En resumen, se puede descifrar las cookies, los “ViewState”, tickets de autenticación, contraseñas de membrecía, datos de usuario, y cualquier otra cosa cifrada usando la API del framework

– Juliano Rizzo

Ante ello Scott Guthrie escribió un post sobre dicha vulnerabilidad, mientras que Microsoft lanzó el Aviso de Seguridad (2416728) que describe la vulnerabilidad que afecta a todas las versiones de ASP.NET. La vulnerabilidad afecta a todas las versiones de ASP.NET desde 1.x hasta el 4.0 y afecta a todos los frameworks de desarrollo de ASP.NET (ASP.NET WebForms, ASP.NET MVC,  etc.). Por ende productos basados en ASP.NET, como SharePoint, Team Foundation Server, entre otros, se ven afectados también.

El “Padding Oracle”

Serge Vaudenay, profesor del Laboratorio de Seguridad y Criptografía (LASEC) del Instituto Federal Suizo de Tecnología (EPFL), publicó en 2002 el documento "Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS…" [PDF], donde señala que varios sistemas de "relleno" (padding) de cifrado utilizados en sistemas de entrada de longitud variable pueden introducir grandes fallos de seguridad.

Cuando un mensaje cifrado de entrada de longitud variable se descifra basado en el algoritmo RFC 2040, el receptor tiene que determinar lo que es relleno, si el relleno es correcto, entonces lo descarta. Pero el RFC 2040 no especifica lo que el receptor debe hacer si el relleno no es correcto. Esto conduce a un ataque que utilice un oráculo para cualquier boque de secuencia que le diga si el relleno de la secuencia CBC-descifrada correspondiente es correcta de acuerdo al algoritmo RFC 2040.

Según Vaudenay, esta vulnerabilidad puede afectar a protocolos como SSL, IPSec, WTLS, SSH, existiendo la posibilidad de descifrar los datos cifrados sin tener la clave secreta. Él demuestra cómo funciona el ataque y sugiere una posible vía para solucionar la vulnerabilidad.

¿Como funciona?

Se puede consultar este artículo: Automated Padding Oracle Attacks with PadBuster, que también muestra cómo funcionan los algoritmos explotados.

En resumen, los algoritmos de cifrado trabajan sobre bloques de datos (de 8 o 16 bytes por lo general), los bytes restantes son de "relleno" (padding). Por ejemplo, una palabra de 6 letras "BANANA", se rellenará con dos bytes para convertirse en el bloque de 8 bytes.

Se le denomina "Oracle" al mecanismo dentro de un sistema de cifrado capaz de proporcionar una respuesta Válido o Inválido para un determinado texto cifrado. Por lo tanto, el "Padding Oracle" es un mecanismo, capaz de responder, si el relleno del texto cifrado es válido o no.

Los algoritmos de cifrado construidos en Microsoft .NET Framework, disparan un System.Security.Cryptography.CryptographicException con el mensaje "Padding is invalid and cannot be removed" en caso de que el relleno no sea válido. Así que ese es nuestro Padding Oracle a utilizar…

El ataque

El siguiente video muestra cómo se puede tirar una instalación de DotNetNuke, al obtener la clave de cifrado y cifrar sus propias cookies SuperUser:

Lo cual podríamos resumir a lo siguiente:

• El atacante localiza una cadena Base64, que suele ser un texto cifrado. En ASP.NET podría obtenerse fácilmente de la URL del WebResource.axd o de una cookie de autenticación.

• El atacante cambia un byte del texto cifrado y lo envía al oráculo, preguntando "¿es válido?", hasta que el byte es descifrado. Las respuestas "Vaildo / Invalido" son simplemente entendidas por el examen de las respuestas del servidor, por ejemplo, el código de error 500 significa que el texto no es válido y los 404 que es válido pero no se pudo descifrar.

  El ataque no está en función del código de error en sí, sino que basta vigilar cualquier comportamiento anormal. Incluso si el sitio web devuelve la misma página de error en todos los casos, el atacante podría hacer uso de las diferencias de tiempo, según lo declarado por Thai Duong.

