.NET Tips | جستجوها: نتایج مشابه «کنفرانس Defcon ۲۲»، صفحه: ۶۱

اشتراک‌ها

Visual Studio 2019 version 16.0.4 منتشر شد

Issues fixed in Visual Studio 2019 version 16.0.4

Security Advisory Notices

CVE-2019-0727 Diagnostics Hub Standard Collector Service Elevation of Privilege Vulnerability

An elevation of privilege vulnerability exists when the Diagnostics Hub Standard Collector Service improperly performs certain file operations. An attacker who successfully exploited this vulnerability could delete files in arbitrary locations. To exploit this vulnerability, an attacker would require unprivileged access to a vulnerable system. The security update addresses the vulnerability by securing locations the Diagnostics Hub Standard Collector performs file operations in.

Visual Studio 2019 version 16.0.4 منتشر شد

‫۵ سال و ۵ ماه قبل، چهارشنبه ۲۵ اردیبهشت ۱۳۹۸، ساعت ۰۲:۳۸

وحید نصیری

نظرات مطالب

تولید هدرهای Content Security Policy توسط ASP.NET Core برای برنامه‌های Angular

یک نکته‌ی تکمیلی: دات نت 6 و hot reload آن

اگر برنامه‌های مبتنی بر دات نت 6 را به همراه فعال بودن Content Security Policy اجرا کنید، با خطای زیر در مرورگر مواجه خواهید شد:

Refused to connect to ws: because it violates the Content Security Policy directive

{
   "csp-report":{
      "document-uri":"http://localhost:5051/",
      "referrer":"",
      "violated-directive":"connect-src",
      "effective-directive":"connect-src",
      "original-policy":"default-src 'self' blob:; style-src 'self' 'unsafe-inline'; script-src 'self' 'unsafe-inline' 'unsafe-eval' ; font-src 'self'; img-src 'self' data: blob:; connect-src 'self'; media-src 'self'; object-src 'self' blob:; report-uri /api/CspReport/Log",
      "disposition":"enforce",
      "blocked-uri":"wss://localhost:52837",
      "line-number":234,
      "column-number":25,
      "source-file":"http://localhost:5051/_framework/aspnetcore-browser-refresh.js",
      "status-code":200,
      "script-sample":""
   }
}

برای رفع آن فقط کافی است تنظیم زیر را اضافه/ویرایش کنید:

connect-src 'self' wss://localhost:*

‫۲ سال و ۱۰ ماه قبل، سه‌شنبه ۹ آذر ۱۴۰۰، ساعت ۱۴:۱۰

سالار ربال

پاسخ به بازخورد‌های پروژه‌ها

مشکل در هدایت کاربر به صفحه لاگین

بهتر بود قبل ارسال بازخورد ، سرچ میزدم . ولی خب خالی از لطف نخواهد بود نتیجه به دست آمده .

برخلاف تصور بنده ، برای خود فریمورک همچین موردی را نیز در نظر گرفته اند . چند تاپیک را در این مورد مطالعه کردم که یکی از آنها این تاپیک است.راه حل به این صورت است :

 app.UseCookieAuthentication(new CookieAuthenticationOptions
        {
            AuthenticationType = DefaultAuthenticationTypes.ApplicationCookie,
            LoginPath = new PathString("/Account/Login"),
            Provider = new CookieAuthenticationProvider
            {
                // Enables the application to validate the security stamp when the user logs in.
                // This is a security feature which is used when you change a password or add an external login to your account.  
                OnValidateIdentity = SecurityStampValidator.OnValidateIdentity<ApplicationUserManager, ApplicationUser>(
                    validateInterval: TimeSpan.FromSeconds(0),
                    regenerateIdentity: (manager, user) => user.GenerateUserIdentityAsync(manager))
            }
        });

در اینجا با تنظیم validateInterval با مقدار 0 ، لذا در هر درخواست SecurityStamp موجود در رکورد مربوط به کاربر در دیتابیس با مقدار ذخیره شده در کوکی او مقایسه میشود اگر تغییر نکرده باشد بازهم کوکی رفرش شده و ادامه ماجرا.. ولی اگر SecurityStamp موجود در دیتابیس تغییر کرده باشد و با مقدار ذخیره شده در کوکی همخوانی نداشته باشد، کاربر LogOut شده و لازم است دوباره لاگین کند.

