Mike Chaliy's Blog

Я їду на “Платформа 2009”

2008-11-28T11:23:57Z

Дякуючи Майкрософт Україна та ГлобалЛоджік, я їду на “Платформу 2009”. Якщо хтось теж їде, кажіть - зустрінемось!

А ось мій розклад, майже кожного разу в мене на один час більше двох сесій. Вже на місці буду дивитись де цікавіше.

04 декабря
08:00- 10:00	Регистрация
10:00- 12:00	Открытие конференции. Пленарный доклад (Большой зал).
12:00- 13:30	Обед
13:30- 14:30	Доклад: DB 201 SQL Server 2008 единым взглядом Место: Большой зал
13:30- 14:30	Доклад: AR 201 Claim-based identity: обзор технологий "Geneva" Место: Желтый зал
14:30- 15:00	Перерыв
15:00- 16:00	Доклад: DT 201 Платформа Microsoft Windows Embedded: новые возможности для Ваших проектов Место: Красный зал
16:00- 16:30	Перерыв
16:30- 17:30	Доклад: AR 203 Обзор перспектив прикладной платформы Microsoft Место: Желтый зал
16:30- 17:30	Доклад: DB 302 Миграция на SQL Server 2008 с предыдущих версий Место: Зеленый зал
17:30- 18:00	Перерыв
18:00- 19:00	Доклад: AR 204 Архитектура приложений на платформе .NET теперь в стиле Софт + Сервисы Место: Желтый зал
18:00- 19:00	Доклад: DT 204 Как написать полноценное бизнес приложение на Windows Mobile Место: Зеленый зал
19:00- 19:15	Перерыв
19:15- 20:15	Круглый стол: RN 204 Платформа Microsoft - эволюция в облако. Изменит ли реализация S+S стратегии мир? Место: Желтый зал
19:15- 20:15	Круглый стол: RN 205 Виртуализация 360 Место: Большой зал
19:15- 20:15	Вечерняя программа

05 декабря
09:00- 09:30	Перерыв
09:30- 10:30	Доклад: IS 303 Безопасный обмен данными между организациями с использованием Active Directory Rights Management Services и Active Directory Federation Services Место: Бежевый зал
09:30- 10:30	Доклад: AR 205 Обзор сервисной платформы Microsoft Azure Место: Большой зал
09:30- 10:30	Доклад: DT 405 Функциональное программирование и параллельные вычисления – новые возможности для разработчиков в .NET: Task Parallel Library и PLINQ Место: Красный зал
10:30- 11:00	Перерыв
11:00- 12:00	Доклад: AR 206 Первый взгляд на Oslo, Dublin и Workflow Foundation 4.0 Место: Большой зал
11:00- 12:00	Доклад: OS 202 Windows – как создается операционная система Место: Желтый зал
11:00- 12:00	Доклад: DB 303 SQL Server 2008: полный контроль над информацией Место: Зеленый зал
12:00- 13:00	Обед
13:00- 14:00	Доклад: DT 207 Windows Azure: Разработка для облака Место: Красный зал
14:00- 14:30	Перерыв
14:30- 15:30	Доклад: AR 107 Внедрение решений Enterprise Project Management: взгляд бизнес-архитектора Место: Бежевый зал
14:30- 15:30	Доклад: IT 211 Как Microsoft Consulting Services делает крупные инфраструктурные проекты. Уникальные технологии, средства автоматизации, и практические наработки. Место: Желтый зал
14:30- 15:30	Доклад: BI 202 Обзор SQL Server Analysis Services 2008 Место: Зеленый зал
15:30- 16:00	Перерыв
16:00- 17:00	Доклад: PS 202 Проектирование решений для SharePoint Server 2007 Место: Желтый зал
16:00- 17:00	Доклад: BI 303 Бизнес-аналитика и моделирование в SQL Server 2010 Analysis Services Место: Зеленый зал
17:00- 17:30	Перерыв
17:30- 18:30	Доклад: UC 202 Новый виток эволюции в объединенных коммуникациях. Office Communication Server 2007 R2 Место: Синий зал
18:30- 18:45	Перерыв
18:45- 20:00	Закрытие конференции (Большой зал).

CSV у якості DataSource

2008-10-29T09:43:25Z

Для Data-Driven тестів я завжди використовував Excel, легко редагувати, легко під’єднати, тощо. Десь з тиждень назад розпочалась нова ера мого життя ;), мій дев лід вказав на старе як мир правило.

Будь який код повинен версіонуватися!

Все просто. По-перше, в тексті найменша зміна яка піддається діфам та мержам це один символ. В бінарному файлі, тільки сам файл. По-друге, для Data-Driven тестів, Дата це код.

