Dziury i wycieki tygodnia – SHA1 i Cloudbleed

Moja wiedza z zakresu bezpieczeństwa jest zdecydowanie zbyt mała, żebym mógł startować nawet do podstawowego zakresu wiedzy “bezpiecznika”. Dlatego zwykle posiłkuję się opiniami ludzi mądrzejszych, którzy w tych kwestiach wiele już widzieli i wiele wiedzą.

Ubiegły tydzień był dość obfity w głośne wydarzenia związane z zagadnieniem bezpieczeństwa. Z jednej strony “złamanie” SHA1, z którego korzysta wiele systemów (w tym np. raczej istotne dla developerów narzędzie – git). Z drugiej dziurawy Cloudflare, w którym bug parsera powodował wysyłanie kawałków pamięci (kawałki cache różnych stron, użytkowników Cloudflare) w sposób z grubsza losowy do zdecydowanie nieuprawnionych odbiorców.

Nie chcę się wdawać w szczegóły, zwłaszcza, że jak już napisałem, mogę ze swoją wiedzą najwyżej namieszać. Polecam jednak lekturę na oba tematy, bo jak o czymś jest głośno, to warto sięgnąć do porządnych źródeł i ogarnąć temat.

O SHA1 napisał Tomasz Onyszko, czyli rodzime podwórko – polecam bardzo – Cicho SHA1.
O problemie Cloudflare bardzo konkretnie z kolei wypowiedział się Troy Hunt, można powiedzieć wyciekowy celebryta 😉 ale naturalnie także świetny specjalista – Pragmatic thoughts on #CloudBleed.

Oba wpisy to kawał sensownej lektury – mnóstwo opinii, ale także odsyłaczy do informacji źródłowych, opisów problemu, wskazania chronologii powstawania informacji i historyczny umiejscowienie problemów. Rzetelne opracowania.

 

Logic Apps Refresh!

Kolejna, obok funkcji, platforma do szybkiego robienia czegoś z niczego doczekała się ulepszeń. Co tam przede wszystkim?

  • Usprawniony edytor
  • Ułatwienie korzystania z własnych API Apps
  • Managed API do wykorzystania zamiast deploymentu gotowego API do własnej usługi – lista dostępnych obecnie API tutaj, a już zapowiedziano jej rozbudowę w ciągu najbliższych miesięcy
  • Webhooki! Logic App potrafi teraz odpalić z HTTP POST requesta, więc można go podpiąć pod całe mnóstwo zdarzeń w zewnętrznych systemach i wykonywać swoje operacje kiedy tylko owe zdarzenia “odpalą”

A podobno do tej pory było łatwo z ich pomocą zrobić integrację usług? No to teraz to ja już nie wiem.

Źródło: https://azure.microsoft.com/en-gb/blog/logic-apps-preview-refresh-released/

Fun with Functions – Proxies (NEW! HOT!)

Dziś pojawiła się w portalu nowa funkcjonalność (pun!) dla funkcji i to całkiem fajna. Można zdefiniować sobie Proxy, czyli taki Route, jak w API, rozwijający się z parametrami w inny URL prowadzący do backendu.

Przykładzik:

Continue reading “Fun with Functions – Proxies (NEW! HOT!)”

Niespodzianka powiększonej quoty

Na przełomie poprzedniego i bieżącego roku pierwszy raz miałem przyjemność (czy też coś w rodzaju przyjemności) przeprowadzać operację powiększenia quoty na jednej z usług, konkretnie na Notification Hub Namespace.

Ograniczenie stanowiła maksymalna liczba hubów, które można założyć w pojedynczym namespace (w przypadki Tieru Standard – 100). Potrzeba posiadania ponad 100 hubów może się wydać nieco dziwna, ale jednak jest realna. Przy specyficznej działalności wydawniczej w zakresie aplikacji mobilnych, nie jest to szczególnie trudne do osiągnięcia, zwłaszcza dla większych wydawnictw. Continue reading “Niespodzianka powiększonej quoty”

Wieczór z webinarem

Udało się mi wreszcie skorzystać z webinaru. Było to przedsięwzięcie zorganizowane przez Predicę. Na poprzedni spod tej marki, security z Tomaszem Onyszko, niestety nie udało mi się dotrzeć. Tym razem też nie było łatwo bo w połowie Cognitive Services obudziło mi się dziecko. Jakiś czas posłuchało sobie troszkę o botach u taty na rękach, ale przy Big Data odpadło i trzeba było iść wykąpać ;).
Trochę mnie to wybiło z rytmu i w sumie nawet pytania żadnego nie zadałem, a szkoda. Może innym razem, może inną drogą, ale takie pytania “w świetle community” i w większym gronie mają moc budowania ciekawych rozmów i wymiany doświadczeń z wielu stron.
Będę się starał powtarzać. Podziękowania dla prowadzącego i gości.

