Karsten Samaschke: Los jetzt!

Im Rahmen der “Mission bessere Websites”, die vom deutschen MSDN durchgeführt wird, gibt es heute um 14.00 Uhr einen Livechat mit Karsten Samaschke zum Thema “Caching und Performance” bei .NET 1.1 und .NET 2.0.

Wer mitmachen will: Kostenlos Anmelden unter

• https://s.microsoft.com/germany/msdn/connection/vwd2005/MissionControlCenter.mspx

und dann auf den Trainingsflug 7 gehen. Dort dem Chat-Link folgen.

Bis gleich!

Geht nicht mit Hausmitteln: Ein Timeout für FormsAuthentication mit ASP.NET definieren, das analog zum Session-Timeout nach x Minuten Inaktivität greift.

Geht doch: http://www.aspextra.de/tipps/FormsAuthentication_mit_Timeout.html

So leicht kann es mit .NET 2.0 gehen. Datenbank-Verbindung mit Hilfe von in der web.config hinterlegten Provider-Informationen herstellen – und zwar generisch und dennoch mit den nativen Datenbank-Providern!

In sieben Schritten zum Glück:

1. ConnectionString in web.config hinterlegen

         providerName=”System.Data.SqlClient”
      connectionString=”[ConnectionString]” />

2. System.Data referenzieren

3. Namensräume importieren

• System.Data
• System.Data.Common
• System.Configuration

4. ConnectionStringSettings auslesen

Dim connSettings As ConnectionStringSettings = _
   ConfigurationManager.ConnectionStrings.Item(“[Name]“)

5. DbProviderFactory instanzieren

Dim fact As DbProviderFactory = _
   DbProviderFactories.GetFactory(connSettings.ProviderName)

6. Verbindung als IDbConnection-Instanz referenzieren

Dim conn As IDbConnection = fact.CreateConnection()

7. ConnectionString zuweisen

conn.ConnectionString = connSettings.ConnectionString

Nach dem Zuweisen kann mit der Datenbank-Verbindung gearbeitet werden. Am Ende nicht das Schließen vergessen!

Habe gerade mein Office neu möbliert: 1x Schreibtisch, 1x Stuhl, 2x Regal. Alles IKEA, alles in Birke, alles heute angeliefert und alles innerhalb von 1,5 Stunden aufgebaut. Von mir alleine!

War ja klar:

• http://www.hardmac.com/niouzcontenu.php?date=2005-08-10
• http://xplodenet.com/ss.jpg

Microsoft hat beim Patchday im August einige fiese Sicherheitslücken geschlossen – in der Zwischenzeit sind teils schon Exploits im Umlauf, die nicht gepatchte Rechner angreifen.

Insgesamt beschert Microsoft uns folgendes:

