me sempre a sensação de que tem que ser possível fazer melhor... o refactoring é quase impossível, o replace all lá vai andando, depende do formato de serialização do modelo...enfim já para não falar da performance do ide.  Em muitos casos nem comentários conseguimos usar. Toca a pensar pessoal dos IDEs, há que melhorar aqui e ali.

Ainda assim os novos formatos de desenvolvimento do novo sql bi studio (reporting services, integration services,analysis services) já revelam maior cuidado. Pelo menos é tudo xml, o intellisense tb foi muito melhorado, já vai dando uma boa ajuda.

Mais notas em http://www.eaipatterns.com/ramblings/02_doodleware.html A não perder o link para a doodleart ;) http://www.geocities.com/im_art_competition/IM_ART.html

KeyNote
http://www.tranglos.com/free/keynote.html

Uma das pequenas aplicações gratuitas que uso, e que quase sem se dar por ela é provavelmente das aplicações extra-desenvolvimento,que mais sucesso teve (a comprová-lo estão já ~300 notas). Basicamente uso para tudo o que sejam notas, a estrutura hierárquica permite uma organização impecável e o formato rtf dá para quase tudo.  A única falha foi não ter encontrado um ifilter  para a integração com o desktop search de forma que exporto ocasionalmente todas as notas para ficheiros rtf... assim nunca lhes perco o rasto. Tb estou a testar o onenote mas ainda não fiquei convencido... vamos ver.

RSS Bandit

Apenas uma dica para o bandit que utilizo bastante é a criação de folders de pesquisa (semelhante ao outlook), usando algumas keywords chave: security, analysis services,hattrick, ;) etc

The Security Development Lifecycle

Na área da segurança, não esquecer que o Michael Howard lançou mais um livro: "The Security Development Lifecycle" . Mais informação no blog: http://blogs.msdn.com/michael_howard/archive/2006/04/28/586233.aspx

e claro... Força portugal!!!  :)

Um post muito, muito rápido :) só para lembrar que a Red Gate pegou nesta pequena maravilha http://www.promptsql.com/ . Eu já era um utilizador convicto, a tendência será para que o produto evolva para outro nível.

A liçenca provavelmente ficará em 50$/utilizador (pelo menos foi a única referência que vi http://www.red-gate.com/messageboard/viewtopic.php?t=2328), anteriormente estava nos 25, seja como for....eu confesso que não consigo trabalhar sem intellisense, prontos.

Claro que a melhor parte é esta:

"Unless you opt out, you will be upgraded to SQL Prompt free of charge. Somebody from Red Gate will contact you in the next two weeks with a new serial number."

Cool, very cool.

RQ

Algumas notas soltas...

Windows Vista User Account Control

Uma das novas funcionalidades do Vista, a ideia é muito simples: todos os utilizadores (excepto o administrador builtin), ainda que membros do grupo de administradores, não herdam por default esses privilégios quando fazem logon.

Para quem conhece o DropMyRights, é bastante semelhante, só que aplicado globalmente . Directamente do blog da equipa UAC:

" What makes the UAC user account model different from previous models is that all users, Administrators and Standard Users, run with standard user access by default. Only the Built-in Administrator account runs with a full access token by default. When an administrator logs on to Windows Vista, two versions of the account’s access token are created: one with the full rights and privileges and another that is stripped of the administrative privileges. The latter is called the standard user access token and is used to initially invoke Explorer after the administrator logs on. Because most applications and processes are launched through Explorer, they inherit this Standard User access token and run with its limited privileges. "

É daquelas alterações que só o tempo poderá dizer se o impacto pretendido será ou não conseguido, mas ao ser o comportamento standard vai limitar certamente muitas possibilidades de ataques, spyware,etc.  Com a vantagem de ultrapassar os problemas usuais que surgem quando não somos admins... sendo portanto mais provável que os utilizadores finais executem a grande maioria das aplicações com privilégios reduzidos.

Para que tudo isto resulte em pleno será necessário também um esforço adicional para que as nossas aplicações corram perfeitamente sem permissões de administração (na maioria das vezes elas não são realmente necessárias).