• Después de conseguir con éxito la clave secreta ASP.NET, la machineKey, el atacante puede crear sus propias "cookies" y comenzar a usar el sistema como administrador o bien podría descargar sus archivos sensibles, por ejemplo, web.config.

  Adicionalmente, el atacante podría utilizar la vulnerabilidad para cifrar su propio sistema de cifrado sin tener la clave de cifrado original.

Dado que HTTP es un protocolo sin estado, los desarrolladores web deben manejar los estados en el servidor, o empujarlos al cliente. Por motivos de rendimiento y escalabilidad, muchos desarrolladores web tienden a ir con este último método. Quieren mantener al estado como un secreto, y recurrir a la criptografía, que es la herramienta adecuada. Sin embargo, la usan indebidamente, es decir, sin aplicar un MAC para el texto cifrado, ni utilizar un modo de cifrado de bloque autenticado, haciendo sus sistemas vulnerables

– Juliano Rizzo

NOTA: Si bien este post se centra en el ataque dirigido a la plataforma ASP.NET, el ataque Padding Oracle no es exclusivo de dicha plataforma, de hecho un primer ataque fue dirigido hacia la plataforma JSF, específicamente a MyFaces, cuyo video se puede ver a continuación:

Así mismo se la lanzado otra implementación en JavaScript y nada descarta que en el futuro se implementen otros exploits para otros objetivos…

Protegiéndose

Scott Guthrie a dicho que su equipo está trabajando en un nuevo parche de seguridad que se publicará como parte de la actualización Windows lo más pronto posible. Mientras tanto los profesionales de TI y desarrolladores necesitan proteger sus propias aplicaciones mediante las siguientes medidas.

• Nunca permita que su aplicación devuelva la página amarilla de error (aka YSOD) cuando se produzca una excepción, esto es de por sí malo ya que permitirá a los usuarios finales examinar las excepciones al detalle. Por ello, el solo encender la opción <customeErrors> no es suficiente si solo enviará un mensaje YSOD

• Nunca guarde información sensible en cookies, ViewState o cualquier otro estado del lado cliente, porque siempre habrá una oportunidad que sea filtrado a usuarios malintencionados. Considere la posibilidad de almacenar datos en el servidor

• Lea y aplique el paseo descrito en el post de Scott Guthrie: Important: ASP.NET Security Vulnerability, que muestra cómo redirigir todos los errores de página y añadir un tiempo de retraso al azar; si bien no es suficiente, hará las cosas más difíciles para el atacante y lo confundirá más. Así mismo lea la actualización: Update on ASP.NET Vulnerability y las P&R: Frequently Asked Questions about the ASP.NET Security Vulnerability

• Adicionalmente asegúrese que el servidor de su aplicación se puede defender contra ataques DoS. La vulnerabilidad expuesta inunda el servidor con miles de peticiones. La defensa de los servidores web y sus aplicaciones contra ataques de denegación de servicio es siempre un requisito a tener en cuenta cuando se implementa un servidor web. Para ello puede utilizar cortafuegos, routers, ISA o el IIS, así mismo a nivel de hardware. Consulte al respecto con el soporte técnico de su servicio de host

[Actualización – 28 de Septiembre]

Microsoft acaba de publicar el boletín de seguridad MS10-070 anunciando el lanzamiento de la actualización de seguridad para hacer frente a la vulnerabilidad de seguridad de ASP.NET. La actualización de seguridad está programada para ser lanzada hoy martes 28 de septiembre a través del Centro de descarga de Microsoft, y en unos días a través de Windows Update y Windows Server Update Services.

El boletín tiene por objeto que los administradores estén mejor preparados una vez que la actualización sea liberada. Puede aprender más acerca de la actualización de seguridad en el Microsoft Security Response Center. También se llevará a cabo una transmisión especial hoy a las 1:00 PM PDT (3:00 PM México), donde se presentará información sobre el boletín; si está interesado en asistir, haga clic aquí para registrarse.

