blog.atwork.at

news and know-how about microsoft, technology, cloud and more.

Windows Phone Coding4Fun.Phone.Toolkit v1.5.0

Thursday, December 29, 2011 11:30 PM Toni Pohl
Ganz frisch wurde gestern die neue Version des Coding4Fun.Phone.Toolkit v1.5.0 für Windows Phone auf codeplex veröffentlicht. Das Toolkit liefert eine Reihe von nützlichen Controls für Windows Phone Silverlight applications. In der neuen Version sind einige neue Controls hinzugekommen und es wurden einige Bugfixes durchgeführt. Das Toolkit kann nur für die Entwicklung von Phone Apps mit Mango (Version 7.1) verwendet werden. Download von CodePlex: Coding4Fun.Phone.Toolkit v1.5.0 Hier geht es zum Projekt-Home: coding4fun.codeplex.com Alternativ kann das Coding4Fun Phone Toolkit natürlich auch über NuGet geladen werden: PM> Install-Package Coding4Fun.Phone.Controls.Complete Das Toolkit liefert eine Reihe von neuen Controls. Diese können in Visual Studio hinzugefügt werden, es stehen recht viele neue Controls zur Verfügung. Im eigenen Windows Phone Projekt muss nur eine Referenz zu den entsprechenden Assemblies erstellt, z.B. zu Coding4Fun.Phone.Controls.dll. Hier ein Beispiel des neuen MessagePrompts: Viel Spaß beim Ausprobieren!
Mobile | General | Tools | Developer
mehr

Microsoft kündigt Fix für ASP.NET #hashDoS an-Azure wird automatisch gefixt

Thursday, December 29, 2011 3:00 PM Toni Pohl
Wie gestern in "Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS #28C3" gewarnt, besteht bei Webservern (Windows Servern mit IIS) eine Verwundbarkeit gegen "hash collision attacks" #hashDoS. Angreifer können mit speziell präparierten HTTP-Requests eine Hash-Tabelle mit einer großen Zahl von Werten befüllen, deren Keys in demselben Hash-Code aufgelöst werden - damit sinkt die Performance der HashTable auf eine simple Linked List. Das kann bei repetitiven Requests zu einer Überlastung des Webservers führen, sinngemäß so: Betroffen ist auch ASP.NET. Microsoft arbeitet bereits an einem Fix, so schreibt ScottGu in seinem Blog: Ab heute, 29. Dezember, etwa 19h (unsere Zeitzone) wird ein Fix verfügbar sein! ASP.NET Security Update Shipping Thursday, Dec 29th ..."We are releasing the security update via Windows Update and the Windows Server Update Service.  You can also manually download and install it via the Microsoft Download Center. We will release the update on Thursday, December 29th at approximately 10am Pacific Time (US and Canada). We are announcing it ahead of time to ensure that administrators know that the security update is coming, and are prepared to apply it once it is available." Der Fix wird per Windows Update, Windows Server Update Service und im Microsoft Download Center verfügbar sein. Gestern bekannt gegeben - heute gefixt. Wow, das nenn ich wirklich rasch! Achja, betrifft die #hashDoS Verwundbarkeit Windows Azure Kunden? Nein, ScottGu schreibt: "Customers on Azure that have their Hosted Services OS servicing policy set to "Auto" (which is the default) will have their environments automatically updated to include the security update. There is no action required for this." Sehr praktisch, diese Cloud Services... Alle IT-Pros mit eigenen Webservern: Bei Verfügbarkeit Fix einspielen!!
General | Azure | Developer | Security | Windows | Cloud
mehr