• http://www.microsoft.com/technet/security/bulletin/MS05-038.mspx
  Ein kumulatives Update für den IE, welches unter anderem das Update aus MS05-37 ersetzt. Ist als kritisch eingestuft und soll drei Sicherheitslücken stopfen, die Remote ausgenutzt werden können und beim Besuch von entsprechenden Webseiten entweder die Ausführung von beliebigen Code oder das Ausspähen von Informationen erlauben. Nach der Installation kann es allerdings zu Problemen kommen, die zusammen mit ihrer Lösung in http://support.microsoft.com/kb/896727 beschrieben sind.
• http://www.microsoft.com/technet/security/bulletin/MS05-039.mspx
  Beseitigt ein Problem im Plug&Play Dienst. Darüber können User mit einem lokalen Account das gesamte System übernehmen. Sofern der Angreifer über einen Account verfügt und das SP2 nicht installiert ist, kann die Lücke
  auch remote ausgenutzt werden. Ab SP2 muss der Angreifer über Admin-Rechte verfügen, um die Lücke auszunutzen. Windows 2000 ist besonders verwundbar, da dort der Dienst auch für “Anonymous” remote verfügbar ist, allerdings auch nur, wenn sträflicherweise die Port 139 und oder 445 aus dem Internet erreichbar sind.
• http://www.microsoft.com/technet/security/bulletin/MS05-040.mspx
  Im Telephony Service wird eine Schwachstelle gestopft. Per Default ist dieser Service zwar nicht gestartet, aber diverse Drittsoftware kann ihn aktiviert haben. Lokale Angreifer können das gesamte System übernehmen.
• http://www.microsoft.com/technet/security/bulletin/MS05-041.mspx
  Beseitigt die schon länger bekannte Schwachstelle im Remote Desktop, die für Denial-Of-Service Attacken genutzt werden kann.
• http://www.microsoft.com/technet/security/bulletin/MS05-042.mspx
  Probleme im Kerberos-Service werden damit behoben. Ausgenutzt werden können diese Schwachstellen für Denial-of-Service und Spoofing Angriffe. Ausserdem könnte vertraulicher Netzwerkverkehr abgehört werden. Das Problem ist hauptsächlich in Windows Netzwerken relevant.
• http://www.microsoft.com/technet/security/bulletin/MS05-043.mspx
  Über einen Fehler im Print-Spooler Dienst kann ein entfernter Angreifer unter Umständen das gesamte System übernehmen oder einen Denial-of-Service Angriff durchführen. Normalerweise sollte der
  Spoolerdienst allerdings nicht über das Internet erreichbar sein.
• http://www.microsoft.com/technet/security/bulletin/MS05-032.mspx
  Wurde überarbeitet und erneut veröffentlicht.
• Und natürlich gibt es auch eine neue Version des “Tools zum Entfernen  bösartiger Software”

Also, Eile tut not: Die aktuellsten Patches direkt vom Hersteller gibt es hier:

• http://update.microsoft.com

Das Microsoft-Team in Deutschland sucht Verstärkung für einen Posten als Developer Evangelist:

• Guckst Du hier

Ich denke, für jemanden, der expressiv veranlagt ist, Ahnung von der Technologie hat und bei einem der besten Arbeitgeber Deutschlands arbeiten möchte, ist dies einer der Traumjobs schlechthin!

Also, wenn ich nicht selbstständig wäre, würde ich es mir zehnmal überlegen, ob ich mich nicht bewerben sollte…

Die einst lahmen Mühlen Personalisierung und Anmeldefunktionalitäten wurden im Dock komplett überarbeitet und auf High-Tech getrimmt. Eingebaut wurden Features wie Security Controls, Provider Pattern und eine integrierte Administration. Die Mission “Bessere Webseiten” wird somit durch sichere Applikationen mit Benutzeranmeldungs- und Authentifizierungs-Features unterstützt. Und der Käptn muss sich kaum mehr die Finger dreckig machen, denn die Menge an zu schreibendem Code verringert sich drastisch…

Du kommst hier ned rein… (Artikel)
Nicht jeder Bereich eines Raumschiffs soll jedem Passagier zugänglich sein – in den Maschinenraum darf nur die Crew von Mister Scott, in den Krankentrakt dürfen nur Pille (als Arzt) und Darth Vader (als Patient). Um so wichtiger ist es also, sicherzustellen, dass nur berechtigte Personen Zutritt zu bestimmten geschützten Bereichen bekommen. Was für ein Glück, dass beim neuen (T)Raumschiff ASP.NET 2.0 gerade an dieser Stelle enorm viel verbessert worden ist!

• Hier geht’s zum Artikel: http://go.microsoft.com/?linkid=3737319

Webcast, Montag, 8. August, 14-15 Uhr
In 60 Minuten wird Flugoffizier Karsten eine ASP.NET-Applikation absichern, mit einer Anmeldemöglichkeit versehen, eine Registrierungsmöglichkeit schaffen, Meldungen in Abhängigkeit vom Anmeldestatus ausgeben und vergessene Passwörter wiederherstellen. Und es bleibt noch genug Zeit, um auf Ihre Fragen einzugehen und zu zeigen, wie eigene Benutzer-Management-Lösungen implementiert werden können.