Mas Info:

• Padding Oracle Attack

  • Security Flaws Induced by CBC Padding Applications to SSL, IPSEC, WTLS… [PDF] (Serge Vaudenay, 2002)

  • Practical Padding Oracle Attacks [PDF]

  • Padding Oracle Exploit Tool (POET)

  • Automated Padding Oracle Attacks with PadBuster

  • A Padding Oracle Attack Implemented In Javascript ¡Nuevo!

  • PadBuster v0.3 and the .NET Padding Oracle Attack ¡Nuevo!

• Fear, uncertainty and and the padding oracle exploit in ASP.NET

• ScottGu’s Blog:

  • Important: ASP.NET Security Vulnerability

  • Frequently Asked Questions about the ASP.NET Security Vulnerability

  • Update on ASP.NET Vulnerability

  • ASP.NET Security Update Shipping Tuesday, Sept 28th

  • ASP.NET Security Update Now Available  ¡Nuevo!

  • ASP.NET Security Fix Now on Windows Update ¡Nuevo!

• “Padding Oracle” ASP.NET Vulnerability Explanation

• How to check if your application is vulnerable to the ASP.NET Padding Oracle Vulnerability

• ASP.NET Padding Oracle Detector

• The Microsoft Security Response Center (MSRC):

  • Security Advisory 2416728 Released

  • Update to Security Advisory 2416728

  • Security Advisory 2416728 – Workaround Update

  • Out of Band Release to Address Microsoft Security Advisory 2416728

  • MS10-070 Released Out-of-Band Today ¡Nuevo!

• Microsoft Security Advisory (2416728) => Microsoft Security Bulletin MS10-070 ¡Nuevo!

• Microsoft Security Bulletin Summary for September 2010 ¡Nuevo!

private static bool FirstInstance
{
    get
    {
        bool created;
        string name = Assembly.GetEntryAssembly().FullName;
        // created will be True if the current thread creates and owns the mutex.
        // Otherwise created will be False if a previous instance already exists.
        Mutex mutex = new Mutex(true, name, out created);
        return created;
    }
}

Nota: Para una mayor certidumbre se podría hacer uso de una cadena GUID en ‘name’.

Cuando la primera instancia crea el Mutex pasa a ser su propietario y la variable created se le asigna el valor True. Cuando una nueva instancia se ejecuta intenta tomar posesión del Mutex, pero dado que solo un hilo puede ser propietario de mismo (y primera instancia ya lo es) la nueva no puede tomar posesión del Mutex, por lo cual el valor de created permanece en False, misma que se regresa para indicar si existe (o no) una instancia de la aplicación en ejecución.

Así pues la propiedad FirstInstance la colocaremos en la clase principal de nuestra aplicación WinForm (“Program.cs”) o bien de nuestra aplicación WPF (“App.xaml.cs”) para ser utilizada según corresponda:

WinForm (Program.cs):

[STAThread]
static void Main()
{
    if (FirstInstance)
    {
        Application.EnableVisualStyles();
        Application.SetCompatibleTextRenderingDefault(false);
        Application.Run(new Form1());
    }
    else
    {
        MessageBox.Show("Application is already running.");
        Application.Exit();
    }
}

WPF (App.xaml.cs):

protected override void OnStartup(StartupEventArgs e)
{
    if (FirstInstance)
        base.OnStartup(e);
    else
    {
        MessageBox.Show("Application is already running.");
        Application.Current.Shutdown();
    }
}

Adicionalmente, usando la clase System.Diagnostics.Process se puede obtener la ventana principal y activarla mediante una llamada a la API SetForegroundWindow, tal como se muestra en: Comprobar si hay una instancia previa de nuestra aplicación, escrito en VB.NET por Eduardo Morcillo.

Usando WindowsFormsApplicationBase de VB

Otra opción sería recurrir al Modelo de Aplicaciones de Visual Basic (aka My) para crear un gestor de instancias mediante el WindowsFormsApplicationBase (el cual además nos ofrece el evento OnStartupNextInstance) tal como se muestra a continuación para Windows Forms con C#:

Nota: No es necesario traducir el siguiente código para una aplicación Windows Forms con VB. En ese caso solo basta seguir las instrucciones de la segunda mitad del post: Ejecutar solamente una instancia (VB 2005+).

