ADFS 2.0 i Google Apps

Misja: uwierzytelniać klientów korzystających z Google Apps za pomocą SAML i Active Directory Federation Services.

Niestety Google nie udostępnia Federation Metadata więc trzeba ręcznie skonfigurować Relying Partner Trust.

Opis do tego jest niemalże wszędzie, jednak gdyby ktoś nie mógł tego znaleźć:

Po stronie Google ustawiamy:

  1. Sign-in page URL https://naszadomena.com/adfs/ls  
  2. Sign-out page URL https://naszadomena.com/adfs/ls/?wa=wsignoutcleanup1.0  
  3. Change password URL https://nasza_strona_do_zmiany_hasla.naszadomena.com  

Przy czym ostatnie pole jest nieobowiązkowe, nawet nigdy nie widziałem żeby gdzieś była użyta jego wartość.

Dodatkowo należy zaimportować certyfikat używany przez ADFS do podpisywania tokenów (token-signing) wyciągnięty wcześniej za pomocą konsoli MMC dla ADFS 2.0

Warto też zaznaczyć "Use a domain specific issuer " żeby zapytania przychodziły z adresu  https://www.google.com/a/naszadomena.googleapps.pl/acs zamiast z https://google.com

Po stronie ADFS trzeba dodać nowy Relying Party Trust:

Wybieramy ręczne wpisanie danych

  1. Profil ADFS 2.0
  2. Pomijamy certyfikaty (zostaną użyte domyślne)
  3. Włączamy protokół SAML i jako service URL wpisujemy:  https://www.google.com/a/naszadomena.googleapps.pl/acs 
  4. Jako relying trust identifier podajemy:  https://www.google.com/a/naszadomena.googleapps.pl/acs

Do Relying Party Trust dodajemy Claim rules wysyłający LDAP atrybut e-mail jako Name ID.

I tyle.Powinno działać, no prawie działa bo wylogowanie jest nieprzewidywalne. Raz wylogowuje poprawnie, raz pojawia się komunikat błędu ADFS, innym razem pojawia się błąd na stronie Google. Zero determinizmu, zdarzenia wydają się być całkowicie losowe.

Problem wynika prawdopodbnie z tego, że Google źle przygotowuje zapytanie SAML do wylogowania i parametry są niewłaściwie parsowane. Tudzież ADFS nie do końca jest zgodny ze standardem i nie potrafi wyciągnąć informacji z prawidłowego zapytania generowanego przez Google. W wyniku czego nie udaje się wygasić poprawnie wszystkich cookies, u klienta. Tutaj należy pamiętać, że funkcja wylogowywania w SAML jest opcjonalna :-)

W każdym razie przeładowanie strony https://adfs.naszadomena.pl/adfs/ls/?wa=wsignoutcleanup1.0 bez  dodatkowych parametrów wylogowuje skutecznie.

Jako, że nie udało mi się znaleźć rozwiązania zastosowałem proste obejście polegające na tym, że w przypadku błędu wylogowywania przekierowuję ponownie na stronę wylogowania. Co prawda można się trochę zapętlić ale jak narazie nie udało mi się doprowadzić to takiej sytuacji.

Do pliku error.aspx.cs dodałem (kod jest zależny od wersji językowej serwera ADFS, pewnie można sprawdzać sam kod błędu ale tego nie testowałem)

if (Exception.Message == "MSIS7055: Not all SAML session participants logged out properly. It is recommended to close your browser.")
    {
        Response.Redirect("?wa=wsignoutcleanup1.0");
    }

Zmodyfikowany plik znajduje się załączniku error.aspx.cs

Old School – Sendbajt

Znalazłem to w mailu z 2004. Urocze

Jest to opowieść o najbardziej chyba spektakularnej grupie
hackerskiej w historii Netu oraz najgenialniejszym hackerze wśród seniorów.
Pan Bogumił S., bo o nim mowa zaczął się co prawda interesować komputerami
dopiero w wieku 68 lat, lecz efekty jego zainteresowań przerosły jego
najśmielsze oczekiwania.

