Tárgyszó szerinti listázás: Security

Strong name mások szerelvényéhez

Balássy György (MS RD, ASP.NET MVP, MCTS) A minap az egyik projektünkben Excel 2003 kimenetet kellett gyártani, amihez az ExcelLibrary-t használtam. Ez egy olyan szabadon felhasználó osztálykönyvtár, amit épp DLL formában könnyű letölteni. Mikor azonban a saját forráskódunkba akartam beépíteni, az alábbi hibaüzenet fogadott. Tovább »

2011.06.07. | Permalink | Hozzászólások: 0 | Tárgyszavak: , , , ,

IIS ApplicationPoolIdentity beengedése az SQL Serverbe

Balássy György (MS RD, ASP.NET MVP, MCTS) Ha egy webhelyet az IIS-ben az ApplicationPoolIdentity nevében futtatunk és a webhely mögött Windows integrált hitelesítéssel működő SQL Server áll, akkor ezt a virtuális fiókot kell beengednünk az SQL Serverbe. Tovább »

2011.02.05. | Permalink | Hozzászólások: 0 | Tárgyszavak: , , ,

Webszolgáltatás hívás kimenő IP címének beállítása

Balássy György (MS RD, ASP.NET MVP, MCTS) Ma egy olyan webszolgáltatást kellett meghívnom, ami előtt egy tűzfal csak bizonyos IP című kliensekről engedélyezi a hozzáférést. Ez normális esetben nem is szokott gondot okozni, most is megbeszéltem az ottani rendszergazdákkal, hogy milyen IP címről akarom küldeni a kérést, és ők készségesen lyukat ütöttek a tűzfalba. A nehezítést az jelentette, hogy a hívó épp egy szerver, aminek több IP címe van, és persze alapból nem arról ment ki a kérés, ahonnan én akartam. A kérdés tehát, hogy hogyan lehet megadni egy webszolgáltatás hívásnál a hívó IP címét? Tovább »

2011.01.06. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Kritikus 0day ASP.NET sebezhetőség és gyors védekezés

Balássy György (MS RD, ASP.NET MVP, MCTS) Ahogy korábban már írtam róla, két hacker elég komoly hibát fedezett fel, amely az ASP.NET-es alkalmazások által használt titkosítást érinti. Sajnos a sebezhetőség részleteit csak pénteken hozták nyilvánosságra, ráadásul egy kész eszközt is közreadtak a kihasználására, sőt előtte a Microsofttal sem közölték a pontos módszert, így most a rossz fiúknak két teljes napjuk van, mielőtt a legtöbb webhely gazdája észbe kap (micsoda “véletlen” időzítés). Fontos, hogy a hiba alapvetően az összes ASP.NET-es webhelyet érinti, legyen az egyedi fejlesztésű, vagy kész rendszer, DotNetNuke vagy SharePoint ugyanúgy borulhat. Az üzemeltetőknek gyorsan kell lépniük! Tovább »

2010.09.18. | Permalink | Hozzászólások: 0 | Tárgyszavak: , , ,

Futtatási jog XML generálás Database projekthez

Dávid Zoltán Ha Visual Studioban Database projektet használsz az alkalmazásod adatbázisának felépítéséhez, akkor ott XML-ben kell megadnod, hogy deploy-kor mely tárolteljárásokat ki futtathasson. Valahogy így. Tovább »

2010.07.28. | Permalink | Hozzászólások: 0 | Tárgyszavak: , , ,

Csiripelő alkalmazás

Balássy György (MS RD, ASP.NET MVP, MCTS) A Twitter, a Messenger és a vuvuzela számomra egy kategória: mások által érthetetlen okokból imádott zajkeltő eszközök. Most az egyik projektünkben mégis azt kellett megoldanunk, hogy az alkalmazás időnként csiripeljen egyet a Twitteren. Tovább »

2010.06.24. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Managed Service Account vs. SQL Server

Balássy György (MS RD, ASP.NET MVP, MCTS) A Windows Server 2008 újdonságai közül az egyik kedvencem a Managed Service Accountok és a Virtual Accountok megjelenése. Persze ez nem egy látványos újdonság, talán ezért is nem szerepel óriási betűkkel kiemelve a What’s new oldalon, pedig üzemeltetők számára igen-igen hasznos. Persze csak azoknak, akik nem minden szolgáltatás Local System felhasználóval futtatnak. Tovább »

