blogs.ASPItalia.com

Heartbleed Bug, OpenSSL, IIS e .NET Framework

Daniele Bochicchio — Wed, 09 Apr 2014 16:51:42 GMT

L'Heartbleed Bug � una vulnerabilit� nella popolare libreria OpenSSL. Ha causato parecchio panico in giro: il bug � stato corretto, ma � necessario aggiornare le applicazioni che hanno un riferimento ad una vecchia versione della libreria, altrimenti � possibile bypassare la crittografia.

IIS e il .NET Framework non ne fanno uso, perch� Microsoft ha sviluppato una propria libreria (SChannel) per queste necessit�, che usa fin dalle prime versioni di entrambi. Se quindi usate ASP.NET con IIS, siete al sicuro.

Questo discorso ovviamente non include il caso in cui abbiate un qualche reverse-proxy/load balancer/altro pezzo davanti ad IIS, che gestisce l'SSL per voi. In questo caso occorre che verifichiate se ci sono aggiornamenti per il vostro sistema (se usa OpenSSL, ce ne sonos sicuramente, perch� la vulnerabilit� � seria).

Infine, un chiarimento: non � SSL ad essere insicuro, ma il modo in cui � stato scritto un pezzo dell'implementazione di OpenSSL. Insomma, � un "semplice" errore di programmazione.

Continua a leggere Heartbleed Bug, OpenSSL, IIS e .NET Framework.

AppFabric Caching, SQL Server e cache in throttling

Daniele Bochicchio — Tue, 17 Jan 2012 07:54:00 GMT

Se avete AppFabric Caching su un server dove c'� anche SQL Server, occhio che c'� un caso particolare da tenere presente, che inficia le performance e blocca, di fatto, l'efficacia di AppFabric Caching.

Come gi� probabilmente saprete, di default SQL Server prende tutta la RAM che trova. Questo vuol dire che, non importa quanta ne avete, prima o poi arriver� a lasciarne pochissima disponibile. A quel punto, AppFabric inizier� ad andare in throttling, dandovi eccezioni di tipo DataCacheException, quando provate ad inserire elementi all'interno della cache. Se fate il purge della cache, poi, smetter� del tutto di inserire elementi all'interno, perch� � gi� andato in questo stato. Quelli che sono all'interno continuano ad essere serviti, ma, di fatto, il MissCount aumenter�.

Il sistema pi� rapido per capire se il servizio � in throttling � quello di lanciare il comando Get-CacheClusterHealth da PowerShell.

Su un sistema dove tutto va bene (la mia macchina di test) avrete un risultato come questo:

Ovviamente se qualcosa non dovesse andare, noterete nella schermata i nodi del cluster in throttling. Se � una configurazione single-server, troverete 100,00 (� la percentuale).

Il sistema pi� rapido in questi casi � quello di limitare la RAM occupata da SQL Server, perch� AppFabric Caching va in throttling se la RAM disponibile � minore del 5%.

Se notate che qualcosa non va in fase di inserimento, molto probabilmente la causa � questa ed il consiglio � quello di dare un'occhiata ai logs per vedere se ci sono errori e, attraverso PowerShell, verificare che non ci siano problemi, aiutandovi con i comandi specifici (Get-CacheClusterHealth e Get-CacheStatistics).

Continua a leggere AppFabric Caching, SQL Server e cache in throttling.

Il concetto di consumo in Windows Azure

Daniele Bochicchio — Sat, 06 Feb 2010 14:33:47 GMT

In questo periodo stiamo valutando con diversi clienti, per applicazioni di tipo etorogeneo, quello che Windows Azure pu� offrire, che poi � essenzialmente scalabilit� e bassi costi di startup (0, a dire il vero). Il nostro speciale di questo mese ha evidentemente solleticato :)

Comunque, la domanda principale che viene fuori nelle discussioni � quella che riguarda il funzionamento del consumo (e della fatturazione) delle varie componenti. In questo, devo dire, il sito non � chiarissimo a prima vista.

