cogimator.net

Une ligne à la fois...

Vulnerabilité ASP.NET

Vu ce matin sur le flux RSS des security advisory de Microsoft : http://www.microsoft.com/technet/security/advisory/2416728.mspx.

Relayé ensuite sur le blog de Scott Guthrie : http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx .

Explications de l’attaque (en Anglais) : http://www.troyhunt.com/2010/09/fear-uncertainty-and-and-padding-oracle.html.

En bref, une faille dans ASP.NET (toutes versions), permettrait à un attaquant de deviner la clé de chiffrement des chaînes chiffrées échangées entre le client et le serveur, comme par exemple le cookie d’authenfication ou la clé de ressource fournie au handler webresource.axd.

Les conséquences sont un peu vastes, cela va de l’élévation de privilège, jusqu’à la récupération de fichiers dans l’application, comme le web.config.

Un workaround est fourni : activer les customerrors dans le web.config de la manière suivante :

<configuration>
  <system.web>
    <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
  </system.web>
</configuration>

Et la page d’erreur :

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
   void Page_Load() {
      byte[] delay = new byte[1];
      RandomNumberGenerator prng = new RNGCryptoServiceProvider();

      prng.GetBytes(delay);
      Thread.Sleep((int)delay[0]);
        
      IDisposable disposable = prng as IDisposable;
      if (disposable != null) { disposable.Dispose(); }
    }
</script>

<html>
<head runat="server">
    <title>Error</title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>
</html>

Le tout depuis le post de Scott Guthrie cité plus haut.

Le point important est de toujours renvoyer sur la même page, et aussi de rajouter un délai aléatoire dans l’affichage de cette page. En effet, même si le serveur renvoie toujours la même page, qu’une erreur ait eu lieu ou pas, le temps mis pour renvoyer cette page peut donner des informations.

Bon patch à vous.

PS. L’url du flux RSS des Advisories Microsoft : http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory.

ASP.NET MVC Controls par Telerik

A la recherche d’un TreeView pour ASP.NET MVC, je suis arrivé chez Telerik ( http://www.telerik.com/products/aspnet-mvc.aspx ), qui propose une suite de contrôles (dont mon TreeView).

Les démos sont visibles ici : http://demos.telerik.com/aspnet-mvc/ et le code source est disponible en GPL sur CodePlex : http://telerikaspnetmvc.codeplex.com/.

Le Grid est particulièrement impressionnant, avec tri, pagination, filtres, et groupement (ouf, la liste est finie). Le tout avec du Linq derrière. Pour les plus gros jeux de données, tout est paramétrable.

A tester !

JQuery.AutoComplete et ASP.NET MVC : Partie 5

Pour terminer cette série, voici un extrait de code permettant de créer simplement une zone de texte avec autocompletion.

En premier, le code de la méthode d’extension :

using System;
using System.Linq.Expressions;
using System.Web.Mvc;
using System.Web.Mvc.Html;

namespace Cogimator.Demos.Mvc
{
    /// <summary>
    /// Classes helper pour autocompletion
    /// </summary>
    public static class AutoCompleteExtensions
    {
        /// <summary>
        /// Genere un editeur avec autocompletion
        /// </summary>
        /// <typeparam name="TModel">Type de Model</typeparam>
        /// <typeparam name="TDisplayValue">Type de la propriété utilisée 
        /// pour affichage</typeparam>
        /// <param name="html">helper</param>
        /// <param name="displayExpression">Expression pour indiquer la 
        /// propriété à utiliser</param>
        /// <param name="action">Action du Controler courant renvoyant du 
        /// JSON</param>
        /// <returns>Chaine HTML</returns>
        public static string AutoCompleteFor<TModel, TDisplayValue>(this HtmlHelper<TModel> html, Expression<Func<TModel, TDisplayValue>> displayExpression, string action)
        {
            var res = html.EditorFor(displayExpression, null).ToHtmlString();

            var displayName = ModelMetadata.FromLambdaExpression(displayExpression, html.ViewData).PropertyName;