Workaround gegen Denial of Service Attacke in ASP.NET #hashDoS

Wednesday, December 28, 2011 6:02 PM Toni Pohl
Achtung Web-Developer und Web-Hoster! Seit kurzem ist eine DoS-Attacke gegen Webserver bekannt, die zur Überlastung von Websites führen kann. Die Verwundbarkeit läuft unter #hashDoS und #28C3, sie führt "hash collision attacks" gegen Websites durch. Wie funktioniert #hashDoS? Technisch gesehen werden durch einen HTTP Request "teure" Hash Table Berechnungen ausgeführt, die - selbst auf sehr leistungsfähigen CPU´s - abertausende Form-Werte berechnen und so zu einer Überlastung = Stillstand des Webservers führen können. Selbst kleine HTTP-Requests können sehr rechenintensiv werden: Die Verwundbarkeit kann von anonymen Angreifern ausgenutzt werden, um in ASP.NET einen speziell präparierten HTTP-Request mit beispielsweise 100kB abzusetzen. Dieser Angriff kann eine CPU zu 100% auslasten und zwischen 90 und 110 Sekunden dauern. Durch mehrfache Wiederholung der Angriffe kann ein Stillstand erzeugt werden. (siehe 3.) CPU-Grafik von 3. Hier liegt die CPU-Last eines 4-Core Servers kontinuierlich bei 25% - nur durch einen WorkerProcess. Weitere Informationen finden Sie in 4. Wen betrifft es? Eigentlich alle Webserver im Internet. Alle Versionen des .NET Frameworks sind verwundbar. (siehe 1.) #hashDoS betrifft nicht nur Microsoft-Technologie (ASP.NET), sondern es sind alle Systeme gefährdet: Java, Python, Ruby 1.8, PHP, etc. Wann sind Windows Server betroffen? Verwundbar sind Windows-Systeme mit IIS-Rolle, wenn ASP.NET Websites mit diesen Content-Types (siehe 2.) verwendet werden: "application/x-www-form-urlencoded" oder "multipart/form-data" Andernfalls droht keine Gefahr durch #hashDoS. Wie können ASP.NET Websites geschützt werden? Eigentlich simpel - durch Limitierung des HTTP-Requests: Hier die Empfehlungen aus TechNet: Wenn Ihre Applikation ViewState verwendet: In web.config die maximale HTTP-Request Größe auf 200KB beschränken: <configuration> <system.web>   <httpRuntime maxRequestLength="200"/> </system.web> </configuration> Wenn kein ViewState verwendet wird: In web.config die maximale HTTP-Request Größe auf 20KB beschränken: <configuration> <system.web>   <httpRuntime maxRequestLength="20"/> </system.web> </configuration> ...abhängig vom Szenario. Nicht vergessen: Eventuelle File Uploads in der App! Die Empfehlung: Wenn Sie befürchten, Ziel eines Angriffs durch #hashDoS zu werden, führen Sie obige Schritte durch. (siehe 3.) Gibt es einen Fix? Ein Fix ist in Arbeit: "Our teams are working around the clock worldwide to develop a security update of appropriate quality to address this issue." (siehe 1.). Auch an Forefront wird gearbeitet. Es werden zwei neue "Rules" hinzugefügt werden, welche den Content Type prüfen und die Anzahl der Form values im HTTP-Request prüfen (> 1000 = Deny): "Microsoft's own Forefront Threat Management Gateway (TMG) will receive an update containing a signature for this issue today. (Vulnerability: Win/ASPNET.POST.DoS!NIS-2011-0001)" (siehe 3.) Hier alle Links mit weiterführenden Informationen gesammelt: Microsoft releases Security Advisory 2659883, offers workaround for industry-wide issue TechNet: Microsoft Security Advisory (2659883) -  Vulnerability in ASP.NET Could Allow Denial of Service More information about the December 2011 ASP.Net vulnerability Eine sehr feine Erklärung liefert Effective DoS attacks against Web Application Plattforms - #hashDoS Allgemein: Microsoft Security Response Center (MSRC) Home
General | Developer | Windows | Microsoft | Security
mehr