برای زمان بن کردن کاربر هم با فراخوانی متد

await UserManager.UpdateSecurityStampAsync(userId);

میتوان دستی SecurityStamp مربوط به کاربر را ویرایش کرد تا هنگام مقایسه با مقدار موجود در کوکی به تناقض برسد و در نتیجه کاربر LogOut خواهد شد.

البته بازهم مشکل رفع نشده است!

‫۹ سال و ۳ ماه قبل، شنبه ۱۰ مرداد ۱۳۹۴، ساعت ۰۹:۱۰

وحید نصیری

نظرات مطالب

اعتبارسنجی مبتنی بر JWT در ASP.NET Core 2.0 بدون استفاده از سیستم Identity

یک نکته: روش تعیین اعتبار دستی یک JWT

اگر خواستید رشته‌ی JWT دریافتی را در سمت سرور و بر اساس تنظیمات ابتدایی برنامه، بدون نیاز به تکرار آن‌ها و به صورت دستی اعتبارسنجی کنید، روش انجام کار به صورت زیر است:

public class TokenFactoryService
{
    private readonly JwtBearerOptions _jwtBearerOptions;

    public TokenFactoryService(IOptionsSnapshot<JwtBearerOptions> jwtBearerOptions)
    {
        if (jwtBearerOptions == null)
        {
            throw new ArgumentNullException(nameof(jwtBearerOptions));
        }

        _jwtBearerOptions = jwtBearerOptions.Value ?? throw new ArgumentNullException(nameof(jwtBearerOptions));
    }

    // From: https://github.com/dotnet/aspnetcore/blob/a450cb69b5e4549f5515cdb057a68771f56cefd7/src/Security/Authentication/JwtBearer/src/JwtBearerHandler.cs
    public bool ValidateJwt(string token)
    {
        foreach (var validator in _jwtBearerOptions.SecurityTokenValidators)
        {
            try
            {
                if (validator.CanReadToken(token))
                {
                    validator.ValidateToken(token, _jwtBearerOptions.TokenValidationParameters, out _);
                }
            }
            catch
            {
                return false;
            }
        }

        return true;
    }
}

‫۲ سال و ۹ ماه قبل، یکشنبه ۲۱ آذر ۱۴۰۰، ساعت ۱۵:۰۰

وحید نصیری

نظرات مطالب

بررسی خطاهای ممکن در حین راه اندازی اولیه برنامه‌های ASP.NET Core در IIS

دلیل دیگری برای بروز خطای 500.19

اگر پوشه‌ی برنامه خارج از مسیر c:\program files\inetpub\wwwroot باشد، یعنی کاربر Application pool برنامه، دسترسی کافی را برای خواندن و اجرای فایل‌های برنامه ندارد (به صورت پیش‌فرض). در این حالت همانطور که در مطلب فوق نیز ذکر شد، باید مراحل زیر را طی کنید تا دسترسی‌های read و execute به پوشه‌ی برنامه داده شوند:

Right click on the folder -> Properties -> Security tab -> Click at Edit button ->
Enter `IIS AppPool\DefaultAppPool` user (IIS AppPool\<app_pool_name>) -> Click at Check names -> OK ->
Then give it `read & execute` or other permissions.

‫۶ سال و ۴ ماه قبل، شنبه ۵ خرداد ۱۳۹۷، ساعت ۱۳:۳۸

محسن خان

نظرات مطالب

آشنایی با FileTable در SQL Server 2012 بخش 1

- به چه نحوی از SQL Server استفاده می‌کنید؟ آیا سرور و برنامه دسکتاپ شما روی یک کامپیوتر هستند؟ برای اینکار بهتر است از SQL CE یا SQLite استفاده کنید؛ یا حتی LocalDB. هدف از SQL Server نصب آن روی یک سرور و خدمات دهی به چندین و چند کامپیوتر تحت شبکه است. برای استفاده روی یک کامپیوتر یعنی کسب و کار کوچک و عملا نیازی به SQL Server 2012 ندارد اینکار. زندگی مصرف کننده را سخت نکنید. نصب و نگهداری یک سرور کار هر شخصی نیست و برای سازمان‌ها طراحی شده و نه مصارف کوچک تک کاربره دسکتاپ.