2010.05.31. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Facebook Like button XSS

Balássy György (MS RD, ASP.NET MVP, MCTS) A Facebook Like gombjának egy csomó előnye van. Az egyik például az, hogy mivel előbb-utóbb ott lesz minden weboldalon, ha esetleg valamilyen security bug van benne, akkor az szinte a teljes internetet érinteni fogja. Mint ahogyan érinti is. Tovább »

2010.05.21. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Ethical Hacking ASP.NET

Balássy György (MS RD, ASP.NET MVP, MCTS) Csütörtökön lezajlott a harmadik Ethical Hacking konferencia, ám az első, amin volt .NET-es téma is. Íme egy rövid összefoglaló arról, hogy hány sebből vérzik az ASP.NET. Tovább »

2010.05.02. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

SharePoint Anonymous Access - képekben

Dávid Zoltán Ha publikusan elérhetővé szeretnél tenni egy SharePoint site-ot, akkor technikailag három dolgot kell tenned. Tovább »

2010.02.13. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

SQL admin felvétele utólag

Balássy György (MS RD, ASP.NET MVP, MCTS) Az SQL Server 2008 telepítője rákérdez, hogy mely felhasználóknak szeretnénk az adatbázis kiszolgálóban sysadmin jogokat adni. Ha a telepítés során ezen a képernyőn egy lezser Next-tel átsiklunk, akkor hiába fog elindulni a szolgáltatás, hiába lesz hozzá SQL Server Management Studionk, nem fogunk tudni kapcsolódni hozzá. Szerencsére van hátsó ajtó! Tovább »

2009.12.29. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Bejövő kérések szűrése IIS 7 alatt

Balássy György (MS RD, ASP.NET MVP, MCTS) Az IIS 6-ban az URL Scan bővítmény számos alkalmazást megcélzó buffer overrun jellegű támadás ellen nyújtott védelmet, melyek az URL-ek vagy az URL paraméterek (query string) hibás feldolgozását használták ki. Az IIS 7-ben a továbbfejlesztett, alapértelmezés szerint beépített és működő Request Filtering modul látja el ugyanezt a feladatot. Az IIS 7 Request Filtering modulja lehetővé teszi a beérkező kérésekre vonatkozóan bizonyos kényszerek meghatározását, amelyek segítségével megvédhetjük alkalmazásainkat a kérés rossz szándékú formázásával elért néhány tipikus támadási formától. Tovább »

2009.08.30. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Képregény a SmartScreen filterről

Balássy György (MS RD, ASP.NET MVP, MCTS) Még régebben futottam bele az alábbi oldalba, elég tanulságos volt. Hány embert ismertek, aki azonnal bedőlne neki és nincs olyan szoftver vagy beállítás a gépén, ami megvédené? Tovább »

2009.08.13. | Permalink | Hozzászólások: 0 | Tárgyszavak:

Melyik oldal jön be bejelentkezés után?

Balássy György (MS RD, ASP.NET MVP, MCTS) Az ASP.NET Login vezérlőnek van egy DestinationPageUrl tulajdonsága, amellyel megadhatjuk annak az oldalnak a címét, ahova sikeres bejelentkezés után a vezérlő továbbdob. Ez szép is lenne, már ha működne. Tovább »

2009.07.27. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

HTTPS, csak ha szeretnéd

Dávid Zoltán Belépéshez kellett, de végül általánosan is felmerült: Hogyan lehet egy pillanatnyilag HTTP-n keresztül nézett oldalról HTTPS-en felküldeni az adatot (postbackelni). Úgy döntöttem, hogy az inkriminált gomb PostbackUrl-jét fogom HTTPS sémájúra átírni. Tovább »