Ale zacznijmy od początku.
-Pamiętam jak dziś. To było w 1987 roku… byłem właśnie wtedy na poczcie po
swoją emeryturę (u pani Halinki z 3 okienka) kiedy po raz pierwszy
zobaczyłem komputer. Stał na biurku przykryty pokrowcem – wspomina pan
Bogumił.

Wtedy jeszcze nic nie wskazywało na to, że komputery staną się jego życiowym
hobby.
-W roku 1989 w bibliotece wojewódzkiej, gdzie często zaglądałem też były już
komputery… pamiętam, że po raz pierwszy (i ostatni) usiadłem wtedy przed
klawiaturą. Kompletnie nie wiedziałem co mam zrobić, więc najpierw
przeczytałem cztery razy to co było napisane na monitorze. Potem jakoś już
poszło… Tego samego dnia wypożyczyłem książkę o rosyjskich maszynach
cyfrowych, z której dowiedziałem się co to jest bit i bajt oraz kto to jest
Lenin.

Od tej pory zaczął się intensywny okres w życiu pana S. Całe dnie
spędzał w czytelni pochłaniając książki o komputerach, systemach
operacyjnych, sieciach komputerowych, ale nie tylko. W kręgu zainteresowań
pana Bogumiła znalazła się również telefonia i budowa modemów, co zresztą
zaowocowało w późniejszym czasie rewolucyjnymi metodami stosowanymi przez
grupę „Sendbajt”. Ale nie uprzedzajmy faktów.
Na początku 1989 roku poznał pan S. niejakiego Mieczysława R., również
emeryta, który większość życia spędził na instalowaniu sieci telefonicznych
oraz pracy na Strowgerze. Mietek (jak o nim mawiał pan Bogumił) był wtedy
zgorzkniałym 64-letnim emerytem, dysponował jednak dużą wiedzą praktyczną i
dlatego właśnie pan Bogumił postanowił zawrzeć z nim spółkę w celu
wyciągnięcia od niego możliwie dużo wiedzy (być może już wtedy istniały w
głowie Bogumiła S. zarysy szatańskiego planu który później przyniósł sławę
jemu oraz grupie „Sendbajt”).

Kolejny rok pan Bogumił spędził razem z Mietkiem na dalszym
intensywnym szkoleniu w bibliotekach i nie tylko. Prenumerata „Bajtka”
otworzyła mu oczy na wiele zagadnień o komputerach o których dotąd nie
wiedział nic. Nieodzownym elementem życia stały się nocne rozmowy z Mietkiem
przy kubku kakao, w czasie których prowadzili ożywione dyskusje a to o
plikach, a to o systemach Dos, Unix a to o protokołach sieciowych lub
modemowych. Czasami w domu pana Bogumiła pojawiała się także pani Bożenka-
żona pana Mietka. Przygotowywała im kakao i przysłuchiwała się o czym
rozmawiają. Czasem też zadawała pytania, które jednak nie zawsze miały
sens…

Gdzieś tak w sierpniu 1990 pan Bogumił stworzył swój pierwszy
program – był to generator liczb losowych totolotka napisany w basicu
Commodore 64. Niestety program istniał tylko na kartce z notesu, a to z tego
prostego powodu, iż pana Bogumiła nie było stać nawet na najtańszy komputer
8 bitowy. Później przyszła nauka assemblera. Okazało się, że pan S. ma do
tego nadzwyczajny talent. Już po miesiącu nauczył się wszystkich rozkazów
procesora 8086. Po kolejnych 3 miesiącach żmudnej nauki miał opanowane
wszystkie przerwania i był w stanie pisać i debuggować programy w
assemblerze, i to jedynie za pomocą kilku kartek papieru kancelaryjnego i
ołówka z gumką. Kiedy pan Bogumił dowiedział się już dostatecznie dużo o
komputerach i systemach operacyjnych, przyszła pora na gruntowne studiowanie
sieci, zwłaszcza rozległych. W ciągu pół roku intensywnego wkuwania,
połączonego z ćwiczeniami praktycznymi, pan Bogumił zdobył tak wiele
informacji, że mógł np. zakodować dowolny tekst na ciąg znaków ASCII, po
czym zamienić to na ciąg zer i jedynek oraz podzielić na pakiety wyposażone
w sumę kontrolną, bity stopu parzystości i takie tam. Po wielu treningach
okazało się, że potrafi on z pamięci podać 1 kB pliku binarnego (ewentualnie
zaszyfrować go np. metodą xor w czasie rzeczywistym). Pan Mietek także nie
próżnował – na polecenie pana Bogumiła zbudował specjalny aparat
telefoniczny z dwoma mikrofonami oraz z trzema słuchawkami.