- با این توضیح اگر کسی به سرور شما دسترسی دارد، آیا نمی‌تواند مثلا اگر فایل‌ها در دیتابیس ذخیره می‌شدند، اون‌ها رو دستی با یک کوئری حذف کند؟ امنیت کار با سرور این‌جا است که مطرح می‌شود و همچنین اطمینان به ادمین‌ها.

- در مورد امنیت file table مراجعه کنید به مستندات مایکروسافت. مثلا: FileTables are secured by SQL Server security only

‫۱۰ سال و ۱۰ ماه قبل، یکشنبه ۲۲ دی ۱۳۹۲، ساعت ۱۵:۴۲

وحید نصیری

نظرات مطالب

EF Code First #1

در مورد کانکشن استرینگ، ایجاد بانک اطلاعاتی و غیره در قسمت‌های بعدی بیشتر توضیح داده شده. اگر تعاریف رشته اتصالی شما به این نحو باشد:

<connectionStrings>
    <clear/>
    <add
       name="ProductContext"
       connectionString="Data Source=(local);Initial Catalog=testdb2012;Integrated Security = true"
       providerName="System.Data.SqlClient"
      />
</connectionStrings>

به این معنا است که کلاس Context شما به نحو زیر تعریف شده است:

public class ProductContext : DbContext

بنابراین جزو قرار دادهای توکار EF Code first است که name ذکر شده در قسمت تعریف رشته اتصالی در فایل کانفیگ، با نام کلاس مشتق شده از DbContext یکی باشد.
با این تعاریف باید برنامه کار کند (البته بر اساس نام کلاس‌های برنامه شما).
ضمنا login failed به این معنا است که رشته اتصالی اشتباه تعریف شده است. رشته فوق به یک بانک اطلاعاتی sql server و به وهله پیش فرض آن اشاره می‌کند و از نوع windows authentication است. این موارد را باید بر اساس تنظیمات سیستم خودتون تغییر بدید.

‫۱۲ سال و ۵ ماه قبل، یکشنبه ۴ تیر ۱۳۹۱، ساعت ۱۶:۲۹

مینا ابراهیمی

پاسخ به بازخورد‌های پروژه‌ها

نحوه سفارشی سازی ویو های این پروژه

با سلام مجدد

من هنوز مشکل در سفارشی سازی ویوهای این پروژه رو دارم با این مقاله

و نکته زیر

-اگر تغییری در فایل‌های View، در تعداد و نام آن‌ها صورت گرفت، روی فایل T4MVC.tt کلیک راست کرده و گزینه‌ی اجرای آن‌را انتخاب کنید. پس از این‌کار، مجددا کامپایل پروژه را فراموش نکنید.

وقتی راست روی T4MVC.tt راست کلیک و run custom tool را می‌زنم اخطار زیر را دریافت می‌کنم

[Security Warning]
 
Running this text template can potentially harm your computer. Do not run it if you
obtain if rtom an untrusted source.
 
Click OK. to run the template.
Click Cancel top stop the process.
 
[X] Do not show this message again
 
[OK]  [Cancel]

و با زدن ok کلی خطا میده . لطفا راهنمایی بفرمایید.

‫۷ سال و ۱۱ ماه قبل، یکشنبه ۲۳ آبان ۱۳۹۵، ساعت ۱۷:۳۴

وحید محمدطاهری

اشتراک‌ها

2.Visual Studio 2017 15.6 منتشر شد

These are the customer-reported issues addressed in this release:

Microsoft Security Advisories for .NET Core

CVE-2018-0875: Microsoft is aware of a security vulnerability in the public versions of .NET Core where a malicious file or web request could cause a denial of service (DoS) attack.

System administrators are advised to update their .NET Core runtimes to versions 1.0.10, 1.1.7 or 2.0.6. Developers are advised to update their .NET Core SDK to versions 1.1.8 or 2.1.101.

