JASoft.org

El blog de José Manuel Alarcón Aguín. Programación web y mucho más...

MENÚ - JASoft: JM Alarcón

Truco: Almacenamiento externo automático de cadenas de conexión

Cuando colocamos un objeto de conexión a un origen de datos sobre un formulario Windows Forms de Visual Studio .NET, éste aparece en la parte inferior del diseñador correspondiente y podemos editar sus propiedades desde la ventana de propiedades del entorno. La propiedad más importante de este objeto es, sin duda, ConnectionString. Normalmente la ajustamos desde la propia ventana de propiedades, y mucha gente la deja simplemente ahí, sin añadir forma alguna de modificarla de forma externa a la aplicación. Esto tiene varios problemas, pero los principales son: · Si queremos actualizar la cadena deberemos cambiar la propiedad desde el diseñador y recompilar la aplicación· Si alguien rastrea o descompila el código puede leer en claro la cadena (con contraseñas de acceso y otra información confidencial). Para evitar el primero de estos problemas es obvio que lo más sencillo es llevar esta cadena de conexion (entera o por partes) a algún archivo externo de configuración que leeremos de... [Más]

Vulnerabilidad en Mozilla y Firefox favorece el phishing

Se ha anunciado una vulnerabilidad en Mozilla y Firefox que permitiría a sitios web maliciosos falsificar el interfaz de usuario, lo que puede inducir al usuario a creer que se encuentra en un sitio diferente y ser empleado para realizar ataques de phishing (robo de información bancaria, cuentas de acceso, etc). El problema, que parece ser el mismo que el identificado como 244965 en Mozilla, reside en que estos productos no restringen a los sitios web la inclusión de archivos XUL remotos (XML User Interface Language) de tal manera que se puede "secuestrar" la mayor parte del interfaz, incluyendo la barra de herramientas, los diálogos de certificados SSL, barra de direcciones, etc. Esto es importante debido a que el interfaz de Mozilla está construida a base de archivos XUL. Hay que señalar que no se trata de un problema nuevo, ya que el mencionado bug fue mencionado por primera vez en 1999, pero fue marcado como confidencial durante 5 años, hasta que el pasado día 21 un desarrollador... [Más]

Registro automático de cambios en una tabla desconectada

Como es bien sabido la clase DataSet de .NET (dentro del espacio de nombres System.Data), permite utilizar de manera sencilla y potente un pequeño gestor de datos en memoria, sin necesidad de haber obtenido por fuerza los datos a partir de un gestor de datos convencional. El objeto DataSet puede haber sido creado dinámicamente por nosotros o se puede haber generado para trabajar en memoria con tablas y relaciones obtenidos de una fuente de datos relacional, por ejemplo. Un DataSet contiene, entre otras cosas, una colección de objetos DataTable que, como puede imaginar, son equivalentes conceptualmente a las tablas o relaciones en una base de datos relacional. No voy a entrar aquí a explicar todas las características de este tipo de objetos, pero sí me gustaría recordar que generan dos eventos con el fin de notificar de los cambios que sufren. Estos eventos son RowChanged y RowDeleted, y se lanzan cuando se cambia algún valor  o cuando se elimina una fila de la tabla respectivamente. ... [Más]

Cómo saltarse la protección de los cortafuegos por software

Me ha llamado poderosamente la atención este artículo del reciente número 62 de Phrack Magazine. En él se estudian los fundamentos del funcionamiento de los cortafuegos por software en el sistema operativo Windows. Después se ilustran dos métodos que un virus o programa mailintencionado podría emplear para comunicarse con el exterior de un sistema protegido, anulando el cortafuegos. Aunque no seas un programador de virus seguro que puedes aprender algo nuevo con él (te advierto es algo "espeso").

Ya está disponible DotNetmania de Julio/Agosto

Esta semana ha salido por fin el número de Julio/Agosto de la revista especializada en desarrolladores .NET: dotNetMania (www.dotnetmania.com). Portada de Julio/Agosto(pulsa para ampliar) Es especialmente interesante el tema central del mes, Biztalk Server 2004. El artículo de Pepe Hevia (muy extenso) es muy interesante y deja clarísimas las posibilidades de este producto. También se tratan, entre otros temas, el envío de correo electronico desde aplicaciones .NET, el diseño de arquitectura de aplicaciones o la persistencia de objetos. Yo también tengo presencia en este número con un (pienso que) interesante artículo sobre seguridad de IIS que forma parte de una serie que iré desarrollando en los próximos números de la revista. En esta ocasión vemos los distintos métodos de autenticación que nos ofrece IIS, el concepto de suplantación de usuarios y cómo su uso afecta a la seguridad de nuestras aplicaciones ASP y ASP.NET. Te recomiendo que te suscribas.