            res += string.Format(
                @"<script type=""text/javascript"">
                    $(document).ready(function() {{
                        $(""#{0}"")
                            .autocomplete({{
                                source: function (request, response) {{
                                    $.post(""{1}"",
                                        {{
                                            term: request.term
                                        }}, 
                                        function (result) {{
                                            response(result)
                                        }})
                                }},
                                minLength: 1,
                                select: function(event, ui) {{
                                    $('#{0}').val(ui.item.label);
                                    return false;
                                }}
                            }});
                    }});
                </script>",
                html.ViewData.TemplateInfo.GetFullHtmlFieldId(displayName),
                UrlHelper.GenerateUrl(null, action, null, null, html.RouteCollection, html.ViewContext.RequestContext, true));

            return res;
        }
    }
}

Un modèle simple :

namespace Cogimator.Demos.FrontEnd.Mvc.Models
{
    public class SimpleModel
    {
        public string Label { get; set; }
    }
}

Dans la partie configuration/pages/namespace des fichiers web.config situé dans le dossier racine et dans le dossier Views de votre application MVC, n’oubliez pas d’indiquer le namespace de vos méthodes d’extension et de vos modeles :

<add namespace="Cogimator.Demos.Mvc" />
<add namespace="Cogimator.Demos.FrontEnd.Mvc" />

Et la vue :

<%@ Page Language="C#" MasterPageFile="~/Views/Shared/Site.Master" Inherits="System.Web.Mvc.ViewPage<SimpleModel>" %>
<asp:Content ContentPlaceHolderID="plhCenter" runat="server">
    <%using (var f = Html.BeginForm()) { %>
    <h2>Extension</h2>
    <p>Champ : <%=Html.AutoCompleteFor( x=> x.Label, "AutoComplete") %></p>
    <%} %> 
</asp:Content>

Ceci termine cette série sur JQuery.UI.AutoComplete et ASP.NET MVC.

JQuery.AutoComplete et ASP.NET MVC : Partie 4

Pour clore cette série, nous allons présenter les résultats avec des catégories. Comme précédemment, commençons par l’action de notre Controller :

public JsonResult AutoCompleteCategorized(string search){
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(search))
        .Select(x => new
        {
            value = x.Id,
            label = x.Libelle,
            category = x.Category
        });
     return Json(data);
}

Suivie de la vue, dans laquelle on pourra noté que lors de l’appel de $().autocomplete(), le résultat est placé dans une variable, afin de pouvoir personnaliser plus facilement les fonctions de rendu.

<%using (var f = Html.BeginForm()) { %>
<p>Categorized</p>
<%=Html.TextBox("Libelle_Categorized")%>
<%=Html.TextBox("Id_Categorized")%>
<%} %>
<script type="text/javascript">
$(document).ready(function () {
    var ac_categorized = $('#Libelle_Categorized').autocomplete({
        minLength: 1,
        source: function (request, response) {
            $.post('<%=Url.Action("AutoCompleteCategorized") %>',
                {
                    search: request.term
                },
                function (result) {
                    response(result)
                })
        },
        select: function (event, ui) {
            $('#Libelle_Categorized').val(ui.item.label);
            $('#Id_Categorized').val(ui.item.value);
            return false;
        }
    });
    ac_categorized.data("autocomplete")._renderItem = function (ul, item) {
        return $("<li></li>")
        .data("item.autocomplete", item)
        .append("<a>" + item.label + "</a>")
        .appendTo(ul);
    };
    ac_categorized.data("autocomplete")._renderMenu = function (ul, items) {
        var self = this;
        var currentCategory = "";
        $.each(items, function (index, item) {
            if (item.category != currentCategory) {
                ul.append("<li class='ui-autocomplete-category'>"
                     + item.category + "</li>");
                currentCategory = item.category;
            }
            self._renderItem(ul, item);
        });
    };
});
</script>

Et le résultat :

AutoComplete_5

Pour terminer cette série, nous verrons comment créer une méthode d’extension pour capitaliser les cas simples (libellé et identifiant).