Ну і добре! Принаймні два рішення. Перше це XML, а друге CSV. XML я одразу відкинув, купа сміття усі ті теги та атрибути. Для табулярних даних це просто оверкіл. Отже CSV.

Головне правило для роботи з MSTest Data-Driven тестами.

Якщо тест каже піти подивитись Troubleshooting Data-Driven Unit Tests, це треба зробити.

Наприклад я ніколи не читаю щось де є слово Troubleshooting. А тому я витратив декілька годин, на дебаггінг студії, ODBC провайдера, пошуку в інеті, тощо.

На сторінці Troubleshooting Data-Driven Unit Tests можна знайти нормальні рядки під’єднання, з деякими подробицями. Наприклад:

Provider=Microsoft.Jet.OLEDB.4.0;Data Source=D:\;Extended Properties="text;HDR=Yes;FMT=Delimited”

Tip For the test.csv file, use test#csv as the table name.

Note HDR=Yes means that the first row contains column names, not actual data.

Отже правила.

1) Крапка в назві файлу повинна бути замінена на “#”. Інше рішення це зовсім прибрати розширення, але реальний файл тоді повинен мати розширення “.txt”.

2) CSV файли повинні бути в окремій папці. Я на 100% не розумію проблему, але схоже що, з якогось переляку, драйвер перебирає усі файли, і валиться якщо йому щось не зрозуміло.

3) CSV файлу начхати на формат в якому ви туди щось запишете, але тести працювати не будуть якщо колонки не будуть текстовими. Я знаю два шляхи, якийсь там inf файл в директорію. Але це складно. Другий просто всі значення огортати лапками. Останнє стовідсотково працює.

Приклад тесту

[TestMethod] [DataSource("System.Data.OleDb", "Provider=Microsoft.Jet.OLEDB.4.0;Data Source=.\\Data\\;Extended Properties=\"text;HDR=Yes;FMT=Delimited\"", "ValidPostalCodes#csv", DataAccessMethod.Sequential)] [DeploymentItem("\\UnitTests\\Data\\ValidPostalCodes.csv", "Data")] public void Validator_Should_Accept_Example_Postal_Code()

Приклад файлу

PostalCode,Comment "1555-1899", "We allow dashes" "184878848", "9 Digts is maximum" "1", "1 digist is also valid postal code"

MEF використовується тут…

2008-10-29T08:31:48Z

Цікава особливість останніх новин. Деякі нові анонсовані продукти використовують Managed Extensibility Framework..

1) “New WPF source Editor - based on MEF e.g. you can add new features to the editor”. В мене зараз студія 2010 в даунлодах, завтра розповім як воно виглядає. По скріншотам схоже на перші версії бленда.

2) “but I can say that MEF is absolutely core to our text editing tool for Oslo”, це я вже первірив, 100% використовується, до речі цей Emacs.Net виглядає дуже класно.

3) Також MEF використовується в інших компонентах Oslo, наприклад парсер “M”. Хоча швидкий пошук так і не дав відповіді що саме вони там використовують.

Деякі питання що виникали на останній UNETA та відповіді на них.

1) MEF for server side applications

In the current CTP bits we have not added any specific support for the server. We are planning to focus on server side support however in future releases. Mostly we see this as revolving around caching,
security and threading.

2) MEF for Silverlight?

Yes, MEF for Silverlight is definitely considered. As far as concrete shape, applicable scenarios and delivery vehicle and timeframe - this is still being discussed

Також в коді можна знайти SILVERLIGHT директиви.

3) Comparison to the AddIn libraries?

These technologies can be perceived as complimentary. While both of them provide activation support, support System.AddIn-s technology focuses on versioning and isolation (multiple AppDomain support) while the focus of MEF is dependency injection through Import-Export mechanism, loose type matching and metadata around components.

4) Що там за нутрощі?

Компіляція Lambda Expressions, тобто DynamicMethod.

Moq - Stubbing is back!

2008-10-13T13:20:37Z

Мабуть, я вже усім прожужав вуха про своє кохання – це Moq. Те ще це кохання може засвідчити, той факт що я безкоштовно переклав 300 юніт-тестів з Rhino.Mocks на Moq, для свого поточного проекту.

Головна фішка Moq це його синтаксис. Я не буду наводити приклади, але це щось! Усілякі рекоди/реплай в минулому.

Але була і ложка дьогтю, для мене завжди було не зрозуміле повне ігнорування факту, що іноді таки потрібен стаббінг.

Але це було! А тепер Mog 2.6 – і підтримка стаббінгу. За лінкою можна все прочитати.

