MSDN Online Deutschland: Developer Center Security: News & Infos (RSS-Feed)

Windows Azure ist da

Wed, 18 Nov 2009 00:00:00 GMT

Auf der PDC (Professional Developers Conference) 2009 hat Microsoft die sofortige Verfügbarkeit der Windows Azure-Plattform bekannt gegeben; Microsofts Cloud-Computing-Plattform, auf die Kunden und Microsoft-Partner Software hochladen können, um diese in Microsoft-Rechenzentren zu betreiben - ganz ohne Administrationsaufwand. Die umfangreiche Windows Azure-Plattform umfasst eine große Auswahl an Tools, um funktionsreiche Anwendungen für verschiedene Geräte und über eine breite Nutzerschicht hinweg zu erstellen, von Desktop-PCs über Smartphones und das Web bis hin zur Cloud. Sie ermöglicht dabei die Weiterentwicklung bestehender Anwendungen sowie das Erzeugen neuer Cloud-Applikationen. Mehr Informationen und Entwickler-Tools für Windows Azure gibt es auf unserer Zielseite und auf dem deutschen Launch-Event am 26. November auf der CloudConf in Stuttgart.

Microsoft stellt Security Development Lifecycle-Prozess für Agile Softwareentwicklung vor

Wed, 11 Nov 2009 00:00:00 GMT

Die Microsoft Trustworthy Computing Group hat neue Richtlinien für den Security Development Lifecycle (SDL)-Prozess herausgegeben. Dies wurde am Dienstag auf der Tech·Ed Europe 2009 in Berlin bekannt gegeben. "SDL for Agile Development" ermöglicht noch mehr Entwicklern die Nutzung anerkannter Sicherheitspraktiken. Damit können sie Microsofts SDL-Prozess auch im Agilen Entwicklungsprozess direkt in ihre Softwareentwicklungsumgebungen integrieren, um die Sicherheit ihrer Anwendungen zu erhöhen.

Microsoft Security Intelligence Report: Würmer sind wieder im Kommen

Wed, 04 Nov 2009 00:00:00 GMT

Microsoft hat den siebten Microsoft Security Intelligence Report (SIRv7) veröffentlicht. Demnach ist in Unternehmen die Infektion mit Computer-Würmern während der ersten Jahreshälfte 2009 im Vergleich zum Vorhalbjahr weltweit um fast 100 Prozent gestiegen. Auch gefälschte Sicherheitssoftware bleibt eine große Gefahr für Kunden, obwohl 20 Prozent weniger Anwender davon betroffen waren. Am deutlichsten zurück ging die Trojaner-Familie Zlob, die vor zwei Jahren noch die größte Bedrohung darstellte, und zwar seitdem um das Zehnfache. Dies liegt zu einem großen Teil an Microsofts Aktivitäten zur Entfernung dieser Schadsoftware sowie der sorgfältigen Software-Aktualisierung durch Kunden. Weitere Informationen im Microsoft Presseservice.

Software nachträglich sichern mit dem Enhanced Mitigation Evaluation Toolkit

Fri, 30 Oct 2009 00:00:00 GMT

Nachträglich gegen Sicherheitsprobleme absichern lässt sich bestehende Software mit dem jetzt von Microsoft veröffentlichten Enhanced Mitigation Evaluation Toolkit (EMET). Motivation, Zielsetzung und Anwendung des kostenfreien Toolkits beschreiben Fermin J. Serna und Andrew Roths vom Microsoft Security Response Center in einem Blogbeitrag zur Veröffentlichung des Toolkits.

MSDN macht blau: Neues Logo, neues Design, neue Online-Features

Mon, 19 Oct 2009 00:00:00 GMT

Mit einer Komplettrenovierung startet MSDN Online in diesen Tagen neu durch. Das Microsoft-Portal für Entwickler will mit der Überarbeitung künftig in gleich fünf Feldern besser punkten: bessere Hilfe, mehr Community-Beteiligung, schnellerer Zugang zu Downloads, umfassende Produktinfos und aktuelle News-Updates, mit denen Sie in Sachen MSDN immer auf dem Laufenden bleiben. Details liefert MSDN Online-Chef Kay Giza in seinem Blog.
Auffälligste Änderung nach dem Redesign ist dabei sicher das blaue Erscheinungsbild. Aber auch in vielen kleinen Details zeigen sich Veränderungen, so etwa bei den überarbeiteten, moderneren Logos von MSDN und Visual Studio 2010. Auf allen Startseiten der diversen MSDN Developer Center erhalten jetzt insbesondere Einsteiger Hilfe bei ihren ersten Schritten mit der Microsoft-Plattform . Durchgehend am rechten Bildschirmrand platzierte Links zu verwandten Themen erschließen das breite Spektrum der Microsoft-Angebote für Entwickler und Top-Themen finden Sie gleich zum Einstieg ganz oben auf den Seiten. Wie bislang bereits in zahlreichen Bereichen des deutschsprachigen MSDN-Portals werden jetzt auch auf der gesamten MSDN-Website viele aktuelle Inhalte dynamisch über Feeds bereitgestellt. Eine Reihe von „Active Controls“ sorgt zudem dafür, dass auch Community-Beiträge auf den neuen MSDN-Seiten nicht zu kurz kommen.
Sagen Sie Ihre Meinung zum neuen MSDN-Auftritt und diskutieren Sie mit im MSDN-Forum. Wir freuen uns auf Ihr Feedback!