Mais informação:

http://www.microsoft.com/technet/windowsvista/evaluate/feat/secfeat.mspx
http://msdn.microsoft.com/windowsvista/security/ 
http://blogs.msdn.com/uac/

Ten hacker tricks to exploit SQL Server systems

Espero não me ter esquecido na última sessão de mencionar o "requinte" de algumas ferramentas para explorar SQL Injection, inclusive blind sql injection (em que o único feedback da aplicação é basicamente estourou/não estourou).

Aqui fica o artigo que consultei. Apenas para estarmos a par do que é utilizado do outro lado da barricada. :) (destaque também para a secção Google hacks, e o mais que famoso "Incorrect syntax near ...")

Portáteis & Informação Confidencial

Num dos últimos eventos, dada a quantidade de portáteis presentes, dei por mim a pensar na quantidade de informação potencialmente confidencial neles contida.... e no impacto que pode causar em caso de roubo por exemplo (o portátil ainda é o menos...).

Provavelmente a maioria das empresas não tem grandes políticas de segurança... eu pessoalmente passei a guardar o mínimo possível que se possa considerar confidencial, e a usar EFS aqui e acolá (no caso de terem um xp stand alone não se esqueçam é de fazer backup da chave de encriptação :), num dominio penso que um domain admin conseguirá recuperar os ficheiros caso necessário ) .

Outras ideias úteis passam pela pasword na BIOS, ou a instalação de software localizador,etc. E obviamente, estar de olhos sempre bem abertos. Mais vale prevenir... :)

http://www.laptopgamers.com/guides/laptop_security_-_steps_to_protect_your_investment_3.html
http://labmice.techtarget.com/articles/laptopsecurity.htm
http://www.google.pt/search?hl=pt-PT&q=laptop+theft+stories&btnG=Pesquisa+Google&meta=

Mais WhitePapers

Via J.D.Meiers , mais um local onde estão disponíveis vários papers relacionados com segurança aplicacional, no site da SecurityInnovation.

Microsoft BlueHat Security Briefings: Spring 2006 Sessions and Interviews
http://www.microsoft.com/technet/security/bluehat/sessions/default.mspx#I

BlueHat Security Briefings Blog
http://blogs.technet.com/bluehat/default.aspx

Ainda que não se possa aceder às sessões em si, sempre existem alguns podcasts disponíveis. As sessões parecem realmente interessantes. Pena realmente não haver mais material. :(

Normalmente não sou de grandes alarmes no que diz respeito a falhas encontradas nos browsers... mas cada caso é um caso, e dados os agravantes, este é certamente um daqueles em que vale a pena estar de sobreaviso.

Microsoft Security Advisory (917077) -Vulnerability in the way HTML Objects Handle Unexpected Method Calls Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/917077.mspx

http://secunia.com/advisories/18680/

-Pela informação que está disponível os exploits começaram a circular no mesmo dia que o da publicação do problema... o que reduz bastante o tempo útil para o lançamento do patch, o tempo não corre mesmo nada a favor

-Até ao lançamento do patch a única forma de protecção é desactivar/pedir autorização do active scripting (ainda que com as implicações óbvias de funcionalidade :( ) .

Como nós programadores temos a merecida :) reputação de corrermos tudo com privilégios exagerados, fica a nota. Vejam o advisory e estejam atentos.

Alguma informação adicional aqui:
http://msmvps.com/blogs/harrywaldron/archive/2006/03/25/87761.aspx

Apenas uma nota pequena de que me lembrei depois do ligeiro face lift que fiz às demos. O cenário era o seguinte (asp.net 2.0):

Uma página com uma qualquer listagem, com links para outra página onde era exibido o detalhe de cada registo (sendo um determinado id passado por querystring). Nestes casos não podemos colocar no sitemap todos os nodos possíveis, dado que eles são completamente dinâmicos.... mas ainda assim queremos exibir o breadcrumb/sitemappath da forma apropriada,exemplo: home>lista de pedidos>detalhe de pedido.