Декілька фактів

Підтримує тільки синтаксис побудований на Lambda Expressions, а отже .NET 2.0 в прольоті;
Все типізоване, все підтримує інтелісенс;
Саме ця бібліотека використовується Microsoft для публічної версії MVC Framework. Внутрішня використовує щось своє, виплекане в тернях Microsoft;

MVC Framework + .NET Framework 2.0 = Майже працює

2008-10-13T08:49:57Z

Вчора встановлював додаток написаний на MVC Framework на хостінг який підтримує тільки .NET 2.0. Коротко – майже працює ;).

По-перше знадобилось, закинути усі бібліотеки .NET 3.5 які використовує додаток, в моєму випадку це були System.Core, System.ServiceModel.Web, тощо.

Далі, виправив web.config так щоб по прибирати бібліотеки які не використовуються додатком, наприклад в мене не використовувались System.Web.Extensions;

Це теж, весь код сторінок повинен бути С# 2.0, ніяких там тобі екстеншен методів… В код бехаінд зрозуміло що можна використовувати будь що. Дещо з коду на C# 3.0 зі сторінки просто перейшло в код-бехаінд.

І останнє – ControllerActionInvoker який працює по замовчуванню, використовує лямбда експрешенс для оптимізації швидкості, а той у свою чергу констуртор класу DynamicMethod який не підтримується в .NET 2.0 :(. Рішення просте, – скористатися можливостями розширення MVC Framework і переписати ControllerActionInvoker, так щоб він використовував тільки те що є. Тут вже є два шляхи бо швидкий для кодування, або швидкий для роботи. Я обрав перший ;). Просто за допомогою рефлекшена викликаю методи контроллера ;). Якщо знадобиться пишіть, надішлю…

Ось таке от в мене хоббі ;)

Невеличкий Code Smell – зменшення унікальності

2008-10-11T11:29:00Z

Сьогодні (і так в суботу), в реалізації кешу нашого додатку знайшов такий приклад коду.

string hashKey = string.Format("{0}_{1}", String.IsNullOrEmpty(customerId) ? string.Empty : customerId.GetHashCode().ToString(), String.IsNullOrEmpty(orderId) ? string.Empty : orderId.GetHashCode().ToString());

Обидва ідентифікатори це GUID в форматі рядка.

А ось невеличкий код який перевірить такий підхід.

IDictionary cache = new Dictionary(); for (int i = 0; i { Guid newId = Guid.NewGuid(); int hashCode = newId.ToString().GetHashCode(); if (cache.ContainsKey(hashCode)) { Console.WriteLine("HashCode: {0}; First GUID: {1}; Second GUID: {2}", hashCode, cache[hashCode], newId); } else { cache.Add(hashCode, newId); } }

і перші три результати цього кода

HashCode: 140496230; First GUID: d45781e0-62e6-4793-94e706cb3d2ca14a; Second GUID: ffd2b182-a93d-49d5-853e-ca56e5de6fd0 HashCode: 1297286347; First GUID: 53d0efc3-393d-4699-89e5fb10e3bf1220; Second GUID: 09bfe993-104c-48d6-9ce2-ab76a9483e89 HashCode: -1224017075; First GUID: 92ecbaf5-73e5-4f6f-bc4991f0c29b0bf0; SecondGUID: 8c36cfc8-f655-43fa-a2ed-a8584614888b

Цікаво коли ця помилка виявиться на продакшені?

Asp.NET контроли і HtmlEncode

2008-09-17T09:28:03Z

Дуже цікавий документ – тут зібрані всі Asp.NET контроли з інформацією про те чи робить цей контрол HtmlEncode коли рендерить результуючий HTML.

Наприклад Button.Text не робить. Майже всі ToolTip-и теж не роблять…

Інформація з блогу Sacha Faust.

Оце так локалізація!

2008-09-02T20:28:54Z

Мабуть усі знають що Гугль випустили свій браузер (на двигуні WebKit). Це вже не цікаво. Цікаво як вони підійшли до процесу локалізації. Те що ми попадемо в оті 43 мови, на які перекладено інтерфейс, я майже не сумнівався. Але реальність просто вразала! Виявилось що локалізовано просто все. Куди не ткнись.

Наприклад ось вам скрін крешу.

І набір наших пошуковиків, тут і Мета, і БігМір.

І навіть навчальне відео, повністю, як то кажуть з нуля, підготовлено українською.

До речі, якщо вже про про цей браузер, то ось такий чек бокс встановлено по замовчуванню.

Враження, про браузер суто позитивні, ця бета менш глюкава за IE8 Beta 1 або Safari 3.0, хоча і креши бувають і вісяки.

І традиційний скріншот нашої комуніті, на пам'ять ;)

Апдейт #1. Гугль використовує Visual Studio 2005 для розробки.

