MaxiASP.Net [beta]

ASP.Net MVC 3'ün RC (Release Candidate) versiyonu duyuruldu.

Her zaman ki gibi bu güzel haberi, detaylı bir yazıyla duyuran Scott Gu, birkaç hafta geri bildirimleri toplayıp son hataları düzelttikten sonra stabil sürümün çıkacağını bildirdi.

Scott Gu'nun yazısını okumak için tıklayınız | ASP.Net MVC 3'ü İndirmek için Tıklayınız

Asp.Net asp.net, mvc, razor engine, model view controller

28 Eylül 2010 günü Microsoft Download Center'dan yayınlanan ASP.Net açığı için hazırlanan yama artık Windows Update ve Windows Server Update Services'tan artık indirilebilir durumda.

Microsoft Download Center'dan uygun versiyonu bulup kurmakta sıkıntı yaşayanlar için Windows Update üzerinden çok daha basit şekilde bu güncellemeyi kurabilirler.

Sunucularınızın ve sunucularınızdaki sitelerin güvenliği için lütfen güncellemeyi ihmal etmeden en kısa sürede kurunuz.

Güncelleme yapıldıktan sonra, sunucu üzerinde bulunan sitelerdeki cookie (çerez) tabanlı veriler kaybolacaktır. Örneğin sitelerin çerez tabanlı olarak tuttukları "Beni Hatırla" özellikleri. Bu durumda kullanıcıların tekrar oturum açması gerekmektedir. Daha sonra sorun ortadan kalkmış olacaktır.

Asp.Net asp.net, açık, vulnerability, kritik, yama, windows update

Bugün sabah saatlerinde duyurduğumuz üzere Microsoft ASP.Net ortaya çıkan kritik hatayı kapatacak yamayı yayınladı.

Yamayı indirmek için tıklayınız.

Scott Gu'nun ilgili yazısına ulaşmak için buraya tıklayınız.

Asp.Net asp.net, açık, vulnerability, kritik, yama

Yaklaşık iki haftadır ASP.Net dünyasında konuşulan tek konu olan ASP.Net'te ortaya çıkan kritik açığın kapatılması için hazırlanan yamanın hazır olduğu ve TSİ 28 Eylül 2010 19:00'de Microsoft Download Center üzerinden indirilmeye açılacağını Scott Gu bildirdi.

Hazırlanan yamanın iyice test edildiğini bildiren Gu, şimdilik sadece MDC üzerinden dağıtılacağını bir iki gün içinde Windows Update ile dağıtılmaya başlanacağını yazmış.

Bu yama kurulduktan sonra daha önce önerilen geçici çözümlere artık gerek kalmazken, yine de ayarların o şekilde tutulmasının daha iyi olduğunu belirtmemiz gerek.

Microsoft ayrıca bu açık ve çözümü ile ilgili de bir webcast planlıyor, TSİ 28 Eylül 2010 23:00 de ki web cast'e katılmak için buraya tıklayabilirsiniz.

Microsoft Security Response Center blog postunu okumak için buraya tıklayınız, Microsoft Security Bulletin duyurusu için buraya tıklayınız.

Asp.Net asp.net, açık, vulnerability, kritik

ASP.Net ortaya çıkan kritik hatanın SharePoint'i de etkileyeceğini söylemiştik. ASP.Net tarafında açığın kapatılması için Scott Gu'nun çözüm yolunu da yazmıştık.

Aşağıda ise bu açığın SharePoint tarafında kapatılma yöntemi bulunuyor.

1. %CommonProgramFiles%\Microsoft Shared\Web Server Extensions\12\template\layouts klasörüne error.html isimli bir dosya koyun.

2. %SystemDrive%\inetpub\wwwroot\wss\virtualdirectories klasörü altındaki alt klasörlerin her birinde bulunan web.config dosyasına aşağıdaki kodu ekleyin

<customErrors mode="On" defaultRedirect="/_layouts/error.html" />

IISRESET /NOFORCE komutu ile IIS'i resetleyin.

Detaylı bilgi için tıklayın

Asp.Net, Sharepoint asp.net, açık, vulnerability, kritik, sharepoint

Bir taraftan ASP.Net te bulunan çık konuşulurken, bir taraftan da Microsoft web uygulamalarınızın en iyi ayarlar ve güvenlik modeliyle canlıya alınmasında size yardımcı olmak üzere Web Application Configuration Analyzer'ı (WACA) çıkarttı.

Bu araç Microsoft tarafından kullanılan 140'tan fazla kurala göre sunucunuzu denetliyor ve size bununla ilgili bir rapor sunuyor. Özellikle internete açık sunucu bulunduran kişilerin sunucularını test etmesi için çok uygun olan bu araç, yazılımcılar için de yazılımlarının sunucu için güvenlik açıkları oluşturup oluşturmadıklarını test etmek için son derece faydalı.

Aracı buraya tıklayarak indirebilir, Channel9'daki demo videosunu buraya tıklayarak izleyebilir ya da konu hakkında daha detaylı bilgi almak için buraya tıklayabilirsiniz.