Usei um custom sitemapprovider do Bobby DeRosa que tem servido perfeitamente para estes cenários. Quanto à questão de os items acabarem por aparecer em treeviews e menus dei a volta com:

 protected void Menu1_MenuItemDataBound(object sender, MenuEventArgs e)
    {
        SiteMapNode node = (SiteMapNode)e.Item.DataItem;
        string visible = node["visible"];
        if (visible != null && !bool.Parse(visible))
        {
            if (e.Item.Parent != null)
                e.Item.Parent.ChildItems.Remove(e.Item);
            else
                Menu1.Items.Remove(e.Item);
        }
    }

ou para o caso da treeview:

 protected void TreeView1_TreeNodeDataBound(object sender, TreeNodeEventArgs e)
        {
            SiteMapNode node = (SiteMapNode) e.Node.DataItem;
            string visible= node["visible"];
            if ( visible!= null && !bool.Parse(visible))
            {
                if (e.Node.Parent != null)
                    e.Node.Parent.ChildNodes.Remove(e.Node);
                else
                    TreeView1.Nodes.Remove(e.Node);
            }
        }

(e claro adicionado um atributo visible="false" ao sitemap)

Exemplo:

<?xml version="1.0" encoding="utf-8" ?>
<siteMap xmlns="http://schemas.microsoft.com/AspNet/SiteMap-File-1.0" >
    <siteMapNode url="~/default.aspx" title="Home"  description="">
        <siteMapNode url="~/demos/Catalog.aspx" title="Catálogo de Produtos"  description="" visible="false" />
        <siteMapNode url="~/Restricted/listacontas.aspx" title="Lista de Contas"  description="" visible="false" />
      <siteMapNode url="~/Restricted/pedidoscredito.aspx" title="Pedidos de Crédito"  description="">
        <siteMapNode title="Detalhe de Pedido" url="~/Restricted/detalhepedidocredito.aspx" reliantOn="id" visible="false"/>
      </siteMapNode>
      <siteMapNode url="~/demos/SQLLogin.aspx" title="SQL Login"  description="" />
      <siteMapNode url="~/demos/Forum.aspx?idforum=2" title="Fórum"  description="" />
      <siteMapNode url="~/demos/Forum.aspx" title="Fórum II"  description="" visible="false"/>
      <siteMapNode url="~/demos/showcookie.aspx" title="Cookie"  description="" />
      <siteMapNode url="~/demos/HackedWebService.asmx" title="Web Service"  description="" visible="false"/>
      <siteMapNode url="~/Restricted/upload.aspx" title="Documentos"  description="" />
      <siteMapNode url="~/login.aspx" title="Login"  description="" reliantOn="ReturnUrl" visible="false"/>
    </siteMapNode>
</siteMap>

Sem garantias :) Não tive problemas no meu cenário, não quer dizer que não os venha a encontrar.

RQ

Aproveitando mais uns minutos  preciosos deixem cá recuperar algum tempo perdido. :)

Como o Israel mencionou  a Microsoft lançou um Anti Cross Site Scripting Toolkit, na forma de métodos alternativos ao HtmlEncode/UrlEncode já existentes no ASP.NET. Claro que a pergunta que se coloca então é...mas existe algum problema com o htmlencode/urlencode já disponíveis no asp.net? :) ....

A questão está no estilo de filtragem que é feito, em busca de caracteres "perigosos" como <,>," e mais alguns, substituindo essas ocorrências pelo escaping html respectivo. Ou seja parte-se do princípio que conseguimos identificar à partida todas as gamas de possibilidades de ataque. E esta é uma daquelas coisas que é quase impossível acertar a 100%.

Embora sinceramente me pareça pouco provável que surja um vector de ataque explorando este aspecto...não é impossível....em boa verdade, num cenário de configuração *específico* ele já existiu :) yeap  (http://it-project.ru/andir/docs/aspxvuln/aspxvuln.en.xml) . (Penso que quer em 2003 sp1 e .net 2.0 não se apresenta este problema)

O novo toolkit funciona da forma inversa.... faz escape de tudo, excepto os caracteres "inofensivos"  (letras, underscores,etc) o que limita logo qualquer possibilidade de surgir algum tipo de ataque no futuro. 

Ainda não tive grande tempo para experimentar (leia-se, não experimentei mesmo), mas como a questão do bypass com unicode me estava muito fresca na memória de todo o material para o TechDays achei curioso este release.

Tudo isto para resumir no seguinte: é muito mais seguro aceitarmos apenas o que sabemos que é válido, do que negarmos o que pensarmos ser inválido/perigoso.... este 2º caminho é uma travessia penosa, regra geral cheia de más surpresas, pq acabam por surgir sempre formas de ataque difíceis de antecipar :)

Ainda dentro da segurança,  dois links que valem a pena:

The Code Room: BREAKING INTO VEGAS!