JQuery.AutoComplete et ASP.NET MVC : Partie 3

Cette fois ci, nous allons personnaliser les objets retournés par notre Controller :

public JsonResult AutoCompleteCustomJson(string search, string prefixWith)
{
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(search))
        .Select(x => new
        {
            Id = x.Id,
            Libelle = x.Libelle,
            Prefix = prefixWith
        });

    return Json(data);
}

Pour que ces modifications soient prises en compte dans notre vue, il faudra modifier la fonction dans “source”, et remplacer la fonction “_renderItem”.

La fonction “$.map” permet de transformer la liste d’objets JSON reçu dans une autre liste, dans le cas où l’on souhaiterait renommer encore une fois les propriétés des objets de notre liste.
La fonction “_renderItem” permet de contrôler le rendu de la liste d’auto complétion.

<%using (var f = Html.BeginForm()) { %>
    <%=Html.TextBox("Libelle_CustomJson")%>
    <%=Html.TextBox("PrefixWithJson")%>
    <%=Html.TextBox("Id_CustomJson")%>
<%} %>

<script type="text/javascript">
    $(document).ready(function () {
        $('#Libelle_CustomJson').autocomplete({
            minLength: 1,
            source: function (request, response) {
                $.post('<%=Url.Action("AutoCompleteCustomJson") %>',
                    {
                        search: request.term,
                        prefixWith: $("#PrefixWithJson").val()
                    }, 
                    function (result) {
                        response(result)
                    })
            },
            select: function (event, ui) {
                $('#Libelle_CustomJson').val(ui.item.Libelle);
                $('#Id_CustomJson').val(ui.item.Id);
                return false;
            }
        }).data("autocomplete")._renderItem = function (ul, item) {
            return $("<li></li>")
            .data("item.autocomplete", item)
            .append("<a>" + item.Prefix 
                    + "<br>" + item.Libelle + "</a>")
            .appendTo(ul);
        };
     });
</script>

Le résultat :

AutoComplete_4

JQuery.AutoComplete et ASP.NET MVC : Partie 2

Dans le billet précédent, nous avons vu comment réaliser une auto complétion sur une TextBox, avec ASP.NET MVC 2.

Nous allons maintenant voir comment personnaliser cet exemple, pour envoyer un deuxième paramètre en plus de la valeur saisie.

Comme dans la partie 1, l’action du Controller, avec deux paramètres. De plus, le paramètre JsonRequestBehavior a été retiré.

public JsonResult AutoCompleteCustom(string search, string prefixWith)
{
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(search))
        .Select(x => new
        {
            value = x.Id,
            label = prefixWith + " " + x.Libelle
        });
 
    return Json(data);
}

Dans la vue, la source de données passée devient plus complexe : il s’agit d’une requête avec $.post, qui nous permet de passer en HTTP POST (d’où le retrait de JsonRequestBehavior.AllowGet), mais surtout de nommer les paramètres passés, via un objet anonyme. Ici les paramètres reprennent les noms des paramètres de notre action : “search” et “prefixWith”.

Enfin, les données renvoyées par le Controller sont passés a jquery.ui.autocomplete par la fonction “response”.

<%using (var f = Html.BeginForm()) { %>
    <%=Html.TextBox("Libelle_Custom")%>
    <%=Html.TextBox("PrefixWith")%>
    <%=Html.TextBox("Id_Custom")%>
<%} %>

<script type="text/javascript">
    $(document).ready(function () {
        $('#Libelle_Custom').autocomplete({
            minLength: 1,
            source: function (request, response) {
                $.post('<%=Url.Action("AutoCompleteCustom") %>', 
                    {
                        search: request.term,
                        prefixWith: $("#PrefixWith").val()
                    },
                    function (result) {
                        response(result);
                    })
            },
            select: function (event, ui) {
                $('#Libelle_Custom').val(ui.item.label);
                $('#Id_Custom').val(ui.item.value);
                return false;
            }
        });
    });
</script>

