Subj, http://securit13.libsyn.com/-23

Поболтали с парнями о развитии навыков анализа защищенности кода, обсудили распространенное заблуждение о защищенности opensource-проектов и проблему ее обеспечения, затронули использование в проектах сторонних фреймворков и библиотек, слегка прошлись по влиянию гибких методологий разработки на защищенность разрабатываемого кода.

Разумеется, без упоминания RSDN и Nemerle не обошлось

Неформальное введение в язык программирования Nemerle. В этой части, на базе примера «калькулятор», описываются типы данных variant и class.

Неформальное введение в язык программирования Nemerle. В этой части, на базе примера «калькулятор», описываются типы данных variant и class.

Краткое введение в Git и Git Extensions.

Как оказалось тема не освещена совсем.
А между тем вопрос был поднят давно.

Предисловие

Итак простой способ вызова JS это макрос с очевидным названием 'js'.
Используется очень просто:

[Unit]
class MyPage
{
  public F() : void
  {
    js <# window.alert("abc"); #>
  }
}

Очевидно, что никакой типизацией и проверками ошибок не пахнет.
Создать юнит с именем window и методом alert не пройдет, т.к. NemerleWeb не обязан (и не генерирует) такой же код как должен быть для вызова JS.
Будет что-то вроде: window.alert["System.String"]("abc").

Типизация JS

Для этой цели используется простой макрос JSApi:
К примеру возьмем тот же window.alert:

[JSApi]
class window
{
  public static alert(s : string) : void {}
}

Проще некуда.
Теперь мы можем писать в юните код на немерле и быть уверенным , что позовем правильно функцию.
[nemerle]
[Unit]
class MyPage
{

29 мая в 14:30 я буду выступать на конференции #msdevcon c докладом про ASP.NET и Windows Azure.
Доклад крайне эксклюзивный, так как ни в одном другом докладе на этой конференции, ни в названиях тем, слово ASP.NET больше не встречается. Я планирую рассказать о том, почему с ASP.NET происходит страное , ожидает ли эту технологию судьба известного персонажа,


cравнивать ASP.NET с другими технологиями,

показывать интересные вещи внутри платформы, оценивать производительность, продемонстрировать интеграцию с windows azure, и многое другое. И все — за час времени!
Хочу задать вопрос — нужно ли рассказывать про web forms? Насколько много людей, которым это еще интересно? Нововведения в web forms есть, но стоит ли их показывать, или же все-таки сосредоточиться на чем-то другом?
И конечно...

В процессе подготовки статьи на тему того, насколько бестолковым и несерьезным является проверка запросов в ASP.NET, в голову пришла идея набросать proof-of-concept того, как на самом деле оно должно быть реализовано, чтобы давать хоть какие-то гарантии защиты от отраженных XSS. В итоге, после пары вечеров кодинга и недели тестов с привлечением коллег, родилось вот это: https://github.com/kochetkov/Irv

Результаты по производительности и проценту false-позитивов обоих родов приятно удивили (ожидал, что будет еле ворочаться и пропускать некоторые замороченные векторы атак). Поиграть с демкой можно тут: http://irv.c2e.pw/Demo/

P.S: Как и почему это работает, а также почему это единственный адекватный способ, дающий гарантии защиты от отраженных XSS — расскажу в статье

В процессе подготовки статьи на тему того, насколько бестолковым и несерьезным является проверка запросов в ASP.NET, в голову пришла идея набросать proof-of-concept того, как на самом деле оно должно быть реализовано, чтобы давать хоть какие-то гарантии защиты от отраженных XSS. В итоге, после пары вечеров кодинга и недели тестов с привлечением коллег, родилось вот это: https://github.com/kochetkov/Irv

Результаты по производительности и проценту false-позитивов обоих родов приятно удивили (ожидал, что будет еле ворочаться и пропускать некоторые замороченные векторы атак). Поиграть с демкой можно тут: http://irv.c2e.pw/Demo/

P.S: Как и почему это работает, а также почему это единственный адекватный способ, дающий гарантии защиты от отраженных XSS — расскажу в статье

Небольшое вступление.
Сейчас сложилась такая ситуация, что для следующего релиза C# нет big thing, т.е. основной фичи, вокруг которой строится весь релиз (типа linq в 3 версии, динамиков в 4 и асинка в 5). Благодаря этому появилась возможность реализовать кучу мелких вещей, которые, с одной стороны, не требуют революций в языке их их можно реализовать сравнительно разумным объемом ресурсов, а с другой способны сильно облегчить жизнь.
Поэтому у меня есть желание сформировать некий документ со списком фич и отдать его дизайнерам шарпа. Гарантии, что хоть что то из него будет реализовано нет никакой, но шансы этого высоки как никогда
Соответственно, от вас хотелось бы получить те фичи, которых не хватает лично вам. Желательно раскрыть мысль поподробнее. Идеально было бы привести гипотетический пример исходного кода с описанием его семантики, и потом примерный код на текущем шарпе, в который первый пример должен раскрываться.
Проголосовать за конкретные фичи можно здесь.

Оказывается, в JVM 7 уже появились first-class methods. Вероятно, с возможностью runtime-оптимизаации. Только пока их не могут полноценно использовать (генерировать) компиляторы.