Ad ogni modo, il concetto di affitto di una casa � perfettamente calzante. Se affitto una casa, infatti, pago anche per il tempo che non ci sono fisicamente dentro (come quello in cui sono al lavoro), per la corrente ed il riscaldamento, e cos� via.

Con Windows Azure il concetto � identico: pago il tempo che la mia VM (o qualsiasi altra cosa) � in deploy, cio� consuma spazio e risorse. Questo vale anche se in quel momento � sospesa (o in staging). Da questo punto di vista, quindi, se non dovete fare l'hosting diretto delle applicazioni (ma il solo sviluppo) l'ambiente locale di testing va benissimo, visto che tra l'altro � l'unico a darvi il debug integrato.

Sul concetto di affittare una casa credo che concordiamo tutti: anche se la prendo per farci i week-end, infatti, durante la settimana non potr� essere utilizzata da altre persone, quindi le risorse sono comunque allocate e pronte per me. E quindi pago anche quel tempo.

Alcuni spunti interessanti, dal mio punto di vista:

il costo di fatturazione minimo � di un'ora, quindi ogni deploy consuma quanto meno un'ora;
se aumentate il numero di istanze, aumentate il conto finale;
l'unico modo per non pagare � non avere app in deploy.

Ricapitolando: potete vedere il vostro "conto" dal portale specifico e prestate attenzione al fatto che al momento il report si aggiorna ogni 12 ore, quindi se avete soglie di traffico/uso gratuito (come con abbonamenti MSDN) potreste gi� aver sforato, accorgendovene dopo 12 ore.

L'unico modo per tenere immacolata la vostra carta di credito a fine mese � non occupare risorse. Tenetelo a mente. :)

Per calcolare il TCO ed il ROI, potete usare questo tool.

Continua a leggere Il concetto di consumo in Windows Azure.

Vulnerabilità per IIS 6.0 e punti e virgola

Daniele Bochicchio — Wed, 30 Dec 2009 18:37:27 GMT

Durante le vacanze di Natale � stata riportata una vulnerabilit� per IIS 6.0 (Windows Server 2003), per cui se mettete un ; in mezzo ad un path, per come IIS gestisce l'accesso al disco, viene invocato l'handler sbagliato. Supponiamo di richiamare

http://www.miosito.local/pagina.aspx;test.jpg

Se avessimo uploadato un file con questo nome nella directory, verrebbe eseguire come se si trattasse di una pagina ASP.NET.

In realt� ci sono un po' di considerazioni che mitigano il problema, tutte riportate qui.

IIS 7.0 e 7.5 (Windows Server 2008 e 2008 R2) ne sono immuni.

Continua a leggere Vulnerabilità per IIS 6.0 e punti e virgola.

Warm-up dell'applicazione con IIS 7.5

Daniele Bochicchio — Thu, 15 Oct 2009 07:44:40 GMT

IIS 7.5 � incluso in Windows 7 e Windows Server 2008 R2 ed � una evoluzione di IIS 7.0, che invece � disponibile su Windows Server 2008 e Windows Vista.

IIS � essenzialmente un web server, quindi � soggetto alla richiesta di risorse da parte dei client, per far partire l'applicazione che contiene. E' certamente possibile evitare di far riciclare il worker process se la nostra applicazione richiede di essere sempre pronta e disponbile, ma se c'� una fase di caricamento alla prima richiesta che � un po' pi� lungo del solito, l'effetto � che chi arriva per primo, dopo l'avvio dell'app pool, pu� rischiare di aspettare troppo.

In questi scenari il warm-up dell'applicazione consente di fare in modo che all'avvio del processo corrispondente al sito in questo (in realt�, alla singola applicazione) possa essere associato del codice. Attraverso questo add-on la cosa � possibile oggi, in maniera indipendente dalla tecnologia utilizzata. Questo add-on infatti consente di scegliere una pagina da invocare durante il warm-up, come specificato qui.

Con ASP.NET 4.0, invece, c'� una specifica funzionalit� che si basa su un evento dell'applicazione ed un'interfaccia da implementare, che consente di fare qualcosa di pi� raffinato.