حجم تقریبی بروزرسانی از نسخه 15.6.1 به 15.6.2 برابر 1.2GB می‌باشد

‫۶ سال و ۷ ماه قبل، چهارشنبه ۲۳ اسفند ۱۳۹۶، ساعت ۰۵:۱۴

محمد باقر سیف اللهی

مطالب

آشنایی با Permission Level ها در شیرپوینت 2010

شیرپوینت به شما به عنوان یک Farm Admin امکان مدیریت نقش‌ها و سطوح امنیتی را در سطح بسیار جزء می‌دهد. به این معنا که می‌توانید یک کاربر را در یک سایت در نقش مدیر و مالک آن سایت انتصاب داده و در سایتی دیگر به همان شخص امکان خواندن از فقط یک لیست خاص را بدهید . در این پست با جزییات بیشتری در باب ایجاد و مدیریت افراد در گروه‌ها آشنا می‌شویم

پس از نصب شیرپوینت ، لیستی مانند زیر به عنوان Permission Level‌ها برای شما نمایش داده می‌شود :

برای مشاهده این سطوح در سایت خود می‌توانید به منوی Site Action رفته و گزینه Site Permission را انتخاب کنید .

به طور کل ، سه مورد از موارد فوق استفاده بیشتری از بقیه دارند : Full Control ، Contribute و Read .

(برای مثال Design سطحی بین Full Control و Contribute است )

در سطح Read ، کاربر میتواند فقط برای استفاده در حد خواندن از محتوا به آن دسترسی داشته باشد

در سطح Contribute ، کاربر میتواند در حد انجام عملیات CRUD روی یک لیست یا کتابخانه موجود دسترسی داشته باشد (امکان تعریف کتابخانه یا لیست جدیدی را ندارد)

در سطح Full Control ، کاربر امکان انجام هر گونه عملیاتی را دارد .

اما این موارد خود می‌تواند در حد یک لیست باشد و یا در حد یک Site Collection .

علاوه بر موارد فوق نقش‌های دیگری هم هستند مانند Farm Administrator که به دلیل استفاده کمتر از آن‌ها در اینجا راجع به آن صحبت نمی‌کنم . چرا که این نقش‌ها تقریبا یکتا و Unique بوده و فقط برای تعدادی محدود از افراد در قالب یک سازمان تعریف می‌شود .

هنگامی که یک Site Collection ایجاد میشود شیرپوینت 3 گروه امنیتی یا Security Group ایجاد میکند : Owners و Members و Visitors .

متناسب با 3 سطح تعریف شده در بالا ، Owners دارای سطح Full Control و Members دارای سطح Contribute و Visitors دارای سطح Read هستند .

( تصویر زیر می‌تواند گویای این مسئله باشد )

اگر شما برای سایت خود یک Sub Site تعریف کنید ، دقیقا همان ویژگی‌های امنیتی برای آن نیز نمایش داده می‌شوند و اصطلاحا از والد ارث بری کرده است . البته به شما امکان لغو این ارث بری نیز داده می‌شود در این صورت باید خود مدیریت آنها را به عهده بگیرید .

برای مثال سایتی مانند زیر را در نظر بگیرید ؛ در سازمان ، دپارتمانی به نام IT در حال فعالیت است که Security Group آن به صورت مجزا تعریف شده اند و از والد ارث بری نکرده اند :

همانطور که مشاهده می‌کنید ، Unique Permission بودن سایت در بالای سایت نمایش داده شده و دکمه Inherite Permission فعال شده است .

در زیر مجموعه آن یک سایت با عنوان meeting Workspace ایجاد می‌کنیم که Security Group آن از IT ارث بری کرده است :

و در این قسمت ارث بری سایت از والد نمایش داده شده و دکمه Stop Inheriting Permission فعال شده است .

همچنین در صورتی که تمایل به ایحاد یک گروه جدید داشته باشید می‌توانید از طریق ریبون بالای صفحه روی Create Group کلیک کرده و گروه خود را ایجاد نمایید

موفق باشید

‫۱۲ سال و ۱ ماه قبل، جمعه ۲۱ مهر ۱۳۹۱، ساعت ۲۳:۵۰