В свете того, что было принято решение совместно с EPAM и .NET UG в Беларуси популяризировать среду программирования .NET - эта ветка посвящена именно этому вопросу.

Первым этапом развития .NET UG в Беларуси решено было сделать на этом форуме отдельную группу .NET UG team, в которую входили бы люди, состоящие в ней и проявляющие там достаточную активность.
Таким образом привлеклось бы внимание крупных компаний, которые на форуме появляются очень часто.

Поэтому - в этой ветке пишите предложения по .NET UG и его развитию, а также запросы на вхождение в группу (как только будут запросы - я автоматом буду добавлять людей в течение ближайшего времени).

ОФ. сайт .NET UG team - ]]>http://minsk.gotdotnet.ru]]>

ОФ. форум - ]]>http://forum.codeby.net/forum19.html]]>

Сообщение отредактировал Серёга - 10:03:2006, 07:47

Моих 2 цента:

просьба воспринимать любые посты, даже самые резкие, как _личное_ мнение каждого. Если что-то говорю я - это _мое_ личное мнение. Понятно, что комьюнити для его участников, это скорее что-то, чего не хватало до этого:-)

Поэтому мне кажется разумной дискуссия в форме "отвергаешь -- предлагай".

Прошу добавить меня в .NET UG Team

Я так понимаю сегодня, на том же месте в тот же час?

З У Б Ы Д А Р Е Н О Г О К О Н Я
несколько замечаний о встрече в itransition™

в принципе, нет ничего необычного в ситуации, когда крупные софтодобывающие компании обращают внимание на локальные сообщества энтузиастов. энтузиазизьм дело хорошее (в отличие от некоторых других -изьмов, например, некрореализма или winapiзма, это одно и то же) и все это прекрасно понимают. плюс, инвестиции в независимые сообщества могут принести неплохие дивиденты. как ни крути, демократия юбер аллес (и все это прекрасно понимают) и хорошая репутация это солидный бонус. никому не хочется работать в очередной протофашистской корпорации, страдать от угнетения властных партийных бонз менеджеров и плакать забитой кафкой под стенами безучастного замка на сером пляже за колючей проволкой. поэтому корпорации идут на многое, чтобы пред почтенной публикой из саблезубого крокодила обратиться в пушистого розового слона. логика следующая:

а) слон большой = "места всем хватит"
б) слон мягкий = "у нас условия"
в) слон добрый = "счастье для всех"

а в условиях кадрового недоедания даже самые откровенные кибернетические вампиры вынуждены проглотить клыки, сменить гроб на просторный светлый кабинет и выдавливать "чи-и-из": "счастье", "условия", "приводите друзей". а иначе как? "иначе протяните ноги, старый дурак".

однако, itransition™ компания молодая, динамичная, современная, амбициозная и, что естественно, наглая. наглая в хорошем смысле этого слова, по-молодости. но, давайте по-порядку.

инчто не предвещало беды...

что оказалось верно, никакой беды и не случилось. под руководством опытного гида маши сообщество было собрано, упаковано и нуль-транспортировано на 24 этаж самого высокого здания в минске без потерь и ущерба. помещение оказалось очень милым, замечательно приспособленным для задушевных переговоров в узком кругу лиц (а если лица эти женские и миловидные, то и для более тесного сотрудничества), но тесноватым. к счастью, заинтересованных лиц собралось именно столько сколько могло поместиться на диване. на столе были размещены магические инструменты любой уважающей себя корпорации -- визитки, брошюры, анкеты, флажки и кока-кола -- все необходимые атрибуты вудуиста, за деньги изображающего из себя профессионального душеведа. с этими реквизитами такая штука -- считается, что человек чаще берет визитки, если разложить их перед ним в ряд, чем если бы они лежали в стопке. поэтому, обнаружив на столе такой рекламный пасьянс, я понял, что руку приложили ведущие корпоративные собаководы психологи и это внушило мне страх и опасение за свою жизнь. "уйти бы живым". ведь, как известно, член нашего сообщества от слова "c-sharp" млеет, а при слове ".net" теряет силу воли. однако, return...

маша представила присутствующих сотрудников itransition™ и кратко ввела в курс дела. дело состояло в том, что "itransition™ -- молодая перспективная быстрорастущая компания", которой очень нужны новые сотрудники. "спасибо за внимание". спасибо, маша.

