Come segnalato in questo post http://blogs.ugidotnet.org/penpal/archive/2004/10/26/4782.aspx anche su DevLeap è in corso un attacco da parte di gentaglia che ha tempo da perdere e che lo investe a creare danni verso gli altri.
Mi son ritrovato la mia casella di posta invasa da spamming, speriamo che il tutto termini al più presto.
Incuriosito dal post di Raffaele (Asp.net canonicalization bug: non fidatevi ciecamente della fix), ho effettuato alcuni test per verificare il bug del bug, ed ecco i risultati:
Primo test
- Impostato a zero la chiave di registro HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v1.1.4322\Install;
- Il setup funziona regolarmente;
- La patch viene regolarmente installata e, soprattuto, funziona;
Secondo test
- Rimosso completamente la chiave di registro HKLM\SOFTWARE\Microsoft\NET Framework Setup\NDP\v1.1.4322\Install
- Il setup si blocca perchè non trova il framework installato;
I test sono stati effettuati su Windows 2000 Professional, IIS 5 e ASP.NET 1.1. La situazione descritta da Raffaele non si è verificata o non sono riuscito a riprodurla (sempre se il mio test è valido).
Aggiungo un articolo pubblicato dalla Microsoft (in italiano): http://support.microsoft.com/?kbid=887459
La patch installata: http://www.microsoft.com/downloads/details.aspx?familyid=da77b852-dfa0-4631-aaf9-8bcc6c743026&displaylang=en
Come segnalato da Lorenzo Barbieri, Microsoft ha proposto la sua *pezza* al bug scoperto venerdì e diffuso sabato con un tam-tam tra i vari blogs.
Forse la proposta è la più rapida e meno indolore, ma credo che un po di lavoro in più (non tanto) la soluzione proposta da Roberto Brunetti tramite l'utilizzo degli HttpModule sia la più efficiente perchè condivisibile tra più applicazioni su uno stesso server Web.
[update] Come sottolinea ancora Roberto Brunetti il bug segnalato non riguarda solo il modulo di autenticazione/autorizzazione, seppur molto importante, ma più in generale la gestione dell'url mapping nel tag location.
A voi la scelta.
Ebbene sì! Si dice che entro 10 anni avremo il Super-DVD da 1 terabyte...spettacolo!!! Sfruttando le "depressioni" e gli "altopiani" con cui vengono codificati i bit su CD e DVD, in grado di riflettere il laser con circa 330 angolazioni differenti, la nuova tecnologia battezzata "Multiplexed Optical Data Storage" promette di raggiungere capacità di storage mai pensate...ma quanto ci metteremo per masterizzare un Super-DVD? Una settimana?
Riferimento: WebMasterPoint
Borland rilascia il primo tool di modellazione professionale gratuito: Borland Together® Designer - Community Edition. Indipendente dalla piattaforma, dal linguaggio e...gratuito!!!
Potete scaricarlo da qui.
Dopo WiX (Windows Installer Xml) e WTL (Windows Template Library), Microsoft rilascia i sorgenti di FlexWiki ancora su SourceForge. FlexWiki consente di creare i "Wikis", ovvero pagine Web sulle quali più utenti possono creare ed editare contenuti, fornendo un completo sistema di Content Management.
Il Workspace di FlexWiki è presente su GotDotNet.
Un esempio del funzionamento delle Wiki's pages è visualizzabile su http://www.wikipedia.org/.
P.S.: Wiki significa "quick" (veloce) in hawaiano...ma quello che trovo più simpatico è la rivisitazione di WWW in WikiWikiWeb... :-)
E' uscito da pochi giorni ed è già disponibile una patch per risolvere un problema nella gestione delle VPN da parte del Service Pack 2 di XP.
Da PCOPEN
"Difatti , con l’SP2 installato, i programmi che cercano di connettersi a indirizzi IP che fanno parte del range di loopback (quelli che iniziano per 127 e che puntano al sistema locale; vengono usati per non sovraccaricare la rete quando un programma che usa il network fa riferimento allo stesso computer locale) potrebbero non funzionare correttamente.
L’utente potrebbe ricevere un messaggio di errore nel caso si cercasse di accedere a indirizzi al di fuori del 127.0.0.1."
Qui il link per scaricare la patch:
http://support.microsoft.com/default.aspx?scid=kb;EN-US;884020
Riporto un utilissimo post di Carlo Pinasco che racchiude un elenco di risorse per tutti gli sviluppatori che utilizzano l'architettura .NET (compreso me) in tutte le sue forme. Ottimo!