Апдейт #2. Таки є не локалізовані речі, правопис браузер первіряє тільки для англійської.

Visual Studio Express Edition – для дома

2008-09-02T11:01:00Z

На вихідних повна версія Visual Studio сказала що жити їй залишилось 6 днів, я вирішив що це знак і пішов шукати альтернативи. Ще за часів 2005 версії я вже дивився на Visual Studio Express Edition, але на той час вона мене повністю не влаштовувала. Наразі з виходом Visual Studio 2008 Express Edition SP1, Майкрософт дуже пом’якшила обмеження. Це мене і надихнуло ;).

Проект

Веб додаток побудований за допомогою MVC Framework;
SQL Server Express у якості бек-енду;
Бізнес логіка, в окремому шарі, і побудована з використання DDD;
Два тестових проекти, один для юніт тестів, а другий для так званих тестів замовника;
Потрібен контроль версій.

MVC Framework та Web Application

Починаючи з SP1, Visual Studio 2008 Express Edition повністю підтримує Web Application проекти, а це в свою чергу означає підтримку MVC Framework. Більше ScottGu проанонсував офіційну підтримку.

SQL Server Express

З підтримкою БД все значно складніше, мені так і не вдалось знайти рішення яке б дозволяло нормальний менеджмент версій. Поки що зупинився на генерації бази даних за допомогою Linq to SQL контексту. Схоже що зроблю пустий проект, і буду зберігати інкрементальні апдейт скріпти.

Бізнес логіка, окремі шари, тощо

В SP1 додали ще одну фішку, це підтримка Class Library, зрозуміло що тепер немає жодних перепон робити повноцінний солюшен, з бізнес логікою в окремій збірці.

Цікаво. Web Developer Express офіційно не підтримує Windows та Console Application-и… Але достатньо створити Class Library, а потім просто змінити тип білда ;). Схоже затримка тільки за тим хто перший зробить(або модифікує існуючий) темплейт який додасть в Web Developer Express підтримку цих проектів.

Автоматичне тестування

MSTest-ів як не було, так і немає. TestDriven.Net таки прибрали підтримку для Express версій… Отже все як в добрі часи. Будь який фреймворк для тестування, і зовнішня консоль. Нічого страшного жити можна. Для цього проекту я обрав xUnit і Gallio у якості консолі.

Контроль версій

Після невеличкого пошуку зупинився на SVN. З сервером я довго не мордувався - VisualSVN Server – єдине що воно потребує так це запустити інсталлер. У якості клієнта TortoiseSVN, я вже колись з ним працював, так чи інакше інтеграції з студією поки що не буде. Майкрософт проти адд-інів. Наразі виявилось що і без інтеграції можна жити довго, добре та щасливо.

Покопирсавшись з VisualSVN Server на домашньому компі, вирішив що я не занадто мобільний. Моє звичайне рішення за допомогою Groove, з кодом працює дуже погано, тим паче з репозитаріями SVN ;). Вирішив пошукати хостінги. Продивившись декілька зупинився на nfuddle, їхня пропозиція безкоштовного хостінга 200МБ мене поки що задовольнила і тепер мій репозитарій в Інтернеті.

Висновок

Я просто на сьомому небі ;), все працює і все влаштовує, подивимось, може ще щось знадобиться. Рекомендую.

Trust Boundaries Identification на прикладі Architects.in.ua

2008-09-01T11:08:57Z

Architects.in.ua дуже простий сайт, виявилось що розробниками написано лише 316 рядків коду. У той самий час сайт має достатньо коду щоб показати деякі проблеми з безпекою. Сьогодні не буде дірок які можна використовувати прямо не виходячи із браузера, сьогодні я хочу розповісти про вельми теоретичне - Trust Boundaries Identification (Кордони Довіри), і як за допомогою цих кордонів зробити додаток більш безпечним.

Це дуже вільна версія, в порівнянні з процесом, який пропонує Microsoft, будьте ласкаві, вважайте її як адаптовану для нашого приклада.

Декомпозиція

З точки зору моделювання небезпек(Threat Modeling), одна за перших активностей це віртуальна декомпозиція додатку на субсистеми.

В прикладі з Architects.in.ua, це може виглядати так. Користувач - це браузер користувача, середній чотирикутник - сам сайт, і декілька джерел даних у вигляді RSS Feedів.

Кордон Довіри (Trust Boundaries)

Така декомпозиція дозволяє вже на діаграмі бачити відносини між субситемами, і що найбільш важливе вже зараз розуміти які субсистеми можуть довіряти, а які ні. Наприклад в більшості випадків Користувач не довіряє сайтам (наприклад ActiveX недозволено). У той самий час більшість додатків довіряють своїм даним. На це є причини, наприклад дуже часто ці додатки спілкуються лише з базою даних, до якої дуже складно дістатися ззовні.