ASP.NET 2.0 Security Training Modules and Videos!!!

E por fim o blog de onde apanhei isto tudo, e que vale muito a pena ter debaixo de olho, é o do Dan Sellers !

Vemo-nos dia 10 :) Apareçam no evento!  O tempo nunca é muito para um tópico tão abrangente mas sempre podemos trocar ideias depois.

RQ

Um post muito rápido, só para lembrar que a equipa ASP.NET/VS2005 vai (finalmente :) ) ressuscitar o modelo usado no VS2003, ie Class Library+Project File para aplicações ASP.NET. Podem ver o post do Scott Guthrie aqui .

Será um addon para o VS que permitirá optar por este modelo. Embora entenda a opção tomada para a release, e aprecie algumas features do novo modelo 2005 sempre me pareceu um erro remover o ficheiro de projecto (pq tal como se veio a verificar trouxe hacks "manhosos" para manter algumas features... e outras simplesmente desapareceram: build actions, custom tools, reference paths,etc ).  

Vamos ver como sai a versão definitiva (e quais as novas features 2005 que neste modelo saiem prejudicadas). Pela descrição acho que é uma boa novidade, principalmente para cenários de migração. Aguardemos. :)

RQ

PS- pq não me funcionou o intellisense no web.config na sessão do techdays :) ficam as palavras do Scott.

Aqui ficam mais uma pequena demo que não cheguei a apresentar na sessão do TechDays. Embora inicialmente tivesse planeado apresentá-la logo no início da sessão, ainda bem que não o fiz, dado que é realmente.... básica :) e tinha ficado sem tempo para material mais importante.

Não tive hipótese de fazer a locução :), sendo assim deixo algumas notas para acompanhar. O vídeo da demo está aqui.

Este tipo de ataque é usualmente tido como um dos mais fáceis e mais antigos (embora infelizmente ainda se encontre aqui e ali). Consiste basicamente em detectar e alterar os campos hidden de um determinado formulário. Ok, mas  desde quando é que alterar campos hidden pode ser considerado um problema de segurança? Pode, se o programador não considerou essa hipótese, partindo do princípio que 1º-os valores não pode ser vistos, e 2º-os valores não podem ser alterados. E obviamente estas duas suposições não poderiam ser mais erradas (e nem precisam do fiddler, o notepad serve perfeitamente tal como está na demo).

O campo hidden é uma coisa curiosa para alguém que pretenda atacar a nossa aplicação, que pensa imediatamente: "olé! se este valor aqui está é porque o programador haverá de fazer algo com ele, e se está hidden é porque o programador achou melhor não o apresentar, talvez não fosse suposto modificá-lo..... que é precisamente a primeira coisa que vou fazer! :) ".

Um exemplo curioso que me lembro de ler, de um cenário real. Após um ataque via sql injection, que permitia fazer o bypass do login (como viram na sessão), a aplicação xxx permitia que o atacante fosse à página de alteração de dados (a mesma que permitia alterar a password...). A genial source dessa página mostrava então algo do género (pasme-se):
....



...

Ponto 1-além do bypass da sessão (que pelo menos não permitia saber a password), o atacante sabe agora a password do utilizador!!! Será que este utilizador é uma daquelas pessoas que usam sempre a mesma password em todos os sites??? (estão a ver o problema...)

Ponto 2-O hidden userid sugere imediatamente que a página vai pegar no valor e usá-lo num sql do tipo "update .... where userid=valordocampohidden"  . E se eu alterar este id para qualquer userid que não o meu? Será que funciona? Pior, e se este userid permitisse um novo ataque de sql injection, onde eu pudesse colocar  "1 or 1=1" (conseguem imaginar o efeito deste where no update?) . E na verdade, neste cenário específico, ambas as suposições eram verdadeiras.

Como é que podemos ultrapassar estes ataques? Existem 2 padrões muito utilizados:

1-mantemos os dados do lado do servidor onde o utilizador não tem acesso directo (userid em sessão por exemplo, definido após login, embora esta técnica não seja mto usada em asp.net dado que temos o padrão seguinte)  

2-se enviamos algum campo para o utilizador (leia-se browser cliente) que depois usamos, devemos assiná-lo de alguma forma, garantindo assim que podemos verificar que foi criado por nós e não foi adulterado. É isto que acontece com as cookies de autenticação do asp.net e também com o viewstate. Tentem manipular  as cookies ou o viewstate e verão que o asp.net automaticamente gera uma excepção (e na versão 2.0 estes eventos ficam devidamente identificados no event log, com username respectivo caso exista) .

