Vu ce matin sur le flux RSS des security advisory de Microsoft : http://www.microsoft.com/technet/security/advisory/2416728.mspx.

Relayé ensuite sur le blog de Scott Guthrie : http://weblogs.asp.net/scottgu/archive/2010/09/18/important-asp-net-security-vulnerability.aspx .

Explications de l’attaque (en Anglais) : http://www.troyhunt.com/2010/09/fear-uncertainty-and-and-padding-oracle.html.

En bref, une faille dans ASP.NET (toutes versions), permettrait à un attaquant de deviner la clé de chiffrement des chaînes chiffrées échangées entre le client et le serveur, comme par exemple le cookie d’authenfication ou la clé de ressource fournie au handler webresource.axd.

Les conséquences sont un peu vastes, cela va de l’élévation de privilège, jusqu’à la récupération de fichiers dans l’application, comme le web.config.

Un workaround est fourni : activer les customerrors dans le web.config de la manière suivante :

<configuration>
  <system.web>
    <customErrors mode="On" redirectMode="ResponseRewrite" defaultRedirect="~/error.aspx" />
  </system.web>
</configuration>

Et la page d’erreur :

<%@ Page Language="C#" AutoEventWireup="true" %>
<%@ Import Namespace="System.Security.Cryptography" %>
<%@ Import Namespace="System.Threading" %>

<script runat="server">
   void Page_Load() {
      byte[] delay = new byte[1];
      RandomNumberGenerator prng = new RNGCryptoServiceProvider();

      prng.GetBytes(delay);
      Thread.Sleep((int)delay[0]);
        
      IDisposable disposable = prng as IDisposable;
      if (disposable != null) { disposable.Dispose(); }
    }
</script>

<html>
<head runat="server">
    <title>Error</title>
</head>
<body>
    <div>
        An error occurred while processing your request.
    </div>
</body>
</html>

Le tout depuis le post de Scott Guthrie cité plus haut.

Le point important est de toujours renvoyer sur la même page, et aussi de rajouter un délai aléatoire dans l’affichage de cette page. En effet, même si le serveur renvoie toujours la même page, qu’une erreur ait eu lieu ou pas, le temps mis pour renvoyer cette page peut donner des informations.

Bon patch à vous.

PS. L’url du flux RSS des Advisories Microsoft : http://www.microsoft.com/technet/security/advisory/RssFeed.aspx?securityadvisory.

A la recherche d’un TreeView pour ASP.NET MVC, je suis arrivé chez Telerik ( http://www.telerik.com/products/aspnet-mvc.aspx ), qui propose une suite de contrôles (dont mon TreeView).

Les démos sont visibles ici : http://demos.telerik.com/aspnet-mvc/ et le code source est disponible en GPL sur CodePlex : http://telerikaspnetmvc.codeplex.com/.

Le Grid est particulièrement impressionnant, avec tri, pagination, filtres, et groupement (ouf, la liste est finie). Le tout avec du Linq derrière. Pour les plus gros jeux de données, tout est paramétrable.

A tester !

… est disponible sur Codeplex : http://cogimator.codeplex.com/.

Le format de repository choisi est Mercurial, pour utiliser une techno un peu “bleeding edge”, IE rester à la pointe, et surtout pour découvrir un peu les DCVS.

Pour terminer cette série, voici un extrait de code permettant de créer simplement une zone de texte avec autocompletion.

En premier, le code de la méthode d’extension :

using System;
using System.Linq.Expressions;
using System.Web.Mvc;
using System.Web.Mvc.Html;

namespace Cogimator.Demos.Mvc
{
    /// <summary>
    /// Classes helper pour autocompletion
    /// </summary>
    public static class AutoCompleteExtensions
    {
        /// <summary>
        /// Genere un editeur avec autocompletion
        /// </summary>
        /// <typeparam name="TModel">Type de Model</typeparam>
        /// <typeparam name="TDisplayValue">Type de la propriété utilisée 
        /// pour affichage</typeparam>
        /// <param name="html">helper</param>
        /// <param name="displayExpression">Expression pour indiquer la 
        /// propriété à utiliser</param>
        /// <param name="action">Action du Controler courant renvoyant du 
        /// JSON</param>
        /// <returns>Chaine HTML</returns>
        public static string AutoCompleteFor<TModel, TDisplayValue>(this HtmlHelper<TModel> html, Expression<Func<TModel, TDisplayValue>> displayExpression, string action)
        {
            var res = html.EditorFor(displayExpression, null).ToHtmlString();