Поточна реалізація Architects.in.ua будує Кордон Довіри так що сайт повністю довіряє фідам.

Наслідки

Проблема може виникнути якщо хоча б одне джерело даних буде скомпрометовано. В прикладі з Architects.in.ua це достатньо легко уявити, адже джерелом даних для них являється Live Spaces.

Далі припустимо що одне з джерел таки cкомпроментовано. Що це означає для нас? Тут вже залежить від того як джерело використовується. В Architects.in.ua є декілька шляхів як цим скористатися.

По-перше, так само як і з попередніми уразливостями, це може використовуватись для DoS атак, дефейсу тощо. Але це не цікаво.

Набагато цікавіше те що інформація з джерела після невеличкого очищення (sanitation) просто передається на бік користувача! Тобто скомпрометувавши джерело, атакуючий за допомогою Architects.in.ua компрометує користувача!

Приклад коду який опікується очисткою інформації та опис як його обійти можна знайти в попередньому огляді (Шукати по RemoveTags).

Як протистояти

Що ж робити? По-перше виправити Кордон Довіри. Сайт повинен довіряти тільки собі. Це нам допоможе зробити переоцінку довіри до джерел.

Далі вже по ситуації, наприклад, в нашому випадку є два шляхи. Обидва прості. Перший це встановити рейтинг небезпеці, тут він буде достатньо невеликий, адже скомпрометувати Live Spaces достатньо складно, отже і довіра до джерела даних велика, а згодом на небезпеку з малим рейтингом можна і наплювати...

Схоже саме цей шлях і обрали розробники:

>> Про XSS не согласен, т.к. источники полностью контролируются, а значит не писать любителей подсунуть скрипт.

Другий шлях дещо складніший... все ж таки не довіряти інформації з джерела, і просто пропустити результати через щось на кшталт HttpUtility.HtmlEncode (або ще краще через Anti-Cross Site Scripting Library). Дуже складно?

Висновок

Я тут багато написав, і може скластися уява достатньо робити енкодінг результатів(Encode Output)… Це не так, головне це реально бачити такі проблеми. Випадок з атакою за допомогою XPath дуже вдалий приклад коли всі знають про SQL Injection, а ось про XPath Injection..

Декілька посилань

Провідник від Microsoft - Threat Modeling Web Applications – відносно стисло і зрозуміло викладено процес;

Частина книги - Chapter 3 – Threat Modeling – детально викладено весь процес, без залежностей від вебу.

Пісемістична заміна для HttpUtility.HtmlEncode - Anti-Cross Site Scripting Library;

Якщо тема моделювання небезпек та Security Development Lifecycle взагалі для вас цікава, вітаю до коментарів, інакше я нічого писати не буду, бо ця тема мені здається досить нудною для викладання в блозі.

IE8 ‘Porn mode’

2008-08-26T15:07:32Z

Навіть додати щось неможливо, просто лінка - Microsoft to roll out more granular ‘porn mode’ with IE 8!

SharePoint за 80 годин

2008-08-17T16:09:00Z

“Вміти розробляти під SharePoint за 80 годин” - щось схоже було моїм таском перед новим проектом. Зараз проекту вже приблизно півроку. Проект достатньо успішний, принаймні Майкрософт його оцінили дуже високо. А значить ті години також були успішні. Саме про них, точніше про те що я в їхніх рамках робив, я і хочу розповісти.

Використовуючи свої поради, 80 годин я витратив на SDK, декілька книжок, рефференс реалізації, блоги і зрозуміло на розробку прикладів.

Якщо буде нудно, то наприкінці поста я зробив висновок з усієї цієї писанини.

SharePoint Server 2007 SDK: Software Development Kit

Попри все, SDK так і залишається майже найглибшими знаннями (найглибші це .Net Reflector, але нажаль деякі частини COM). Як і в більшості SDK тут можна знайти всю довідкову інформацію, на кшталт опису об’єктної моделі, формату конфігураційних файлів, how-to-шок, тощо.

Цікавим бонусом є підбірка сатей, вони не потрібні для того щоб розпочати розробляти, але в перспективі можуть допомогти, так би мовити скласти повну картину.

Біля SharePoint Server 2007 SDK: Software Development Kit, можна також знайти Windows SharePoint Services 3.0: Software Development Kit (SDK). Це просто утята версія першого. На мою думку краще завжди ставити першу.

