Czy Twoja przeglądarka Cię zdradza?

Dla uspokojenia na początek szybko … nie, nie nawiązałem personalnego związku ze swoją przeglądarką czy też nie podejrzewam o to nikogo innego. Chociaż zapewne część z nas jest mocno przywiązana do swojej konfiguracji, dodatków w przeglądarce itp.  Czy przeglądarka odwzajemnia to przywiązanie (jakkolwiek dziwnie to brzmi) czy też niecnie nas zdradza w sieci z dowolną stroną???

(cc) bored-now

Poprzez blog Kima Camerona trafiłem na stronę projektu Panopticlick uruchomiony przez Electronic Frontier Foundation (EFF).  Projekt ten na podstawie anoniomowo dostępnych danych o przeglądarece użytkownika stara się określić jak łatwo byłoby odróżnić tą konkretną przeglądarkę od innych … a tym samym jak łatwo, na podstawie li tylko informacji o przeglądarce śledzić zachowania użytkownika w sieci.

Przykładowy wynik dla mojej przeglądarki poniżej.

Jak widać wśród ponad 400 tys przeglądarek moja okazała się unikalna w pewien sposób, co oznacza że *TAK* moja przeglądarka mnie zdradza. Nieładnie …

Podejście jest o tyle ciekawe, że z pozoru nieistotny element jak charakterystyczna karta graficzna czy też rzadko używany plugin do przeglądarki staje się w tym kontekście elementem wyróżniającym. I tak nagle nasza sieciowa tożsamość rozciąga się w pewnym kontekście już nie tylko na nasze dane ale również I na narzędzia, którymi się posługujemy.

Czy to faktycznie jest problem ??? Pytanie czy faktycznie jest możliwe zbudowanie mechanizmu, który będzie użytkowników identyfikował (a przynajmniej się starał) w oparciu o te informacje. Pytanie czy należy coś w kierunku uniemożliwienia takiego podejścia zrobić wcześniej … na to pytanie pewnie odpowiedzą sobie ludzie zajmujący się rozwojem przeglądarek itp. Odpowiedzą, jeżeli ktoś je im zada lub sami je postawią. Zobaczymy.

Małe uaktualnienie

Witek po opublikowaniu tej notki podesłał mi link do tej wiadomości. Wiadomość jak wiadomość, kto ekscytuje się fljemami to może poczytać I analizować. To co jest interesujące to:

(…) Nie korzystano ze statystyk sprzedaży (trudne do zanalizowania w przypadku wolnego oprogramowania) ani ankiet, lecz zanalizowano dostępność specyficznych fontów na komputerach łączących się z Internetem. Każdy z pakietów zawiera unikalne fonty niedostępne w innych aplikacjach. Ich analiza pozwala na dość dokładne stwierdzenie czy na danym komputerze zainstalowany jest dany pakiet. (…)

Jak widać informacja udostępniana przez przeglądarkę, na pozór mało istotna, może zostać użyta w różnym kontekście. O podobnej kwestii informuje również Kim Cameron w kolejnym wpisie na swoim blogu:

(…) The authors claim the groups in all major social networks are represented through URLs, so history stealing can be translated into “group membership stealing”.  This brings us to the core of this new work.  The authors have developed a model for the identification characteristics of group memberships – a model that will outlast this particular attack, as dramatic as it is. (…)

Wychodzi więc, że nasza przeglądarka przez swoją charakterystykę I różne jej przypadłości może być użyta do uzyskania całkiem ciekawych informacji. Zadanie dla osób planujących kolejne wersje przeglądarek wydaje się dosyć ciekawe … uwzględnić fakt, że przeglądarka może zostać użyta do identyfikacji użytkownika w sieci w jej mechanizmach. Jak już napisałem wcześniej … zobaczymy.

Znajdź różnicę

Pytanie zadanie – znalazła się I odpowiedź. A pytanie brzmiało – “Jak znaleźć zmiany wprowadzone w schemacie katalogu po jego instalacji?”. Padło na ActiveDir.org jak można się było spodziewać, ale jako że temat widzę już chyba po raz trzeci … czas napisać coś w temacie.

