A statisztikai modellezéseknél és számításoknál használatos R megérkezett a Visual studióba: Introducing R Tools for Visual Studio

Ehhez nincs mit hozzátenni: Announcing SQL Server on Linux

Csinos az új NetAcademia-főoldal, ugye? (Most az aloldalakról ne beszéljünk, a forradalom szele még nem tart ott...) Sok kacskaringós kísérlet, és különböző mágusok és guruk bevonása, majd kirúgása után mi magunk csináltuk meg az Instapage nevű eszközzel.

https://instapage.com

Mindenkinek melegen ajánljuk. Háziasszonyszintű HTML-tudással lehet vele csinos reszponzív weboldalakat készíteni.

Persze ehhez el kellett olvasni néhány blogot a modern webdizájnról, de annyi baj legyen!

Érdemes ránézni, hogy csinálja a stackoverflow.com:

Stack Overflow: The Architecture - 2016 Edition

A mikroservice-k se semmik, de Mark Russinovich véleménye, aki, mint tudjuk, egy regényíró :-), igazán fontos:

https://azure.microsoft.com/en-us/blog/microservices-an-application-revolution-powered-by-the-cloud/

Martin Fowler hosszabb írása a témában: http://martinfowler.com/articles/microservices.html

Otthonok biztonsági kameráinak felügyeletét átvevő hackerek, banki vagy éppen Facebook-profil azonosítókat ellopó számítógépes bűnözök „munkáját” nehezítheti meg egy új, külföldön már bizonyított fejlesztési módszertan. A NetAcademia Oktatóközpontban mostantól hazánkban is elérhető Certified Secure Programmer képzés révén a webes, asztali, illetve mobil alkalmazások is biztonságosabbá tehetők.

Mark Zuckerberg Facebook-profiljának feltörése, egy biztonságikamera-gyártó megoldásának megkerülése, melynek köszönhetően több száz lakásról került ki élő videofolyam az internetre, mind friss példaként szolgálnak arra, hogy a programozók által elkövetett hibák milyen károkat tudnak okozni. A vállalatok tudják ezt, ezért egyre komolyabb erőforrásokat szánnak meglévő rendszereik biztonsági tesztelésére. Az EC-Council etikus hacker tanfolyamát hazánkban kizárólagosan képviselő NetAcademia Oktatóközpont adatai szerint például Magyarországon már közel 1000-en szerezték meg a Certified Ethical Hacking minősítést, melynek segítségével a már kész alkalmazásokban tárhatók fel a kritikus biztonsági rések. Ugyanakkor a tudatos megelőzés, a biztonsági rések fejlesztési fázisban történő kizárása egyelőre úgy tűnik, hogy nincs fókuszban.

„Alapvető problémát jelent, hogy a fejlesztők képzése jellemzően nem terjed ki arra, hogyan készítsünk megbízhatóan működő, biztonságos alkalmazásokat, s ez a fajta tudás sokszor még elvárásként sem fogalmazódik meg a projektek, illetve az állásinterjúk során” – mondja Fóti Marcell, a NetAcademia Oktatóközpont ügyvezető igazgatója. Márpedig az, hogy valami biztonságos lesz-e, kizárólag a fejlesztőn, illetve az őt foglalkoztató vállalaton múlik.

60-szor többe kerül az utólagos javítás

„Egy szoftver biztonsági réseinek utólagos betömése ráadásul rendkívül költséges. Ha egy kész, piacon lévő alkalmazásban kell a hibákat javítani, az iparági tapasztalatok alapján 60-szor kerül többe, mintha már a tervezés fázisában befoltoznák a kritikus lyukakat, s akkor még nem esett szó az okozott erkölcsi és anyagi károkról” – tette hozzá Balássy György, a tanfolyam oktatatója, a Microsoft regionális igazgatója. Így az etikus hacker tanfolyamokat is jegyző EC-Council adatai sem meglepőek, miszerint a kritikus biztonsági hibák 34 százaléka egyszerűen nem kerül javításra. Az EC-Council ezért egy új tanfolyamot és kapcsolódó minősítést dolgozott ki Certified Secure Programmer .NET néven, melynek keretében a biztonságos programozás módszertanát sajátíthatják el a résztvevők.