Книга - Microsoft(R) SharePoint(R) 2007 Development Unleashed

Це перша книга з тих що я прочитав. Чесно кажучи не дуже сподобалось. Занадто багато “води”, якась непослідовність викладення. Іноді схожа на кальку з SDK.

Можливо тому що книга дуже нагадує SDK, читається дуже швидко (якщо не читати розшифровок класів ;)). Її можна рекомендувати як повноцінний замінник SDK для об’єктної моделі SharePoint без пошуку... Це фонове читання.

Моя оцінка – 3 з 5ти. Так і не зрозумів для кого ця книга.

Вирішив подивитись яку оцінку дали на Amazon – виявилось теж 3 з 5ти ;).

Книга - Inside Microsoft Windows SharePoint Services 3.0

Після Development Unleashed, це було просто приємне читання. Функціональна структура дозволила цій книзі в одній главі розповідати і з адміністративного боку і з девелоперського.

Зокрема мені дуже сподобався опис деплоймента (Солюшени, Фітчери), опис системи Безпеки. Саме те що важко зрозуміти з SDK.

Дуже потішила частина про AJAX! Почитайте, однією фразою - “AJAX для корпоративних енікейшиків”.

Книга дає майже повну картину процесу розробки. Кодування, конфігурація, деплоймент, безпека, об’єктна модель, веб–сервіси, веб-парти, бібліотеки документів, workflow. Все дається в мінімальному обсязі, тільки для того щоб розпочати. Для більш глибокого вивчення потрібні інші ресурси.

Також можна зазначити, що є частини повністю не покриті цією книгою. Наприклад Custom Fields, MOSS...

Я б рекомендував цю книгу, як першу в світі SharePoint.

Моя оцінка 5 з 5ти. Amazon 4.5 з 5ти.

Книга - Professional SharePoint 2007 Development

Одразу кинулось у вічі, що структура книги дуже схожа на Inside Microsoft WSS 3.0. На відміну від останньої книга робить спробу розповісти про все і про Windows SharePoint Services 3.0 (WSS 3.0) і про Microsoft Office SharePoint Server 2007 (MOSS 2007). Це дещо відбилось на розмірі – 774 сторінок в порівнянні з 416.

Книга в достатньому обсязі дає інформацію про MOSS. WSS частина більш зверхня і схоже написана для того щоб було легше зрозуміти про MOSS. Мабуть це зумовило недостатнє покриття деплойменту та безпеки. Дуже цікаво те що в WSS частині є дуже багато того чого немає у Inside Microsoft WSS 3.0.

Я б рекомендував цю книгу, як другу після Inside Microsoft WSS 3.0. Книгу можна радити навіть тим хто не планує розробляти під MOSS 2007.

Моя оцінка 5 з 5ти. Amazon 4 з 5ти.

Книга - Beginning SharePoint 2007 Administration: Windows SharePoint Services 3.0 and Microsoft Office SharePoint Server 2007

Про книгу можна сказати тільки те що вона справді не для розробників, і справді для початківців.

Таких речей мені не зрозуміти:

Open Internet Explorer.

Go to Tools –> Internet Options –> Security.

Click Trusted Sites and the Sites button.

Add the URL address for your virtual server (for example, http://srv1) as a trusted site.

Так чи інакше, а якусь адмінську книгу продивитись потрібно, заради “погляду з того боку”, інакше розробка може вийти “чужою” для системи. Отже ця книга для фонового читання так само як і Development Unleashed.

Моя оцінка 3 з 5ти. Amazon 4 з 5ти.

Референс Реалізація - Community Kit for SharePoint

Це мабуть найбільша відкрита розробка для SharePoint. Написано відносно добре – для людей з корпоративним підґрунтям просто супер.

Найцікавіше що можна відкопати це:

Відлагоджена структура проекту;
Система автоматичного збору WSS Solution(я зробив іншу, але ідея та сама);
Активація/Деактивація фітчерів
Інтеграція з Asp.Net – HttpHandler, AJAX
Стилізація сторінок

Просто рекомендую. На відміну від книжок це реальний професійний досвід.

Референс Реалізація - SharePoint 2007 Features

Набір фітчерів, код також відкрито. Дуже багато подробиць для розробки фітчерів. Код іноді просто жахливий, але ж ніхто і не збирається копі-пастити. Так? Так.

Блог - Microsoft SharePoint Team Blog

Майже немає технічних подробиць, мене зачепило SharePoint Connector for Confluence - How We Did It. Дуже цікава реалізація. Принаймні для мене це стало proof of the concepts того що ми обрали дуже складний шлях ;). Там є тріальна версія, а там є необфусковані .Net збірки. Але я вам цього не казав.

Блог - Implementing SharePoint Blog

Просто новини з світу SharePoint.

