Weblog di Fabio Cozzolino

Borland rilascia il primo tool di modellazione professionale gratuito: Borland Together® Designer - Community Edition. Indipendente dalla piattaforma, dal linguaggio e...gratuito!!!

Potete scaricarlo da qui.

Dopo WiX (Windows Installer Xml) e WTL (Windows Template Library), Microsoft rilascia i sorgenti di FlexWiki ancora su SourceForge. FlexWiki consente di creare i "Wikis", ovvero pagine Web sulle quali più utenti possono creare ed editare contenuti, fornendo un completo sistema di Content Management.

Il Workspace di FlexWiki è presente su GotDotNet.

Un esempio del funzionamento delle Wiki's pages è visualizzabile su http://www.wikipedia.org/.

P.S.: Wiki significa "quick" (veloce) in hawaiano...ma quello che trovo più simpatico è la rivisitazione di WWW in WikiWikiWeb... :-)

E' uscito da pochi giorni ed è già disponibile una patch per risolvere un problema nella gestione delle VPN da parte del Service Pack 2 di XP.

Da PCOPEN
"Difatti , con l’SP2 installato, i programmi che cercano di connettersi a indirizzi IP che fanno parte del range di loopback (quelli che iniziano per 127 e che puntano al sistema locale; vengono usati per non sovraccaricare la rete quando un programma che usa il network fa riferimento allo stesso computer locale) potrebbero non funzionare correttamente.
L’utente potrebbe ricevere un messaggio di errore nel caso si cercasse di accedere a indirizzi al di fuori del 127.0.0.1."

Qui il link per scaricare la patch:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;884020

Riporto un utilissimo post di Carlo Pinasco che racchiude un elenco di risorse per tutti gli sviluppatori che utilizzano l'architettura .NET (compreso me) in tutte le sue forme. Ottimo!

Di seguito ad un post del *solito* Andrea, ho fatto sentire anch'io la mia voce...ma aggiungo un link interessantissimo che elenca le problematiche che la Default Instance porterebbe:

http://msmvps.com/bill/archive/2004/07/23/10503.aspx

In riferimento ad un mio precedente post, riporto una segnalazione di Lorenzo Barbieri che indica come con una soluzione temporanea si può ovviare alle difficoltà di Virtual PC 2004 con WinXP Sp2 come sistema operativo Guest (in attesa del Service Pack 1 di VPC2004).

Da un post di Andrea leggo l'elenco delle applicazioni che secondo Microsoft potrebbero non funzionare correttamente con il Service Pack 2 di Windows XP...

A questo indirizzo, invece, è disponibile l'elenco delle applicazioni che possono richiedere l'apertura manuale delle porte per funzionare correttamente con il nuovo Windows Firewall.

Scorrendo rapidamente i due elenchi leggo...Microsoft??? Virtual PC 2004??? Ma come...potrebbe non funzionare correttamente l'ultima versione...

Per non parlare dell'elenco delle applicazioni che si bloccano...

Da una notizia apparsa su Zone-H sembra che Microsoft ha l'intenzione di controllare il traffico di copie "pirata" per "spingere sempre di più gli utenti ad utilizzare software originali"!!!

Il sistema per ora non è incluso negli aggiornamenti di Windows Update, ma funziona (per la verità già da qualche tempo) sui vari Service Pack.

Il tool disponibile on-line è Microsoft Windows Validation Assistance

Il tutto fa parte di un nuovo programma chiamato Windows Genuine Advantage che, per chi effettua l' autenticazione online della propria licenza, promette grandi vantaggi. Ad esempio, il servizio nell'area del Download center dovrebbe in futuro essere ottimizzato per gli utenti volontariamente "autenticati" accelerando il download.

Si preannuncia una sempre più aspra lotta alla pirateria...ma temo che, come tutte le cose, rischiano di provocare danni maggiori. Sono d'accordo sul controllo (che sia limitato solo a quello, però), ma non sarebbe anche meglio ridurre i costi di quei software che possiamo definire "popolari"?

Spesso mi viene chiesto: come posso fare per verificare se il mio programma è già in esecuzione?

