Open Microsoft

Microsoft, si sa, non è una azienda che abbia mai brillato per apertura o adesione agli standard. E’ una impresa che ha dominato il mercato per diversi anni prima con IBM e poi con con il cosiddetto “duopolio” Wintel; negli ultimi anni se la sta passando meno bene di una volta, complice l’arrivo sul mercato di piattaforme che ne hanno minato la posizione dominante (Linux, ma soprattutto applicativi chiave come LibreOffice), vecchi nomi che si stanno affermando con crescite a doppia cifra (Apple con Mac), una strategia internet perdente nei confronti di Google e la crescita di prodotti mobili a cui praticamente non ha opposto resistenza (Android, iOS, iPhone e iPad).

Negli ultimi anni, tuttavia, Microsoft ha dimostrato di saper lavorare silenziosamente nella direzione giusta e chi la dava per spacciato si è sbagliato: l’azienda sta uscendo da un periodo buio e non è detto che la sua nuova incarnazione non sia più matura e tutto sommato migliore della precedente.
Da pochi giorni Microsoft ha lanciato i suoi prodotti di wearable technology (tipo Apple Watch o Android Wear ): Microsoft Band ha dalla sua parte il vantaggio di essere multipiattaforma e, diversamente dalla concorrenza, non si pone come obiettivo solo dispositivi Windows Phone, come forse si sarebbe portati a credere, ma è compatibile con Android e iOS alla stessa maniera.

Dal punto di vista tablet, pur essendo arrivata sicuramente tardissimo nell’arena dei gladiatori, dobbiamo ammettere che la terza generazione di Microsoft Surface sia un prodotto maturo dal punto di vista hardware che ha il grosso vantaggio di poter far girare una versione completa di Windows 8: con questo si realizza il sogno di potersi portare il proprio personal computer nel borsello e usarlo ovunque.
Molto utenti ancora non si sono resi conto di questa rivoluzione copernicana: i tablet con Windows sono probabilmente meno veloci e meno sexy di un iPad o di un Galaxy Tab, ma sono 100 volte più versatili. Posso portare con me PhotoShop, o AutoCAD, o CorelDraw o Matlab o qualsiasi versione di un sistema di office automation io voglia, senza necessità di usare versioni ridotte o app con propaggini nel cloud: uso le applicazioni complete come sono abituato a fare dagli anni ’80.

L’interfaccia delle varie incarnazioni di Windows, basata sulle Active Tiles è senza dubbio una rivoluzione rispetto ad altri OS ancora basati su icone statiche: almeno per quanto riguarda telefoni e tablet è probabilmente un punto di forza rispetto alla concorrenza che dispone di una interfaccia magari più “tradizionale”, ma meno versatile.

Detto questo, l’argomento del post è in effetti l’ultima rivoluzione in casa Microsoft, annunciata questa settimana durante l’evento Connect(); riguarda VisualStudio e il .NET Framework.

Leggi tutto “Open Microsoft”

Il bug che non ti aspetti

Per chi lavora in ambito IT è una esperienza comune sentire un utente lamentarsi per un programma che ha un errore e non funziona correttamente.
Per quanto il mondo informativo sia spesso oggetto di scherno, sappiamo che in generale gli applicativi vengono sottoposti a un debug abbastanza attento prima del rilascio e normalmente non contengono errori di grande entità, soprattutto in relazione alla loro complessità. Normalmente si tratta semplicemente di un utente che non ha mai letto il manuale e sta cercando di far fare al software qualche operazione in maniera scorreta.
Tuttavia i bug esistono e se ne trovano anche in software blasonati.

Settimana scorsa stavo scrivendo un frammento di codice che interpreta un feed RSS e crea tanti oggetti quanti sono i posts in modo da poterli manipolare all’interno della mia applicazione. Le proprietà dell’oggetto post nel mio applicativo sono fortemente tipizzate, quindi la classe post contiene una proprietà PubDate che rappresenta un oggetto di tipo DateTime. Dato che la data nel feed è semplicemente una stringa di testo, questa va sottoposta a una operazione di Parsing per essere identificata come una data.

Questo è molto semplice da fare nel .NET Framework: la data nel feed è formattata in quello che è volgarmente definito RFC1123 (che in effetti si basa sullo standard ISO8601) e il framework mette a disposizione la funzione DateTime.Parse che fa tutto il lavoro di conversione dandole semplicemente come input la stringa di testo.

Provo la funzione, tutto bene.
Tutto bene fino a quando il software non arriva a processare la data Sun, 15 Mar 2009 22:02:44 +0000. Leggi tutto “Il bug che non ti aspetti”

ASP.NET: la cosa si fa seria (aggiornamento)

Contrariamente a quanto riportato da Microsoft, sembra che gli attacchi che sfruttano la vulnerabilità di ASP.NET siano non solo fattibili, come mostra il video qui sopra, ma anche in corso.

La situazione sembra seria e chi amministra un sito esposto a Internet basato su ASP.NET dovrebbe al più presto prendere le contromisure consigliate da Microsoft per mitigare il problema.

La vulnerabilità in questione permette, di fatto, di passare attraverso la sicurezza del framework ASP.NET senza blocchi in poche decine di minuti. (via Schneier on Security)

Aggiornamento 28/9/2010 06:15: Microsoft rilascerà oggi un aggiornamento d’emergenza sul Download Center; pare che le contromisure consigliate non siano molto efficaci, quindi l’aggiornamento è d’obbligo.

Aggiornamento 28/9/2010 19:45: la patch è stata rilasciata.

Vulnerabilità di ASP.NET – Aggiornamento

Secondo Microsoft sembrerebbero non esserci ancora stati attacchi basati sulla vulnerabilità di ASP.NET segnalata qualche giorno fa; lo stesso articolo di Microsoft elenca in dettaglio i sistemi coinvolti e propone una modifica alla configurazione che potrebbe mitigare l’impatto del problema.

Anche Scott Guthrie consiglia di modificare i medesimi parametri per ridurre gli effetti del problema e segnala uno script VBS che analizza il server locale e verifica se ci sono applicazioni con la pagina di errore personalizzata. (via SANS)

Vulnerabilità delle applicazioni ASP.NET

LHR BSODThai Duong e Juliano Rizzo, due ricercatori nel campo della sicurezza, hanno messo a punto uno schema di attacco che sfrutta un baco del modo in cui le applicazioni realizzate con la piattaforma ASP.NET di Microsoft trattano i cookie di sessione criptati.

Il problema, che riguarda milioni di applicazioni web che utilizzano quella piattaforma, potrebbe essere molto serio e potrebbe essere utilizzato per impersonare un utente di un sito. Il metodo di attacco verrà illustrato in dettaglio alla ekoparty Security Conference che si tiene questa settimana in Argentina. Leggi tutto “Vulnerabilità delle applicazioni ASP.NET”