Блог - SharePoint Solutions Blog

Дуже технічний блог. Я пролистав весь блог. Вони пишуть не новини, вони пишуть невеличкі статті. Дуже рекомендую.

Блог - SharePoint Blogs

Фігня якась, якісь новини більше схоже на анонси Майкрософт...

Висновок

Для тих кому потрібно розробляти для WSS 3.0, рекомендую зпершу почитати Inside Microsoft Windows SharePoint Services 3.0, потім WSS частину в Professional SharePoint 2007 Development. Для MOSS 2007 все те саме плюс частину про MOSS в останній книзі. Для повноти ще бажано прочитати щось “адмінське”, наприклад Beginning SharePoint 2007 Administration: Windows SharePoint Services 3.0 and Microsoft Office SharePoint Server 2007.

Найповніша Референс Реалізація, це Community Kit for SharePoint, але все залежить від того що саме потрібно розробляти.

Наступного разу я розповім про тулзи для полегшення життя розробника.

Невеличка DoS атака за допомогою XPath

2008-08-15T09:42:00Z

Продовжу розбирати Code Smells сайту Architects In UA. Наразі сьогодні розберу цей код:

XPathNodeIterator nodes = navigator.Select(string.Format("/rss/channel/item[guid='{0}']/title", item)); while (nodes.MoveNext()) { Header.Title += " :: " + nodes.Current.Value; }

Також потрібно додати що item це просто відображення параметру в рядку запита. Тобто аткуючий може змінювати її на свій розсуд.

Перше що впадає у вічі це те що я можу змінити XPath.

Якщо item буде

' or [somethig] or ''!='

то результучий XPath буде

/rss/channel/item[guid='' or [somethig] or ''!='']/title

Тепер питання що з цим можна робити. Для Denial-of-service (DoS) атаки нам потрібно що сервер максимально довго міркував. Так? Так. Якщо б це був Regex я б вже знав що робити ;). Але це не Regex, отже потрібно пошукати.

Одразу ж знайшлась цікава лінка - http://amachang.art-code.org/xpathperformance/ – таблиця де зібрані варіанти XPath та час виконання. Воно не про .Net але мені цього більш аніж достатньо.

Результати тесту для невеличкого фіда скачаного з головної сторінки dev.net.ua.

Значення item	Ticks	Коментар
434e5f47-9beb-46b7-aee2-adf5f643f7c6:6644	9765	Це в нормальному плині
' or .//*[@isPermaLink < 6 and @isPermaLink > 2] or ''!='	29295	Це перша спроба, не такий вже і великий розбіг. Зараз коли пишу схоже and потрібно було замінити на or
' or .//*[preceding::div] or ''!='	1230390	О! Це вже значно краще
' or .//[preceding::div] or .//[preceding::div2] or .//[preceding::div3] or .//[preceding::div4] or .//[preceding::div5] or .//[preceding::div6] or .//[preceding::div7] or .//[preceding::div8] or .//[preceding::div9] or .//[preceding::div10] or .//[preceding::div11] or .//[preceding::div12] or .//*[preceding::div13] or ''!='	12323430	А це ще краще! Це вже може бути 1 секунда!
' or .//*[preceding::div or preceding::div2] or ''!='	2675610	Це просто більш компактна форма, а то може так статися що адресного рядка не вистачить ;)

1 секунда чистого серверного часу на невеличкому фіді! Декілька компів, більший фід, і DoS атака вдалась! Отож і воно. Ніколи, ніколи не можна недооцінювати те що можуть зробити юзери!

Як зарадити? Як використовувати? Інші питання? Поради мені? Буду радий почути. Коментарі до ваших послуг!

Код який використовувася для перевірки.

using (Stream stream = File.OpenRead(@"D:\Public\Downloads\dev_net_ua.xml")) { XmlDocument document = new XmlDocument(); document.Load(stream); XPathNavigator navigator = document.CreateNavigator(); // XPATH execution statistics taken from // http://amachang.art-code.org/xpathperformance/ //const string item = "434e5f47-9beb-46b7-aee2-adf5f643f7c6:6644"; //9765 //const string item = "' or .//*[preceding::div] or ''!='"; // 1230390 //const string item = "' or .//*[@isPermaLink < 6 and @isPermaLink > 2] or ''!='"; // 29295 //const string item = "' or .//*[preceding::div] or .//*[preceding::div2] or .//*[preceding::div3] or .//*[preceding::div4] or .//*[preceding::div5] or .//*[preceding::div6] or .//*[preceding::div7] or .//*[preceding::div8] or .//*[preceding::div9] or .//*[preceding::div10] or .//*[preceding::div11] or .//*[preceding::div12] or .//*[preceding::div13] or ''!='"; // 12323430 const string item = "' or .//*[preceding::div or preceding::div2] or ''!='"; // 2675610 string result = String.Empty; DateTime startTime = DateTime.UtcNow; XPathNodeIterator nodes = navigator.Select(string.Format("/rss/channel/item[guid='{0}']/title", item)); while (nodes.MoveNext()) { result += " :: " + nodes.Current.Value; } DateTime endTime = DateTime.UtcNow; Console.WriteLine(endTime.Subtract(startTime).Ticks); }

Додатково. Ця проблема не нова, так само як і SQL Injection ця проблема називається XPath Injection, пошук дає десятки результатів.