Windows Identity Foundation-Interview mit Dominick Baier

Tue, 13 Oct 2009 00:00:00 GMT

Wenn zwei in Deutschland lebende Deutsche vor der Kamera miteinander Englisch sprechen, geht es natürlich nicht um Sicherheit, sondern um Security. Macht aber nichts, und kann ja auch ganz witzig sein: Microsofts Developer Evangelist Dariusz Parys interviewt in diesem Channel 9-Video Dominick Baier, der sich als Berater seit Jahren auf Sicherheitsthemen fokussiert, zum Thema Windows Identity Foundation (ehemals Geneva Framework). Vergeben Sie uns die Videoqualität: In den ersten beiden Minuten sorgt der automatische Weißabgleich im Gegenlicht, ab Minute 18 dann ein kleineres Kameraproblem für eingeschränkte Sicht. Macht aber eigentlich auch nichts: Zuhören ist sowieso viel wichtiger.

Dominick Baier auf Channel 9

Dariusz Parys — Mon, 12 Oct 2009 09:49:39 GMT

Ich hatte vor längerer Zeit die Gelegenheit Dominick Baier zum Thema Windows Identity Foundation zu interviewen. Das Interview ist nun endlich fertig gerendered und auf Channel 9 publiziert. Interview mit Dominick Baier auf Channel 9 Leider hat während...(read more)

StarterSTS, WIF, Identity on Channel9

Dominick Baier — Thu, 08 Oct 2009 11:15:46 GMT

Dariusz interviewed me for Channel9. You can find the recording here. Have fun ;)

Nachrüstung: Visual Studio Professional nachträglich um MSDN Subscriptions ergänzen und sparen

Tue, 06 Oct 2009 00:00:00 GMT

Im Rahmen einer speziellen Promotion-Aktion können Besitzer der Visual Studio 2005 Professional Edition oder von Visual Studio 2008 Professional ihre Anwendungen jetzt mit einer MSDN Subscription „nachrüsten“ und dabei ganz oder teilweise den Preis für eine Neulizenzierung von Visual Studio Professional sparen. Die nächste Version von Visual Studio, die im ersten Halbjahr 2010 erscheint, ist dank Software Assurance ebenfalls bereits im Preis enthalten.
Das MSDN-Angebot ist für Kunden vorteilhaft, da ein „Nachrüsten“ einer Software Assurance üblicherweise nicht möglich ist. Als Software Assurance für Visual Studio enthält eine MSDN Subscription je nach Variante nahezu alle professionellen Entwicklungstools von Microsoft, Betriebssysteme, Technologien und Server einschließlich BizTalk Server, Commerce Server, SharePoint Server, Exchange Server, SQL Server und Systems Management Server für Entwicklungs- und Testzwecke. Die sog. „MSDN Attach Promo“ läuft vom 1. Oktober 2009 bis 31. März 2010.

Claims based Identity & Access Control Guide – Early drafts available

Dominick Baier — Mon, 05 Oct 2009 05:47:39 GMT

Eugenio just announced that the codeplex site is up now! Have a look at the draft documents – feedback is always welcome!!

Analysewerkzeuge unterstützen Software-Entwickler und -Tester beim Auffinden von Sicherheitslücken

Fri, 18 Sep 2009 00:00:00 GMT

Der Trend ist erkennbar: Web-Attacken auf Windows, Office und Co. sind aufgrund neuer Sicherheitsstandards bei Microsoft immer weniger erfolgreich. Nun konzentrieren sich die Angreifer zunehmend auf Anwendungen von Drittherstellern. Die Trustworthy Computing Group von Microsoft hat Hilfsprogramme vorgestellt, die den Security Development Lifecycle (SDL) erweitern. Mit dem BinScope Binary Analyzer und dem MiniFuzz File Fuzzer bekommen Entwickler und Software-Tester Werkzeuge, um Sicherheitsrisiken in ihren Programmen noch vor der Veröffentlichung zu beheben. Auch steht ab sofort das Whitepaper ‘Manual Integration of the SDL Process Template’ zum Download bereit. Die Tools und das Whitepaper können unter www.microsoft.com/sdl kostenlos heruntergeladen werden. Mehr dazu auch im Microsoft-Presseservice.