Di seguito ad un post del *solito* Andrea, ho fatto sentire anch'io la mia voce...ma aggiungo un link interessantissimo che elenca le problematiche che la Default Instance porterebbe:
http://msmvps.com/bill/archive/2004/07/23/10503.aspx
In riferimento ad un mio precedente post, riporto una segnalazione di Lorenzo Barbieri che indica come con una soluzione temporanea si può ovviare alle difficoltà di Virtual PC 2004 con WinXP Sp2 come sistema operativo Guest (in attesa del Service Pack 1 di VPC2004).
Da un post di Andrea leggo l'elenco delle applicazioni che secondo Microsoft potrebbero non funzionare correttamente con il Service Pack 2 di Windows XP...
A questo indirizzo, invece, è disponibile l'elenco delle applicazioni che possono richiedere l'apertura manuale delle porte per funzionare correttamente con il nuovo Windows Firewall.
Scorrendo rapidamente i due elenchi leggo...Microsoft??? Virtual PC 2004??? Ma come...potrebbe non funzionare correttamente l'ultima versione...
Per non parlare dell'elenco delle applicazioni che si bloccano...
Da una notizia apparsa su Zone-H sembra che Microsoft ha l'intenzione di controllare il traffico di copie "pirata" per "spingere sempre di più gli utenti ad utilizzare software originali"!!!
Il sistema per ora non è incluso negli aggiornamenti di Windows Update, ma funziona (per la verità già da qualche tempo) sui vari Service Pack.
Il tool disponibile on-line è Microsoft Windows Validation Assistance
Il tutto fa parte di un nuovo programma chiamato Windows Genuine Advantage che, per chi effettua l' autenticazione online della propria licenza, promette grandi vantaggi. Ad esempio, il servizio nell'area del Download center dovrebbe in futuro essere ottimizzato per gli utenti volontariamente "autenticati" accelerando il download.
Si preannuncia una sempre più aspra lotta alla pirateria...ma temo che, come tutte le cose, rischiano di provocare danni maggiori. Sono d'accordo sul controllo (che sia limitato solo a quello, però), ma non sarebbe anche meglio ridurre i costi di quei software che possiamo definire "popolari"?
Spesso mi viene chiesto: come posso fare per verificare se il mio programma è già in esecuzione?
Una possibile soluzione è l'utilizzo della classe Mutex del namespace System.Threading. Mutex verifica che in esecuzione esista un unico thread in base al nome passato come parametro stringa.
un esempio in Visual Basic .NET:
Private Shared m As Mutex
Private Shared Sub Main()
Dim first As Boolean
m = New Mutex(true, Application.ProductName, first)
if (first) then
Application.Run(new MainForm())
m.ReleaseMutex()
else
MessageBox.Show("Applicazione gia' in esecuzione")
end if
End Sub
ciauz
La nuova falla riguarda il sistema di elaborazione delle immagini JPEG, attraverso il quale utenti maliziosi protrebbero «prendere il completo controllo del sistema vulnerabile, incluso installare programmi; visualizzare, modificare o cancellare dati; o creare nuovi account con pieni privilegi», semplicemente reindirizzando il browser verso pagine web contenenti immagini JPG create ad arte.
Il bug è stato segnalato da Nick DeBaggis:
"JPEG Comment sections (COM) allow for the embedding of comment data
into a JPEG image. COM sections are marked beginning with 0xFFFE
followed by a 16 bit unsigned integer in network byte order giving
the total comment length + the 2 bytes for the length field; a
single JPEG COM section could therefore contain 65533 bytes of
invisible data (invisible in the sense that it's not rendered as
part of the image). Because the JPEG COM field length variable is 2
bytes wide, and itself is included in the length value, the minimum
value for this field is 2, this implies an empty comment. If the
comment length value is set to 1 or 0, a buffer overflow occurs
overwriting heap management structures.
The problem is GDIPlus normalizes the COM length prior to checking
it's value; a starting length of 0 becomes -2 after normalization
(0xFFFE unsigned), this value is converted to the 32 bit value
0xFFFFFFFE and is eventually passed on to memcpy which attempts to
copy ~4G bytes into heap memory.
eEye Digital Security analyzed the bug and found that heap
management structures are left in an inconsistent state with
execution eventually reaching heap unlink instructions within
RTLFreeHeap with EAX pointing to a pointer to data we control and we
have direct control of EDX."
Riferimenti
Bollettino sulla sicurezza MS04-28
Patch per l'aggiornamento
More Posts
Next page »