Architects in Ukraine – Ще один code review…

2008-08-13T15:06:00Z

Inspired by - Architects in Ukraine - code review, та

Разработка велась с использованием передовых технологий и продуктов.

Вы можете их использовать для построения подобных решений.

Предложения, замечания, отзывы с удовольствием принимаются

з поста Architects in Ukraine.

Ось учора ввечері вирішив подивитись…

Спочатку я почав робити повноцінний код-ревью. Але швидко цю ідею кинув. Тому краще напишу список найкритичнішого.

Сайт має діри для Дефейса, ДОС атаки

Перше це закачування RSS фіда, в якому адреса задається за допомогою параметрів адресного рядка.

string feed = Request.QueryString["feed"]; itemDataSource.DataFile = feed;

Друге це парсінг HTML

new Regex("<img.*?src.*?=.*?\"(.*?)\"", RegexOptions.IgnoreCase)

та

<img id="FeaturedSpace1" src="<%# HtmlProcessor.ExtractImageUrl(XPath("description").ToString()) %>"

Такий код дозволяє активний контент затягувати в браузер від імені користувача.

Далі ще краще

public static string RemoveTags(string html) { Regex regex = new Regex("\\<.*?\\>"); string s = regex.Replace(html, ""); return s; }

А тепер перевіримо такий ШТМЛ…

[SCRIPT SRC=http://ha.ckers.org/xss.js ][/SCRIPT]

Символ "[" потрібно замінити на "<". SRC повинно бути на новому рядку.

Читаємо http://ha.ckers.org/xss.html, найцікавіший ресурс для розробників усіляких HtmlProcessor-ів.

А ще

string.Format("/rss/channel/item[guid='{0}']", item);

для тих кому ліньки лізти в код item з QueryString, не знаю навіщо це може знадобитися, адже є більші діри.

NullReferenceException

string feed = Request.QueryString["feed"]; if (feed.StartsWith("http://") || feed.StartsWith("https://"))

ще

_calendar = appSettings["calendar"]

Хлопці! Я навіть не знаю яка тулза (Фотошоп мабуть) не перевіряє на можливі нулли…

Інші проблеми..

Починав писати розгорнуті відповіді по іншим проблемам, не буду. Ось просто список.

Ім’я Helpers - Dont Name Classes Object Manager Handler Or Data;
XmlDataSource у той час коли є System.Web.Syndication;
ViewState для зберігання параметрів відображення, це я про Calendar;
Оверрайди ідентифікаторів, теж про Calendar;
Прямі посилання на CSS, хоча э вбудовані Asp.Net Themes;
Не дуже зрозуміле використання CSS, наприклад <body class="NewsStoryBody">;
.Net 2.0. Що ви там казали про “передовые технологии”?
Проблеми зі звичайнісіньким ООП;
Повне ігнорування автоматичного тестування, система розроблена так що навіть коли хтось схоче писати тести, то потрібно буде рефакторити майже все;
Тощо;

Висновок

А що робити висновки? Просто хотілось би вірити що я хоча б в чомусь помиляюсь, а експерти зможуть пояснити.

Покриття тестами для усіляких там ArgumentException-ів

2008-08-11T17:05:41Z

Як на мене, безглуздо перевіряти код який перевіряє аргументи, адже цей тип помилок набагато легше оптимати за допомогою FxCop чи чогось іншого, дотого ж цілком автоматично. Отже залишається багато коду на кшталт цього:

public override IEnumerable<ConnectionRecord> Query(ConnectionQueryContext context) { if (context == null) { throw new ArgumentNullException("context"); } // Real code goes here! }

Але іноді дуже вже хочеться 100% покриття, не заради якості коду(покриття і якість аж ніяк не зв’язані), а просто заради 100% ;).

Тільки вчора спало на думку, що це дуже легко вирішити:

public override IEnumerable<ConnectionRecord> Query(ConnectionQueryContext context) { ArgumentUtilities.EnsureArgumentNotNull(context, "context"); // Real code goes here! }

Навіть без Pex обійшлись…