(cc tobym)

Odpowiedzi padło kilka, jedna z nich też moja … jakie więc mamy opcję.

Jedną z nich jest użycie Schema Analyzer pochodzącego z AD LDS (ADAM) tak jak zostało to opisane na blogu Ask DS Team. Instalujemy więc AD LDS, generujemy plik LDIF z obecnym schematem naszego katalogu, ładujemy schemat wzorcowy AD LDS I wyciągamy różnicę. Lekkie, łatwe I przyjemne ale …

  • wymaga trochę pracy jeżeli nie mamy akurat pod ręką AD LDS
  • nie zawsze interesuje nas różnica LDIF, może potrzebujemy tego w innej formie, na przykład CSV.

Alternatywne podejście … możemy wykorzystać fakt, że każdy obiekt w katalogu posiada informację o dacie utworzenia w ramach atrybutu whenCreated, który jest replikowany pomiędzy kontrolerami domeny. I w prosty sposób możemy uzyskać listę atrybutów I klas schematu, wraz z informację o dacie ich utworzenia:

adfind -schema -f "(|(objectClass=attributeSchema)(objectClass=attributeClass))" ldapDisplayName whenCreated –adcsv

wrzucić to do pliku tekstowego (atrybuty do wyboru), otworzyć w jakimś Excelu … posortować i voile …

Niby prosto, ale jednak nadal wymaga trochę zachodu I narzędzi typu Excel (lub coś co potrafi posortować plik, w zasadzie może być Powershell).  Z drugiej można skorzystać z gotowego skryptu CMD SchemaDiff.cmd przygotowanego przez Deana Wellsa (archiwum z DEC do ściągnięcia I rozpakowania), który opierając się na metadanych replikacji wyciąga z katalogu informację o zmianach w schemacie. A jak działa:

C:\Temp>SchemaDiff.cmd w2k.pl

SchemaDiff 1.1 / Dean Wells (dwells@msetechnology.com) – March 2006

STATUS – Working [review title bar for progression] …

       – Forest/schema creation timestamp: 2009-08-23 @ 22:51:06
       – base-schema has been MODIFIED since Forest creation
       – counting classSchema and attributeSchema instances: 1438
       – querying schema …

*MOD: CN=Schema,CN=Configuration,DC=w2k,DC=pl
       – schemaInfo…………………… {modified post-instantiation}

*MOD: CN=User,CN=Schema,CN=Configuration,DC=w2k,DC=pl
       – auxiliaryClass……………….. {modified post-instantiation}

+NEW: CN=AstContext,CN=Schema,CN=Configuration,DC=w2k,DC=pl
+NEW: CN=AstExtension,CN=Schema,CN=Configuration,DC=w2k,DC=pl

(…)

Done – 57 schema object(s) added, 4 schema object(s) modified
       in Forest "DC=w2k,DC=pl"

Szybko, łatwo I przyjemnie … I bez żadnych dodatkowych narzędzi oprócz tego co powinno być dostępne na każdym DC (cmd.exe I repadmin.exe).

Miłego używania … a bardziej ogólnie mówiąc o temacie to warto by było mieć udokumentowane wszystkie zmiany wprowadzane w schemacie katalogu. Warto pomyśleć o kilku prostych procedurach z tym związanych … nie musi być to coś wymyślnego, czasami prosty plik  wystarczy … w ostateczności witryna na WSS … pozostawiam do przemyślenia.

Kawałek TechED na własnym ekranie

Mam swoją małą teorię na temat populacji czytelników technicznych PL blogów, i mówi mi ona dzisiaj że większość z Was tą informację już gdzieś czytała.  W związku z tym boję sie trochę efektu lodówki (otwieram lodówkę a tam … ) ale co tam … w końcu warto.

Jeżeli chcecie sie przekonać dlaczego Paula Januszkiewicz (MVP w zakresie bezpieczeństwa) jakiś czas temu odniosła sukces w Speaker Idol na TechED i dlaczego potem jej sesja na TechED w Berlinie musiała być powtarzana … to jest idealna okazja. Paula powtórzy swoją sesję z TechED on-line na portalu VirtualStudy.pl. Tytuł to Techniki hakerskie użyteczne dla administratora IT (oryginalny tytuł w języku angielskim: Useful Hacker Techniques: Which Part of HackersKnowledge Will Help You in Efficient IT Administration).