2009.07.09. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

SSL használata IIS 7 alatt

Balássy György (MS RD, ASP.NET MVP, MCTS) Alapértelmezés szerint a kliens és a webszerver közötti kommunikáció titkosítatlanul történik, amely lehetővé teszi az átküldött adatok lehallgatását. Ez különösen akkor kellemetlen, ha a böngésző és a webkiszolgáló között érzékeny adatok utaznak, például egy kitöltött űrlap adatai, felhasználónevek és jelszavak vagy éppen egy hitelesítéshez használt cookie, ugyanis egy támadó eltulajdoníthatja vagy felhasználhatja ezeket az információkat a kliens megszemélyesítésére vagy egy visszajátszásos támadásra. A megoldás a kommunikációs csatorna titkosítása, amely a Secure Sockets Layer (SSL) protokoll segítségével történhet. Tovább »

2009.05.18. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Hitelesítés és hozzáférés szabályozás az IIS 7-ben

Balássy György (MS RD, ASP.NET MVP, MCTS) Az Internet Information Services 7 számos újdonságot hordoz a hitelesítés (authentication) és a hozzáférés szabályozás (authorization) területén, melyek nagyban megkönnyítik a webkiszolgálót üzemeltető rendszergazdák életét. Tovább »

2009.04.18. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Lockdown Policy Prevents This Request

Balássy György (MS RD, ASP.NET MVP, MCTS) Az egyik webalkalmazásunkkal kapcsolatban több megkeresés érkezett, hogy a felhasználókat nagyon zavarja a sok tanúsítvány figyelmeztetés, ezért jó lenne a Root CA tanúsítványát közvetlenül letölthetővé tenni a bejelentkező oldalról. Fogtam hát a tanúsítványkiadó tanúsítványát .cer formátumban, felmásoltam a webszerverre, majd kissé meglepődve bámultam a böngészőben megjelenő 404 – Not Found hibaüzenetet. Tovább »

2009.03.12. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

IdentityNotMappedException

Balássy György (MS RD, ASP.NET MVP, MCTS) Nem először sikerül belefutnom az alábbi kivételbe, szinte mindig valamilyen egyedi telepítő futtatása közben: “System.Security.Principal.IdentityNotMappedException: Nem lehet lefordítani néhány azonosítási hivatkozást, illetve egyet sem.” Na kösz, és ez mit jelent? Tovább »

2009.03.09. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Felhasználó utánzatok

Balássy György (MS RD, ASP.NET MVP, MCTS) ASP.NET-es fejlesztés közben gyakran előfordul, hogy egy olyan funkciót kell megvalósítanunk, amely felhasználói fiókhoz vagy szerepkörhöz kötött, de még nincs kész a projektünkben a regisztráció vagy a bejelentkezés oldal.Ilyenkor az egyik lehetőség a felhasználói adatbázis gyors összekattintgatása, de ha ezt nem tehetjük meg, akkor nincs más megoldás, mint saját Memebership- és Role providerek készítése, amelyek ugyanúgy bejelentkeztetik a felhasználót, de nem igényelnek adatbázist. Ez egyszerűbb, mint azt első hallásra gondolnánk. Tovább »

2009.03.02. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

CryptographicException: Keyset does not exist

Balássy György (MS RD, ASP.NET MVP, MCTS) Korábban CardSpace használatakor futottam bele a fenti hibaüzenetbe, most egy IIS-ben hosztolt WCF szolgáltatás készítésekor jött elő. Elvesztettem volna a kulcsaimat? A problémát az okozza, hogy a web.config fájlban szerepel egy tanúsítvány hivatkozás a <serviceCertificate> ágban, de az IIS worker process felhasználói fiókjának, alapértelmezés szerint a Network Service fióknak, nincs joga hozzáférni a tanúsítványhoz. De hogy adok egy tanúsítványra olvasási jogot? Tovább »

2009.02.20. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

System Center Remote Hacking Edition

Balássy György (MS RD, ASP.NET MVP, MCTS) A tegnapi System Center konferencia után jutott eszembe, hogy van egy csuda egyszerű módja annak, hogy az ember távoli rendszerfelügyeleti szoftverre tegyen szert, ráadásul teljesen ingyen! Sőt, a szoftverhez még egy távoli rendszergazda is jár, ő is szinte ingyen! Mindössze egy egyszerű weblapot kell készítenünk. Tovább »

2009.01.21. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Barátságos HTTPS átirányítás