In entrambi i casi l'effetto � di quello di far trovare, alla prima richiesta, l'applicazione pronta ed in grado di rispondere al volo.

Questa tecnica � molto comoda in ambienti con load balancing, in quanto consente di notificare il balancer che un certo nodo � pronto quando effettivamente il primo caricamento � gi� stato simulato.

Continua a leggere Warm-up dell'applicazione con IIS 7.5.

IIS 7.0 in Windows Server 2008 R2

Daniele Bochicchio — Mon, 12 Jan 2009 09:16:28 GMT

Insieme alla beta 1 di Windows 7, � stata rilasciata anche la beta 1 di Windows Server 2008 R2, l'aggiornamento atteso per Windows Server 2008.

Dal punto di vista dello sviluppatore, ovviamente IIS resta un punto fondamentale perch� � l'ambiente all'interno del quale vengono fatte girare le applicazioni (web e servizi).

In R2, IIS 7.0 ha diverse cose interessanti, come il supporto nativo per il server FTP e per Powershell, ma soprattutto la possibilit� di usare ASP.NET all'interno di Server Core, quella particolare installazione (minimal) che non include la GUI.

La parte pi� interessante dal mio punto di vista � la possibilit� di fare l'hosting di pi� versioni del CLR (cio� di ASP.NET), caratteristica che sar� aggiunta anche a Windows Server 2008 SP 2 per supportare meglio ASP.NET 4.0, e quella di fare il warm-up di un app pool, cos� da evitare l'attesa tipica della prima richiesta, che in applicazioni complesse pu� essere fastidiosamente lunga.

Ce ne sono tante altre e le trovate tutte elencate in questo post sul blog del team.

Continua a leggere IIS 7.0 in Windows Server 2008 R2.

Usare IIS 7 come reverse proxy

Daniele Bochicchio — Thu, 10 Jul 2008 08:41:00 GMT

E' una delle cose che con IIS 6 non si pu� fare facilmente (bisogna cio� scriversi un bel filtro ISAPI in C++) e che IIS 7.0 ha tra la miriade di estensioni che stanno uscendo.

Il reverse proxy � la possibilit� di "rigirare" le richieste ad un altro application server interno, ad esempio basato su Apache o sempre su IIS, "mappando" la richiesta su un URL diverso.

Il tipico scenario � l'url http://www.miosito.ext/fatture/ che in realt� richiama internamente il nodo http://fatture:8080/, senza che per� effettivamente l'utente se ne accorga. Questo consente di gestire la sicurezza del nodo interno e garantirne l'accesso secondo policy diverse (sempre in ottica di IIS 7, le cose che si possono fare sono davvero tante).

Questa nuova extension, chiamata Application Request Routing, fa il paio con il nuovo Url Rewrite Module�e sono stati rilasciati in CTP da poche settimane. Dategli un'occhiata!

Continua a leggere Usare IIS 7 come reverse proxy.

Il nuovo server FTP di IIS 7.0: S/FTP e autenticazione custom

Daniele Bochicchio — Thu, 27 Sep 2007 08:56:00 GMT

Ieri � stato rilasciata una versione aggiornata, con tanto di GoLive sulla RC0 di Windows Server 2008, del server FTP di IIS 7.0.

Se IIS 7.0 � un gioiellino, il server FTP � una perla di rara bellezza.

Per prima cosa, implementa finalmente il supporto per S/FTP, ideale in tutti quegli scenari in cui si vuole avere la certezza che il traffico non venga intercettato.

In seconda analisi, finalmente supporta�pi��"siti" FTP per server e favorisce l'uso in ambienti condivisi, grazie alla possibilit�, cos� come si fa per il binding HTTP o HTTPs, di aggiungere un binding su FTP direttamente dalle propriet� del sito web. Questo � possibile grazie alla forte componentizzazione di IIS, che non � pi� legato, come nella 6.0, al solo HTTP, in un'ottica WCF-oriented.