Program.cs

using System;
using System.Windows.Forms;
using Microsoft.VisualBasic.ApplicationServices;

namespace WinForm1
{
    public static class Program
    {
        [STAThread]
        public static void Main(string[] args)
        {
            Application.EnableVisualStyles();
            Application.SetCompatibleTextRenderingDefault(false);
            SingleInstanceManager manager = new SingleInstanceManager();
            manager.Run(args);
        }
    }

    // Using VB bits to detect single instances and process accordingly:
    //  * OnStartup is fired when the first instance loads
    //  * OnStartupNextInstance is fired when the application is re-run again
    //    NOTE: it is redirected to this instance thanks to IsSingleInstance
    public class SingleInstanceManager : WindowsFormsApplicationBase
    {
        SingleInstanceApplication app;

        public SingleInstanceManager()
        {
            this.IsSingleInstance = true;
        }

        protected override bool OnStartup(Microsoft.VisualBasic.ApplicationServices.StartupEventArgs e)
        {
            // First time app is launched
            app = new SingleInstanceApplication();
            app.Run();
            return false;
        }

        protected override void OnStartupNextInstance(StartupNextInstanceEventArgs eventArgs)
        {
            // Subsequent launches            
            base.OnStartupNextInstance(eventArgs);
            app.Activate();
        }
    }

    public class SingleInstanceApplication
    {
        protected Form mainForm;

        public void Activate()
        {
            // Reactivate application's main window            
            mainForm.Activate();
        }    

        public void Run()
        {
            Application.Run(mainForm = new Form1());
        }
    }
}

Para un ejemplo con WPF usando WindowsFormsApplicationBase tanto con VB como con C# ver: WPF: Single Instance Detection Sample.

Microsoft Enterprise Library (aka EntLib) es una colección de componentes de software reutilizables (conocidos como “Application Blocks”) diseñados para ayudar a los desarrolladores de software de la plataforma .NET a lidiar con los problemas comunes en el desarrollo empresarial tales como registro, validación, acceso a datos, manejo de excepciones, y muchos otros. Los application blocks son un tipo de guías directivas, proporcionadas en forma de código fuente, casos de prueba, y documentación que se pueden utilizar "tal cual", o bien ampliarse o modificarse por los desarrolladores para utilizarse en proyectos de desarrollo.

Unity Application Block (o simplemente Unity) es un contenedor DI (dependency injection) ligero y extensible, que puede utilizarse de forma independiente (existiendo una versión para Silverlight) como integralmente con EntLib.

Mayor información en:

• Microsoft Enterprise Library
• Unity Application Block

A continuación el diagrama del Roadmap para EntLib 5.0 y Unity 2.0.

La imagen habla por si misma, pero para que quede mas claro:

• Primera Beta en Febrero, solo para VS2008 SP1
• Segunda Beta en Marzo, tanto para VS2008 SP1 como VS2010 RC (a liberarse en Febrero)
• El RTW se espera sea lanzado en Abril (a la par de VS2010)

Mayor información en:

• Announcing Enterprise Library 5.0 and Unity 2.0 Roadmap

• Dejarla como está – Si la aplicación rara vez es actualizada o modificada y/o aún “funciona bien” tal y como está…
• Extenderla con .NET (aka VB Fusion) – Añadiéndole nuevas funcionalidades utilizando el .NET Framework. Se pueden añadir WinForms y controles a una aplicación VB6 con la ayuda de Interop Form Toolkit 2.0 (PDF).
• Actualizarla a .NET – Lo que puede abordarse de dos formas:
  • Migrándola a VB.NET – Con la ayuda de una herramienta de migración que convierta gran parte del código VB6 a su equivalente código .NET.
  • Reescribiéndola – Reescribir manualmente el código entero en .NET (en cuyo caso no solo a VB.NET sino a C#, o bien incluso a otro lenguaje/plataforma). Este es un enfoque viable cuando la aplicación VB6 inicial fue mal escrita y se desea una reingeniería y/o reescritura de la misma, o la aplicación necesita un cambio importante para satisfacer las nuevas necesidades; o bien el código fuente ya no se encuentra disponible.