Resumindo, tanto quanto possível evitem os campos hidden dado que estes não oferecem *nenhuma* garantia. Se precisarem de um comportamento semelhante ao hidden podem usar um valor no viewstate, que fica automaticamente validado contra alterações do lado do cliente. Dito isto, já não é muito comum termos esta necessidade em asp.net.... provavelmente esta demo é desnecessária.

Uma nuance que pode ser importante, no caso específico da demo, é que ainda que  se possa garantir através de viewstate\validação que o preço foi o definido pelo servidor, o que acontece se o postback for feito 2 meses após o get inicial da página? O preço era o correcto na altura mas pode ser totalmente incorrecto agora. Nestes casos, o melhor, é mesmo abdicar da pequena optimização de performance e repetir todo o processo de cálculo/lookup de preço na hora em que o processo é finalizado.

Acham que valeu a pena trazer este cenário? Digam coisas. :)

RQ

OK, para não deixar esmorecer ninguém, aqui ficam então alguns dos recursos mais importantes que aconselho vivamente a todos os que quiserem ir um pouco mais além daquilo que foi mostrado ontem na sessão WEB04: :

Improving Web Application Security: Threats and Countermeasures
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/ThreatCounter.asp
Um livro imenso, para cima das 900 páginas, disponível gratuitamente em formato PDF e que foi uma das minhas companhias habituais nas últimas semanas.

Building Secure ASP .NET Applications (MSDN Online and Download PDF)
http://msdn.microsoft.com/library/default.asp?url=/library/en-us/dnnetsec/html/secnetlpMSDN.asp?frame=true
Outra boa referência, também disponível em PDF.

Writing Secure Code, Michael Howard, David LeBlanc
http://www.microsoft.com/mspress/books/5957.asp
Uma das bíblias no que diz respeito a código seguro. Muito abordado o tema dos buffer overflows, que deve ser uma das razões principais para grande maioria dos hotfixes críticos que instalamos regularmente. Não é comum encontrar este tipo de falhas em managed code, asp.net,etc e daí não a ter incluído na demo. Explorar um buffer overflow tb não é pera doce e acho que está um pouco(tipo resmas) fora do meu alcance. No entanto, se trabalham em C\C++, é *obrigatório* parar e ver tudo o que existe sobre BufferOverflows/Overruns

FoundStone Whitepapers
http://www.foundstone.com/resources/whitepapers.htm
Vários papers& advisories, do mais actual que existe incluindo alguns novos tipos de ataque como http response spliitting etc . Foi aqui que percebi que a melhor ideia de fazer as demos seria através de um proxy debugger (a foundstone usa o Paros, eu acabei por optar pelo Fiddler ;) ). Assim espero ter deixado claro que tudo é manipulável, ESQUEÇAM O BROWSER. :) Se não chegar... talvez numa próxima sessão faça tudo com telnet.... :)

MSDN Magazine Novembro 2005
http://msdn.microsoft.com/msdnmag/issues/05/11/default.aspx
Todos os anos, por esta altura sai a edição dedicada à segurança. Um dos artigos que aconselho vivamente, e que foi uma grande fonte de informação: Design and Deploy Secure Web Apps with ASP.NET 2.0 and IIS 6.0 . Estavam a distribuí-la no evento, espero que tenham conseguido uma cópia.

(Depois deixo uma lista completa de tudo quanto andei a ler para a sessão)

Logo que possa deixarei também vídeos com algumas demos inéditas :) (nada de tão elaborado como as que mostrei mas são pequenas nuances que podem deitar tudo a perder), com as respectivas notas e conselhos. Assim que o tempo o permita.