Mówi pan Bogumił:
– Tak pod koniec roku 1991 miałem już dużo wiadomości i wiedziałem dokładnie
czego chcę. Chciałem dostępu do niezliczonych zasobów wiedzy zgromadzonej na
wszystkich komputerach świata.
– Mówiąc to pan Bogumił wzrusza się bardzo, i widać, że silnie to przeżywa.
-Przełomem był styczeń 1992. Czytałem właśnie o najnowszych metodach
modulacji sygnału w paśmie telefonicznym, kiedy wpadł Mietek z nowym
„Bajtkiem”. Była tam opublikowana lista wszystkich BBS-ów w Polsce.
Postanowiliśmy sprawdzić te numery. Ponieważ ja nie mam telefonu, ubrałem
się ciepło i poszliśmy nie opodal do automatu. Wg „Bajtka” w naszym mieście
były 3 BBSy. Drżącymi rękoma wykręciłem numer pierwszego BBSu, i w chwili
gdy chciałem wrzucić żeton, Mietek powstrzymał mnie i sam energicznie
przywalił w aparat centralnie od frontu. Spojrzałem na niego ze zdziwieniem,
ale nie było czasu na wyjaśnienia, gdyż w tym momencie nastąpiło połączenie,
a ja w słuchawce usłyszałem dzikie piski o dużym natężeniu, wpadające wprost
do mego ucha. W pierwszym odruchu wypuściłem słuchawkę z ręki, ale zaraz się
opamiętałem i Mietek podał mi słuchawkę znowu. Tym razem byłem już
przygotowany i starałem się rozróżnić poszczególne dźwięki. W młodości byłem
między innymi muzykiem jazzowym, więc od razu wyłapałem częstotliwość nośna
na 1200 Hz. Słychać było regularne sekwencje pisków. Powtórzyło się to w
sumie sześć razy, i modem po drugiej stronie wyłączył się. Czasu nie było
dużo, ale już po tym pierwszym połączeniu zorientowałem się, że mam do
czynienia z jakimś modemem 2400, a także rozpoznałem rodzaj modulacji. Za
chwilę wykręciliśmy ten sam numer raz jeszcze i tym razem spróbowałem
nawiązać łączność. Gwizdanie do mikrofonu niewiele pomogło, więc wpadłem na
pomysł, żeby Mietek wymawiał „aaaaaaaa” na częstotliwości ok. 2400 Hz, a ja
w tym czasie wydawałem odpowiednie piski w celu przeprowadzenia handshake’u
oraz uzyskania połączenia z odległym komputerem, z prędkością przynajmniej
300 bps. Próbowaliśmy jakieś 4 razy zanim się to udało. Jednak po odebraniu
wiadomości wstępnych oraz zalogowaniu się do BBSa jako anonymous połączenie
zostało przerwane, ponieważ Mietek zaniósł się nagle straszliwym kaszlem.
Mnie zresztą też rozbolało gardło od wydawania pisków, oraz ręka od
notowania zer i jedynek. Pracę także utrudniał fakt, że musiałem
jednocześnie nadawać i deszyfrować dane. Należało zdecydowanie opuścić budkę
i udać się do domu w celu obmyślenia innej strategii, zwłaszcza, że wokoło
zebrał się tłumek młodych osób, przyglądających się nam dość dziwnie. No
cóż, to moje pierwsze połączenie z modemem było może niezbyt udane ale za to
wiele się nauczyłem.