Jeżeli więc dysponujesz wolnym czasem wieczorem 1 lutego, i interesują Cię te zagadnienia … może warto zainstalować klienta LiveMeeting i przekonać sie samemu o czym będzie mowa. Wystarczy kliknąć i się zarejestrować.

Dla zmniejszenia lekko efektu lodówki dodam jeszcze informację, ze na VirtualStudy.pl w najbliższym czasie serie sesji o Powershell przeprowadzi też Grzesiek Tworek.

 

Powershell niby chwilę już jest dostępny ale jeżeli ktoś jeszcze się za niego nie zabrał lub też chce zweryfikować to co już wie warto zapewne na sesje Grześka się zapisać. Zawsze warto posłuchać co o technologii (a prywatnie i nie tylko o tym) Grzesiek ma do powiedzenia.

Rejestracja również przez portal VirtualStudy.pl.

Gdzie jest mój DC?

Pwszechna jest wiedza, że klient usługi katalogowej w konkretnym wydaniu jaką jest Active Directory w celu zalogowania się poszukiwał będzie rozwiązania optymalnego. Rozwiązaniem tym jest znalezienie najbliższego sobie kontrolera domeny i użycia go w tym procesie. Całość procesu opiera się o rozwiązywanie nazw DNS oraz konfigurację infrastruktury fizycznej katalogu (sieci i lokacje) o czym już nieraz pisałem.

A co gdy sieci mamy podefiniowane, podpięte pod odpowiednie lokacje a pomimo tego uparty klient nadal nie korzysta z kontrolera domeny z którym jest mu najbardziej po drodze lecz preferuje ten w przysłowiowym Pcimiu (bez obrazy dla mieszkańców tegoż… pozdrowienia)? Wtedy nadchodzi czas na to co każdy administrator lubi najbardziej … troubleshooting.

(cc) trriseesthings

Konfiguracja sprawdzona, logi przejrzane … nic nie widać  … i co dalej?

W tym konkretnym przypadku, problemów z procesem lokalizacji kontrolera domeny mamy możliwość skorzytania z kilku dodatkowych mechanizmów wpierających cały proces.

Pierwszy to możliwość włączenia trybu debug dla procesu netlogon. Netlogon jest to usługa systemowa, który obsługuje całość działań związanych z procesem logowania się użytkownika. W każdej wersji Windows z rodziny wywodzącej się NT możliwe jest włączenie trybu debug poprzez ustawienie odpowiednich flag w rejestrze … a jakie to flagi i jak je ustawić można przeczytać w KB 109626 Enabling debug logging for the Net Logon service. Po ustawieniu odpowiednich wartości, w pliku %widir%\debug\netlogon.log zapisywane będą informacje dotyczące procesu logowania, w tym lokalizacji kontrolera domeny. W większości przydatne :). Przykładowy log związany z lokalizacją DC przez klienta znajduje się poniżej (lekko podrasowany dla czytelności).