• Hier geht’s zum Webcast: http://go.microsoft.com/?linkid=3737321

Chat, Montag, 8. August, 15-16 Uhr
Hier können Sie alle im Webcast nicht beantworteten Fragen stellen und direkt vom Experten erfahren, was mit den neuen Login-Controls, dem Provider-Pattern und dem Visual Web Developer alles geht. Zahlreiches Erscheinen sichert die besten Antworten!

• Hier geht’s zum Chat: http://go.microsoft.com/?linkid=3737322

Den Kopf hält für das alles übrigens Flugoffizier Karsten hin.

Es steht mal wieder eine Woche in München vor der Tür:

• Montag: WebCast und Chat bei Microsoft
• Dienstag bis Freitag: Schulung Java

Falls wer im Lande ist, sich langweilt und sonst nix zu tun hat: Mail schreiben oder hier Kommentar abgeben.

Die Sicherheitsfirma Sunbelt hat unter der Adresse http://sunbeltblog.blogspot.com/ über einen massiven Datendiebstahl berichtet, der bei der Untersuchung einer neuen CoolWebSearch-Spyware aufgefallen ist. Demnach werden massivst persönliche Daten, Kreditkarten-Informationen, Benutzernamen, Kennwörter, PINs und TANs, Messenger-Protokolle – kurz, einfach alles, was anfällt – an einen oder mehrere Server übertragen.

Als ich das gelesen habe, ist mir erst mal anders geworden – in einem derart massiven Umfang habe ich es bisher noch nicht erlebt. Das zeigt aber, wozu die IT-Mafia (anders kann man die Typen wohl nicht mehr bezeichnen – die echte Mafia möge mir verzeihen) in der Lage ist. Schlimm genug, wenn ihnen bisher nicht das Handwerk gelegt worden ist.

Wirksamer Schutz ist übrigens relativ einfach möglich: Einfach eine Freeware-Firewall einsetzen. Vernünftige (und kostenlose!) Lösungen gibt es hier:

• Kerio Personal Firewall: http://www.kerio.com/us/kpf_download.html
• ZoneAlarm Freeware: http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp
• Sygate Firewall: http://smb.sygate.com/products/spf_standard.htm

Ebenfalls ratsam: Einen aktuellen Virenscanner einsetzen:

• Free-AV (kostenlos): http://www.free-av.de/personal/de/avwinsfx.exe
• BitDefender (kostenpflichtig, aber dafür auch mit integrierter Firewall): http://www.bitdefender.de/bd/site/downloads.php?tool=bitdefender_prof_v8.exe&what=1

Diverse Medien und Sicherheitsexperten haben bereits auf den Datendiebstahl reagiert und berichten darüber:

• http://www.computerworld.com/securitytopics/security/story/0,10801,103737,00.html
• http://informationweek.com/story/showArticle.jhtml?articleID=167600273
• http://netrn.net/spywareblog/archives/2005/08/05/massive-id-theft-ring-discovered/
• http://www.heise.de/newsticker/meldung/62557

Mal schauen, was aus der Sache wird.

Der parallele Betrieb von .NET 2.0 und .NET 1.1 ist eigentlich überhaupt kein Problem, wäre da nicht eine kleine Fiesheit: .NET 1.1 und .NET 2.0-Applikationen dürfen nicht im selben Prozess laufen! Es hilft nix, aus einzelnen Verzeichnissen Applikationen zu machen oder aus einzelnen Applikationen Websites.

Was einzig und allein hilft: Alle für .NET 2.0 konfigurierten Applikationen in einen eigenen Application-Pool auslagern. Das kann zwar etwas mühselig sein, verhindert aber den “Application unavailable”-Fehler, der sonst unweigerlich auftritt.

Also Achtung beim Einspielen der ersten eigenen .NET 2.0-Applikation!