Co robił pan Bogumił S. w następnych dniach? Otóż zdał on sobie
sprawę, że w pojedynkę z Mietkiem wiele nie zdziałają. Potrzebowali pomocy
fachowców. Na pierwszy ogień poszła pani Bożenka, która jako regularna
bywalczyni coniedzielnej mszy świętej, dysponowała odpowiednim głosem, z
którym pan S. wiązał duże nadzieje.
-Pani Bożenko, pani będzie pełniła w naszej grupie funkcję generatora fali
nośnej.
-Ło Jezu! A co to jest ? W imię ojca!
-Spokojnie pani Bożenko, to nic trudnego, niech no pani powie „aaaaaa”.
-Aa
-Ale tak długo „aaaaaa” i tutaj, do mikrofonu proszę.
-Aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa
-Dobrze. No widzi pani? Trudne? Nietrudne. Panie Mietku odczytał pan
częstotliwość na oscyloskopie?
-Niewiarygodne! Dokładnie 2400 Hz panie Bogumile!
-Fantastycznie! Jest pani najstarszym generatorem fali nośnych
telefonicznych na świecie.
-No wie pan?
-Żartowałem, he he.
-Panie Bogumile, a jak będzie się nazywała nasza grupa?
-Już to przemyślałem, proponuję „Sendbajt”. Może być?
-Eeeeee. Dobra.

W kolejnych dniach pan Bogumił pokazywał pani Bożence jak ma się
zachowywać generator fali nośnej, zwłaszcza w przypadku renegocjacji
połączenia oraz zakłóceń na linii. Pan Mietek przechodził intensywny kurs
HTMLa (oczywiście w wersji zerojedynkowej). Po tygodniu do grupy „Sendbajt”
dołączyła jeszcze pani Wanda – dobra znajoma pani Bożenki, która wg niej
śpiewała najgłośniej i najpiękniej w całym kościele.
-Bardzo dobrze! – ucieszył się pan Bogumił – pani będzie naszym nadajnikiem
oraz modulatorem!
-Ale nic nie wiem! Nie umiem! – płakała pani Wanda.
-Jak to nic ? Niech pani powie „pi pi pi pioooupipaupi- oiopppipipiapappe pi
pi”
-pi pi pi pioooupipaupi… jak było dalej ?
-…oiopppipipiapappe pi pi …jeszcze raz!
-pi pi pi pioooupipaupioiopppipipiappe pi pi …dobrze ?
-Opuściła pani jedno pa, ale korekcja błędów modemu odbiorczego powinna
sobie z tym poradzić. Poza tym doskonale.
-Panie Mietku!
-Słucham.
-Proszę przebudować nasz aparat tak, aby drugi mikrofon był połączony
szeregowo z pierwszym, poprzez układ, który pan zaprojektuje tak, aby sygnał
z drugiego mikrofonu modulował sygnał pierwszego fazowo, amplitudowo lub
częstotliwościowo, w zależności od położenia przełącznika P3. Druga
słuchawka ma mieć dodatkowy filtr srodkowoprzepustowy na 1200 Hz …zresztą
tu ma pan wstępny projekt.
-Jasna sprawa, tylko co z tymi krokodylkami, zostają jak są ?
-Tak, i niech pan skołuje jakieś 50 metrów czarnego kabla telefonicznego.
-To się da zrobić.

Następny tydzień upłynął na przygotowaniach. Pan Bogumił zarywał
noce, symulując na kartce małą sieć ethernet na sześć komputerów. Bawił się
kopiując pliki między stanowiskami lub uruchamiając programy na serwerze.
Zabawa ta kosztowała go co prawda dwie ryzy papieru do kserokopiarek, ale
jego wiedza o działaniu sieci wzrosła niepomiernie.