[SITE] Setting site name to ‘(null)’
[SESSION] \Device\NetBT_Tcpip_{33941FFA-DFED-4744-BF9A-972228BC6FF0}: Transport Added (192.168.1.10)
[SESSION] Winsock Addrs: 192.168.1.10 (1) List used to be empty.
[SESSION] V6 Winsock Addrs: (0)
[CRITICAL] Address list changed since last boot. (Forget DynamicSiteName.)
[SITE] Setting site name to ‘(null)’
[DNS] Set DnsForestName to: w2k.pl
[DOMAIN] W2K: Adding new domain
[DOMAIN] Setting our computer name to wss wss
[DOMAIN] Setting Netbios domain name to W2K
[DOMAIN] Setting DNS domain name to w2k.pl.
[DOMAIN] Setting Domain GUID to ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[MISC] Eventlog: 5516 (1) "wss" "W2K"
[INIT] Replacing trusted domain list with one for newly joined W2K domain.
[SITE] Setting site name to ‘(null)’
[LOGON] NlSetForestTrustList: New trusted domain list:
[LOGON]     0: W2K w2k.pl (NT 5) (Forest Tree Root) (Primary Domain) (Native)
[LOGON]        Dom Guid: ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON]        Dom Sid: S-1-5-21-1855823386-3643518527-1754427229
[INIT] Starting RPC server.
[SESSION] W2K: NlSessionSetup: Try Session setup
[SESSION] W2K: NlDiscoverDc: Start Synchronous Discovery
[MISC] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c00ffff1
[INIT] Join DC: \\resfs.w2k.pl, Flags: 0xe00013fd
[MISC] NetpDcInitializeContext: DSGETDC_VALID_FLAGS is c00ffff1
[MAILSLOT] NetpDcPingListIp: w2k.pl.: Sent UDP ping to 192.168.1.1
[MISC] NlPingDcNameWithContext: Sent 1/1 ldap pings to resfs.w2k.pl
[MISC] NlPingDcNameWithContext: resfs.w2k.pl responded over IP.
[MISC] W2K: NlPingDcName: W2K: w2k.pl.: Caching pinged DC info for resfs.w2k.pl
[INIT] Join DC cached successfully
[SITE] Setting site name to ‘Default-First-Site-Name’
[MISC] NetpDcGetName: w2k.pl. using cached information
[PERF] NlAllocateClientSession: New Perf Instance (001E6688): "\\resfs.w2k.pl"
    ClientSession: 00237D58
[SESSION] W2K: NlDiscoverDc: Found DC \\resfs.w2k.pl
[SESSION] W2K: NlSetStatusClientSession: Set connection status to 0
[DOMAIN] Setting LSA NetbiosDomain: W2K DnsDomain: w2k.pl. DnsTree: w2k.pl. DomainGuid:ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON] NlSetForestTrustList: New trusted domain list:
[LOGON]     0: W2K w2k.pl (NT 5) (Forest Tree Root) (Primary Domain) (Native)
[LOGON]        Dom Guid: ce28b6f7-a26a-4e0f-9f39-0e63e525493e
[LOGON]        Dom Sid: S-1-5-21-1855823386-3643518527-1754427229
[SESSION] W2K: NlSetStatusClientSession: Set connection status to 0
[SESSION] W2K: NlSessionSetup: Session setup Succeeded
[INIT] Started successfully

Prawda że może być to pomocne??

AD LDS (ADAM) dla Windows 7

ADAM to implementacja serwera LDAP dla Windows, w dużym uproszczeniu można powiedzieć że technologia Active Directory uproszczona tylko do serwera LDAP (ale to uproszczenie duże 🙂 ). Oryginalnie ADAM pojawił się w wersji dla Windows Server 2003 oraz dla Windows XP.

Pytanie po co serwer LDAP dla Windows XP?? Na przykład dla developoerów piszących aplikację korzystającą z LDAP, aby do kontrolerów domeny nie musieli mieć dostępu w trakcie jej tworzenia lub dla administratorów którzy coś chcą w wolnej chwili potestować. Może to kogoś zdziwi ale są też w przyrodzie aplikacje, kóre korzystają z ADAM jako z podręcznego serwera LDAP na własne potrzeby zamiast SQL Express.

Wraz z nadejściem Windows Server 2008 ADAM zmienił swoją nazwę na AD LDS i zniknął z systemów klienckich co niektórym się mocno nie spodobało (oba fakty).

(logo by joe)

Jak widać Microsoft czasami wsłuchuje się w takie pomruki niezadowolenia i właśnie ADLDS powróciło na stacje robocze … dokładniej na Windows 7 :). Do pobrania z Microsoft Downloads.

2010 – federacja trafiła pod strzechy …

… tak może wyglądać przykładowa notka o roku 2010. Może … ale czy będzie?