Asp.Net waca, web application configuration analyzer

ASP.Net'te ortaya çıkan kritik hata .Net dünyasını ciddi manada sallamış durumda. Hata tüm ASP.net versiyonlarında ve Sharepoint'te bulunduğu için Microsoft kullanıcıları sürekli bilgilendiriyor. En son Scott Gu açık hakkındaki sık sorulan soruları yanıtlayan bir yazı yayınladı.

Yazıdan bazı sorular ve cevaplar aşağıdaki gibi:

S: Microsoft bu açığı gidermek için bir yama yayınlayacak mı?

Evet Microsoft şu an bir yama üzerinde çalışıyor. Tam olarak bitip test ediliği zaman Windows Update üzerinden yayınlanacak.

S: Bu sorun hem ASP.Net Web Forms hem de ASP.Net MVC için mi?

Evet, sorun tüm ASP.Net uygulamalarında bulunuyor.

S: Sharepoint'te açık var mı?

Evet, Sharepoint'te temelde ASP.Net kullandığı için açık onda da mevcut.

S: Herhangi bir saldırı network veya IIS loglarında nasıl görünür?

Web sunucunuzun loglarında çok fazla HTTP 500 ve 404 hatası alındığını göreceksiniz. Böyle yoğun hatalar gördüğünüz zaman isteklerin geldiği IP'leri bloklayabilirsiniz. Hata  sunucunun Application Event Log'unda aşağıdaki gibi görülecektir.

Event code: 3005

Event message: An unhandled exception has occurred.

Event time: 11/11/1111 11:11:11 AM

Application information:

    Application domain: c1db5830-1-129291000036654651

    Application Virtual Path: /

Exception information:

    Exception type: CryptographicException

    Exception message: Padding is invalid and cannot be removed.

S: Web.config dosyamda bulunan gizli bilgileri saklamanın en güvenli yolu nedir?

En iyi yol bunları şifrelenmiş halde tutmaktadır. 

Genel olarak Scott Gu'nun değindiği soru ve cevaplar böyle, tüm yazıya ulaşmak için bu linki kullanabilirsiniz.

Asp.Net asp.net, açık, vulnerability, kritik

Geçtiğimiz hafta bir çok blog'da ASP.Net versiyonlarında bir açık olduğuna dair haberler görmüşsünüzdür. Ancak açığın ciddiyeti yüzünden bir kez daha tekrarlamak istiyorum.

Açık, kötü niyetli kişilerin ASP.Net'in istemi tarafından ulaşılamayan dosyalarına (örn: web.config) ulaşılmasına olanak sağlıyor. Zaten bu bile yeterince ciddi bir tehlike oluşturuyor, zira .config dosyaları birçok gizli bilgi (örn: veritabanı bilgileri) içeriyor olabilir.

Şimdilik açığı kapatmak için bir yama yok, tavsiye edilen ise ASP.Net'in hata sayfası olarak belirli bir sayfayı ayarlamak. Bunu yapmak için aşağıdaki adımları takip edebilirsiniz.

web.config dosyanızda <customErrors> bölümünde aşağıdaki değişiklikleri yapın.

<customErrors mode="On" defaultRedirect="~/error.html" /> 

Asp.Net asp.net, açık, vulnerability

Eminim hala ASP.Net 1.1 ile uygulama geliştirenler vardır, özellikle yazılım firmalarında yıllar önce başladıkları ve bir türlü cesaret edilip değiştirilemedikleri ASP.Net 1.1 uygulamaları ve tabi ki zamanın en iyi IDE'si Visual Studio.Net 2003 vardır.

Bir tarafta her gün bir özelliği anlatılan Visual Studio 2010 dururken, VS 2003'ten sıkıldıysanız MSND Magazine'in bu ay yayınlanan sayısındaki Migrate Your ASP.NET 1.1 Apps to Visual Studio 2010 yazısı tam size göre.

Visual Studio, Asp.Net asp.net, visual studio, visual studio 2010, asp.net 1.1

ASP.Net dünyası yaklaşık 1 yıldır MVC ile yatıyor, MVC ile kalkıyor. Model View Controller kelimelerinin baş harflerinden isimlenen MVC yapısı alıştığınız ASP.Net programlama yapısından oldukça farklı bir açılım getiriyor.

Özellikle son 1 haftadır bu konuda önemli gelişmeler olmakta, öncelikle ASP.Net MVC RC 2 yayınlandı.

Ardından Scott Gu'nun içinde bulunduğu bir ekibin wrox yayınlarından çıkmak üzere olan ASP.Net MVC 1.0 kitabının duyurusu yapıldı ve kitabın amazon.com'da ön siparişte olduğu duyruldu. Ayrıca Scott Gu kendi sitesinde bu kitabın bir bölümünü PDF olarak yayınlıyor.

Eğer siz de bu konuya eğilmek istiyorsanız, ASP.Net MVC'nin resmi sitesine bakabilir, Scott Gu'nun blog'unu takip edebilir ve başlangıç olarak ASP.Net MVC ile yapılmış örnek projeleri inceleyebilirsiniz.

Asp.Net