Microsoft gibt Visual Studio Test frei

Microsoft hat jetzt die zentrale Unit-Test-Komponente Visual Studio Test Platform (VS Test) als Open-Source-Software freigegeben. Wie schon bei vielen anderen Software-Entwicklungsprojekten findet sich der Quellcode auf der Hosting-Plattform GitHub. Für VS Test nutzt Microsoft die MIT-Lizenz. Mit der neuen, in Microsofts Entwicklungsumgebung Visual Studio integrierten Testplattform kann man Unit-Tests für Programmiersprachen wie C#, C++, JavaScript und Python laufen lassen, darüber hinaus Testdaten sammeln und Testberichte dazu ausgeben. Außerdem gibt es Erweiterungen für andere wichtige Testframeworks wie beispielsweise NUnit, xUnit, Google Tests, Jasmine und Karma, Code Coverage und Test-Impact-Analysen. Das obige Diagramm zeigt, dass jetzt auch die zentralen Komponenten Cross-Platform-Runner und Host-Prozess zum Erkennen, Laden und Ausführen der Tests Open Source geworden sind. Ganz links stehen Visual Studio und Visual Studio Code als die wichtigsten Clients, aber die Tests kann man auch von der Befehlszeile aus durchführen. Neue Testadapter hat Microsoft leider nicht quelloffen zur Verfügung gestellt. aber die überwiegende Mehrzahl dieser Adapter stamme sowieso nicht von Microsoft, meint dazu Brian Harry, Microsoft Corporate Vice President, in seiner Ankündigung zur Open-Source-Legung. Der wichtigste Adapter von Microsoft selbst, MSTestV2, soll aber auch schon bald Open-Source-Software werden. Weiterführende Informationen zu Microsofts Strategie für VS Test können Sie in einem Dokument zur Roadmap nachlesen.

2017-01-24T10:21:14+02:00Januar 24th, 2017|Allgemein|Kommentare deaktiviert für Microsoft gibt Visual Studio Test frei
Weiterlesen

Angriff auf Tor-Nutzer mit Javascript

Benutzer des Tor-Browsers werden aktuell aktiv über eine Zero-Day-Lücke angegriffen, die letztlich einen Fehler im Speichermanagement des zugrundeliegenden  Firefox-Browsers ausnutzt. Eventuell sind auch Nutzer des Firefox-Browsers ohne Tor-Bundle betroffen. Die Sicherheitslücke soll es Angreifern erlauben, ihren Code auf dem Rechner der Tor-Nutzer auszuführen. Der vermutlich verwendete Schadcode wurde schon auf einer Tor-Mailingliste gepostet. Browser-Hersteller Mozilla arbeitet noch an einem Patch, um die Sicherheitslücke zu schließen. Sicherheitsforscher weisen darauf hin, dass der verwendete Angriff einer Attacke aus dem Jahr 2013 sehr ähnlich ist. So schreibt Twitter-Nutzer @TheWack0lian: "Es ist eigentlich fast exakt der gleiche Payload wie er im Jahr 2013 benutzt wurde." Damals hatte die Bundespolizei der USA, das FBI, einen Server, der mutmaßlich an der Verbreitung von Missbrauchsdarstellungen an Kindern beteiligt war, mit diesem Exploit infiziert, um einzelne Tor-Nutzer zu enttarnen.

2016-12-01T01:06:51+02:00Dezember 1st, 2016|Javascript|Kommentare deaktiviert für Angriff auf Tor-Nutzer mit Javascript
Weiterlesen

Sicherheitstest für Internetseiten von Mozilla

Unter der Bezeichnung Observatory bietet die Mozilla Foundation, der Hersteller des Browsers Firefox, einen Sicherheits-Check für beliebige Websites an. Nach der Eingabe der Domainadresse und einiger Optionen bekommt man in wenigen Sekunden die sicherheitsrelevanten Konfigurationsdaten der Site angezeigt. Zu den auf korrekte Implementierung untersuchten Verfahren gehören fast alle, die als Reaktion auf bekannt gewordene Sicherheitsprobleme implementiert wurden - von Content Security Policy über Cross-origin Resource Sharing und HTTP Public Key Pinning bis zu HTTP Strict Transport Security und X-XSS-Protection. Nicht geprüft wird dabei auf Probleme im Code wie beispielsweise auf SQL-Injection-Anfälligkeit. In den Dienst fließen nach Angaben von Mozilla Erfahrungen ein, die man beim Firefox-Hersteller bei der Untersuchung von Millionen von Internetseiten gemacht hat, wobei oft erschreckende Lücken aufgedeckt worden seien – nicht nur bei fremden Internetseiten, sondern auch im eigenen Haus, beispielsweise bei addons.mozilla.org. Wer für die Pflege oder die Sicherheit einer Internetseite verantwortlich ist, sollte das Tool durchaus einmal laufen lassen – es könnte Sicherheitslücken aufdecken, bevor das böswillige Kriminelle tun…