O federacji mówi sie już długo … i to nie w kontekście kolejnych inicjatyw UE tylko w kontekście zarządzania dostępem do usług udostępnianych wewnątrz i pomiędzy organizacjami. Mówi się, mówi … i różnie z tym bywa. Z pewnych względów rok 2010 może być rokiem, w którym usługi federacji i podejście oparte na federacji i claims mogą zyskać masę krytyczną … a dlaczego .. i czy tak będzie?

(cc) *L

Krajobraz widziany optymistycznie …

Po pierwsze, świat się zmienia … usługi coraz częściej nie są zamknięte w jednym miejscu a rozproszone, świadczone są przez firmy trzecie, organizacje świadczą je sobie nawzajem, łączą się i dzielą. Użytkownicy są mobilni jak nigdy dotąd, i chociaż duża część organizacji przez tą mobilnością się broni lub nawet jej nie potrzebuje (w końcu po co w Banku mobilni kasjerzy) to jednak rzesza użytkowników, którzy potrzebują dostępu do usług zawsze i wszędzie, i jeszcze bez niepotrzebnych formalności (czytaj rejestrowanie się, logowanie się, profile, VPNy itp) rośnie.

Co prawda sceptyczny jestem jeżeli chodzi o akceptację chmury w kraju nad Wisłą, ale ale poza naszym PL światem to również jest czynnik, który na zmianę świata postrzeganego z punktu widzenia dostępu do usług będzie znaczący. W szczególności ze chmura będzie nie tylko jedna ale będzie ich wiele … i będą korpoaracyjne, i publiczne … i różne.

Po drugie, federacja dotąd kojarzyła się z czymś bardzo skomplikowanym.  Przynajmniej takie mam wrażenie po rozmowach z uczestnikami moich sesji chociażby. W A.D. 2010 jest szansa aby to zmienić, przynajmniej w świecie systemów opartych o Windows a to za sprawę dwóch elemetów: ADFS v2 i Sharepoint 2010.

ADFSv2 to w zasadzie nowy produkt, który z poprzednim wiąże nazwa i oczywiście wsteczna kompatybilność (co do protokołów). ADFS v2 tyle właśnie co osiągnął fazę Release Candidate i wszystkich zainsteresownych odsyłam do materiałów źródłowych udostępnionych przez grupę produktową, a tych jest naprawdę dużo (zarówno w formie maszyn jak i dokumentacji). Najbardziej istona zmiana to wsparcie ADFS dla protokołu SAML, którego kompatybilność z innymi implementacjami została potwierdzona w ramach testów prowadzonych przez Liberty Alliance. To otwiera drogę do współpracy z innymi środowiskami i rozwiązaniami w tym zakresie. Czy to Sibboleth czy Sun OpenSSO teraz ADFS może z nimi współpracować bezpośrednio.

Drugim ważnym (a nawet może ważniejszym) elementem układanki jest Windows Identity Foundation (WIF), wydane zresztą ostatnio również dla Windows 2003. Dzięki temu programiści aplikacji .NET uzyskali prosty sposób implementacji w swoich aplikacjach modelu uwierzytelnienia i autoryzacji w oparciu o usługi federacji i poświadczenia (claims) o użytkowniku. Tak … wiem, że .NET to nie cały świat ale jego jakiś spory kawałek … dla innych technologii wsparcie dla SAML również jest obecne.  Programistów zainteresowanych tematem odsyłam do Identity Developer Training Kit oraz połączonych z nim materiałów do samodzielnego szkolenia.

W ten sposób dochodzimy do drugiego punktu, który może mieć duży wpływ na adopcję federacji wśród użytkowników czyli Sharepoint 2010, w którym korzystając z WIF cały model bezpieczeństwa został oparty właśnie na claims. Zainteresowanych szczegółami odsyłam do video na ten temat opublikowane w ramach ID Element.  Jest to pierwszy (i mam nadzieję nie ostatni) produkt serwerowy Microsoft, który korzysta z tej technologii w takim zakresie i co tutaj ukrywać … również jeden z bardziej popularnych ostatnio produktów ze stajni MSFT. Wraz z jego wdrożeniem podejście oparte na federacji i claims wkłada przysłowiową nogę w drzwi. Teraz tylko kwestia zbudowania świadomości i wykorzystanie tego faktu w organizacjach.