-Nasza pierwsza akcja? No cóż, to było w piwnicy naszego bloku. Około
godziny 23:00 zaopatrzeni w latarki, hackomat (jak nazwaliśmy nasz przyrząd)
oraz koszyk na ziemniaki i torbę na kompoty zeszliśmy do piwnicy. Mietek od
razu odszukał skrzynkę z napisem 'TP’ i wyjął z torby pęk kluczy. Po chwili
nasz hackomat był na linii i mieliśmy dialtone. Wg planu najpierw wykręciłem
numer do naszego znajomego BBSu. Panie zajęły miejsca przy mikrofonach,
Mietek przyłożył swoja słuchawkę do ucha, ja swoja i przygotowałem papier i
kredki (ołówki mi się już wtedy skończyły). Pierwsza próba zalogowania nie
powiodła się, ponieważ pani Wanda z wrażenia krzyknęła do mikrofonu i zdalny
modem nas rozłączył. Jednak za drugim razem udało się doprowadzić do
połączenia, co prawda tylko 120 bps, ale jak na początek to chyba i tak
nieźle. Mietek szybko załapał o co chodzi, później już sam odbierał i
deszyfrował wiadomości. Dzięki temu ja mogłem się zająć przetwarzaniem
danych. Naprawdę byłoby z nami krucho, gdyby nie to, że Mietek pożyczył od
swojego syna kalkulator. To był taki prosty kalkulator, ale miał co trzeba,
tzn. dodawanie i mnożenie. Kiedy już się zalogowałem do systemu pierwszą
rzeczą jaką zrobiłem było przejęcie praw menadżera BBSu wg mojej metody
obmyślonej z pół roku wcześniej. Nie spodziewałem się że pójdzie aż tak
łatwo. Niestety po 15 minutach połączenia pani Bożenka nie wytrzymała i
powiedziała, że nie może dłużej krzyczeć „aaaa”, że ona też chce być
procesorem i inne takie bzdury… Przez nią zerwaliśmy takie świetnie
zapowiadające się haczenie. Ale nic to. Zdążyłem i tak skasować większość
plików systemowych. Kiedy Mietek doprowadził swoją żonę do porządku i
mogliśmy już kontynuować postanowiliśmy spróbować czegoś innego.
Połączyliśmy się z serwerem dosyć dużej firmy L*** z naszego miasta. Okazało
się, że mają aktywne konto guest. Nic prostszego. Po wejściu do systemu w
ciągu 5 minut zdobyłem uprawnienia roota i ku mojej nieopisanej radości
okazało się, że serwer ma łącze z inernetem. Niedowierzając sprawdziłem całą
kartkę obliczeń, czy nie pomyliłem się czasem przy dodawaniu liczb ujemnych
w systemie ósemkowym, bo z tym miałem zawsze trochę kłopotu. No ale wszystko
się potwierdziło. Zakryłem mikrofon ręką i krzyknąłem do Mietka: Udało się!
Jesteśmy w Internecie! Niestety nasze panie wytwarzały taki zgiełk, że
prawdopodobnie mnie i tak nie usłyszał. Ale ja już byłem tam gdzie chciałem
być zawsze. Pierwsze co zrobiłem to połączyłem się z serwerem firmy Seagate
Technologies (znałem dobrze ich system operacyjny z jednej książki) i
włamałem się na stronę WWW. Nie tracąc czasu, przekazałem pałeczkę naszemu
specowi od HTMLa , czyli panu Mietkowi, sam zaś zająłem jego miejsce. Tak
jak się umówiliśmy wcześniej, Mietek dokonał zmian bezpośrednio w kodzie
HTML przy pomocy edytora dysku na serwerze. Teraz trudne zadanie czekało
panią Wandę. Musiała nadawać przez 20 minut tekst naszego manifestu…

Kolejne miesiące płynęły grupie „Sendbajt” szybko. Po pierwszych
sukcesach na stronach WWW próbowali włamywania na amerykańskie serwery
wojskowe i rządowe, co było od zawsze skrytym marzeniem Bogumiła S.
Niestety, pomimo poprawienia (na skutek zaprawy członków „Sendbajt”)
parametrów transmisji (dochodziła ona do 1200 bps ) nie dało się w dalszym
ciągu ściągać większych plików binarnych. Rekordem grupy był download kodu
źródłowego do Internet Explorera v2.0 (po włamaniu na serwer firmy
Microsoft). Poprawiło to nawigację w sieci www, gdyż pan Mietek nauczył się
tego kodu na pamięć i robił po prostu za przeglądarkę (jeśli zachodziła
potrzeba, to szkicował na kartce jpgi i gify, żeby każdy mógł podziwiać
szatę graficzną danej strony). Tymczasem pan Bogumił zaliczał coraz to nowe
miejsca www, haczył i ewentualnie niszczył serwery internetowe jeden za
drugim. Jednym słowem grupa rozwijała się i z dnia na dzień stawała się w
Sieci coraz bardziej popularna.

