Karsten Samaschke: Los jetzt!

Heute sind wieder einige interessante (englischsprachige) Artikel im MSDN veröffentlicht worden:

• Infos über Microsoft “Fiddler”, einen HTTP-Proxy für das Debuggen von HTTP-Requests:
  http://msdn.microsoft.com/library/en-us/dnwebgen/html/IE_IntroFiddler.asp
• Infos über die Absicherung des Usernamen-Tokens bei WSE 2.0:
  http://msdn.microsoft.com/library/en-us/dnwse/html/securusernametoken.asp
• Wie man mit den vorhandenen ASP.NET-Features effektiv Angriffe auf Web-Applikationen abwehren kann:
  http://msdn.microsoft.com/library/en-us/dnaspp/html/securitybarriers.asp
• Erfahrungsbericht über die Migration einer ColdFusion-Webseite nach ASP.NET:
  http://msdn.microsoft.com/library/en-us/dnaspp/html/coldfusASPnet.asp

Happy reading!

Das Online-Magazin GOLEM berichtet gerade über einen Bug im Servicepack 2 für Windows XP, wodurch dessen Sicherheitsfeatures geringer als möglich ausfallen:

http://www.golem.de/0501/35977.html

Der Fehler stecke im DEP-Mechanismus, der Buffer-Overruns verhindern soll. Durch diesen Bug erhalten man unter bestimmten Umständen Schreibzugriff auf einen eigentlich geschützten Bereich des Arbeitsspeichers, mit dessen Hilfe bösartiger Code ausgeführt werden könne.

Die reale Gefahr dieses Bugs wird als gering angesehen. Microsoft sei seit Dezember informiert, habe aber noch keinen Bugfix heraus gebracht.

Meine persönliche Meinung: Abgesehen davon, dass es einen solchen Bug eigentlich nicht geben dürfte, wenn intensiv auf Sicherheit getestet worden wäre, finde ich es seltsam, damit jetzt an die Öffentlichkeit zu gehen. Zwar ist Microsoft über den Bug informiert worden, jedoch sollte man ihnen schon einen angemessenen Zeitraum zugestehen, um ein Fix zu entwickeln und zu testen. Ob da ein Monat ausreicht, wage ich zu bezweifeln. Insofern spielen da möglicherweise andere Aspekte (Geltung, finanzielle Interessen, öffentliche Aufmerksamkeit) neben dem reinen Sicherheitsgedanken eine Rolle. Aber wie gesagt: Das ist nur meine persönliche Meinung.

Hmmm, die beiden CDs sind letzte Woche bei mir zusammen in einer Packung aufgeschlagen. Also habe ich mir spontan eine VMWare-Instanz aufgesetzt, in die ich beide installieren wollte – halt die neue Entwicklungsumgebung mal ausprobieren…

Gesagt, getan.

Also zuerst das VS.NET 2005 mit der Standard-Instanz vom SQL Server 2005 installiert – lief. Problem war für mich: Keine Admin-Werkzeuge, und aus dem VS.NET heraus mag ich mit dem Teil nicht arbeiten müssen.

Also habe ich danach die SQL Server 2005 CD eingeworfen und wollte installieren. Konnte ich auch – nachdem ich alles, was bei der VS.NET-Installation an Daten- und Framework-Komponenten installiert worden ist, wieder runtergeworfen habe.

Dann lief zwar der SQL Server, das VS.NET tat aber nix mehr. Also habe ich vor nunmehr einer Stunde das VS.NET als Reparatur-Installation erneut gestartet – der läuft immer noch, und fängt gerade an, Fehler zu werfen.

Fazit: Ich würde gerne beides nutzen. Aber scheinbar sind selbst Versionen, die zusammen versandt worden sind, zuein- und untereinander nicht kompatibel. Ärgerlich, wirklich. Da scheint noch einiges an Arbeit nötig.

Update: Die Reparatur-Installation ist eben wegen eines Schreibfehlers gescheitert.

Update II: Habe jetzt alles gelöscht und nun startet ein neuer Versuch…

Bin gerade im Rahmen der Vorbereitung einer Session für die ASP Konferenz über dieses Thema gestolpert. Und habe ein paar gute Artikel zu diesem Thema gefunden:

• http://www.codeproject.com/dotnet/UB_CAS_NET.asp
• http://www.15seconds.com/issue/040121.htm

Wer es durchliest und mal nachstellt, begreift es so tatsächlich! Übrigens: Code Access Security ist das, was den .NET Webspace von 1&1 fast unbenutzbar macht.