Una possibile soluzione è l'utilizzo della classe Mutex del namespace System.Threading. Mutex verifica che in esecuzione esista un unico thread in base al nome passato come parametro stringa.

un esempio in Visual Basic .NET:

Private Shared m As Mutex

Private Shared Sub Main()
    Dim first As Boolean

    m = New Mutex(true, Application.ProductName, first)
    if (first) then
        Application.Run(new MainForm())
        m.ReleaseMutex()
    else
        MessageBox.Show("Applicazione gia' in esecuzione")
    end if
End Sub

ciauz

La nuova falla riguarda il sistema di elaborazione delle immagini JPEG, attraverso il quale utenti maliziosi protrebbero «prendere il completo controllo del sistema vulnerabile, incluso installare programmi; visualizzare, modificare o cancellare dati; o creare nuovi account con pieni privilegi», semplicemente reindirizzando il browser verso pagine web contenenti immagini JPG create ad arte.

Il bug è stato segnalato da Nick DeBaggis:

"JPEG Comment sections (COM) allow for the embedding of comment data
into a JPEG image.  COM sections are marked beginning with 0xFFFE
followed by a 16 bit unsigned integer in network byte order giving
the total comment length + the 2 bytes for the length field; a
single JPEG COM section could therefore contain 65533 bytes of
invisible data (invisible in the sense that it's not rendered as
part of the image).  Because the JPEG COM field length variable is 2
bytes wide, and itself is included in the length value, the minimum
value for this field is 2, this implies an empty comment.  If the
comment length value is set to 1 or 0, a buffer overflow occurs
overwriting heap management structures.

The problem is GDIPlus normalizes the COM length prior to checking
it's value; a starting length of 0 becomes -2 after normalization
(0xFFFE unsigned), this value is converted to the 32 bit value
0xFFFFFFFE and is eventually passed on to memcpy which attempts to
copy ~4G bytes into heap memory.

eEye Digital Security analyzed the bug and found that heap
management structures are left in an inconsistent state with
execution eventually reaching heap unlink instructions within
RTLFreeHeap with EAX pointing to a pointer to data we control and we
have direct control of EDX."

Riferimenti

Bollettino sulla sicurezza MS04-28

Patch per l'aggiornamento

riporto una dichiarazione del nostro ministro dell'Economia Domenico Siniscalco che descrive perfettamente le difficoltà che si devono incontrare per iniziare un'attività in proprio:

“In Italia non sarebbe mai diventato Bill Gates, perché non avrebbe avuto i capitali e lo avrebbero anche arrestato, visto che ha cominciato in un garage e non rispettava la 626 sulla sicurezza sul lavoro. Magari, poi, gli chiedevano per garanzia il bar del papá”

E' proprio vero... :-(

...tranne per il fatto che ad iniziare in un garage (il famoso "garage di Cupertino") sono stati Steve Jobs e Steve Wozniak (fondatori della Apple)...

Mi piacerebbe leggere l'esperienza di chi ha dovuto affrontare mille difficoltà per raggiungere (o meno) i proprio obiettivi...

P.S.: Ringrazio Lorenzo Barbieri per il supporto :-)

Segnalo un interessante Botta & Risposta tra Miguel de Icaza (team Mono) e Chris Anderson (team Avalon).

Leggete leggete...un argomento interessante...

Vorrei segnalare un tool che forse molti di voi già conosceranno: Allocation Profiler. Un utilissimo tool per monitorare le allocazioni di memoria nell'heap della Garbage Collection.

"Allocation Profiler presents the data from this log file in a variety of interesting and useful views. It can be used to verify program execution (e.g. ensure you've allocated only the objects you thought) and to detect possible memory leaks. Simply launch AP, point it at your EXE and click a button."

http://www.gotdotnet.com/Community/UserSamples/Details.aspx?SampleGuid=36a3e666-6877-4c26-b62d-bfd7cb3154ac

Da MSDN un articolo su come impedire la SQL Injection con .NET e C#. L'articolo mette a fuoco le capacità di questo tipo di attacco e gli strumenti che .NET ci mette a disposizione per prevenirlo.

http://msdn.microsoft.com/msdnmag/issues/04/09/SQLInjection/default.aspx

A tal proposito voglio segnalare anche il ciclo di eventi Microsoft Security Roadshow che si è tenuto ad aprile in diverse città italiane e ringraziare Marco Russo per il suo supporto davvero molto interessante. Per chi fosse interessato, a questo link è possibile scaricare le slide e le demo utilizzate durante le sessioni (ho utilizzato il link della sessione di Bari, dove ero presente anch'io, da spettatore ovviamente ;-)):

http://www.devleap.com/SchedaConferenza.aspx?IdConferenza=MSSEC04BA

[update] Avevo dimenticato di menzionare l'articolo di Luca Regnicoli e Roberto Brunetti: ASP.NET SQL Injection Attack