Na wszystkich administratorów padł blady strach. Większość z nich
zaczęła do wymiany informacji używać tradycyjnej poczty snail-mail, do tego
stopnia byli sterroryzowani przez członków grupy „Sendbajt”. Oczywiście
przez cały ten czas grupa korzystała z różnych numerów telefonów, początkowo
sąsiadów z bloku, ale później pan Mietek wynalazł świetne miejsce koło
przedszkola, dwie ulice dalej. Chodzili tam więc nocami, wpinali hackomat i
siadali w krzakach, z daleka od ludzi. Pewnie spodziewacie się, że w końcu
policja nakryła grupę „Sendbajt” i zirytowani admini ukamienowali za miastem
jej członków , względnie Bogumił S. wylądował w więzieniu jak przystało na
hackera-legendę? Otóż nie.

Działalność grupy trwałaby zapewne po dziś dzień, gdyby pan Bogumił
nie odkrył nowej pasji życiowej – mianowicie wędkarstwa. Niestety, bez pana
Bogumiła grupa „Sendbajt” szybko się rozpadła. Spotykają się jednak czasem w
piwnicy jak za starych czasów i przesiadują na IRCu lub pan Bogumił ściąga
sobie stronki o wędkarstwie… Poza tym są szczęśliwi. Admini też, że cała
sprawa przycichła. Nadal wydaje im się, że ich systemy są dobrze
zabezpieczone i mogą spać spokojnie.
Niech śpią…

unizeto

kontynuując piątkowe walenie głową w ścianę muszę się jeszcze wyrzygać na Unizeto. znajomy poprosił mnie o pomoc przy wygenerowaniu i instalacji certyfikatu SSL. pierwszy odruch – chłopaq, bierz w thawte. korzystałem z tego z ich usług kilqkrotnie i nie miałem żadnych problemów. niestety – płatność tylko w peelenach i w ogóle ze względów politycznych firma polska. nie za bardzo wiedząc co robię postanowiłem zaufać Unizeto – Certum. czy to firma państwowa? bo cały ten portal wygląda jak napisany przez syna pana prezesa i ‘dla oszczędności’ postawiony na opensource’owych rozwiązaniach konfigurowanych przez studentów. kilka przykładów:

pierwsze kroki standard: zaqp przez WWW, wysłanie faktury, płatność, weryfikacja doqmentów. so far so good. no ale skoro zostały zaqpione certy to teraz chciałbym się zalogować do jakiegoś panelu zarządzania certyfikatami. po kilqnastu minutach walki postanawiam skorzystać z ‘chat z konsultantem’. dostaję odpowiedź ‘nie ma panelu zarządzania. dostaje pan zdrapkę i to się wpisuje <blablabla>’. jak nie ma panelu zarządzania to jak się nimi zarządza? poza tym wpisywałem jakieś hasło i login… to po co? ach. potem okazuje się, że jednak jest jakiś-tam panel i jest to e-koszyk w sklepie. super. na stronie głównej jest guzik ‘masz już konto w e-sklepie? zaloguj się’. ale logowanie się nie udaje. po jakiś dziwnych manewrach trafiam na inną stroną [potem już wiem, że jest druga strona, bo linka do niej jakoś niełatwo znaleźć] – i tam logowanie o dziwo działa [nie wiem w końcu czy są dwa sklepy…?] następnego dnia nie działa – odkrywam, że nazwa użytkownika, którym jest email, jest case-sensitive. od kiedy maile są case-sensitive nie wiem. śmierdzi linuxem q: dobra. umiem się zalogować – sukces! ale w wyniq tych wszystkich operacji klucz prywatny nie chce się sparować z publicznym [zapytanie pkcs generowałem ich interfejsem]. muszę zrevokować cert. zaczyna się jazda czyli komunikacja z działem reklamacji – ponieważ proces revoke, jak w każdym szanującym się systemie działającym przez WWW jest w pełni automatyczny, czyli wymaga telefonu, pani Kasi po drugiej strony, dwóch adresów mailowych i dużo cierpliwości. i teraz kolejne ułatwienie. w klepie dostaje się cert o numerze seryjnym np. 34590876. kiedy się go dostaje wygenerowanego ma juz numer 0x345678, kiedy się go odwołuje – dostaje się info, że cert o numerze seryjnym 3430008 został odwołany. qrva mać! no szybkie przeliczenie i przynajmniej jeden numer – przy odwołaniu – po przeliczeniu DEC-HEX się zgadza. fajnie się też koresponduje z reklamacjami kiedy pytają o numer seryjny – sami chyba mają problemy ze zorientowaniem się o który chodzi.