Lesenswert.

So, der Frust muss mal ein wenig raus: Glaubt ihr denn, dass man zu dem Thema was vernünftiges findet? Jedenfalls in vernünftiger Zeit?

Ja?

Wirklich?!

Sicher???

Okay, stimmt. Man muss nur etwas suchen.

Wen also das Thema “ASP.NET Hosting” oder – zutreffender – “Hosting auf Windows 2003″ interessiert, findet hier einen ganz guten Einstieg:

• http://www.microsoft.com/serviceproviders/default.asp
• http://www.microsoft.com/serviceproviders/hosting/default.asp
• http://msdn.microsoft.com/library/en-us/iissdk/html/6436aeaf-d4c3-4e1f-8cd3-96359ff427ce.asp
• http://msdn.microsoft.com/library/en-us/iissdk/html/5e7f8cde-4a01-42bd-acaf-f8f7d091ef7c.asp
• http://www.microsoft.com/serviceproviders/webhosting/webcasts/default.asp
• http://www.microsoft.com/serviceproviders/licensing/acquirespla/spla.mspx

Dennoch bleibt festzuhalten: Wenn man nicht ganz genau weiss, dass die Stichworte “ServiceProvider” und “Hosting” lauten müssen, sucht sich einen Wolf – sowas wie “ASP.NET Hosting” oder “Windows 2003 Hosting” bringt gar nix.

Ach so: Wer sich da nicht durcharbeiten möchte, der kann bei der ASP Konferenz auch gerne meine Session “ASP.NET Hosting” besuchen…

…gestern hatte ich mir überlegt, dass mein Weblog, das bisher unter http://weblog.ksamaschke.de erreichbar ist, doch eigentlich besser unter einem kürzeren Namen erreichbar sein sollte.

Gesagt, getan.

Ich habe mir also über Providerdomain (http://www.providerdomain.de) die Domain http://www.karsan.de registriert. Jetzt gerade habe ich mir gedacht “Probierst Du mal aus, ob die Domain schon funktioniert”.

Gesagt, getan.

Was soll ich sagen? Es tut! Innerhalb von 24 Stunden registriert (gut, das erwarte ich mittlerweile) und nun auch schon konnektiert – inklusive Nameserver-Verbreitung. Das finde ich klasse!

Ich finde, das ist ein Applaus wert.

*klatsch*

Übrigens: “Karsan” ist mein Spitzname. Falls es wer wissen wollte.

…und aufgeräumt:

• -Blöcke statt Tabellen
• externe CSS-Datei statt internem Style
• andere Überschrift
• XHTML-geformte Tags (nicht überall, sondern dort, wo ich eben meine Finger dran hatte)

Hat alles in allem keine Stunde gedauert – sieht aber sauberer aus, das Look & Feel gefällt mir besser, und es ist zugänglicher. Ich befürchte aber, dass ich dennoch früher oder später auch die Blog-Engine anfassen muss…

Dennoch: Kompliment an das dasBlog-Team – gute Arbeit!

…ist eine endlose Geschichte…

Während der Firefox problemlos Angaben a’la top:0;left:0; schluckt, passiert an der Stelle beim IE überhaupt nix. Der erwartet stur, dass man eine Mass-Angabe dahinter setzt: top:0px;left:0px; tut es dann.

Ärgerlich sowas!

Panikmache? Dummfug? Wahrheit? Bilde Dir selbst ein Urteil:

www.infosecnews.com

Generell klingt das für mich wieder wie Panikmache. Analog zu den
bisher ach so gefährlichen Mobiltelefon-Viren (siehe:
http://weblog.ksamaschke.de/PermaLink,guid,6857612b-cdc0-48d2-9e5e-1be9748618ac.aspx).

Auf jeden Fall aber scheint es theoretisch möglich zu sein, KFZ-Systeme
mit Viren zu infizieren. Das ist die schlechte Nachricht – auch wenn
sie nicht wirklich neu ist…

Response.Redirect ist bei ASP und ASP.NET das Mittel der Wahl, um auf
eine andere Seite weiterzuleiten. Nur, was wenn die andere Seite in
einem neuen Fenster geöffnet werden soll? Per Response.Redirect geht es
nicht…

Artikel hier:

http://www.aspextra.de/tipps/Webseite_in_neuem_Fenster_oeffnen.html

Es gibt eine Menge “Künsterinnen”, auf die das zutrifft. Hier ist eine davon:

Bloss nicht anklicken!!!

