пятница, 25 июля 2008 г.

Сравнительный анализ современных .net ORM

Задача

Необходимо было аргументированно выбрать ORM для большого .Net проекта. Рассматриваемые (пока) ORM: Entity Framework, BLTooklit, SubSonic.

Результат

* Аналитический отчет
* Сводная таблица с баллами, набранными каждой из ORM

Ваша критика/пожелания приветствуется. Надеюсь продолжить этот опыт и рассмотреть еще и другие (не менее интересные ORM)

среда, 23 июля 2008 г.

"И снесла курочка дедушке яичко. Левое. Напрочь."

http://www.metasploit.com/users/hdm/tools/debian-openssl/
Это, извините за мат, пиздец.

Вкратце - в 2006 году народ, который поддерживает сборку библиотеки OpenSSL, вычищая потенциальные уязвимости из библиотеки, "вычистил" напрочь код, который генерировал начальное значение для генератора псевдослучайных чисел (Pseudo Random Number Generator, PRNG). Вместо случайной последовательности байт PRNG инициализировался ID текущего процесса (а в linux это число <32768)

Эффект одной ошибки
Как результат - все debian based операционки (такие, как Ubuntu) до последнего времени были подвержены атаке "man-in-the-middle". Все SSL/SSH сертификаты, выданные в это время, скомпрометированы. Любые утилиты, использующие библиотеку debian-овскую сборку OpenSSL, могут быть уязвимы.

В оригинале:

All SSL and SSH keys generated on Debian-based systems (Ubuntu, Kubuntu, etc) between September 2006 and May 13th, 2008 may be affected. In the case of SSL keys, all generated certificates will be need to recreated and sent off to the Certificate Authority to sign. Any Certificate Authority keys generated on a Debian-based system will need be regenerated and revoked. All system administrators that allow users to access their servers with SSH and public key authentication need to audit those keys to see if any of them were created on a vulnerabile system. Any tools that relied on OpenSSL's PRNG to secure the data they transferred may be vulnerable to an offline attack. Any SSH server that uses a host key generated by a flawed system is subject to traffic decryption and a man-in-the-middle attack would be invisible to the users. This flaw is ugly because even systems that do not use the Debian software need to be audited in case any key is being used that was created on a Debian system. The Debian and Ubuntu projects have released a set of tools for identifying vulnerable keys.

Инструменты для взлома SSH/SSL сессий существуют и доступны в Сети. Такая вот веселая история из мира опен соурс.


Ссылки по теме:

суббота, 5 июля 2008 г.

вторник, 1 июля 2008 г.

Как реюзать master pages и user controls между веб-проектами

Всегда думал, что нереально использовать в ASP.NETовском проекте UserControl, созданный и "живущий" в другом проекте.

Однако я был неправ - вот здесь -

http://blogs.msdn.com/webdevtools/archive/2006/08/15/701642.aspx

- описывается, как это сделать без особенных даже сложностей.

Основная идея - создается корневой веб-проект, для которого на уровне IIS заводится web application, а под-проекты не имеют своего IIS-приложения и живут исключительно как виртуальные папки.

Есть только пара ограничений - вы не сможете использовать Dev Web Server для отладки (нужно будет конфигурить IIS) и это должны быть проекты типа Web Application Project (не вебсайты).

ну и по разным app pool-ам подпроекты в таком виде уже не раскидаешь....


А так - способ, который явно работает.