As minhas desculpas pela finalização algo súbita da sessão :) Perdi um pouco a noção do tempo com as trocas de sala, seja como for, mostrei as demos imprescindíveis que estavam planeadas. Pensava eu que ia fazer aquilo em meia hora e depois ia ter que encher o resto com outras pequenas demos se necessário. Oradores inexperientes, dá nisto. :)

Obrigado a todos pelo apoio, se tiver evitado um ataque com sucesso a uma aplicação que seja já valeu a pena. ;)

Fiquem atentos,
RQ

Chegaram ao fim estas fantásticas semanas de retiro "espiritual" :) ... De volta a casa, e sedento de novidades, aqui deixo o que me captou a atenção :

Clipcode-GoF-DSL

Aproveitanto o balanço do Rui Claro, que tem produzido bastante conteúdo interessante sobre "design patterns" fica uma implementação original de uma DSL para o VS 2005, que permite modelar as seguintes patterns: prototype, singleton, builder, abstract factory e factory method.

E claro, gera também o código respectivo em C#. ainda que seja discutível a utilidade imediata é um bom exemplo de uma custom DSL (código fonte incluído). O Claudio Perrone discute também , pegando neste exemplo,  o nível de abstração necessário para que uma dsl seja realmente útil.

Applications for Windows SharePoint Services

Não sei quanto tempo terão estes samples, mas foi a 1a vez que ouvi falar dos mesmos. Umas boas dezenas de templates *prontos a usar* para o Sharepoint Services, focando vários cenários habituais. E se não quiserem perder tempo a instalá-los só para darem uma vista de olhos, o Mark Harrison  disponibiliza-os publicamente aqui . Mais fácil é impossível.

Sharepoint Best Practices

O Daniel McPherson tem publicado algumas dicas na área de ambientes sharepoint:

SharePoint Best Practice: Reserving "Friendly" Top-Level URL's in the Portal

SharePoint Best Practice: Locking down the Portal Database

SharePoint Best Practice: Creating a dedicated Windows SharePoint Services environment

Estes dois últimos abordam a separação das bases de dados do portal, my site e os restantes sites wss, de forma a ganhar alguma flexbilidade adicional.

Últimas notas

Nas férias aproveitei para por a leitura em dia, de forma que levei o "Rapid Development" , do autor do Code Complete , Steve McConnel, e também o Patterns of Enterprise Application Architecture do Martin Fowler. Ainda estão a meio, há que saborear estas pérolas com calma :) ... mas obviamente  as obras recomendam-se a si próprias. :)

O Rapid Development aborda numa perspectiva ampla os vários problemas daqueles projectos que deviam ser "rápidos" e acabam por nunca ter fim: erros clássicos, skills fundamentais de desenvolvimento e gestão de projecto,muitas estatísticas curiosas e casos de estudo,etc . Muito  interessante, expõe bastante bem o panorama habitual na área do desenvolvimento de software, apesar de já ter uns anos... não contem com muito conteúdo sobre metologias ágeis.

Quanto ao livro do Fowler, é igualmente agradável, um repositório detalhado de vários padrões (a um nível diferente do GoF embora aqui e ali se note alguma ligação como é de esperar). Domain model, active record, transaction script... tudo nomes "pomposos" para esquemas que vamos usando repetidamente,  sem quase nos apercebermos. O livro penso que facilita essa percepção e nesse sentido permite consolidar ideias sobre prós e contras de cada um dos padrões.

Para acabar, depois de andar aqui às voltas com um problema.... "parvo" :) fiquei a pensar até que ponto seria útil ter um repositório de strings (gerado) para projectos vs.net que permitissem algum controlo adicional em termos de erros de sintaxe (ie erros dentro de strings). Exemplos:  lista pastas/páginas existentes no projecto, ids de controlos  existentes em template columns,etc .

Tudo com o objectivo de melhor aproveitar o intellisense, minimizar a  exagerada utilização de strings e conseguir alguma validação adicional  em tempo de compilação: se a página x foi removida, não pode ser referenciada num redirect, ou se um controlo de uma template column foi removido, tb não pode ser referenciado num findcontrol.

A solução ideal passaria por nem sequer trabalharmos com strings mas termos uma representação + fiel, *compilável*, de recursos externos necessários à nossa aplicação, de forma a evitarmos erros realmente... parvos. :) Uma mistura das Custom Tools do VS, com o String Resource Generator,  CustomTool do CodeSmith,etc. veja-se o novo suporte para geração de propriedades do mecanismo de profiling do asp.net 2.0, mas levado ao extremo: cada recurso externo deve ter um equivalente local, devidamente tipificado. Enfim, delírios...é tarde realmente. :)

Até à próxima,
RQ