*Schüttel*

Geil!

http://www.fettes-brot.de

Wie SPIEGEL ONLINE berichtet, müssen deutsche Internet Provider die Identität der Nutzer von P2P-Diensten nicht preis geben:

http://www.spiegel.de/netzwelt/politik/0,1518,338674,00.html

Für den einen oder anderen ist das sicherlich eine gute Nachricht – nur
hat mir leider bisher niemand schlüssig erklären können, was Leute denn
bitte ausser raubkopierter Software, illegalen MP3s, geklauten
Filmen oder handfesten Pornos in diesen Tauschbörsen suchen.

Irgendwie fehlt mir für die so Geschützten und ihre Beschäftigung in
diesen Netzwerken das Verständnis – da muss man sich doch nicht über
die “Geiz-ist-geil”- und Kostenlos-Mentalität wundern. Alles haben
wollen, maximale Leistung abgreifen wollen, und aber bitte nix bezahlen
wollen. Ach ja, und keine Schuldgefühle haben.

Passt schon, kenn ich langsam nicht mehr anders.

Ganz interessant:

http://wiki.apache.org/struts.

Das ist der Wahnsinn – aber in negativer Hinsicht: Microsoft lässt jetzt die scheinbar unwichtigeren Artikel automatisch (“by a tool”) übersetzen. Wer das jemals gemacht hat – etwa via Babelfish – weiss, dass das derzeit nix wird.

Beispiele gefällig? Hier sind ein paar:

• http://support.microsoft.com/default.aspx?scid=kb;de;162408
• http://support.microsoft.com/default.aspx?scid=kb;de;891576
• http://support.microsoft.com/default.aspx?scid=kb;de;311317

Letzteres “gefällt” mir besonders:

“Der globale Anschluss muss es mehrere in Prozessen hinzufügen, die eine gültige, konsistente Funktion erfordern, um eine gültige, konsistente Funktion aufzurufen. Da die Funktionszeiger Proxy sind, die auf das Fliegen erstellt werden, hat verwalteter Code kein Konzept eines konsistenten Werts für Funktionszeiger.”

Alles klar?

Da schaut man sich mal ein wenig im Blog meines lieben Kollegen Rene Paschold um, folgt einem scheinbar interessanten Link, landet bei Microsoft, und was muss man sehen:

Nicht, dass es damit genug wäre:

Tssss… Abgründe tun sich da auf…

Aus gegebenem Anlass habe ich schnell mal einen kleinen Artikel zu diesem Thema geschrieben:

http://www.aspextra.de/tipps/SQL_Statements_parametrisieren.html

…da es ja von offizieller Seite aus nix dazu gibt, werde ich jetzt selbst anfangen. So schwer isses nun auch nicht.

Ach ja, Download der Forensoftware via http://www.telligentsystems.com/Solutions/license.aspx?File=forums-source.exe…

AreaMobile berichtet von zwei neuen Viren, die Symbian-Mobiltelefone mit Series-60-Oberfläche angreifen:

http://www.areamobile.de/php/pages/viewSingleNewsP.php?news_id=3034

Eine Frage drängt sich mir bei dieser Mobiltelefon-Viren-Problematik
grundsätzlich auf: Ist das alles nicht vielleicht nur Masche, um auch
für diese Plattformen Anti-Virus-Software verkaufen zu können? Nur mal
ganz prinzipiell: Zuerst wurde vor Mobiltelefon-Viren gewarnt, und
seitdem kommen immer häufiger Proof-Of-Concept-Viren in Umlauf, die
sich überhaupt nicht selbstständig fortpflanzen können. Ich will die
Gefahr wirklich nicht verniedlichen – aber irgendwie sieht das für mich
nach Panikmache (nicht von AreaMobile, sondern von den
Software-Anbietern) aus. Und mit Panik ist ja bekanntlich besonders
viel Geld zu machen.

Bin ich der Einzige, der den Sinn nicht blickt? Google und bald auch
Yahoo bieten (demnächst) eine Suche im aktuellen Fernsehprogramm an -
und zwar mit Standbild bzw. 60-Sekunden Clip. Tolle Sache das.
Demnächst dann bitte auch eine Suche im aktuellen Radio-Programm. Mit
Bild!

http://www.spiegel.de/netzwelt/technologie/0,1518,338515,00.html