далее, выступил паша (истинный ариец, ведущий .net разработчик, 27 лет, судя по пальцу -- не женат) который ввел нас в курс дела более подробно: он обрисовал партийную политику социал-дарвинизма ("нам не нужны обезьяны, нам нужны люди, способные генерировать много интересных идей"), корпоративной евгеники и селекции ("люди, не способные войти в культуру нашей компании, нам не нужны и мы умеем от них избавлятся") и прочее, а также ответил на некоторые любопытные вопросы.

паша жжжог глаголом и поражал в самое сердце примерно так:

"мы не признаем этих глупых бумажек -- сертификатов и дипломов"

(аудитория: а-а-а-ах!)

"средний возраст наших сотрудников -- 24 года. а один из наших топ-менеджеров вообще студент"

(аудитория: о-о-о-о-х!)

"в нашей компании каждый получает по заслугам. сотрудник нашей компании должен быть заинтересован не в деньгах, ему должна быть интересна сама работа, и мы ему такую работу найдем"

(аудитория: у-у-у-у-ф!)

шел ковровый корпоративный пи*ар.

далее последовала официальная информационная часть. увы, первый блок, который вела симпатичная девушка ольга, менеджер отдела тестирования уеб-приложений, не имел никакого отношения к .net. да, надо проверять все данные, поступающие от пользователя, надо шифровать пароли, надо... да много чего еще надо, например, мыть руки перед едой, но причем здесь .net? была, правда, и любопытная информация. например, в самой itransition™, отдел тестирования полностью автономен и не подчиняется разработчикам. также, бурю востора вызвало сообщение о том, что разработчики компании отключают на iis валидацию данных и производят ее самостоятельно.

кофе-брейк прошел тихо-мирно, на столе появились печенье и сладости (радость дошкольника), шел неторопливый разговор.

второй блок был более информативен и занимателен. произвел впечатление и сам докладчик -- менеджер отдела технического тестирования максим. мрачный и измученный, он говорил тихим голосом и постоянно проверял телефон. от того, что наши вопросы могут причинять ему страдания, мне стало не по себе.

вообщем, на мой взгляд, компания itransition™ в один вечер сделала и правильный ход и совершила ошибку. правильный ход -- это попытка установить контакт с сообществом. ошибка -- понравится нахрапом. левиафан раскрыл объятия: "я добрый". нет, родной. насильно мил не будешь. будьте людям ИНТЕРЕСНЕЕ, тогда и люди потянутся к вам. вам же нужны ЛЮДИ, а не обезьяны. за собрание, конечно, спасибо, c организационной точки зрения все было очень неплохо.

и в заключение -- наблюдение.

на протяжении всей встречи на нашими спинами таился некий гражданин, представленный как пиар-менеджер. он наблюдал за происходящим, оценивал обстановку и периодически что-то фотографировал. а я задумался, если ли вообще такая профессия -- пиар-менеджер? известно, что современные государства переживают структурный кризис. происходит их дробление, функциональное растворение в надгосударственных структурах и объединениях. в такой ситуации вполне естественно, что частные организации, например, принимают на себя некоторое количество функций, бывших ранее прерогативой государства. не является ли эта профессия, пиар-менеджер, эфемизмом для профессии гораздо более древнейшей -- начальник тайной службы?

такие дела,
αλεφ

Сообщение отредактировал αλεφ - 30:06:2006, 15:19

αλεφ,
Спасибо за подробный отчет Теперь я понимаю, что ничего важного не пропустил, а самый главный вопрос, мучивший меня еще в прошлый четверг, в чем же специфика тестирования .net приложений, так и не был освещен на встрече

Цитата:
"неопознанное лицо кавказской нацинальности средних лет, хитростью проникнувшее в ряды сообщества, не выдержало настолько стремительного рекламного блитцкрига и сбежало. очень кстати, оставшиеся получили возможность сесть поудобнее"

От лица кавказской национальности

Во первых - За "лицо", по морде не опасаетесь получить?
В "скинхедах" не состоити по ходу ?
Далее, то что лицо не опознано Вами, не означает того, что оно не опознано другими компаниями.
По поводу того, кто что может выдержать, то не Вам судить.
Я думаю, что Вам бы следовало выбирать выражния

На счёт места, будьте первыми- и Вы займёте первые(лучшие) места!
Рад, что доставил возможность оставшимся сесть поудобнее , т.к сам рештл поехать домой и лечь поудобнее.