Otra posible opción es remplazarla, si es que existe una aplicación empaquetada o un servicio que provea la misma funcionalidad. No obstante no es viable en la mayoría de las aplicaciones VB6, puesto que se tratan de “soluciones a la medida”.

Si la migración es el camino por recorrer, existen tres herramientas útiles:

• Microsoft Visual Basic Upgrade Wizard, incluido en Visual Studio 2003-2008 y que funciona bien con proyectos pequeños –y algunos medianos.
• Visual Basic Upgrade Companion de ArtinSoft, que de hecho es el fabricante del asistente incluido en Visual Studio, pero que también ofrece otras herramientas y servicios para migraciones mas complejas.
• Visual Basic Migration Partner de Code Architects, que también ofrece herramientas y servicios de migración.

Recientemente Microsoft ha publicado un caso de estudio destacando el éxito de la migración de 950,000 líneas de código VB6 a .NET. El proceso fue dirigido por SiS, una compañía austriaca de TI, usando Visual Basic Migration Partner durante un período de 9 meses. El proyecto fue un sistema ERP construido a lo largo de 10 años y que constaba de 33 aplicaciones.

• 25,000 líneas de código “difíciles” fueron tomadas como prototipo de migración, las cuales “tomó 2.5 horas el obtener un proyecto que compile y se ejecute usando VB Migration Partner, y 13 horas con la de su competidor" (ouch! Artinsoft) dijo Otto Wiegele, Chief Executive Officer de SIS
• El esfuerzo requerido para el proyecto incluyen 3,650 horas-desarrollador para migrar el código, 3,400 horas para la revisión de código y refactorización, y 1,300 horas para pruebas
• Tres desarrolladores migraron 950,000 líneas de código de Visual Basic 6.0 a. NET Framework en sólo nueve meses
• Costo para el cliente final fue € 750,000 contra un estimado de 3 a 5 millones de euros que habría costado implementar un sistema ERP comercial

Mayor información:

• VBRun: VB6 Resource Center
• Secure your Visual Basic 6.0 investment with Microsoft .NET
• Consultants Migrate 950,000 Lines of Visual Basic Code to .NET Framework in Nine Months

Ver Day Two: Steven Sinofsky, Scott Guthrie & Kurt DelBene.

Para esta beta no hay runtime para el usuario final y las herramientas están destinados únicamente a los desarrolladores sin licencia Go-Live –por lo que me parece más un CTP…

Descargas

• Visual Studio 2010 Beta 2 o Visual Web Developer Express 2010 Beta 2
• Silverlight 4 Tools for Visual Studio 2010 Beta 2
• Expression Blend for. NET Preview 4

Silverlight 4 (Beta) requiere Visual Studio 2010 (Beta 2), el cual puede ser instalado lado a lado con Visual Studio 2008 SP1. Favor de leer el problema conocido en la instalación de Visual Studio 2010, si ya tiene el Silverlight 3 SDK instalado.

Descargas adicionales:

• Silverlight 4 SDK CHM (o bien lea la documentación On-line)
• Silverlight 4 Beta Toolkit
• Silverlight Media Framework
• Runtimes de desarrollo: Windows y Mac *
• Silverlight SDK 4 *
• WCF RIA Services (anteriormente .NET RIA Services) *

* Incluido en Silverlight 4 Tools for VS2010.

Recursos

• "What’s New in Silverlight 4" por Papa John
• Silverlight 4: "What’s New" [pdf] por Corrado Cavalli
• Channel9: Silverlight 4 Training Course
  • "What’s New in Silverlight 4 Beta"
• PDC’09:
  • Microsoft Silverlight 4 Overview
  • Improving and Extending the Sandbox with Microsoft Silverlight 4
  • Building Line of Business Applications with Microsoft Silverlight 4
• Silverlight.net:
  • Silverlight 4 Beta Information
  • Videos de aprendizaje de Silverlight 4
  • Silverlight Hand On Labs
• Foros Silverlight 4 beta y WCF RIA Services
• Blogs de Tim Heuer, Jesse Liberty, Papa John, Adam Kinney y Silverlight Community
• En castellano, el blog de Rodrigo Díaz Concha.