PaaS Security – best practices

Już pisałem, że PaaS to jest to, co w chmurze tygryski lubią najbardziej (a przynajmniej co ja lubię). Dziś na MSDN Blogs trafiłem na wpis, który linkował do trzech świeżo (koniec stycznia) opublikowanych artykułów związanych z security:

Do moich zastosowań codziennych – idealne. Ale ale! Żeby nie było, że tylko App Service i Azure SQL. Artykuły znajdują się w dziale Azure / Security dokumentacji, gdzie znaleźć można też dość świeże informacje o zabezpieczaniu Storage (to jest dopiero gruby wpis!), IoT i innych usług (już niekoniecznie PaaSowych).

Konkretna sprawa, zdecydowanie warta uwagi. Zacznę sprawdzać jak te wytyczne mają się do tego co mam w swoich usługach i jak już wszystko poprawię to się może pochwalę.

AzureDay Hackathon 2017 countdown

Za niespełna trzy tygodnie jest w stolicy taki nieśmiały event, AzureDay Hackathon 2017. Trzy ścieżki tematyczne, warsztatowo – ćwiczebno – twórcze. No i się zapisałem. Na ścieżkę Data. Z Łukaszem Gralą.

Czas spojrzeć prawdzie w oczy – muszę się chociaż trochę przygotować. Wiem co Łukasz potrafi zrobić z mózgiem człowieka w ciągu godzinnej sesji, strach się bać co pokaże podczas całodziennego eventu. Czasu jest za mało na rzetelne poznawanie wszystkiego, więc uciekamy się do oszukiwania! 😉 Azure Machine Learning Cheat Sheet. Muszę się chociaż trochę ogarnąć bo inaczej będzie rzeź niewiniątek.

No ale do odważnych świat należy, ekspertem to z pewnością nie zostanę, ale, że czuję, że w działce Data mam najpoważniejsze braki to zafunduję sobie dawkę końską. Zobaczymy ile z tego zostanie na stałe 😉

Fun with Functions – tanie schedulowanie

Jest taka usługa w Azure jak Scheduler. Usługa jak usługa – pozwala odpalać pewien zestaw akcji, zasadniczo przewidzianych pod kątem webjobów, via request HTTP (do tych ręcznie wywoływanych) albo via kolejka (do tych continuous) o zadanym czasie. Ma różne opcje i udogodnienia, ale ma też wady – przede wszystkim raczej proste ustawienie cyklu, ogarnia co prawda strefy czasowe, ale czas letni/zimowy już nie, w dodatku w opcji bezpłatnej wykonywać można najczęściej co godzinę. Continue reading “Fun with Functions – tanie schedulowanie”

Fun with Functions – pierwsze kroki z VS

No więc jak napisałem tak zrobiłem – udało mi się wcisnąć instalowanie dodatków do VS między kąpanie jednego, a drugiego dziecka i oto się bawię. Muszę przyznać, że pierwsze wrażenie bardzo dobre. O ile różne projekty można z VS dość szybko wyklikać to jednak większość z nich jest rozbudowana, trzeba czasami ogarnąć coś w strukturze, gdzieś się połapać co jak zrobione, a tu nie. Funkcje jak wiadomo w swojej naturze miały być relatywnie proste i taki stan udało się całkowicie zachować od strony VS. Ktoś może powiedzieć, że nic wielkiego i żadne wielkie halo, ale rzeczywistość pokazuje, że spartolić można wszystko. Pierwsze wrażenie pozostaje na dłużej. Continue reading “Fun with Functions – pierwsze kroki z VS”

Brace yourselves, functions are coming

Używam Azure Functions. Coś tam tutaj nawet o nich wspominałem. Czasem się lubiliśmy bardziej, czasem mniej, ale zasadniczo nastały ostatnio czasy względnej stabilizacji jak sądzę (wersja 1.0 do czegoś zobowiązuje, chyba…) i coś bym z nimi znowu zawalczył. Przyznaję, że do tej pory trochę z braku jakichś poważniejszych rozwiązań oraz nieco z lenistwa korzystałem tylko z tego, co oferuje portal. No ale ileż można pisać kod w okienku przeglądarki? To jest jednak smutne i debugging na oko, z logiem do konsoli jest delikatnie mówiąc partyzanckim rozwiązaniem. Dlatego jutro zabieram się (o ile nie prawo Murphy’ego) za ogarnięcie się pod tym kątem. Znalazłem nawet odpowiednio obszerny opis co połapać, żeby pracowało się miło i przyjemnie. Jeśli ktoś ma ochotę bawić się ze mną, to tutaj można poczytać co jutro będę klikał.
Do zobaczenia niebawem w kolejnym odcinku “Fun with Functions” 😉