Так, что как говорят на новоязе, уважаемые αλεφ, в Бобруйск так сказать

2AAA:

извините, я, видимо, вас оскорбил. заметка написана в полушутливом тоне, я не хотел никого обидеть. тем более, назвав кого-то "ЛИЦОМ". пожалуйста, извините.

> Рад, что доставил возможность оставшимся сесть поудобнее , т.к сам рештл поехать домой и лечь поудобнее.

в вашем возрасте, я бы сделал ТОЧНО ТАК ЖЕ. понятно, что вам этот рекламный разгон был неинтересен.

про места не понял. вроде ж, не в кино шли.

Для: αλεφ

По поводу лица "кавказской национальности" вы это зря, человек ведь и обдеться может.

Ага, уже обиделся.

Сообщение отредактировал mr_ST - 30:06:2006, 14:36

Для: ААА

Спокойнее нужно быть, IMHO. Достаточно было просто сказать, что тебе не нравится такое обращение. Я думаю, этого хватило бы, чтобы αλεφ умерил свой пыл.

А слова "по морде", "скинхед", "в Бобруйск" не говорят о том, что ты сам следишь за своей речью. Поэтому нужно быть снисходительнее и к другим.

интересная дискуссия намечается :-)

мое имхо о встрече(личное,как человека, не как лидера ug) выразится, пожалуй, след. фразой:
"лекция неодарвинистов о разделении общества на человеков и обезьян, с элементами пенисометрии(ударение на предпоследний слог), порой переходившая на личные оскорбления слушателей и компаний, в которых они работают".

ну а как для лидера ug, факт, когда люди(!!!) уходят после 15 минут, меня лично не радует.

в целом, конечно, это был первый опыт, и в целом, все-таки хочется надеятся на позитивное будущее.культурка, страдает :-)

п.с. надеюсь, никого не обидел выжеизложенным мнение, настроение перед выходными хорошее, да и аргентинцы 3 минуты назад гол немцам забили.

ВПЕЧАТЛЕНИЕ О КОМПАНИИ Company N

Аудитория(A), представить компании (П) Company N.
П: Наша замечательная предлагает вам замечательные бонусы. Мы ищем проект для человека, а не человека под проект. Проектов у нас очень много.
A: О-о-о
П: Средний возраст служащих компании составляет 18 лет, что не может не радовать.љ Один парень 15 лет отроду уже руководит проектом и вполне может с этим справляться. Правда, с иностранным его плоховато. Но мы помогаем ему в обучении.
А: A-a-a
П: Придя к нам будете как сыр в масле кататься. Всё для вас. Мы даже себе во всём отказываем – лишь бы сотрудникам нашим хорошо было. Посмотрите ни визитки при себе, ни хорошей одежды, главное это удовольствие от проделанной вами работы.
A: О-о-о
П: У нас в компании большая половина – это генераторы идей. Есть проекты, в которых собраны исключительно такие люди. Проект становится интересней с различных точек зрения c каждым днём. Он начинает дышать одними идеями. Работа над такими проектами ведётся до сих пор.
A: О-о-о
П: Работая у нас в любой должности вы будете получать удовольствие от своей работы. Не получать удовольствие вы просто не сможете.
Возглас из A: А если не получиться?
П: У нас не работают люди, у которых не получается не получается удовольствие.
П: Наша компания проводит строгий контроль при отборе новых сотрудников. Каждый год мы увеличиваем численность в 2 раза. Сейчас в ней работает 1500 человек. Через год мы видим наш штат в 3000 человек.
Возглас из A: Как же вы при такой ситуации на рынке труда умудряетесь найти столько сотрудников?
П(в сторону): мля, этот вопрос меня самого долго мучает.
П: мы компания динамическая и можем предоставить нашим сотрудникам то, что они в жизни желают. Мы очень динамическая-динамическая компания….
У(аплодисменты): УРА-A-A, молодцы.