Et le résultat :

AutoComplete_3

JQuery.AutoComplete et ASP.NET MVC : Partie 1

Pour implémenter facilement une autocompletion sur une TextBox dans vos applications ASP.NET MVC, vous aurez besoin de :

  • JQuery
  • JQuery.UI (contient le plugin autocomplete)
  • ASP.NET MVC 2

Premiere étape, créer une action dans le controller. Par défaut, jquery.ui.autocomplete envoie la valeur saisie dans une textbox dans le paramètre “term”. Toujours par défaut, les objets JSON renvoyés doivent posséder une propriété value et une propriété label.

public IEnumerable<Data> GenerateData()
{
    return new List<Data>() 
    {
        new Data() { Id = 11, Libelle = "Foo 1", Category = "Foos" },
        new Data() { Id = 12, Libelle = "Foo 2", Category = "Foos" },
        new Data() { Id = 13, Libelle = "Foo 3", Category = "Foos" },
        new Data() { Id = 21, Libelle = "Bar 1", Category = "Bars" },
        new Data() { Id = 22, Libelle = "Bar 2", Category = "Bars" },
        new Data() { Id = 23, Libelle = "Bar 3", Category = "Bars" },
        new Data() { Id = 31, Libelle = "Baz 1", Category = "Bazs" },
        new Data() { Id = 32, Libelle = "Baz 2", Category = "Bazs" },
        new Data() { Id = 33, Libelle = "Baz 3", Category = "Bazs" }
    };
}

public JsonResult AutoComplete(string term)
{
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(term))
        .Select(x => new
        {
            value = x.Id,
            label = x.Libelle
        });
 
    return Json(data, JsonRequestBehavior.AllowGet);
}

Ici, le jeu de donnée est crée à la volée, filtré, et renvoyé sous forme JSON. Le paramètre  JsonRequestBehavior.AllowGet permet de renvoyer les resultats JSON suite à une requête HTTP GET.

Dans la vue :

<%using (var f = Html.BeginForm()) { %>
    <%=Html.TextBox("Libelle_Simple")%>
    <%=Html.TextBox("Id_Simple")%>
<%} %>

<script type="text/javascript">
    $(document).ready(function () {
        $('#Libelle_Simple').autocomplete({
            minLength: 1,
            source: "<%=Url.Action("AutoComplete") %>",
            select: function (event, ui) {
                $('#Libelle_Simple').val(ui.item.label);
                $('#Id_Simple').val(ui.item.value);
                return false;
            }
        });
    });
</script>

Dans le code JavaScript :

- minlength représente la longueur minimale devant être saisie pour déclencher une rêquete d’autocompletion
- source sera l’url de l’action de notre controller renvoyant le JSON
- select est la fonction exécutée lors du clic sur un élément. Ici, on va placer les valeurs des propriétés label et value dans leurs TextBox respectives.

Il ne nous reste plus qu’à tester :

AutoComplete_1

Lorsque que l’on sélectionne un élément, la valeur de sa propriété value est renseigné dans la deuxième TextBox

AutoComplete_2

Dans les prochains billets, nous verrons comment capitaliser cela dans une méthode d’extension de HtmlHelper, et comment personnaliser les paramètres envoyés par JQuery.

FluentNHibernate 1.1, Castle.DynamicProxy2 2.2.0 et Castle.Core 1.2.0

Pour ceux qui rencontrent des problèmes à l’exécution (Castle.DynamicProxy2 2.1.0 attendu, et 2.2.0 trouvé), deux solutions s’offrent à vous :

- télécharger la dernière version du code source de FluentNHibernate, et la compiler en utilisant les références aux bonnes versions de Castle.Core, et Castle.DynamicProxy2

- ajouter les lignes suivantes dans votre web.config/app.config, dans la section “configuration” :