¿Qué hay de nuevo en Silverlight 4 Beta?

Además de los recursos listados, en el blog de Tim Heuer encontramos un extenso post al respecto (Silverlight 4 Beta – A guide to the new features) que lista las novedades:

• Tooling
• Printing API
• Right-click event handling
• Webcam/microphone access
• Mouse wheel support
• RichTextArea Control
• ICommand support
• Clipboard API
• HTML Hosting with WebBrowser
• Elevated trust applications
• Local file access
• COM interop
• Notification (“toast”) API
• Network authentication
• Cross-domain Networking changes
• Keyboard access in full screen mode
• Text trimming
• ViewBox
• Right-to-left, BiDi and complex script
• Offline DRM
• H.264 protected content
• Silverlight as a drop target
• Data binding
  • IDataErrorInfo and Async Validation
  • DependencyObject Binding
  • StringFormat, TargetNullValue, FallbackValue
• Managed Extensibility Framework (MEF)
• DataGrid enhancements
• Fluid UI support in items controls
• Implicit theming
• Google Chrome support

El equipo Microsoft de Visual Web Developer ha creado un nuevo esquema de Intellisense el cual se puede agregar a VS 2008 o VWD Express 2008 para así disponer de Intellisense y validación para los elementos HTML 5.

Nota: El esquema es solo para el “marcado” (tags) HTML, aún no para el DOM2 para el Intellisense de Javascript.

Para instalarlo, dirigirse a: HTML 5 intellisense and validation schema for Visual Studio 2008 and Visual Web Developer, descargar el adjunto: html5.zip y seguir las instrucciones, las cuales se reducen a copiar el archivo html_5.xsd a “%ProgramFiles%\Microsoft Visual Studio 9.0\Common7\Packages\schemas\html” y combinar el archivo *.REG correspondiente al tipo de S.O. y edición de VS 2008.

Una vez realizado lo anterior, podremos seleccionar “HTML 5” en el cuadro desplegable de esquemas de validación, y los elementos HTML 5 aparecerán en el Intellisense y la ventana de propiedades.

Si se preguntan ¿en que browser podemos probar HTML 5? La respuesta la podemos leer en: Browser support for CSS3 and HTML5.

Actualización (23-Nov): El equipo de VWD ya ha corregido la información y los archivos *.reg erróneos para VWD Express 2008, por lo que, si descargan el archivo html5.zip actualizado, ya no es necesario hacer lo que sigue a continuación.

[ATENCIÓN]

El post original indica que si contamos con un S.O. de 32 bit y VWD Express 2008, habría que cambiar en el path “Microsoft Visual Studio 9.0” por “Microsoft Visual Web Developer”, lo cual al menos en mi caso no fue necesario. Es decir, aún con VWD Express 2008 utilice el path indicado para VS 2008.

Por otra parte, también existe un error en el archivo *.REG correspondiente (HTML-5-Schema-Reg-x86-VWD.reg), mismo que se tiene que editar para que funcione correctamente.

La corrección consiste en cambiar “VisualWebDeveloper” por “VWDExpress” en la clave de registro:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VisualWebDeveloper\9.0\Packages\{1B437D20-F8FE-11D2-A6AE-00104BCC7269}\Schemas\Schema 23]

De modo que el archivo HTML-5-Schema-Reg-x86-VWD.reg finalmente queda de la siguiente forma:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VWDExpress\9.0\Packages\{1B437D20-F8FE-11D2-A6AE-00104BCC7269}\Schemas\Schema 23]
"File"="html\\html_5.xsd"
"Friendly Name"="HTML 5"
"URI"="http://schemas.microsoft.com/intellisense/html-5"

Guardamos el archivo y lo combinamos en el Registro de Windows.

Nota: Supongo que ésta misma corrección debe hacerse en el archivo para 64-bit, pero no lo puedo asegurar.