Hazánkban a NetAcademia Oktatóközpontban elérhető tanfolyam hallgatói megismerik a .NET keretrendszer és a ráépülő alkalmazások biztonsági szempontból gyenge pontjait, és elsajátítják a biztonságcentrikus alkalmazástervezés és -fejlesztés szemléletét. „A több mint 100 gyakorlati támadási technika kivédésén túl a fejlesztők így képessé vállnak arra, hogy már a rendszer tervezésének fázisában befoltozzák a potenciális biztonsági réseket” – mondta Fóti Marcell. A képzés 20 százalékban elméleti, 80 százalékban gyakorlati – konkrét programozási feladatok végrehajtását megcélzó – órákból áll, segítségével a webes, asztali, illetve mobilalkalmazások is biztonságosabbá tehetők.

TOP 10 webes támadási forma

A Certified Secure Programmer .NET tanfolyamot kidolgozó EC-Council adatai alapján a leginkább nagyvállalatok által használt .NET környezetben az alábbi támadástípusok a legelterjedtebbek. Ezek egytől egyig kivédhetők a biztonságos programozási ismeretek birtokában.

1. Cross-Site Scripting (XSS): A leggyakoribb olyan hiba, ami akár úgynevezett „deface”-eléshez, vagyis a weboldal lecseréléséhez is vezethet. Ha látványos hackelést látunk, XSS-sérülékenység lehet a háttérben.
2. Information leakage: Mások számára hozzáférhetetlen adatok elérhetősége illetéktelenek számára, trükkös adatlekérésekkel.
3. Content spoofing: A támadó módosítja, meghamisítja a böngésző által megjelenített tartalmat, ezáltal például elhitetve a felhasználóval, hogy van még pénze a bankszámláján – miközben már rég leemelték a rendelkezésre álló összeget.
4. Insufficient authorization: A fejlesztő rosszul valósította meg a jogosultságellenőrzést, így a támadó olyan helyekre is bejut, ahol nem lenne semmi keresnivalója. Jó példa erre egy ismert nemzetközi botrány, amikor egy földhivatali adatbázisba bárki vihetett fel új régiót a neten keresztül, ha tudta a megfelelő URL-t.
5. SQL injection: A támadó egy adatbeviteli mezőbe úgynevezett SQL-kódot ír be, ami a szerveroldalon lefutva halálos sebet is ejthet az alkalmazáson.
6. Predictable resource location: Megjósolható, hogy a (web)szerveren hol találhatóak a támadó számára értékes információk. Tipikus példa erre a Citibank weboldalának 2011-es feltörése, amikor egy URL-azonosító átírásával a felhasználók egymás bankszámlájában gyönyörködhettek.
7. Session fixation: A támadó előre meghatározza az áldozat munkamenet-azonosítóját, így később könnyen el tudja téríteni a munkamenetet, meg tudja személyesíteni a felhasználót, eljárhat a nevében.
8. Cross-site request forgery: A támadónak sikerül elérnie, hogy a felhasználó böngészője a felhasználó nevében, az ő jogosultságaival, de a tudta nélkül kommunikáljon egy webszerverrel.
9. Insufficient authentication: A rosszul megvalósított bejelentkezés kijátszható, így a hacker esetleg valós bejelentkezés nélkül is hozzáfér a rendszer fizetős szolgáltatásaihoz.
10. HTTP response splitting: A támadó megszakítja a webszervertől érkező HTTP választ, több részre bontja, amit azután a webböngésző hibásan dolgoz fel.