2016-08-27T18:07:16+02:00August 27th, 2016|Allgemein, test|Kommentare deaktiviert für Sicherheitstest für Internetseiten von Mozilla
Weiterlesen

Neues in Google Go 1.7

Google hat gerade die Version 1.7 seiner Programmiersprache Go freigegeben. Go ist eine von Google gepushte Sprache, die der Konzern erstmals 2009 vorstellte. Seinerzeit platzierte Google Go als Alternative zur Sprache C. 2015 befreite sich das Projekt dann allerdings von letzten C-Überbleibseln in seinem eigenen Code. Zu den bekannteren Systemen, die in Go geschrieben wurden, gehören beispielsweise die MongoDB-Tools und Docker. Go kommt auch bei Google selbst zum Einsatz, aber auch zum Beispiel bei SoundCloud. Das vorherige Release Go 1.6 erschien im Februar . Das neue Release Go 1.7 hat jetzt unter anderem einen neuen Port für IBMs Mainframe System z (s390x) und wurde auf Compilerebene stark überarbeitet. Es gibt nun auch ein neues, kompakteres Format für den Export von Daten. Außerdem ist von Beschleunigungen bei der Garbage Collection und von Änderungen beim Erzeugen von Metadaten und Stack Frame Pointers für Profiling-Werkzeuge wie perf unter Linux oder VTune von Intel die Rede. Auch die Standardbibliotheken wurden deutlich überarbeitet. Es gibt auch eine kleine Änderung bei der Sprachdefinition: An die Stelle des bisherigen, nicht präzise definierten "Final Statements" tritt jetzt das "Terminating Statement". Es ist formal so definiert, wie es dem Verhalten der gc- und gccgo-Compiler entspricht.

2016-08-16T21:29:59+02:00August 16th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Neues in Google Go 1.7
Weiterlesen

Beta von Googles Android Studio 2.0 veröffentlicht

Bei Google gibt es jetzt die erste Beta seiner runderneuerten Entwicklungsumgebung Android Studio 2.0. Die aktuelle Version ist schon die Beta 2, weil es einige Probleme mit der ersten Testversion gab. Neu in Version 2.0 von Android Studio sind unter anderem die höhere Arbeitsgeschwindigkeit beim Kompilieren von Apps und beim Ausliefern von Paketen über die ADB-Schnittstelle zum neuen, auch deutlich verbesserten Emulator. Der Emulator wurde in der Beta im Vergleich zur Vorschau aus dem Dezember weiter ausgebaut. Instant Run macht Code-Anpassungen deutlich schneller: Mit der neuen Funktion Cold Swap kann die App jetzt mit einem Klick im Emulator neu gestartet werden, wenn Änderungen am Code gemacht wurden. Die Steuerung der Ausrichtung wurde auch repariert. Die Multi-Touch-Unterstützung ermöglichlaubt es jetzt, solche Zoomgesten zu simulieren. Sie erhalten die Beta 2 über den Canary-Channel in Android Studio und auf der Projektseite.

2016-02-07T09:40:04+02:00Februar 7th, 2016|Allgemein, Bildbearbeitung, CSS, HTML, Javascript|Kommentare deaktiviert für Beta von Googles Android Studio 2.0 veröffentlicht
Weiterlesen

PDF-Reader von Foxit sind verwundbar

Wer wegen der vielen Sicherheitsprobleme mit Adobes PDF-Reader auf die Alternative Foxit Reader oder den PDF-Editor Foxit PhantomPDF umgestiegen ist, kommt vom Regen in die Traufe. Beide Programme lassen sich aus der Ferne angreifen, und die Angreifer können sogar eigenen Code auf einen betroffenen Computer einschleusen. Der Editor Foxit PhantomPDF ist bis inklusive Version 7.2.2.929 verwundbar; der PDF-Reader Foxit Reader ist bis einschließlich Version 7.2.8.1124 unter Windows gefährdet, warnt der Anbieter der Software. Die abgesicherten Versionen 7.3 schließen insgesamt zehn Sicherheitslücken und stehen schon zum Download bereit. Beide Programme können auch direkt über das Hilfe-Menü aktualisiert werden.

2016-01-26T10:23:47+02:00Januar 26th, 2016|Allgemein, Webwerkzeuge|Kommentare deaktiviert für PDF-Reader von Foxit sind verwundbar
Weiterlesen

Twitters Diffy zeigt Fehler in Updates

Twitter setzt das in der Programmiersprache Scala geschriebene  Regressionswerkzeug Diffy schon längere Zeit als effizientere und effektivere Alternative zu selbstgeschriebenen Unit-Tests bei neuen Programmfunktionen ein. Jetzt hat der Microblogging-Dienst Diffy für alle als Open Source freigegeben. Diffy zeigt Fehler in Apache-Thrift- und HTTP-Services ganz automatisch an. Dabei agiert es wie ein Proxy, der den neuen und den alten Code Seite an Seite laufen lässt und dabei das Verhalten miteinander vergleicht und alle Unterschiede anzeigt. "Wächst die Komplexität eines Systems, wird es schnell unmöglich, eine angemessene Testabdeckung über selbstgeschriebene Tests zu erreichen", schreibt Puneet Khanduri, aus Twitters Tools- und Frameworks-Team: "Dann braucht man ambitioniertere automatisierte Techniken, bei denen Entwickler nur geringfügig eingreifen müssen." Das Tool von Twitter könnte für die Pflege von komplexen Internetanwendungen sehr hilfreich sein und für kürzere Testzeiten und schnellere Updates sorgen.