Устраивающийся на работу (У), главный зам. директор по найму (Д).
У: Здравствуйте. Это Company N?
Д: Привет, мля, ГАЙ ты туда папал.
У: Извините, я немного опоздал. Уж больно трудно найти ваш офис в этих катакомбах.
Д: НичО скоро привыкнеш. Ну, садись и рассказывай очередную байку про мега-мозг.
У: Я пришёл к вам устраиваться на работу. Знаю, то-то-то…
Д: Стоппед. Не гани лошадей. Мне па барабану, что ты знаешь. Мне интересно, ты готов получать удовольствие от job?
У: Конечно. Ещё, я сертифицирован компанией M. по следующим сертификатам M1 и M2. И в компании S получил высший сертификат качества ###...
Д (прерывая): Пагади. Я ни веру в сертификаты. Я кагда-та один сдавау и там быу один вапрос ламерский. После этава я не веру ни в какие сертификаты.
У: С моим участием закончилось успешно около 10 больших проектов. И я там играл довольно важную и ответственную роль.
Д: Панимаеш, у нас в компании званий нет. У нас люди делятся на две категории: генеретары идей и упыри(или обезьяны, ну, каму как нравится). Так вот. Ты – упырь. Пока не докажешь обратного.
У: Да как же вы можете так говорить?
Д: В нашей кампании N. нет никаких моральных обязательств. Что-то не нравиться? Ну-ка, сгенери какую-нибудь идею. Только быстро.
У: Ну…
Д: Ну вот видиш. Ты – упырь. Если бы нам рабочие щас не трэбавались, ты бы себе другое место нашёл. УПЫРЬ. Ты мне нрависся. Аценивать тваю job буду я. Я оцениваю всегда очень субъективно… или абъективна. Да какая разница. В нашай динамическай-динамическай кампании, очень остро стоит проблема с человеческими ресурсами. Меня поэтому таким бАААльшым топ-манагером и сделали. Причём за два года всего.
Д: Всё. Я устау. Иди афармаляй документы…

Работающий в Company N (Р), главный зам. директор по найму (Д).
Д: Привет, Упырь.
Р: Здравствуйте. Не оскорбляйте меня, пожалуйста.
Д: Да ладна. Чё ты. Скоро генераторам станешь. Мы обещали под тебя проекты найти? Вот нашли. Прадвигаем атечэственава праизвадителя. Интересный проект. Карочэ, необходимо сделать аутомэйшн по транспортировке бананау между чурками в Гродна и китайцами Минска. Мы оценили твои возможнасти. Радуйся…

Работающий в Company N над проектом транспортировки бананов(Р), главный зам. директор по найму (Д).
Р: Я тут поработал. И заметил одну ошибку связанную с безопасностью. Это связано с тем, что в приложении генераторы идей отключили функцию безопасности, связанную с проверкой запросов на Cross Siting Script Attack. Отключив её мы получаем дыру в систему.
Д: Ну ты УПЫРЬ. Мы используем RUP и SSL, поэтому у нас с кволити всё хорошо.
Р: Но это потенциальная дырка в системе.
Д: Дырка – шмырка. Пойду у эксперта спрашу.

Генератор идей в Company N (Г), главный зам. директор по найму (Д).

Д: Тут ошибку с безопасностью один упырь нашёл.
Г: Идеи, идеи, идеи… А где их взять?.. Что простите?
Д: Тут ошибку с безопасностью один упырь нашёл.
Г: А я знаю кто это. И что это за ошибка. Он уже успел всех достать. Я согласен, что он прав, но отделу QA не нравиться, что когда они вводят тэги, их вываливает на страницу с ошибками. Я этот вопрос давно подымал. Но вы сказали, что если QA говорит, значит так и надо. И мы теперь во всех приложениях отключаем эту функцию безопасности и используем один и тот же валидатор. И если кто-то найдёт в валидаторе ошибку, то сможет взломать все написанный компанией Company N. приложения.
Д: Я? Если сказал, значит так и надо. Я сам недавно праграмерам быу. И вообще, мне что-то не нравиться в твоей работе. Надо буде праверить тваю недавно написанну архитектуру.
Г: Но вы ведь ничего не знаете об архитектурах.
Д: Ничё. В Microsoft есть гатовые шаблоны архитетур. Поэтому в этом проблем не будет…

Работающий в Company N над проектом транспортировки бананов(Р), главный зам. директор по найму (Д).