            var displayName = ModelMetadata.FromLambdaExpression(displayExpression, html.ViewData).PropertyName;

            res += string.Format(
                @"<script type=""text/javascript"">
                    $(document).ready(function() {{
                        $(""#{0}"")
                            .autocomplete({{
                                source: function (request, response) {{
                                    $.post(""{1}"",
                                        {{
                                            term: request.term
                                        }}, 
                                        function (result) {{
                                            response(result)
                                        }})
                                }},
                                minLength: 1,
                                select: function(event, ui) {{
                                    $('#{0}').val(ui.item.label);
                                    return false;
                                }}
                            }});
                    }});
                </script>",
                html.ViewData.TemplateInfo.GetFullHtmlFieldId(displayName),
                UrlHelper.GenerateUrl(null, action, null, null, html.RouteCollection, html.ViewContext.RequestContext, true));

            return res;
        }
    }
}

Un modèle simple :

namespace Cogimator.Demos.FrontEnd.Mvc.Models
{
    public class SimpleModel
    {
        public string Label { get; set; }
    }
}

Dans la partie configuration/pages/namespace des fichiers web.config situé dans le dossier racine et dans le dossier Views de votre application MVC, n’oubliez pas d’indiquer le namespace de vos méthodes d’extension et de vos modeles :

<add namespace="Cogimator.Demos.Mvc" />
<add namespace="Cogimator.Demos.FrontEnd.Mvc" />

Et la vue :

<%@ Page Language="C#" MasterPageFile="~/Views/Shared/Site.Master" Inherits="System.Web.Mvc.ViewPage<SimpleModel>" %>
<asp:Content ContentPlaceHolderID="plhCenter" runat="server">
    <%using (var f = Html.BeginForm()) { %>
    <h2>Extension</h2>
    <p>Champ : <%=Html.AutoCompleteFor( x=> x.Label, "AutoComplete") %></p>
    <%} %> 
</asp:Content>

Ceci termine cette série sur JQuery.UI.AutoComplete et ASP.NET MVC.

Pour clore cette série, nous allons présenter les résultats avec des catégories. Comme précédemment, commençons par l’action de notre Controller :

public JsonResult AutoCompleteCategorized(string search){
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(search))
        .Select(x => new
        {
            value = x.Id,
            label = x.Libelle,
            category = x.Category
        });
     return Json(data);
}

Suivie de la vue, dans laquelle on pourra noté que lors de l’appel de $().autocomplete(), le résultat est placé dans une variable, afin de pouvoir personnaliser plus facilement les fonctions de rendu.

<%using (var f = Html.BeginForm()) { %>
<p>Categorized</p>
<%=Html.TextBox("Libelle_Categorized")%>
<%=Html.TextBox("Id_Categorized")%>
<%} %>
<script type="text/javascript">
$(document).ready(function () {
    var ac_categorized = $('#Libelle_Categorized').autocomplete({
        minLength: 1,
        source: function (request, response) {
            $.post('<%=Url.Action("AutoCompleteCategorized") %>',
                {
                    search: request.term
                },
                function (result) {
                    response(result)
                })
        },
        select: function (event, ui) {
            $('#Libelle_Categorized').val(ui.item.label);
            $('#Id_Categorized').val(ui.item.value);
            return false;
        }
    });
    ac_categorized.data("autocomplete")._renderItem = function (ul, item) {
        return $("<li></li>")
        .data("item.autocomplete", item)
        .append("<a>" + item.label + "</a>")
        .appendTo(ul);
    };
    ac_categorized.data("autocomplete")._renderMenu = function (ul, items) {
        var self = this;
        var currentCategory = "";
        $.each(items, function (index, item) {
            if (item.category != currentCategory) {
                ul.append("<li class='ui-autocomplete-category'>"
                     + item.category + "</li>");
                currentCategory = item.category;
            }
            self._renderItem(ul, item);
        });
    };
});
</script>

Et le résultat :

Pour terminer cette série, nous verrons comment créer une méthode d’extension pour capitaliser les cas simples (libellé et identifiant).