2015-09-04T18:24:10+02:00September 4th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Twitters Diffy zeigt Fehler in Updates
Weiterlesen

Sicherheitslücken im PHP File Manager

Das Programm PHP File Manager kann man für nur 5 Dollar kaufen. Man installiert es dann auf seinem Internetserver und kann danach beliebige Dateien zwischen seinem PC und dem Server einfach mit dem Browser austauschen. Dummerweise können das alle anderen auch – vom Programmierer bis zum Hacker! Weil es so bequem ist, nutzen offensichtlich auch viele große Unternehmen das Tool zum Dateitransfer. Dazu gehören beispielsweise Eneco, Nintendo, Danone, Nestle, Loreal, EON, Siemens, Vattenfall, Oracle, Oxford, Hilton, T-Mobile, CBS, UPC und 3M (und vermutlich noch viele andere), von deren Internetservern seitdem jedermann vertrauliche Dateien ohne Probleme herunterladen kann. Denn in dem PHP-Skript PHP File Manager schlummern seit mindestens fünf Jahren mehrere kritische Sicherheitslücken, die der Hersteller kennt, aber einfach nicht schließt. Darauf macht Security-Berater Sijmen Ruwhof in seinem Blog jetzt aufmerksam. So soll es zum Beispiel durch zwei Lücken möglich sein, über das Skript ohne Authentifizierung Code auf den Server zu laden und auch auszuführen. Das Schärfste daran ist aber ein speziell versteckter Superuser mit dem Namen  ****__DO_NOT_REMOVE_THIS_ENTRY__****,  der in allen Installationen des File Managers dasselbe Passwort nutzt. Um es Hackern einfach zu machen, ist dies Passwort auch gleich als MD5-Hash im Script. Hersteller Revivedwire hat den PHP File Manager inzwischen auf verschämte Art und Weise auf seinem Vertriebsserver gesperrt. Man liest dort ein unverfängliches „Wir konnten die aufgerufene Seite leider [...]

2015-07-28T10:31:10+02:00Juli 28th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Sicherheitslücken im PHP File Manager
Weiterlesen

Angriffe über http.sys auf Windows-Server

Eine Sicherheitslücke erlaubt sogar die Remotecodeausführung, wenn ein Angreifer eine spezielle HTTP-Anforderung an ein betroffenes Windows-System sendet. Die Lücke hat in der National Vulnerability Database (NVD) die Kennung CVE-2015-1635. Im seinem Security Bulletin MS15-034 beschreibt Microsoft diese kritische Schwachstelle als Sicherheitsproblem in HTTP.sys, einer im IIS genutzten Komponente. Diverse Honeypot-Fallen zeigen den Sicherheitsexperten, dass die Lücke schon aktiv ausgenutzt wird, allerdings bis jetzt in den meisten Fällen nur für DoS-Angriffe und noch nicht zur Remotecode-Ausführung. Ein von Microsoft schon bereitgestelltes Sicherheitupdate behebt das Problem, indem es die Verarbeitung der Anforderungen durch den HTTP-Stack von Windows modifiziert. Dies Update sollten Sie als Admin von Internetservern unter Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows 8.1 sowie Windows Server dringend einspielen.

2015-04-18T17:03:37+02:00April 18th, 2015|Allgemein, Webwerkzeuge|Kommentare deaktiviert für Angriffe über http.sys auf Windows-Server
Weiterlesen

Datenbank-Proxy MaxScale von MariaDB

Das durch seine gleichnamige Datenbank bekannte Unternehmen MariaDB hat mit MaxScale ein neues, quelloffenes Tool bereitgestellt, mit dem man seine Datenbankinfrastruktur bei Bedarf schnell ändern kann, ohne dabei den Code auf der Ebene der Anwendungen anpassen zu müssen. Der Proxy ist also eine Art Abstraktionsschicht zwischen Anwendung und Backend, wobei in letzterem aktuell nur MySQL- und MariaDB-Datenbanken vorgesehen sind. MaxScale beherrscht nach Herstellerangaben Load Balancing für MariaDB Galera Cluster und Master-Slave Replication, sowie MySQL Server Replication. Beim Ausfall einzelner Knoten soll der Proxy außerdem dafür sorgen, dass das keine merklichen Ausfallzeit verursacht.

2015-01-19T00:20:12+02:00Januar 19th, 2015|MySQL, PHP|Kommentare deaktiviert für Datenbank-Proxy MaxScale von MariaDB
Weiterlesen
Nach oben