Cannot connect to WMI provider error

Tuesday, December 27, 2011 12:15 AM Toni Pohl
Zu den Weihnachtsfeiertage sieht man nichts Böses ahnend per VPN im 350km entfernten Büro nach ... und macht ein paar Server Wartungsarbeiten. Wie Murphy´s Law so treffend formuliert: Wenn etwas schiefgehen kann, dann wird es auch schiefgehen. Ganz nach diesem Motto hat sich einer der Windows Hyper-V Hosts verabschiedet und hängt. Nur Strom-aus (Remote Console sei dank!) half, den Host wieder zum Leben zu erwecken. Das RAID baut sich in den nächsten Stunden also wieder auf und synct sich - wenigstens muss der Rechner auch arbeiten... aber das ist eine andere Geschichte. Hilft wirklich, wenn man nicht vor Ort ist und nichts mehr geht: Restart per Remote Console. Nun gut, auf zur Kontrolle der Virtual Machines. Einige der VMs auf dem Host haben den Neustart per Power Recycle etwas übel genommen und sind reparaturbedürftig. Eine davon ist eine SQL Server 2008 Maschine, die als Database Mirror fungiert. Das SQL Management Studio verbindet sich brav zum SQL Server Dienst und dieser läuft. Gut, der Database Mirror arbeitet wieder... aber: Der SQL Server Configuration Manager verweigert seinen Dienst: "Cannot connect to WMI provider. You do not have permission or the server is unreachable." An den Berechtigungen dürfte es nicht liegen - schließlich wurde nichts geändert. Der Hinweis, dass nur SQL Server 2005 und später verwaltet werden kann ist zwar nett, aber ebenso nicht zutreffend. Also liegt es wohl an der Verbindung zu WMI - Windows Management Instrumentation (WMI) ist eine grundlegende Windows-Verwaltungstechnologie. Damit können lokale Computer als auch Remotecomputer verwaltet werden. Zum Glück hat die Suche rasch ein Ergebnis geliefert: Es gibt einen Microsoft Knowledge Base Artikel 956013, der sich mit diesem Problem befasst: http://support.microsoft.com/kb/956013/en-us Die Ursache wird hier so beschrieben: "This problem occurs because the WMI provider is removed when you uninstall an instance of SQL Server 2008.". Das ist in meinem Fall zwar nicht passiert, aber das Problem dürfte dasselbe sein: Die Verbindung des SQL Server Configuration Managers zu WMI klappt nicht. Die Reparatur erfolgt in der CommandLine mit dem mofcomp Tool: mofcomp ist ein Dienstprogramm des Betriebssystems zum Kompilieren von MOF-Dateien, durch das die Informationen in diesen Dateien dem WMI-Repository hinzugefügt werden - siehe auch  Geheimnisse von Windows Management Instrumentation. Wenn das entsprechende MOF File im SQL Verzeichnis vorhanden ist, kann das Problem so behoben werden: cd "C:\Program Files (x86)\Microsoft SQL Server\100\Shared" mofcomp sqlmgmproviderxpsp2up.mof Dadurch wird die Konfiguration des SQL Server Configuration Manager repariert. Die Konsole funktioniert nun wieder: Die "WMI Provider" Fehlermeldung war  - zur Abwechslung - mal einfach zu lösen, mofcomp sei Dank. Achja: Für alle IT-Pro´s, welche die (hoffentlich) ruhige Zeit nutzen wollen, noch ein paar (Download-) Tipps zum Evaluieren: Microsoft Virtual Academy Download von Windows Server 2008 R2 mit Service Pack 1 Download Microsoft Hyper-V Server 2008 R2 mit Service Pack 1 Download von Microsoft System Center 2012 Vorabversion So, fortsetzen mit dem Fixen der weiteren VMs ... Stoff für weitere Artikel.
Developer | SQL Server | Microsoft | Windows | Hyper-V
mehr

Knockout 2.0.0 released

Thursday, December 22, 2011 9:30 AM Toni Pohl
Für alle Webdeveloper: Das major Update von Knockout 2.0.0 ist soeben zum Download erschienen. Was ist Knockout? "Knockout is an MVVM library for JavaScript - it makes rich dynamic web UIs easier and cleaner to build". Auf der Website von knockoutjs.com finden sich Download, Tutorials, Beispiele, Dokumentation und Forum. Infos zur neuen Version 2 gibt´s auch in Steven Sanderson's blog: Knockout 2.0.0 released. Neu sind: Control flow bindings, Containerless control flow, Access to parent binding contexts, Cleaner event handling sowie einige weitere Verbesserungen. Tipp: For debugging only, use the larger, non-minified version (knockout-x.y.z.debug.js). Wer´s noch nicht kennt anschaun! http://learn.knockoutjs.com (Toll, was in 39KB untergebracht ist... helloWorld.html). Wer´s kennt: Neue Version anschauen! Danke an @DerAlbert für den Tipp!
Developer | Tools
mehr

TFS Power Tools Release Dezember 2011

Saturday, December 17, 2011 7:15 AM Toni Pohl
Und noch was frisches im Dezember: Die Visual Studio TFS Power Tools 2010 in der Release Dezember 2011. Die Power Tools sind eine Sammlung von Tools und Erweiterungen und Command-Line Utilities für Microsofts Visual Studio Team Foundation Server 2010, siehe auch Artikel über TFS auf codefest.at. Hier geht´s direkt zum Download der Team Foundation Server Power Tools December 2011 (Version 10.0.41206.0 vom 15.12.2011). Was ist Neu? Team Foundation Server Power Tools for Eclipse (Download) - wow MSSCCI Provider for 64-bit IDE's (Download) - fein VS 2010 Power Tools update (Download) - immer gut Eine gute kurze Übersicht bietet bharry's WebLog: December 2011 TFS Power Tools Release und hier in Team Foundation Server Power Tools December 2011. Diese Version könnte die letzte für VS2010 sein, zu mindestens meint der Autor: "I'm thinking this will be the last Power Tools release for the VS 2010 wave of products." ... Welcome VS11/TFS11! Also: Laden und ausprobieren!
Developer | Tools | Microsoft
mehr