Restful Token Service Endpoints and Silverlight Clients

Dominick Baier — Sun, 13 Sep 2009 08:11:35 GMT

It turns out that there is no way in Silverlight to send credentials using the standard HTTP Authorize header (see here). WTF?!. You have to use a custom HTTP header to transmit credentials in this case, e.g. X-Authorize (nice?). I have adjusted my service code to accept both headers and will update the StarterSTS bits on Codeplex.

StarterSTS Version 0.93

Dominick Baier — Fri, 11 Sep 2009 17:43:51 GMT

I just uploaded a minor update. refactored ScopeOptions to PolicyOptions and added a PolicyScope class CertificateProvider class abstracts physical loading of relying party encryption certificates /users/restIssue.svc is a Restful token issuance endpoint – you can use a simple GET to retrieve a token (see here) btw – this is the client code you can use to talk to the REST issuance endpoint: public static string GetToken( string username, string password, string uri, string realm) { using (var client = new WebClient()) { var encoding = Encoding.GetEncoding("iso-8859-1"); string encodedCreds = Convert.ToBase64String( encoding.GetBytes(String.Format("{0}:{1}", username, password))); string authHeader = string.Format("Basic {0}", encodedCreds); realm = HttpUtility.UrlEncode(realm); client.Headers.Add(HttpRequestHeader.Authorization, authHeader); return client.DownloadString( string.Format("{0}/?realm={1}", uri, realm)); } }

Adding a REST Endpoint to a WIF Token Service

Dominick Baier — Fri, 11 Sep 2009 09:51:13 GMT

Sometimes it is useful to have a really simple way to acquire a token from a token service – without having to fiddle around with WS-Federation or WS-Trust. Issuing a simple GET request against a token issuance endpoint seems to fulfill that requirement. So I decided to a add a simple HTTP endpoint to my STS using the WCF web programming model: [ServiceContract] public interface IRestfulTokenServiceContract { [OperationContract] [WebGet(UriTemplate = "/?realm={realm}")] XElement Issue(string realm); } You could provide more parameters here (like token type, lifetime etc.) but i decided to keep it simple. For the implementation you have to decide which authentication types you want to support. Since I needed username/password authentication I used Cibrax’ excellent basic authentication extension. If you need to support client certificates, you would get the certificate details from WCF’s AuthorizationContext. To route the GET request to the existing token issuance logic, you can create the STS using the static CreateSecurityTokenService method on the SecurityTokenServiceConfiguration class. Then you have to construct a RST and IClaimsPrincipal to describe the token request and pass that into the Issue method. Afterwards you serialize the security token back as a HTTP response and you are done. I will incorporate that into the next drop of the StarterSTS – but for now here is the code: public class RestfulTokenService : IRestfulTokenServiceContract { public XElement Issue(string realm) { EndpointAddress epRealm; try {

Identity Foundation-Beispielanwendung FabrikamShipping

Fri, 04 Sep 2009 00:00:00 GMT

Eine realitätsnahe Web-Beispielanwendung zur Demonstration von Microsofts Identitätsframework Windows Identity Foundation (zuletzt bekannt unter dem Codenamen „Geneva Framework“), die Aspekte wie Authentifizierung, Autorisierung und individuell gesteuerte Arbeitsumgebungen demonstriert, steht mit FabrikamShipping für Technologie-Erlebnisreisen, Tests und erste Pilotprojekte zur Verfügung. Der Schwerpunkt des FabrikamShipping-Projekts liegt allerdings tatsächlich auf der Vermittlung der Technologien: Effizienz und Wartbarkeit der Codebeispiele sind daher deutlich auf den Lerneffekt statt auf einen realen Produktionseinsatz hin ausgerichtet.

StarterSTS Version 0.92

Dominick Baier — Tue, 01 Sep 2009 10:32:50 GMT

I have an update to the StarterSTS up on codeplex. There is also a new screencast that details the changes from the last version. Have fun!

Identity-Szenario zwischen PHP, Geneva Server (ADFS), Windows CardSpace und Information Cards

Mon, 31 Aug 2009 00:00:00 GMT

Ein Projekt, das Identitäten effizient verwaltet und gleichzeitig volle Benutzersicherheit gewährleistet, gehört heute zum erwarteten Mindeststandard. Ein konkretes Beispiel aus dem echten Leben, das PHP, den Identitäts-Server „Geneva“ (künftig Active Directory Federation Services), Windows CardSpace und Information Cards verbindet, zeigt dieser Blogeintrag in Microsofts Interoperabilitätsblog für Entwickler auf.

.NET Usergroup Frankfurt – WIF, ADFS 2, CardSpace 2

Dominick Baier — Fri, 28 Aug 2009 18:48:03 GMT

Am 15. September sind Christian und Ich in Frankfurt und plaudern mal nen Abend lang über unsere Erfahrungen mit Identity und Claims in verteilten Anwendungen. Wir freuen uns schon und das sollte ein netter Abend werden. Es sind noch Plätze frei – Anmeldung ist hier erforderlich. Vielleicht sieht man sich ja dort.