Д: Слушай. Уже в генераторы можна тебя направить. Но щча не аб этам. У нас намекается семинар для очередной группы потенциальных упырей. Мож рассказать на семинаре пра автоматическое тестирование приложений?
Р: Но я программист, а не тестер. Это не моя область.
Д: Я аб этам падумау. Есть уже презентация, в которой все ответы есть.
Р: Но…
Д: Никаких НО. В помощь тебе будет дан R.
Р: Так он же настоящий упырь. Он к техническим вопросам вообще боком относится.
Д: Короче я сказау. Я и сам выступлю, и тебе помогу…

Работающий в Company N(Р)
Р (грустно): O, брат.

Для: Dr.Gigabit
ну блин, калхоз, че ты хош чел приходит куда-то, сам не знает куда, какой в этом смысл? ты пойми, чел ехал через город, пробил 4 талончика и думал может нахаляву календарик подарят или нахаляву пива дадут попить, а вы его прокатили и он через 15 минут уехал. ничего бывает ))) чувствую не зря в был на даче и не пошел на сходку
Для: karlito
зачОтно )) это намек да? ))

>>чувствую не зря в был на даче и не пошел на сходку

Не понятно, как можно кого-то осуждать и давать ярлыки, если даже не видел всего происходящего собственными глазами? Забавно, в любом обществе многие всегда хотят найти изгоя...
А причины для ухода действительно были, ибо кроме PR-a со встречи я не унес ничего. Надеялся, что услышу опыт применения NUnit (в том числе и при тестировании WinForms), регекспов (таки пресловутая валидация) etc. Но ничего этого не было. На протяжении всей лекции хотелось сказать "ближе к коду"... Вопросов не задавал, т.к. было просто не кому. Но это не претензии к UG! На уровне UG все путем, мне понравилось

Ты меня пугаешь:-) Или такие утверждения для поддержания дискуссии?
Кто кого прокатил? Какое пиво?

А я вот не зря сходил -- с людьми(!) увиделся,а то порой аж скучать начинаешь,когда долго встреч нету. И для меня именно это показатель.

К вопросу о колхозе, тоже не стОит обобщать, скажем на те же тренинги RUSSEE (кстати, тоже залажали в четверг) бесплатно уже сходило около 20 человек. 20*430$(стоимость тренинга) = 8600.
Вот вам и колхоз. Хотя конечно, тем, кто юзает RUP (кстати, господа мегагенераторы идей и приближенные к ним, just FYI -- по русски RUP произностится как РАП) на 3man-days php проектах, материалы Carnegie Mellon и их сертификация, конечно же ортогональны(читайте историю выше. karlito +1).

Для: Dr.Gigabit

скорее на основании дискусии.
одни пишут, другие обижаются.
Для: eisernWolf

можно. хотя бы по тому, что тут пишут последние дня 2. только по этому я и делаю выводы.
странно, но после сходок на ЕПАМ ничего такого не было даже.