Como parte de su compromiso con un ecosistema informático más seguro y confiable, Microsoft lanza la guía orientativa del proceso SDL ver. 4.1a. Los responsables de TI y los desarrolladores de software pueden aprovechar este contenido para mejorar e informar su propio software de seguridad y los programas de garantía de privacidad.

Además, ésta guía incluye SDL for Agile Development (SDL para Desarrollo Ágil).

Some examples of every-sprint requirements include:

• Run analysis tools daily or per build (see Tooling and Automation later in this Agile-SDL section).
• Threat model all new features (see Threat Modeling: The Cornerstone of the SDL).
• Ensure that each project member has completed at least one security training course in the past year (see Security Education).
• Use filtering and escaping libraries around all Web output.
• Use only strong crypto in new code (AES, RSA, and SHA-256 or better).

For a complete list of the every-sprint requirements as followed by Microsoft SDL-Agile teams, see Appendix P.

+ info y descargas

• [ADT] Security Development Lifecycle Gets an Agile Update
• Download Microsoft Security Development Lifecycle (SDL) – Version 4.1a
• Download Microsoft SDL Process Template for Visual Studio Team System
• Download SDL Threat Modeling Tool 3.1
• Security Considerations for Client and Cloud Applications

Entre los cambios listados se encuentran:

• La característica de seguridad que afecta tokens SAML ha cambiado su comportamiento predeterminado.
• El codificador de burbuja (Blob encoder) fue rebautizado como codificador de flujo de bytes (ByteStream encoder). Mas aún funciona de la misma forma.
• El canal de transporte Local "en el dominio de aplicación" ha sido retirado. Utilice las canalizaciones por nombres en su lugar.
• Cuando se agrega colecciones de comportamientos a nivel de sitio o de máquina, las conductas se fusionaran con las configuraciones de comportamiento a nivel de sistema del mismo nombre. Anteriormente, sólo se obtenían los comportamientos configurados directamente por la aplicación si existía un conflicto de nombres.

Descarga: Breaking Changes between .NET Framework 4 Beta1 and Beta2 for Windows Communication (WCF) and Windows Workflow Foundation (WF).

Algunos sitios ASP.NET (especialmente con ASP.NET MVC) dependen del uso de expresiones de código <%= expresion %> (aka "code nuggets") para escribir algún texto en el response. Cuando utilizamos estas expresiones, es fácil olvidar "codificar" el texto en HTML (HTML Encoding). Si el texto viene por una entrada de datos del usuario, esto deja la puerta abierta a un ataque XSS (Cross Site Scripting).

Con ASP.NET 4.0 se introduce la siguiente nueva sintaxis para expresiones de código:

<%: expresion %>

(observa el cambio de "=" por ":")

Esta nueva sintaxis realiza "codificación" HTML de forma predeterminada cuando escribe hacia el response, por lo que esta nueva expresión se traduce a:

<%= HttpUtility.HtmlEncode(expresion) %>

Así por ejemplo <%: Request["UserInput"] %> realizará HTML Encode al valor de Request["UserInput"].

El objetivo de ésta característica es el que sea posible remplazar todas las instancias de la vieja sintaxis con la nueva. No obstante, existen casos en que el texto a poner en la salida está pensado para que se entienda como HTML, o bien ya ha sido previamente "codificado", y en cuyo caso se realizaría una doble "codificación".

Para esos casos, ASP.NET 4.0 introduce también una nueva interfaz: IHtmlString, junto con una implementación concreta: HtmlString. Las instancias de este tipo permitirán indicar que el valor devuelto ya ha sido "codificada" (o bien que ya a sido examinado) para desplegarse como HTML, por lo que entonces el valor ya no será "codificado". Por ejemplo:

<%: new HtmlString("<strong>HTML que no será encoded</strong>") %>

Los métodos auxiliares de ASP.NET MVC 2 han sido actualizados para trabajar con esta nueva sintaxis por lo que no son doblemente "codificados", pero únicamente cuando se ejecuta en ASP.NET 4.0. Esta nueva sintaxis no funciona cuando la aplicación utiliza ASP.NET 3.5 SP1 (que en realidad usa el motor de ASP.NET 2.0).