Infine, la feature che davvero preferisco: la possibilit� di cambiare i meccanismi di autenticazione, per non utilizzare pi� gli utenti di Windows, ma Membership/Roles API di ASP.NET 2.0/3.5.

Un vero sogno per chi � in situazioni in cui necessita di aprire un elevato numero di account FTP, ognuno con sue prerogative. Un vero sogno per chi offre hosting su piattaforma Windows.

Se tutto procede per bene, a breve (in Svizzera il concetto di breve potrebbe variare in base all'umidit�... :D) dovremo portare ASPItalia.com/WinFXItalia.com e compagnia cantante su IIS 7.0. Non vedo l'ora! :)

Continua a leggere Il nuovo server FTP di IIS 7.0: S/FTP e autenticazione custom.

IIS 7.0 con go-live

Daniele Bochicchio — Fri, 27 Apr 2007 09:49:00 GMT

Nel caso ve lo foste persi, IIS 7.0 � in go-live con l'ultima beta 3 di Windows Server Longhorn. Il che vuol dire, primo tra tutti, Membership API su pagine ASP ;)

In questa community un po' di gente appassionata di IIS c'� (abbiamo anche un MVP, che anche se svizzero comunque ammettiamo alla nostra tavola :D), se volete scopire altre info su IIS 7.0, ci sono un articolo ed un mio webcast a questo indirizzo.

Ed ho solo intenzione di fare una nuova sessione, questa volta pi� "tagliata" ai Community Days 2. Siete avvisati ;)

Continua a leggere IIS 7.0 con go-live.

Il supporto per Classic ASP? Almeno fino al 2017!

Daniele Bochicchio — Wed, 28 Feb 2007 07:51:10 GMT

Visto che l'altro giorno, durante un corso fatto nella fantastica cornice di Segrattle per Microsoft Italia sulla migrazione da ASP ad ASP.NET, per l'ennesima volta mi � stato chiesto, forse vale la pena scriverlo a benficio di tutti.

ASP � supportato pi� che bene con IIS 7.0, d'altra parte l'integrated pipeline vuole dire essenzialmente poter sfruttare pezzi di ASP.NET anche da ASP. Se non ci credete, c'� scritto qui mica per caso :) Essendo in Windows Vista e sopratutto in Windows Server Longhorn/2007/2008 o quello che sar�, ci saranno, garantiti per contratto, 5 anni di supporto normale, il che ci porta al 2012 circa.

A questo poi vanno aggiunti altri 5 anni di supporto extended, a pagamento (ma se si ha ancora nel 2012 un'applicazione critica fatta con Classic ASP, pagare non dovrebbe essere un problema...), che ci portano al fantomatico 2017.

Adesso, arrivare al 2017 con un'applicazione web fatta cos� � una fortuna, non un traguardo :)

Pi� realisticamente, migrare ad ASP.NET � vantaggioso per tantissimi motivi, ma comunque il timore che Microsoft da un momento all'altro tagli via ASP � semplicemente infondato. Capisco che non si pu� mai sapere, ma il dev team sa che ASP ha ancora il suo perch�.

Tra l'altro, appena mi riprendo da questo periodo (e l'imminente MVP Summit a Redmond non aiuter�) ho in programma un po' di post (o un articolo, se mi si moltiplicano le forze) sull'integrazione tra ASP ed ASP.NET a livello di IIS, dalla 6.0 in su.

Perch� se IIS 7.0 ce l'ha integrato come di pi� non � possibile, un pezzetto si pu� gi� usare sotto IIS 6.0 ed ASP.NET 2.0. D'altra parte Windows Vista ha IIS 7.0 ed ASP.NET 2.0... :)

Continua a leggere Il supporto per Classic ASP? Almeno fino al 2017!.

IIS 7.0: questa è la notizia!