Cómo generar identificadores (GUID) en .NET

Un GUID es un conjunto de números que constituyen un identificador único (Global Unique IDentifier), es decir, que tiene la particularidad de que es imposible (al menos en teoría) generar otro idéntico aunque usemos el mismo algoritmo. Sus utilidades son muchas pero obviamente todas se refieren a la necesidad de identificar de manera úica alguna entidad, dato u objeto, de forma que lo podamos distinguir de cualquier otro independientemente de cómo, cuándo y dónde haya sido generado. Es especialmente útil en aplicaciones de bases de datos para identificar de manera única registros de diversas tablas (o de una sola si no usamos autonuméricos). Antes de .NET, sobre todo si programabas con Visual Basic, un truco muy socorrido para generar este tipo de GUID era utilizar SQL Server para generarlos, empleando la siguiente consulta: SELECT NEWID() que devuelve expresiones similares a esta: 9035DEC7-A6C2-4B1B-AA99-37401965E7C0 Lo malo es que si no teníamos SQL Server no nos servía el tru... [Más]

Amena y Windows Mobile: publicidad engañosa. Mi personal odisea.

Amena, un operador de telefonía móvil de España, lazó a bombo y platillo a los medios durante el mes de Junio de 2004 la noticia de que iba a introducir por primera vez en el mercado español el sistema operativo Windows Mobile Smartphone. Esta afirmación es ya de por si engañosa puesto que los terminales que oferta están disponibles desde hacía bastante tiempo y de hecho son bastante anticuados ya. Pero eso sí, fue el primer operador en ofrecerlos dentro su catálogo sin ser como terminal liberado. Bien, el caso es que me enteré de la noticia el día 24 de Junio, a través de PC World (noticia original). En ella se decía textualmente que "han presentado el primer terminal móvil con el sistema operativo para Smartphone en España" y que "con una oferta de lanzamiento que permite enviar y recibir correo electrónico sin límite por 18 euros al mes", si bien a partir de noviembre la tarifa sería de 25 euros. Esta misma noticia salió en muchos otros medios tanto digitales como impresos, e inclu... [Más]

Mi propia página en Microsoft ;-)

Nunca lo hubiera pensado, pero resulta que por ser MVP de ASP/ASP.net, ahora tengo una página dedicada en Microsoft (como todos los MVP que lo deseen) ;-) Es una tontería pero me ha hecho gracia, así que lo he puesto aquí... Si quieres puedes verla pulsando aquí.

Modelado de amenazas: herramientas y referencias

El modelado de amenazas es el proceso de análisis de las aplicaciones, previo a su desarrrollo, que nos permite diseñar nuestras aplicaciones desde el punto de vista de la seguridad. A pesar de su importancia un gran porcentaje de los programadores no tienen en cuenta la seguridad de las aplicaciones cuando programan, y los arquitectos de soluciones tampoco suelen hacer un análisis formal de este aspecto. Se tiende a pensar que la seguridad es un problema de los administradores de sistemas, cuando en realidad una aplicación mal desarrollada puede ser el mayor problema de seguridad existente en una empresa por muy bien protegidos que se encuentren los sistemas y las comunicaciones. El libro Writing Secure Code 2nd Edition (de lectura obligatoria en Microsoft), en su capítulo 4 introduce la importante técnica llamada "Modelado de amenazas" que persigue minimizar los riesgos inherentes a la falta de seguridad atajándola desde el propio diseño de las aplicaciones. Ahora acaba de aparece... [Más]

Athens PC: el futuro de los ordenadores de oficina según Microsoft

Microsoft junto con otras empresas del sector están haciendo I+D para desarrollar el PC del futuro orientado a los negocios y las oficinas. Se trata de Athens PC, y según la propia empresa afirma está destinado a cambiar sustancialmente la forma de trabajar y la productividad de los trabajadores. El ordenador en cuestión poseerá multitud de características interesantes y aunará en un sólo equipamiento todas las comunicaciones de la empresa: voz, vídeo, teléfono, correo electróonico y mensajería instantánea. Entre otras características interesantes está su bajísimo consumo, ni un solo cable, mejoras espectaculares en la usabilidad, encendido inmediato (como un PDA), estupenda visibilidad, etc... Microsoft insiste en que ofrecerá enormes oportunidades para la industria del Hardware informático si te apuntas al carro ahora y para convencerte de ello ha puesto esta página sencilla de información: The Athens PC - Industry Opportunities. Desde ella puedes descargarte un White Paper con... [Más]