Cette fois ci, nous allons personnaliser les objets retournés par notre Controller :

public JsonResult AutoCompleteCustomJson(string search, string prefixWith)
{
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(search))
        .Select(x => new
        {
            Id = x.Id,
            Libelle = x.Libelle,
            Prefix = prefixWith
        });

    return Json(data);
}

Pour que ces modifications soient prises en compte dans notre vue, il faudra modifier la fonction dans “source”, et remplacer la fonction “_renderItem”.

La fonction “$.map” permet de transformer la liste d’objets JSON reçu dans une autre liste, dans le cas où l’on souhaiterait renommer encore une fois les propriétés des objets de notre liste.
La fonction “_renderItem” permet de contrôler le rendu de la liste d’auto complétion.

<%using (var f = Html.BeginForm()) { %>
    <%=Html.TextBox("Libelle_CustomJson")%>
    <%=Html.TextBox("PrefixWithJson")%>
    <%=Html.TextBox("Id_CustomJson")%>
<%} %>

<script type="text/javascript">
    $(document).ready(function () {
        $('#Libelle_CustomJson').autocomplete({
            minLength: 1,
            source: function (request, response) {
                $.post('<%=Url.Action("AutoCompleteCustomJson") %>',
                    {
                        search: request.term,
                        prefixWith: $("#PrefixWithJson").val()
                    }, 
                    function (result) {
                        response(result)
                    })
            },
            select: function (event, ui) {
                $('#Libelle_CustomJson').val(ui.item.Libelle);
                $('#Id_CustomJson').val(ui.item.Id);
                return false;
            }
        }).data("autocomplete")._renderItem = function (ul, item) {
            return $("<li></li>")
            .data("item.autocomplete", item)
            .append("<a>" + item.Prefix 
                    + "<br>" + item.Libelle + "</a>")
            .appendTo(ul);
        };
     });
</script>

Le résultat :

Dans le billet précédent, nous avons vu comment réaliser une auto complétion sur une TextBox, avec ASP.NET MVC 2.

Nous allons maintenant voir comment personnaliser cet exemple, pour envoyer un deuxième paramètre en plus de la valeur saisie.

Comme dans la partie 1, l’action du Controller, avec deux paramètres. De plus, le paramètre JsonRequestBehavior a été retiré.

public JsonResult AutoCompleteCustom(string search, string prefixWith)
{
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(search))
        .Select(x => new
        {
            value = x.Id,
            label = prefixWith + " " + x.Libelle
        });
 
    return Json(data);
}

Dans la vue, la source de données passée devient plus complexe : il s’agit d’une requête avec $.post, qui nous permet de passer en HTTP POST (d’où le retrait de JsonRequestBehavior.AllowGet), mais surtout de nommer les paramètres passés, via un objet anonyme. Ici les paramètres reprennent les noms des paramètres de notre action : “search” et “prefixWith”.

Enfin, les données renvoyées par le Controller sont passés a jquery.ui.autocomplete par la fonction “response”.

<%using (var f = Html.BeginForm()) { %>
    <%=Html.TextBox("Libelle_Custom")%>
    <%=Html.TextBox("PrefixWith")%>
    <%=Html.TextBox("Id_Custom")%>
<%} %>

<script type="text/javascript">
    $(document).ready(function () {
        $('#Libelle_Custom').autocomplete({
            minLength: 1,
            source: function (request, response) {
                $.post('<%=Url.Action("AutoCompleteCustom") %>', 
                    {
                        search: request.term,
                        prefixWith: $("#PrefixWith").val()
                    },
                    function (result) {
                        response(result);
                    })
            },
            select: function (event, ui) {
                $('#Libelle_Custom').val(ui.item.label);
                $('#Id_Custom').val(ui.item.value);
                return false;
            }
        });
    });
</script>

Et le résultat :

Pour implémenter facilement une autocompletion sur une TextBox dans vos applications ASP.NET MVC, vous aurez besoin de :

• JQuery
• JQuery.UI (contient le plugin autocomplete)
• ASP.NET MVC 2

Premiere étape, créer une action dans le controller. Par défaut, jquery.ui.autocomplete envoie la valeur saisie dans une textbox dans le paramètre “term”. Toujours par défaut, les objets JSON renvoyés doivent posséder une propriété value et une propriété label.