Daniele Bochicchio — Thu, 09 Nov 2006 12:10:00 GMT

Per tanti la notizia � avere Windows Vista in RTM, per me invece il bello � che lo � IIS 7.0. Peccato solo che non si sappia ancora bene quando potremo averlo in produzione, ma gi� il solo fatto di poter finalmente sviluppare con siti infiniti, vale eccome la candela ;)

Nei prossimi mesi comunque mi divertir� un sacco, non � che c'� un sacco di roba nuova, di pi�: tra MCE, WPF, WCF, WWF, nei prossimi 3 anni non mi annoier� :D

Continua a leggere IIS 7.0: questa è la notizia!.

CDO, Windows Server 2003 e l'errore "The SendUsing configuration is invalid"

Daniele Bochicchio — Wed, 13 Sep 2006 13:39:00 GMT

Nel fare il fine tuning del nuovo server, ho notato che le vecchie pagine ASP rimaste ancora vive, dedicate per lo pi� a task di amministrazione e di cui non ho voglia in questa fase della mia vita di fare la migrazione (cio�, di riscriverle da zero :D), avevano dei problemi nell'invio di e-mail usando CDO (CDONTS o CDOSys, non fa differenza). Update: in realt� il problema c'� anche con ASP.NET e MailMessage (entrambi), se non si utilizza un server SMTP esplicito, perch� in questo caso viene banalmente fatta l'interop su CDOSys.

Il problema � che, ovviamente, utilizziamo un account custom per IWAM e IUSR, per cui il processo che fa l'hosting del component non � in grado di accedere al metabase, perch� la configurazione di default non lo prevede. Per ovviare al problema, � necessario aggiungere i permessi, in sola lettura, al metabase ed ho trovato molto comoda la soluzione numero 2 di questo articolo della KB, con tanto di VBS associato.

Cos� non � necessario toccare gli script, come negli altri workaround suggeriti. Dovr� ricordarmelo la prossima volta prima di cercare di ricordare quale possa essere stata la causa! :)

Continua a leggere CDO, Windows Server 2003 e l'errore "The SendUsing configuration is invalid".

Novità in IIS 7.0 RC1 (incluso in Windows Vista RC1)

Daniele Bochicchio — Fri, 08 Sep 2006 15:51:00 GMT

Riguardano soprattutto un affinamento dell'interfaccia grafica. Le trovate spiegate da Bill Staples, PM di IIS, nel suo blog.

Dal 20 di questo mese, poi, potrete trovare un mio articolo su IIS 7.0 su IoProgrammo di ottobre. Ce ne sar� un altro, focalizzaato sulla sicurezza, anche sul numero di novembre. Se li leggete, fatemi sapere cosa ne pensate ;)

Continua a leggere Novità in IIS 7.0 RC1 (incluso in Windows Vista RC1).

Se dovete fare hosting su piattaforma Microsoft...

Daniele Bochicchio — Tue, 02 Aug 2005 07:00:00 GMT

Di sicuro vi torneranno utili i tools, whitepaper e script di Microsoft Solution for Windows-based Hosting Version 3.0. Sono riservati a chi partecipa all'hosting program e se fate hosting, anche solo per i vostri clienti, potrete trovarci diverse cose interessanti.

Continua a leggere Se dovete fare hosting su piattaforma Microsoft....

La sicurezza di IIS 6 è un dato di fatto

Daniele Bochicchio — Tue, 21 Jun 2005 08:43:00 GMT

In questo commento al mio ultimo post su IIS7, mi � stato chiesto il link alle statistiche di vulnerabilit� di IIS 6. Ovviamente Marco ci ha tenuto a postare anche quello di Apache 2.0, per fare un confronto.

Nel mondo del software il confronto � spesso, attraverso i benchmark, la chiave per valutare un prodotto rispetto ad un altro. Nel caso del software, nell'ultimo paio di anni, un'altra chiave di valutazione sicuramente importante sono diventati il numero di vulnerabilit� e quindi di patch di sicurezza disponibili.

Nell'ultimo periodo le aziende della Top�Fortune 1000, ovvero le 1000 pi� "ricche" in USA, sembrano aver decisamente scelto IIS 6. Il motivo � che IIS 6 � sicuro, lo dimostrano questi due anni. E soprattutto le statistiche.

Continua a leggere La sicurezza di IIS 6 è un dato di fatto.