Kapcsolódó webcímek: 
A biztonságos programozás tematikája: http://www.netacademia.hu/Info/ECSP
Az EC-Council hivatalos ismertetője: http://www.eccouncil.org/Certification/ec-council-certified-secure-programmer-dotnet

A magyar informatikusok közel kétharmadában merült már fel, hogy külföldön keres munkát, és minden tizedik konkrét lépéseket is tett a megvalósítás érdekében. A NetAcademia Oktatóközpont kutatásábólaz is kiderült, hogy a külföldi álláskeresést elsősorban nem a több fizetés, hanem a hazai fejlődési lehetőség és a szakmai továbbképzések hiánya motiválja. A külföldön remélt fizetés egyébként átlagosan a hazai három és félszerese, de ehhez nemzetközi minősítést kell felmutatni.

Tíz informatikusból hét ismer olyan kollégát, aki az elmúlt években külföldön vállalt hosszabb távon munkát, ami jól mutatja, hogy ebben a szektorban már egyáltalán nem ritka, sokkal inkább megszokott a jobb élet reményében történő tartós kiköltözés. A NetAcademia Oktatóközpont friss felmérése szerint a megkérdezettek 58 százaléka maga is fontolóra vette, hogy külföldön keres munkát, 12 százalék pedig már a konkrét lehetőségeket térképezi fel.

Arra a kérdésre, hogy jelenlegi fizetésének hányszorosáért döntene úgy, hogy külföldön helyezkedik el, 3,5-szeres átlagérték született. „A külföldön adódó lehetőségeket figyelembe véve ez az érték – a betöltendő pozícióhoz szükséges nemzetközi érvényű vizsga meglétét feltételezve – reális is lehet. Fejlesztők esetében a Microsoft .NET Framework, míg az üzemeltetőknél a felhőalapú hibrid rendszerek, valamint az etikus hekkelés ismerete nyithat kapukat az informatikusok előtt” – mondta Fóti Marcell, a NetAcademia Oktatóközpont ügyvezetője.

A család sem akadály
A hazai informatikusok mobilitásának magas szintjét támasztja alá az is, hogy a külföldi munkavállalás kérdésében nincs jelentős különbség a családos és nem családos munkaerő elszántságában. Érdekes ellentmondás figyelhető meg ugyanakkor abban, hogy általában véve mit tartanak a legfontosabb vonzerőnek egy munkahely esetében. „A legtöbben – a válaszadók 65 százaléka – egy munkahely fő vonzerejét a szakmai kihívásokban, illetve a rendszeres továbbképzésekben látják, és pont ez az a terület, amiben még van hová fejlődniük a hazai munkáltatóknak és munkavállalóknak” – tette hozzá Fóti Marcell. A kutatás keretében megkérdezetteknek ugyanis mindössze harmada vett már részt a napi munkájához szükséges informatikai rendszerhez kapcsolódó oktatáson, és csak minden tizedik szakember rendelkezik a szaktudását nemzetközi szinten is igazoló minősítéssel.

Ez utóbbi megszerzése egyébként külföldön is jó belépő, a kutatásban részt vevők 73 százaléka szerint egyértelmű versenyelőnyt biztosít nemcsak a magyar, hanem a külföldi álláspiacon is. A NetAcademia azt is megvizsgálta, hogy a külföldre költözést fontolgató informatikusok körében melyek a legnépszerűbb célországok: a listát egyértelműen Anglia vezeti, amit Németország, majd Ausztria követ. Népszerű célpont ezen kívül még az Amerikai Egyesült Államok, Svájc, Hollandia, valamint Ausztrália is.

Béla is no longer programming in C#...
A történet egy fejlesztéssel foglalkozó cégnél játszódik a Föld nevű bolygó egyik nagy irodaházának 3. emeletén. A vezetőség úgy dönt, hogy Bélát, az egyik vezető fejlesztőt nem kívánja tovább alkalmazni, ezért telefonon értesítik őt, hogy meg kéne jelenni a CEO irodájában a céges laptopjával együtt (amelyen egyébként a cég szinte összes alkalmazásának forráskódjai is szerepelnek, és máshol nem igen találhatók meg ezek az anyagok, esetleg csak valami korábbi verzióban). 