public IEnumerable<Data> GenerateData()
{
    return new List<Data>() 
    {
        new Data() { Id = 11, Libelle = "Foo 1", Category = "Foos" },
        new Data() { Id = 12, Libelle = "Foo 2", Category = "Foos" },
        new Data() { Id = 13, Libelle = "Foo 3", Category = "Foos" },
        new Data() { Id = 21, Libelle = "Bar 1", Category = "Bars" },
        new Data() { Id = 22, Libelle = "Bar 2", Category = "Bars" },
        new Data() { Id = 23, Libelle = "Bar 3", Category = "Bars" },
        new Data() { Id = 31, Libelle = "Baz 1", Category = "Bazs" },
        new Data() { Id = 32, Libelle = "Baz 2", Category = "Bazs" },
        new Data() { Id = 33, Libelle = "Baz 3", Category = "Bazs" }
    };
}

public JsonResult AutoComplete(string term)
{
    var data = GenerateData()
        .Where(x => x.Libelle.Contains(term))
        .Select(x => new
        {
            value = x.Id,
            label = x.Libelle
        });
 
    return Json(data, JsonRequestBehavior.AllowGet);
}

Ici, le jeu de donnée est crée à la volée, filtré, et renvoyé sous forme JSON. Le paramètre  JsonRequestBehavior.AllowGet permet de renvoyer les resultats JSON suite à une requête HTTP GET.

Dans la vue :

<%using (var f = Html.BeginForm()) { %>
    <%=Html.TextBox("Libelle_Simple")%>
    <%=Html.TextBox("Id_Simple")%>
<%} %>

<script type="text/javascript">
    $(document).ready(function () {
        $('#Libelle_Simple').autocomplete({
            minLength: 1,
            source: "<%=Url.Action("AutoComplete") %>",
            select: function (event, ui) {
                $('#Libelle_Simple').val(ui.item.label);
                $('#Id_Simple').val(ui.item.value);
                return false;
            }
        });
    });
</script>

Dans le code JavaScript :

- minlength représente la longueur minimale devant être saisie pour déclencher une rêquete d’autocompletion
- source sera l’url de l’action de notre controller renvoyant le JSON
- select est la fonction exécutée lors du clic sur un élément. Ici, on va placer les valeurs des propriétés label et value dans leurs TextBox respectives.

Il ne nous reste plus qu’à tester :

Lorsque que l’on sélectionne un élément, la valeur de sa propriété value est renseigné dans la deuxième TextBox

Dans les prochains billets, nous verrons comment capitaliser cela dans une méthode d’extension de HtmlHelper, et comment personnaliser les paramètres envoyés par JQuery.

Pour ceux qui rencontrent des problèmes à l’exécution (Castle.DynamicProxy2 2.1.0 attendu, et 2.2.0 trouvé), deux solutions s’offrent à vous :

- télécharger la dernière version du code source de FluentNHibernate, et la compiler en utilisant les références aux bonnes versions de Castle.Core, et Castle.DynamicProxy2

- ajouter les lignes suivantes dans votre web.config/app.config, dans la section “configuration” :

  <runtime>
    <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
      <dependentAssembly>
        <assemblyIdentity name="Castle.DynamicProxy2" 
                          publicKeyToken="407dd0808d44fbdc" culture="neutral" />
        <bindingRedirect oldVersion="2.1.0.0" newVersion="2.2.0.0" />
      </dependentAssembly>
    </assemblyBinding>
    <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
      <dependentAssembly>
        <assemblyIdentity name="Castle.Core" 
                          publicKeyToken="407dd0808d44fbdc" culture="neutral" />
        <bindingRedirect oldVersion="1.1.0.0" newVersion="1.2.0.0" />
      </dependentAssembly>
    </assemblyBinding>
  </runtime>

Disponible depuis quelques semaines, et mise à jour récemment, cette suite de “power tools” pour Visual Studio 2010 apporte son lot d’agréments :

Solution Navigator

Remplace avantageusement l’explorateur de solution pour parcourir les projets/fichiers d’une solution. En effet, ce nouvel onglet permet :

- de déplier les fichiers source, afin d’en afficher la liste des membres.

- d’afficher uniquement les fichiers ouverts, ou les fichiers non sauvegardés.

- les onglets prennent une couleur par projet, et il est possible de les épingler

Power commands

Mon rêve, enfin exaucé : formater le document automatiquement, et trier/supprimer les using. Ceux qui utilisent régulièrement StyleCop comprendront tout l’intérêt de la chose.

En conclusion, les fans de raccourcis claviers, et d’optimisation de leur productivité sous Visual Studio seront ravis. Le meilleur : c’est gratuit. Ceux qui n’ont pas de licence Reflector apprécieront !