SQL Azure Migration Wizard v3.8

Wednesday, December 14, 2011 7:15 AM Toni Pohl
...ist ganz frisch auf codeplex eingetroffen! Mike hat gestern bereits in "Azure Dezember Enhancements und SDK Downloads" auf neue Tools für Windows Azure hingewiesen. Der SQL Azure Migration Wizard wurde ebenfalls aktualisiert: Wofür ist der Wizard? "SQL Azure Migration Wizard (SQLAzureMW) is an open source application that has been used by thousands of people to migrate their SQL database to and from SQL Azure.", siehe sqlazuremw.codeplex.com. Aktuell ist Verion 3.8 vom 13. Dezember, hier geht´s direkt zum Download. Hinweis: "SQLAzureMW and tools requires SQL Server 2008 R2 SP1 bits to run." Für alle, die SQL Azure noch nicht getestet haben, findet sich in "Erstellen einer Cloud-Anwendung mit Datenzugriff mithilfe von SQL Azure" ein 12-Minuten Video, welches die Vorgangsweise (ohne Wizard) zeigt - ein guter Einstieg. Viel Erfolg beim Migrieren der eigenen SQL Datenbanken in SQL Azure!
Azure | Cloud | Developer | Microsoft | Tools | SQL Server
mehr

Die Zukunft von Windows Azure

Tuesday, November 29, 2011 11:21 PM Toni Pohl
Details, aktuelle Zahlen und die Zukunft von Windows Azure zusammengefasst in einem Artikel von gigaom.com: "4 Azure milestones Microsoft must hit - and soon" Wo sollte Microsoft sein Platform-as-a-Service hin entwickeln? Hier die "Empfehlungen": Azure muss auch außerhalb von Microsoft Rechenzentren laufen Microsoft sollte VM Rollen und Server AppV für IaaS anbieten System Center 2012 muss die App Migration und die Verwaltung stark vereinfachen Microsoft muss (alle) seine eigene Technologien und Services auf Azure betreiben... Lesenswert!
Azure | Blog | Microsoft | Cloud | Developer
mehr

SQL Server 2012 Release Candidate ist downloadbar

Friday, November 18, 2011 4:45 PM Toni Pohl
"Denali" RC0 - sprich: Microsoft SQL Server 2012 Release Candidate - ist seit heute im Microsoft Download Center verfügbar, so schreibt das SQL Server Team im SQL Server Team Blog. Die neue Version des Datenbanksystems kombiniert Business Intelligence und Data Warehousing mit der Cloud und bringt zentrale Neuerungen im Bereich Enterprise Datenbanken. Hier gehts zum Download des 4GB ISO Files. Die Bits sind in den "main languages" verfügbar. Download Microsoft SQL Server 2012 Release Candidate 0 (RC0) Weitere Neuerungen im Überblick gibt es auch auf der Microsoft SQl Server 2012 Product Homepage. Die finale Version kommt ... bald!
Developer | SQL Server | Microsoft | Cloud
mehr

Python Tools for Visual Studio are out

Friday, November 4, 2011 5:05 AM Toni Pohl
Lust auf was Neues, Exotisches? Gut, so neu ist die Unterstützung von Phyton in Windows auch wieder nicht, aber ganz neu sind die "Python Tools for Visual Studio 1.1 (Alpha)". Was sind die Python Tools für Visual Studio? "Python Tools for Visual Studio turns Visual Studio into a Python IDE. It's a free and open source plug-in for Visual Studio 2010 from Microsoft's Developer Division." Download auf pytools.codeplex.com: Neu in Version 1.1. Alpha sind Pyvot (Connector nach Excel), PyKinect (Kinect Schnittstelle für Python) sowie viele viele Fixes. Mal was Neues.
Developer | Microsoft | Tools
mehr

Microsoft SQL Server "Denali" in Amazon Cloud

Thursday, November 3, 2011 10:45 PM Toni Pohl
Wenn man dem Artikel "New Deal Allows SQL to Run in Amazon Cloud" Glauben schenken kann, wird Microsoft seinen neuesten SQL Server Codename Denali in der Amazon Elastic Compute Cloud (EC2) anbieten. Laut Artikel stellt Microsoft Amazon Machine Images (AMI) zur Nutzung bereit. Die Kosten sollen von 12 bis 96 USD Cents pro Rechenstunde sein. Mal sehen!
Cloud | Developer | SQL Server | Blog
mehr