Főhősünk jelenleg home officeban dolgozik, így a neki küldött meeting request-re egy új időpontot javasol, ami a következő munkanapra esik, ugyanabban az időpontban. Béla legjobb barátja József, akivel egy boxban fejlesztenek, valamint délutánonként a munkaidő végén egy közeli romkocsmában megbeszélik az aznapi befejezett munkákat, egyébként szintén a vezetőség tagja. A home office ellenére Béla és József meetingje aznap sem maradhat el, így igyekeznek a rezervált asztalukat időben elfoglalni. Ma is a „kutyaharapást szőrével” effektus játszik náluk, azaz az 1-2 tervezett szomjoltó nedű hamar a többszörösére nő, mint egy kikapcsolt spamszűrő esetén az Inbox új elemeinek a száma.

József a kezdeti zsörtölődésén, miszerint elmondja-e Bélának a vezetőség tervét, ez nagyban segít, és hamar a lényegre térve megosztja Bélával azt az infót, hogy a laptopról gyorsan szedjen le minden családi fotót, hiszen a meetingben csak az szerepel, hogy vigye be a CEO-hoz, de az kevésbé, hogy onnan ki is hozhatja (hiszen a küszöböt bentről kifelé átlépve már nem a cég alkalmazottja).

Béla másnap meg is jelenik, mintha nem tudta volna, hogy ki lesz rúgva, annak rendje és módja szerint megdöbben, majd átadja a laptopját és kisétál. A cég informatikusa átnézvén a laptopot arra jut, hogy a benne lévő HDD szépen le lett formázva, így az összes adat elveszett. Kipróbálva néhány alkalmazást, illetve néhány nagyobb nevű adathelyreállító céget, minden és mindenki arra jut, hogy az elveszett információk visszaállíthatatlanok.

A történet után már csak néhány kérdés merül fel bennünk: - Vajon mi történhetett a laptoppal, illetve az adatokkal? - Vajon helyes volt-e József magatartása? (És persze nem a szokásos meetingre gondolunk) - És egyáltalán vajon helyes-e csakis egy hordozható eszközön tárolni fontos fájlokat?

És persze a legfontosabb kérdés, hogy lehet-e valamit tenni az ehhez hasonló esetek elkerülésének érdekében? A válasz "Igen": részt kell venni egy CISSP-tréningen, ahol rengeteg problémára választ kapunk!

Redundáns az optikánk:
-Redundáns az optikánk.- jelentette ki büszkén az egyik ügyfelem. Még szerencse, hogy rákérdeztem.

Elmondta, hogy a telephelyük épületeit összekötő optikai kábelben van összesen nyolc optikai ér, amiből ők csak négyet használnak.  Tehát, ha valami történne valamelyik érrel, akkor csak egyszerűen lecserélik azt a szabadon maradt erek egyikével. Redundáns, a vak is látja.

A CISSP-terminológia szerint a redundancia az, ami azt biztosítja, hogy az IT rendszer bármilyen meghibásodás esetén is működőképes maradjon. Tehát, az optikai kábel redundáns, ha az azt ért bármilyen meghibásodás esetén az adatátvitel még működőképes marad, vagy nagyon rövid idő alatt működőképessé tehető.

Tud nekem valaki olyan káreseményt mondani, mikor a nyolc érből álló kábel úgy sérül meg, hogy abból négy ér még működőképes marad? Persze kreálni lehet, de azt is csak a dugóknál. A hétköznapi életben viszont markolók, lapátos bácsik, vagy tetőfedő-bádogosok veszélyeztetik az optikai kábeleket. Azok pedig nem tudnak négyet roncsolni, csak mind a nyolcat.

Milyen akkor az igaz redundancia?
Hát olyan, mikor a rendőr két jegyet lyukaszt a buszon. Mikor megkérdezi az ellenőr, hogy miért használ két jegyet, akkor a rendőr elmondja, hogy ha elhagyja az egyiket, akkor még mindig ott van a másik.
- Ezzel az erővel elhagyhatja mind a kettőt is. – mondja az ellenőr. 
Mire a rendőr a másik zsebére mutatva megszólal: - Itt van a bérlet!