 

Krajobraz mniej optymistyczny …

Z drugiej jednak strony większość organizacji nadal nie pozbyła się w swoim środowisku aplikacji korzystających z NTLM a najczęściej spotykana formą uwierzytelnienia i autoryzacji aplikacji z użyciem usługi katalogowej to LDAP simple bind i enumeracja grup jako obiektów lub atrybutu użytkownika.

Większość organizacji nie zajmuje się ustandaryzowaniem podejścia w tym zakresie a decyzje o tym,  w jaki sposób dana aplikacja będzie dokonywała uwierzytelnienia i autoryzacji użytkowników jest podejmowana ad-hoc i to niekoniecznie przez osoby za to odpowiedzialne – często przez tak zwany biznes lub po prostu arbitralnie przez programistę który tworzy daną aplikację. W tym procesie często zdarzają się kardynalne błedy, wynikające przeważnie z dostosowywania tych mechanizmów do świata obserwowanego, z założeniem że świat ten nigy nie ulegnie zmianie.

Organizacje nie podeszły jeszcze do tematu standaryzacji uprawnień, rozwiązania podstawowych problemów z obsługą zmiany hasła … gdzie tutaj myśleć o federacji i tych klejmach Panie

To wszystko powoduje, że myślenie o adpocji takich mechanizmów jak uwierzytelnienie z użyciem STS i autoryzacja oparta o claims, które przyznajmy to dla większości ludzi jest w tej chwili są dosyć abstrakcyjnymi pojęciami może nie być łatwa. Co nie oznacza że niemożliwa …

 

To jak to będzie …

W zasadzie mógłbym tutaj zacytować wykład pewnego analityka w tej dziedzinie, który stwierdził jak to analityk, że albo się to przyjmie … albo się nie przyjmie … zobaczymy. Szanse na to napewno są … zainteresowanie też sądząc po fakcie że w ciągu pierwszych dwóch tygodni stycznia w ramach obowiązków zawodowych będę rozmawiał z dwoma klientami w tym temacie.

Jak będzie zobaczymy. Ja staram się patrzeć na temat optymistycznie i zakładam że takie podejście, bardziej usystematyzowane i przemyślane w zakresie metod zarządzania dostępem do aplikacji będzie wygrywać. W końcu chaos w tym zakresie kosztuje niemałe pieniądze, zarówno w postaci opłat za aplikacje, w których koło jest wymyślane po raz kolejny, potem w jej utrzymaniu a w bardziej rozwiniętych organizacjach na końcu w tworzeniu systemów, które mają nad tym chaosem zapanować.

Jeżeli więc ktoś mnie na jakieś wystąpienia lub konferencje postanowi zaprosić to pewnie będzie to jeden z moich preferowanych tematów. Co prawda o wykładach i konferencjach narazie nic nie wiem, więc jest szansa też że Was tematem nie zanudzę :).

To tak jakoś na koniec roku trochę czasu na podsumowanie tematu i myślenie coby było gdyby mi zeszło.

IE na koniec roku

Michał przyłączył sie ostatnio do akcji Stop IE6, i jak widzę ze znajomych blogów poparł to również Paweł, więc i ja podążając za owczym pędem popieram i namawiam do zastąpienia IE6 nowszą przeglądarką.

Prywatnie obecną pozycję IE6 nazywam “klątwą IE6” i czasami używam do określenia innych sytuacji, w których dany produkt \ rozwiązanie zadomowił sie tak bardzo  … że aż przeszkadza. Powiedzmy sobie szczerze … IE6 miał \ ma swoje problemy. Ale większym problemem jest to, że aplikacje zostały tak napisane, aby z tymi problemami żyć. I teraz za nic nie chcą się przesiąść na wyższe wersje a przynajmniej to kosztuje.

I świat idzie dalej a IE6 trwa … i pewnie będzie trwał jeszcze długo w świecie korporacyjnym, ale w świecie domowych przeglądarek … zapomnijmy o nim i idźmy dalej … świat się zmienia.