P.S. RUSEE это вообще отдельный разговор

Для: αλεφ
Для: karlito

Хотелось бы услышать пояснение по поводу "разработчики компании отключают на iis валидацию данных и производят ее самостоятельно". Какая такая на iis валидация данных?
Спец по безопасности слышал что на iis некоторые люди perl используют?
Представим себе cgi скрипт на perl, а теперь дружно лезем в msdn и ищем как в "iis отключить валидацию данных".
Если же спец восторгался по поводу validateRequest в asp.net, то зря. То что неумелый пиар раздражает это ясно, но зачем же ламериться
Кратенько обрисую ситуацию. Валидация включена по дефолту. Это значит что если вы в текстовое поле напишите к примеру 1<a<2, то получите HttpRequestValidationException. Т.е. выполнение до кода страницы даже не дойдет. Конечно можно этот exception перехватить и послать юзера на страницу с надписью "юзер, вводи правильные буквы". Юзерфрендли аж обхохочешься.
Для тех кто в web программировании не силен, подчеркну, что валидаци эта просто прерывает выполнение программы, если ей покажется что в любое поле сунут html, к типам данных ни какого отношения она не имеет. Т.е. число мы там получаем или строчку, ей фиолетово.
А что же делать если нужно позволить юзеру ввести кусок html, к примеру когда он пишет в dhtml редакторе? Правильно, нужно выключить валидацию на этой странице.
Программа у нормальных людей проводит валидацию всех данных, и все знают, что параметры для sql нужно ескейпать (в каком виде это происходит, не столь важно), что если хотим показать в браузере знак меньше "<", то он должен быть представлен как "&lt;" (не важно с помощью какой функции это делается и на каком языке). А если человек не шарит, то дров он наломает в любой программе.
Т.е. получается что валидацию мы можем отключить на одной странице, а юзер <> наставить может на любой. И это вовсе не криминал, если юзер в качестве пароля или ника вводит слово <script>.
Просто если мы выводим его на экран, то должны использовать соответсвующие функции и получить &lt;script&gt;
Поэтому вырубаем валидацию и пишем нормальный код, а не халтуру, которая от лишней введенной запятой падает.
Для интересующихся привожу доку с картинками
]]>http://www.asp.net/faq/RequestValidation.aspx?tabid=1]]>

для hobo:

Посмотри пожалуйста на текстовый редактор внизу страницы. Вот тебе пример альтернативного редактора. Хоть один html таг видно? По-моему нет. На сервере конвертация в html переходит.
Но... Всё зависит от требований к приложению.


А это уже действительно проблема.
Всё зависит от требований к приложению. Можно валидацию отключать на нескольких страницах, но не на всём приложении.


Мне тоже это интересно.


Гарантируешь, что твой нормальный код на 100% безопасный?


Гарантируешь, что у нормальных людей проходит валидация 100% данных?


В Microsoft, по твоему мнению, ламеры сидят?

2hobo:

вопрос, почему так можно и почему так нельзя, вы с товарищем карлито обсудите. я не спец по безопасности и не программирую под асп.нет.

Это не редактор. Это текстовое поле, плюс пару яваскрптовых функций, чтобы теги руками не писать.
Программируется это очень просто и быстро. В некоторых случаях, этого достаточно, но это все же это не редактор.

Посмотри пожалуйста на текстовый редактор
]]>http://tinymce.moxiecode.com/example_full.php?example=true]]>
Таких опенсорсных редакторов несколько штук, почти в каждой коммерческой библиотеке контролов присутствуют аналогичные.




Да видно. В предыдущем письме я несколько написал. Вот еще <a><b><div><span>.
И после того как страница послалалась, ничего не упало



У как все запущено. Рисую страшную картину. На единственной странице мы отключаем валидацию.
Юзер вводи данные. Эти данные где то сохраняются. А потом они без всякой обработки отображаются на других страницах.
Все, приложение не безопасно.
Очередное пояснение для тех кто не в теме. Дырка с яваскриптами возникает не тогда когда юзер вводи данные, а когда эти данные выводятся на экран. При чем если выводить корректно, то дырки не будет. Программер должен четко понимать что ему нужно показать html или просто текст.
Если он этого не понимает, то уже нет разницы на одной странице выключили валидацию или во всей программе.



Ошибок можно наделать уймой способов. Ревью программы на безопасность это чисто механическая задача, которую можно автоматизировать.



Я тут вобщем то пытаюсь объяснить, "не валидные данные, похожие на скрипт" - это искуственно введенный термин, который к настоящей валидации данных ни какого отношения не имеет.



В microsoft есть очень умные люди, которые четко понимают, что куча народа, освоив худо бедно язык программирования, начинает писать приложения и эти люди не будут читать дополнительной литературы. Поэтому умные люди из microsoft, придумали и включили эту валидацию по дефолту.
Таким образом ламер достаточно быстро натыкается на этот exception и изподволь лезет в msdn выяснять, а почему же у него падает.
А там его в статье просвящают на счет html, sql injection, cross-site scripting.
После чего он, обогащенный знаниями, продолжает работать.

Итак открываем линк ниже, читаем, в том числе Step 3. Encode Unsafe Output.
]]>http://msdn.microsoft.com/library/default....paght000003.asp]]>

После чего перестаем возбуждаться от того что кто-то выключил validateRequest.