wnioski:

  • NIDY WIĘCEJ
  • używaj openSSL
  • polska… polska… to gdzieś w afryce?

jeśli macie doświadczenia z innymi urzędami w polsze to plz o wpis w komentarzu bo następnym razem.. szkoda zdrowia po prostu.

eN.

FEP i inne takie

mówią, że poniedziałki są najgorsze, ale dziwne przypadłości potrafią dopaść w dowolnym momencie. po wczorajszej wizycie u dentysty [kilka znieczuleń AUU] z czwartq przesunął mi się ten cały syf, na tak zazwyczaj piękny dzień, jakim jest piątek. cały tydzień jest w zasadzie przesrany bo helpdesk chory i odwalam głupią robotę FUJ.

przyszedł komp z wirusem. po raz kolejny wspaniały McAfee dał pupy i z jakiegoś powodu nie wybronił użytkownika, który oczywiście jakimś trafem, miał admina lokalnego [pozostanie to w czasie przeszłym]. ponieważ testujemy Forefront Endpoint Protection kilka spostrzeżeń:

ogólnie jestem bardzo zadowolony. w przeciwieństwie do McAfee wykrywa wirusy. trochę gorzej z ich usuwaniem – nie wiedzieć czemu, tego wynalazq [dysk podłączony po USB] nie potrafił wywalić. i pomimo, że nie potrafił to restartować każe. restarty od wiecznych czasów były problemem środowiskiem Windows – ale do cholery, czas z tym skończyć! parę razy na konferencjach developerskich słyszałem, że programiści dodają ‘restart’ tak profilaktycznie – żeby mieć pewność, że biblioteki odświeży. do tej pory czasem [nie potrafię znaleźć regularności] po włożeniu urządzenia USB winda krzyczy ‘urządzenia zainstalowano poprawnie. zrestartuj system..’. oczywiście nie restartuję i też działa dobrze. denerwujący jest też czas, podczas wykonywania operacji – np. usunięcia czy przesunięcia do kwarantanny – coś co powinno trwać 1-2sec rozciąga się do pół minuty [WTF?]. na szczęście takie akcje to wyjątki, więc nie jest to specjalnie uciążliwe. po prostu dziwne. jeszcze dziwniejsze jest to, że po nieudanej próbie usunięcia .. wycina wpis DNS z ustawień TCP/IP. nie wiem czy to tak normalnie bo nie mogłem znaleźć podobnego przypadq O_o

drugim problem FEP są polisy GPO, które nie pozwalają na danie użytkownikowi możliwości definiowania wyjątków – można zdefiniować wyjątki via GPO , ale oddanie tego userowi – nie. w efekcie jeśli jest kilka kompów o specyficznych katalogach, które mają nie być skanowane – albo trzeba wyłączyć dla nich polisy albo tworzyć je oddzielnie. niewygodne.

poza tym podtrzymuję opinię, jaką miałem o Security Essentials – program wydajny, ‘przeźroczysty’, niekłopotliwy… po prostu przeciwieństwo gównianego McAfee [die bitch!]

eh.. piątek… po południu trzeba zacząć sekwencję weekendowego restartu q:

eN.

ten niedobry Microsoft czyli historia o podkradaniu wyników wyszukiwania przez Bing

bardzo ciekawa historia – czekam z niecierpliwością na stanowisko firmy Microsoft i pewnie jakiś procesik się szykować będzie…

http://googleblog.blogspot.com/2011/02/microsofts-bing-uses-google-search.html

update: pod poniższym linkiem jest opisany dokładnie cały proceder kopiowania rezultatów wyszukiwania: http://searchengineland.com/google-bing-is-cheating-copying-our-search-results-62914