  <runtime>
    <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
      <dependentAssembly>
        <assemblyIdentity name="Castle.DynamicProxy2" 
publicKeyToken="407dd0808d44fbdc" culture="neutral" />
        <bindingRedirect oldVersion="2.1.0.0" newVersion="2.2.0.0" />
      </dependentAssembly>
    </assemblyBinding>
    <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
      <dependentAssembly>
        <assemblyIdentity name="Castle.Core" 
publicKeyToken="407dd0808d44fbdc" culture="neutral" />
        <bindingRedirect oldVersion="1.1.0.0" newVersion="1.2.0.0" />
      </dependentAssembly>
    </assemblyBinding>
  </runtime>

VS 2010 Productivity Power Tools

Disponible depuis quelques semaines, et mise à jour récemment, cette suite de “power tools” pour Visual Studio 2010 apporte son lot d’agréments :

Solution Navigator

Remplace avantageusement l’explorateur de solution pour parcourir les projets/fichiers d’une solution. En effet, ce nouvel onglet permet :

- de déplier les fichiers source, afin d’en afficher la liste des membres.
solution_explorer

- d’afficher uniquement les fichiers ouverts, ou les fichiers non sauvegardés.
solution_explorer_2

- les onglets prennent une couleur par projet, et il est possible de les épingler
solution_explorer_3

Power commands

Mon rêve, enfin exaucé : formater le document automatiquement, et trier/supprimer les using. Ceux qui utilisent régulièrement StyleCop comprendront tout l’intérêt de la chose.
solution_explorer_4

En conclusion, les fans de raccourcis claviers, et d’optimisation de leur productivité sous Visual Studio seront ravis. Le meilleur : c’est gratuit. Ceux qui n’ont pas de licence Reflector apprécieront !

Création d’images zoomables avec DeepZoom.

DeepZoom est une technologie Microsoft permettant de visionner des images de très grande taille. Pour le web, cela permet d’éviter le téléchargement d’une image complète avant de pouvoir la visualiser.
Plus d’informations sur DeepZoom ici : http://msdn.microsoft.com/fr-fr/library/cc645077%28v=VS.95%29.aspx

Afin de pouvoir convertir vos images, vous devrez disposer de DeepZoom Composer : http://www.microsoft.com/downloads/details.aspx?familyid=457b17b7-52bf-4bda-87a3-fa8a4673f8bf&displaylang=en
Une fois l’installation effectuée, vous pourrez référencer DeepZoomTools.dll.

Une fois la dll DeepZoomTools référencée, vous pouvez convertir vos images avec la classe ImageCreator :

var ic = new ImageCreator();
ic.Create("input.jpg", "output");

La conversion d’une image est relativement gourmande en CPU et en entrée/sortie disque, du fait des nombreuses images crées.

Néanmoins, l’objet ImageCreator propose quelques propriétés permettant de modifier la taille des fichiers en sortie :

TileSize

Par défaut 256.  Une valeur de 512 produira des “tuiles” plus grandes et permettra de réduire les temps de conversion. Le nombre de fichiers JPG produits sera également réduit.

ConversionImageQuality

Par défaut 0.8, définit la compression JPG des images de sortie. Une valeur plus faible (0.7 par exemple) produira des fichiers plus petits, au prix d’une perte de qualité.

MaxLevel

Pour une image de 3072*2304, l’outil générera 12 niveaux (soit 12 sous dossiers avec les “tuiles”). Cette valeur définit donc le niveau de zoom maximum. Une valeur plus faible accélérera grandement la vitesse de conversion. En effet, plus le niveau de zoom est élevé, plus le nombre de fichiers JPG produit sera grand.

Pourquoi modifier ces paramètres ?

Dans le cas de conversion à la volée, ou de conversion en masse, il peut devenir intéressant d’optimiser les temps de conversion. De la même manière, si les images converties sont beaucoup consultées, il est important de tenir compte de la taille et du nombre des fichiers de sortie.

Le programme ci joint met en évidence l’influence de chaque paramètre sur le temps de conversion, la taille de l’image convertie, ainsi que le nombre de fichiers générés.

Liens utiles