The Will Will Web

記載著 Will 在網路世界的學習心得與技術分享

ASP.NET 發現重大資安弱點影響範圍涵蓋 ASP.NET 1.0 ~ 4.0

幾天前有兩位資安研究員 (Thai Duong and Juliano Rizzo) 發現了一個 ASP.NET 的資安弱點,主要的點出在 .NET 實做 AES 加解密演算法的問題,駭客透過這個弱點即可在短時間內猜出你網站的加密金鑰進而入侵你的網站系統,在 ASP.NET 裡使用到加解密的地方非常多,像是 Forms Authentication 與 ViewState 都是非常常見的功能,加密金鑰 (MachineKey) 被猜到之後就可以讓駭客用任意身份使用你的網站或任意竄改 ViewState 中的狀態資訊,嚴重性非同小可,各位一定要即時因應。

... 繼續閱讀 ...

講解 SQL 連線字串中關於 Application Name 參數的用途

在有多個應用程式使用相同 SQL 登入帳號存取 SQL Server 資料庫時,經常會無法在 SQL Server 管理介面中分析連線來源到底是誰,例如同時有一個網站與另一個 Windows 服務同時都在運作並連接資料庫的時候。遇到這種情況如果當資料庫發生負載過重時經常無法有效區別出到底是哪個應用程式發生問題,這時就可以利用今天的技巧來協助分析。

... 繼續閱讀 ...

介紹好用函式庫:NLog - Advanced .NET Logging

最近這陣子已經都改用 NLog 當作 .NET 應用程式的追蹤記錄工具 ,使用方式log4net 非常像,不過設定檔簡單多了,非常容易上手,而且 NLog 支援非常多種儲存記錄的形式(Target),例如儲存至檔案資料庫ConsoleEvent Log 或透過 EmailTCP 或 UDPSOAP (Web Service)、MSMQ 傳送出去等等非常多種形式,除此之外,在 Visual Studio 中還支援設定檔的 Intellisense 支援。

... 繼續閱讀 ...

ASP.NET 4.0 安裝在 IIS6 最常遇到的四個問題

昨天同事將一個 ASP.NET 4.0 的網站安裝到客戶的 IIS6 主機上 (測試環境),結果過程非常不順利,他們曾經一度覺得客戶的主機不知道經過幾隻手蹂躪過了(因為有好多人在共用 Administrator 帳號)進而產生排斥安裝在客戶主機以及 “為什麼我們要用 ASP.NET 4” 的感覺,不過在一群人的努力之下最後還是克服了困難,我特別因此寫下筆記,相信這些問題有其他人也可能會遇到。

... 繼續閱讀 ...

分享幾個 Visual Studio 2010 專案升級後無法編譯的問題

若使用 Visual Studio 2010 升級現有 ASP.NET 2.0 / 3.5 的專案到 ASP.NET 4.0 在大部分的情況下應該都沒問題才是,就算你在開啟就專案時選擇「不升級」照理說也應該沒問題,但前陣子在測試的過程中還是遇到了幾個不管升級到 ASP.NET 4 還是保留在原本的 ASP.NET 3.5 都有遇到網站進行編譯的情況,以下是一些經驗分享。

... 繼續閱讀 ...

VS2010 上市發表會:Web 開發效率提昇 - ASP.NET 4.0

今天是 Visual Studio 2010 上市發表會 (台北場) 的日子,這段時間無不用盡心思研讀文件與撰寫簡報,為了就是能夠完美演繹我今天講的主題【 Web 開發效率提昇 - ASP.NET 4.0 】,這是我第一次講這麼多人的場次,感覺應該要緊張才對,神奇的是今天上台完全沒有緊張感,我覺得可能是準備充分的關係,昨晚又拉公司同事下來聽我預演到晚上 11:30 (萬分感謝),所以心理感覺很踏實,雖然最近嚴重睡眠不足,但這次學到一次寶貴的演說經驗,感覺蠻開心的。

... 繼續閱讀 ...

ASP.NET 4 快取 API 有兩種:Cache 與 ObjectCache

ASP.NET 從最早期的版本就實做了一套好用的快取機制 (System.Web.Caching.Cache),一直以來任何非 ASP.NET 的應用程式 (例如 WinForm, WPF, Console, WinService, …) 若要使用快取機制都必須將 System.Web.dll 參考進專案才能使用,但從 .NET 4.0 開始出現了另一個擴充性更強的快取機制,稱為 Object Caching (物件快取) 機制,未來這兩套快取機制將各司其職、相輔相成。

... 繼續閱讀 ...

ASP.NET 4 為何能將預設的 Web.config 變的如此乾淨

從 ASP.NET 2.0 到 ASP.NET 3.5 就一直有新功能加入到 ASP.NET 框架中,例如 ASP.NET AJAX , ASP.NET Dynamic Data , ASP.NET Routing , ASP.NET Chart Control 等等,越來越多的功能導致 Web 專案預設的 Web.config 設定越來越肥,到了 ASP.NET 4 終於將一些常用的設定值全都放進 ASP.NET 4 的核心,現在 Web.config 只剩下 6 行就可以運作,這到底是怎麼辦到的呢?預設的設定檔又加入了哪些東西?

... 繼續閱讀 ...

解決 OutputCacheLocation 指定為 ServerAndClient 的問題

Web 效能調校博大精深,眉眉角角的細節之多實在難以整理,我想大部分人也都跟我一樣,也是從一次又一次與茶包戰鬥中累積經驗,這次又遇到了一個有趣的問題。當我想將頁面設定輸出快取時,可能會希望同時快取在伺服器端(Server)與用戶端(Client),因此在設定 OutputCache 時有個 Location 屬性,我們會將其設定為 ServerAndClient 或 Any,但是你可否知道即便你這樣設定,一樣無法快取網頁內容於用戶端(Client),所以單單這樣設定並沒有達到我們真正想達到的目的 ( 同時在 Server 與 Client 快取網頁 )。

... 繼續閱讀 ...