(cc) akahodag

To zaś patetyczne stwierdzenie o zmienności otoczenia prowadzi mnie przy porannej kawie do następnego IE tematu, zainspirowanego również wpisem Michała (pisał przez święta, ja czytałem … co poradzę), czyli planowanemu opublikowaniu przez Microsoft jako wynik sporu z UE poprawki dającej użytkownikowi możliwość wyboru przeglądarki. W ogólności idea słuszna … równość, złamanie monopolu itp … ale gdzieś mnie w tym wszystkim coś uwiera.

Po pierwsze primo, nie jestem zwolennikiem nakazów urzędowych, a szczerze powiedzmy sobie że z takim w ten lub inny sposób mamy tutaj do czynienia. Pozwólmy ludziom głosować nogami (co też czynią jak sam Michał zauważa). Jak im IE zacznie doskwierać sami zmienią albo koledzy im powiedzą że można inaczej.

Po drugie primo, użytkownicy naprawdę nie lubią dokonywać wyboru. Mówię o większości standardowych użytkowników komputerów, których reprezentacja wśród czytelników tego bloga jest pewnie mała. Użytkownik postawiony przed wyborem musi zdecydować, a to podnosi mu ciśnienie i każe myśleć o konsekwencjach. Lub nie wywołje tego procesu i użytkownik po prostu klika w to co widzi (co pokazuje traktowanie certyfikatów). Dobitnie udowodniło to menu zamknięcia systemu w Vista co opisał w dobrym artykule Joel Spolsky (zawsze pisząc to nazwisko zastanawiam się … skąd byli jego dziadkowie 🙂 ).

Po trzecie primo, całość przyjętego rozwiązania każe mi myśleć o odpowiedzialności. Już tłumaczę. Użytkownik uruchamia system operacyjny, przygotowany przez Microsoft, instaluje się mu poprawka … z Microsoft … w efekcie wyświetla okno wyboru przeglądarki. I zapewne umieszczony tam będzie odpowiedni komunikat (już prawnicy o to zadbają), ale użytkownik (patrz drugie primo) komunikatów nie czyta … Microsoft wyświetlił mi okienko … wybrałem. I teraz pytanie … kto odpowiada za skutki wyboru – przglądarka się zmieniała, a jak się nie sposoba … to jak wrócić do poprzedniej. Zmieniłem przeglądarkę i w niej nie działa aplikacja mojego banku …

… pytanie – kto odpowiada za takie incydenty, kto ma obsłużyć koszty ewentualnej ich obsługi (wiem co użytkownicy bardziej zaawansowani myślą o helpdesk ale nie zmienia to faktu, że standardowy użytkownik nadal z niego korzysta) … przecież to Microsoft *kazał* mi wybrać przeglądarkę.

Dlatego wolałbym, żeby zostało to zaimplementowane jako jednokrotne przekierowanie użytkownika IE po zainstalowaniu poprawki na odpowiednią stronę UE, na której urzędnicy wytłumaczyliby użytkownikowi na czym polega jego dobro i dlaczego o nie dbają. Ale to by wymagało przejęcia na siebie *odpowiedzialności*.

Swoją drogą … czy jeżeli udział FF w rynku danego kraju przekroczy 50% to takie akcje zostaną też wymuszone na FF :)? To pytanie oczywiście jest retoryczne i lekko prowokacyjne :).

I tym kończę IE rozważania na koniec roku przy porannej kawie … czas na następną. W końcu urlop …

Kerberos a sprawa portu

W środowisku Windows Kerberos jest obecny od lat 10-ciu z okładem. A jednak wciąż pozostaje nieujarzmiony w większości wypadków czego dowodem są poniekąd wyniki mojej sesji jak i codzienna praktyka mojej pracy. Problemy są tu i ówdzie, w większości użytkownicy nie są ich świadomi … aż do czasu …

… do czasu gdy problem wystąpi. I wtedy zaczynają się schody. Dzisiaj schody te trochę postaram się zmniejszyć przynajmniej w kwestii jednej czyli Kerberos i usługi HTTP na porcie innym niż standardowy.

(cc) TheCX

Dzisiejszy post sponsorowany jest przez literkę A jak Architekt, który mnie do niego swoimi bojami z Kerberosem skłonił :).