Balássy György (MS RD, ASP.NET MVP, MCTS) Gyakori üzemeltetői feladat, hogy egy oldalt csak biztonságos HTTPS csatornán keresztül szeretnénk elérhetővé tenni. Sajnos nem minden üzemeltetőnek tűnik fel, hogy az is a feladat része, hogy az apró “s” betűt be nem gépelő felhasználókat barátságosan átirányítsuk a biztonságos címre: tegye fel a kezét, aki még nem látott 403.4 Forbidden: SSL is required to view this resource hibaüzenetet. Na ugye. Mennyivel szebb lenne, ha az alapértelmezett hibaüzenet helyett eljuttatnánk a felhasználót oda, ahova indult, csak éppen nem HTTP-n, hanem HTTPS-en keresztül. Tovább »

2009.01.19. | Permalink | Hozzászólások: 0 | Tárgyszavak: , , ,

Tipikus ASP.NET hozzáférési szintek

Dávid Zoltán Az ASP.NET-es erőforrások (például aspx oldalak) a kezdetek óta védhetőek web.config-ban elhelyezett deklaratív bejegyzésekkel. Az IIS7 megjelenése óta az ilyen jellegű deklaratív védelem minden webes erőforrásnak (például PNG állományoknak) is alapértelmezetten kijár. Tovább »

2008.12.15. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Request filteringgel a gonosz ellen

Balássy György (MS RD, ASP.NET MVP, MCTS) Az MSDN Kompetencia Központ honlapján megszaporodtak az olyan rossz indulatú webes kérések, amit szemmel láthatóan robotok küldenek, próbálva felderíteni a webhely által használt technológiákat, hogy kihasználhassák azok sebezhetőségeit. Itt az ideje, hogy megszabaduljunk tőlük. Tovább »

2008.12.10. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Microsoft Security Intelligence Report 1H08

Balássy György (MS RD, ASP.NET MVP, MCTS) Megjelent a Microsoft Security Intelligence Report ötödik kötete, amely a 2008. január és június között gyűjtött adatokat összesíti és elemzi. Nem különösebben szórakoztató olvasmány, de van benne néhány érdekesebb fejezet. Tovább »

2008.11.17. | Permalink | Hozzászólások: 0 | Tárgyszavak:

ASP.NET Menu és a kifele mutató linkek

Dávid Zoltán ASP.NET-ben a Menu vezérlő szuperül használható a weboldal menüjének megjelenítésére. Adatait tudja például SiteMap állományokból venni, iránya mélysége beállítható. Sőt ha bekapcsolod a securityTrimminget, akkor nem mutatja meg azokat a menüpontokat, melyek mögött található oldalakat nincs jogod megnézni. A pontos működési mechanizmusáról már volt szó korábban is. Tovább »

2008.11.17. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Mappa jogosultságok klónozása

Balássy György (MS RD, ASP.NET MVP, MCTS) Mindannyian számtalanszor hallottuk vagy olvastuk már, hogy a beállításokat, adatokat, naplófájlokat tartalmazó mappákat érdemes elmozgatni az alapértelmezett helyükről és célszerű áttenni őket másik partícióra. Ha a mappa létrehozása és az átirányítás beállítása után Access Denied hibaüzenetet kapunk, két lehetőségünk van: vagy kitaláljuk, hogy milyen ACL-eket kellene beállítani a mappára, vagy klónozzuk az egész hozzáférés szabályozási listát egy másik mappáról. Ez utóbbi sem megy mindig simán. Tovább »

2008.10.27. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Jogosultság-szabályozás SQL Server Analysis Servicesben - screencast

Balássy György (MS RD, ASP.NET MVP, MCTS) Azt vettem észre, hogy az SQL Server relációs adatmotorját ismerő és használó fejlesztők és üzemeltetők közül sokan fenntartásokkal kezelik az SQL Server Analysis Servicest. Pedig a termék jó, fejlesztők nagyon gyorsan összekattintgathatnak vele üzleti intelligencia megoldásokat és üzemeltetői szemmel sem egy kimondottan bonyolult termék. Kedvcsinálóként screencast sorozatot indítunk az SSAS-ről. Tovább »