Así mismo, esta sintaxis no realiza JavaScript Encoding, como cuando se crean cadenas JavaScript basadas en entradas de datos del usuario.

Mayor información:

• ASP.NET 4’s new HTML Encoding code block syntax
• Html Encoding Nuggets With ASP.NET MVC 2

Las pruebas de sistema profundas, consistentes y extensibles sigue siendo uno de los mayores retos en la creación y mantenimiento de sistemas de software. La herramienta Spec Explorer liberada por Microsoft DevLabs ataca el problema utilizando técnicas de Model-Based Testing (Pruebas basadas en Modelos).

¿Qué es Spec Explorer?

Spec Explorer es una herramienta de desarrollo de software para la avanzada especificación basada en modelos y las pruebas de conformidad.

Spec Explorer 2010 es una herramienta que extienda a Visual Studio para modelar el comportamiento del software, analizar dicho comportamiento mediante la visualización gráfica, verificar el modelo, y la generación de código de prueba a partir de los modelos. El comportamiento es modelado de dos maneras: escribiendo reglas de máquinas en C# y por la definición de escenarios como patrones de acción en un estilo de expresiones regulares. Una de las características principales de Spec Explorer es la capacidad de componer modelos escritos en estos dos estilos. Esta técnica permite a los usuarios el “rebanar” los casos de prueba de grandes máquinas de estado mediante la definición de escenarios relevantes, de esa forma lucha contra notorio problema de explosión de estado-espacio dominante en las pruebas basadas en modelos. Spec Explorer también soporta las pruebas de interacción combinatoria con un rico conjunto de características.

Los conjuntos de pruebas generados se pueden ejecutar de forma independiente, en el framework de pruebas de Visual Studio u otros framework de pruebas unitarias.

¿Qué componentes tiene Spec Explorer?

Spec Explorer se compone de:

• Los lenguajes de modelado de software Spec# y AsmL.
• Un verificador de modelo de estado-explícito, que permite al usuario buscar en el (posiblemente infinito) espacio de todas las posibles secuencias de llamadas a métodos que 1) no violan las condiciones previas y posteriores y los invariantes de los contratos del sistema y 2) son relevantes para el conjunto de propiedades de prueba especificadas por el usuario.
• Un motor de recorrido, que se desenrolla la resultante máquina de estados finitos para producir pruebas de comportamiento que cubren todas las transiciones explorado.
• Un motor transversal que permite a los usuarios el asociar acciones del modelo con los métodos de una implementación escrita en un lenguaje .NET. Tanto las implementaciones administradas como las no administrados pueden ser probadas si se utilizan las características de interoperabilidad .NET.
• Un verificador de conformidad que ejecuta las pruebas de comportamiento generados. Alternativamente, Spec Explorer admite un modo "al-vuelo" donde la derivación de la prueba (a través de la verificación del modelo y de recorrido transversal) y la verificación de la conformidad de la implementación ocurren juntas.

¿Por qué utilizarlo?

Spec Explorer ayuda a los equipos de desarrollo a crear casos de prueba más rápidamente, a garantizar la predictibilidad de la cobertura de requisitos y soportar el ciclo de vida de administración de los proyectos y las actualizaciones de software.

Las características únicas de Spec Explorer hacen que sea más fácil de aprender que otras herramientas de pruebas basadas en modelo. Los ingenieros sin ningún conocimiento de modelado pueden crear modelos de sistemas y características para generar pruebas en corto tiempo. Estudios sobre un proyecto a gran escala con más de 300 conjuntos de prueba han demostrado una ganancia en la productividad del 42% en promedio sobre los conjuntos de pruebas creados manualmente.

Spec Explorer ha sido adaptado en función de la retroalimentación de los equipos dentro de Microsoft, ahora Microsoft solicita los comentarios del exterior para garantizar que Spec Explorer satisface las necesidades de los clientes que trabajan en una variedad de proyectos.

Mayor información:

• DevLabs: Spec Explorer
• MS Research: Spec Explorer
• Spec Explorer Forum
• Spec Explorer Blog