Rzecz dotyczy nie tyle samego protokołu a tego jak go obsługuje klient w postaci Internet Explorera.

Continue reading “Kerberos a sprawa portu”

userPassword

Cisza, cisza, cisza … przerywana przygotowaniami na przykład do sesji na Windows Community Launch do której wygłoszenia w dniu wczorajszym zaprosili mnie organizatorzy (materiały będą na stronie WCL). Aż tutaj znalazł sie temat …

Jeden ze znajomych inżynierów (pozdrowienia) podrzucił mi wczoraj szybkie pytanie związane z atrybutem userPassword.  Jako że problem który pytanie wywołał, samo pytanie jak i atrybut jest ciekawy to pomyślałem że i na bloga się nada … więc zaczynajmy od opisu samego atrybutu.

Zachowanie, które zaobserwował nasz inżynier w ramach swoich prac związanych z czymś innym to fakt, że atrybut ten po wykonaniu pewnych operacji w katalogu przechowywał hasło ustawione dla użytkownika w postaci czystego tekstu … tak, tak, o mój boże, o matko, łolaboga i tak dalej … czysty tekst i hasło zawsze wywołuje takie skojarzenia.

(cc) Somewhat Frank

Oczywiście nie oznacza to że hasło to było dla wszystkich dostępne, w końcu dalej obowiązują w katalogu uprawnienia, które ograniczają dostęp użytkowników do poszczególnych atrybutów. Ale fakt pozostawał faktem … ONO tam było.

Matched DNs:
Getting 1 entries:
>> Dn: CN=jan Kowalski,OU=DRLab,DC=w2k,DC=pl
    4> objectClass: top; person; organizationalPerson; user;
    1> cn: jan Kowalski;
    1> sn: Kowalski;
    1> userPassword: P@ssw0rd!;

Wbrew pozorom zachowanie takie jest jak najbardziej oczekiwane i nie ma co zgłaszać błędu na connect :). A wszystko to przez pewną dualność zachowania atrybutu userPassword.

Continue reading “userPassword”

8.64 w skali …

Chwilę mnie nie było … wyjazdy, wyjazdy, wyjazdy.W tak zwanym międzyczasie dotarły do mnie wyniki ocen sesji z MTS,  o których pisał już na przykład Grześ. I zgodnie ze świecką tradycją chciałem zrobić małe post mortem tegorocznego MTS.

Zanim zacznę chciałem podziękować wszystkim, którzy poświęcili te kilku minut i wypełnili ankiety, tym bardziej tym którzy zostawili dodatkowe komentarze. W zasadzie to jest jedyna drogą dla nas prelegentów do poznania Waszych opinii a bez nich nie wiemy co poprawić.

Tak więc jeszcze raz – DZIĘKUJĘ !!!

Teraz co do ocen – jakby to powiedzieć … dzięki Waszym oceną moja sesja o Kerberos została oceniona jako najlepszą sesją MTS 2009 ze średnią oceną 8.64/9.0. Powiem tak, wiele się spodziewałem ale nie tego :).

(cc) zawtowers

Dwie pozostałe sesje zostały ocenione trochę słabiej ale według mnie też nie najgorzej, odpowiednio sesja o Geneva jako 21 z oceną 8.16/9.0 oraz sesja o użyciu Kerberos w środowiskach heterogenicznych jako 44 z wynikiem 7.67/9.0.

To teraz po samozachwycie trochę konkretów, czyli odpowiedzi na Wasze komentarze. Laurki nie będę tutaj tworzył więc nie będę cytował wszystkich pozytywnych opinii … no może tylko jedną 🙂

bylem juz na kilku konferencjach co prawda nie koniecznie panstwa firmy natomiast uwazam iz ten Pan winien zostac sowicie wynagrodzony za wiedze jak i jakosc prowadzonych sesji oraz nie zamykanie wlasnego pogladu tudziez sluchaczy na jedno z rozwiazan

Pod rozwagę wszystkim mającym wpływ na moje wynagrodzenie :). To teraz konkretny 🙂

Continue reading “8.64 w skali …”