2008.10.21. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

Zermatt

Balássy György (MS RD, ASP.NET MVP, MCTS) Zermatt egy kisváros Svájc déli részén, mindössze tíz kilométerre az olasz határtól. A kb. 5500 fős település zsákfalu, 1620 méteres tengerszint feletti magasságban egy völgy végében, egy gleccser közelében fekszik. Érdekesség, hogy a tiszta levegő megóvása érdekében belső égésű motorokkal hajtott autók nem hajthatnak be a városba. Síparadicsom, csendes kisváros gyönyörű környezetben. Mi vezette a Microsoft fejlesztőit arra, hogy épp ezt a várost válasszák egy fejlesztői keretrendszer kódnevévé? Tovább »

2008.07.14. | Permalink | Hozzászólások: 0 | Tárgyszavak: , , , , ,

Hullanak az IIS-ek

Balássy György (MS RD, ASP.NET MVP, MCTS) Az utóbbi időben egyre több olyan hír jelent meg a világhálón, amelyek szerint durva hiba lehet a Windows-ban, az IIS-ben vagy az SQL Serverben, mert sorra hullanak azok a szerverek, melyek ezeket használják. Április 17-én a Microsoft kiadott egy Security Advisory-t (951306), amely azonban nem írt arról, hogy pontosan mi a hiba oka, csak azt tette egyértelművé, hogy nincs patch, mi javítaná. Tovább »

2008.04.30. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

MOSS 2007 és least privilege

Balássy György (MS RD, ASP.NET MVP, MCTS) A least privilege azon elvek közé tartozik, melyek követése nem egyszerű, különösen eleinte okoz némi fáradtságot, de hosszú távon biztosan megéri. Aki esetleg nem ismerné, annak röviden: ne légy admin, csak baj lehet belőle! Tökéletesen lehet levelezni, netezni, fejleszteni, debuggolni, doksit írni, olvasni, telefont szinkronizálni, CD-t írni - szinte mindent, mezei felhasználóként. Igaz, telepítéshez, üzemeltetéshez, driver debuggolásához néha elengedhetetlen, na de ki az, aki mást sem csinál, csak drivert ír és telepítget a gépén? Tovább »

2008.03.12. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

Office 2007 SP1 slipstreaming

Balássy György (MS RD, ASP.NET MVP, MCTS) Közel egy évvel az Office 2007 RTM után végre megjelent hozzá az első javítócsomag. Nem mondom, hogy az Office 2007 annyira használhatatlan lenne RTM formájában, mint a Vista, de azért erre is ráfért végre a service pack. Tovább »

2007.12.17. | Permalink | Hozzászólások: 0 | Tárgyszavak: ,

VS05-08 migráció: miért nem megy a virtualizáció?

Balássy György (MS RD, ASP.NET MVP, MCTS) Érdekes jelenség: van egy kódrészletem, ami tökéletesen megy, ha Visual Studio 2005 alatt létrehozott projektbe teszem bele, ám elszáll, ha Visual Studio 2008 alól próbálom használni. A kód a Program Files mappába próbál írni, így valahogy. Tovább »

2007.12.08. | Permalink | Hozzászólások: 0 | Tárgyszavak: , ,

A .NET Framework leghasználhatatlanabb osztálya

Balássy György (MS RD, ASP.NET MVP, MCTS) Ezennel szavazást indítok A .NET Framework leghasználhatatlanabb osztálya megtisztelő cím elnyerésére. A jelölteket a cikkhez kapcsolódó hozzászólások formájában tudjátok beküldeni. Tovább »

2007.12.06. | Permalink | Hozzászólások: 2 | Tárgyszavak: ,

CD írás távolról

Balássy György (MS RD, ASP.NET MVP, MCTS) Délután úgy hagytam ott a tanszéki gépemet, hogy még egy VPC image-et tömörített, betettem egy üres lemezt az íróba, gondoltam mire hazaérek kész lesz és majd otthonról elindítom a DVD írást. Csak hogy miután remote desktoppal beléptem és elindítottam a Nerot, ezzel a barátságos hibaüzenettel fogadott. Tovább »

2007.10.30. | Permalink | Hozzászólások: 1 | Tárgyszavak: ,