Zamieszczone przez Marcin Guzowski

Osoby, które znają na pamięć nazwy wszystkich widoków systemowych w SQL Server 2008 oraz wszystkie połączenia między nimi, mogą spokojnie zignorować ten post. Dla pozostałych mam natomiast dobrą wiadomość, gdyż od niedawna można sobie pobrać plakat, na którym rozrysowane są wszystkie ważniejsze widoki i funkcje systemowe (DMVs, DMFs, widoki katalogowe) wraz z pajęczyną ich relacji. Link do pobierania pliku pdf lub xps poniżej. Teraz przydałaby się tylko jakaś wielkoformatowa drukarka.

Więcej informacji i pobieranie:
Download: SQL Server 2008 System Views Map

Zapraszam na 13. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z mniej lub bardziej częstymi błędami pojawiającymi się podczas programowania w T-SQL. Sesję poprowadzi wieloletni praktyk Piotr Boguszewski. Spotkanie odbędzie się we worek 17 lutego 2009 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Agenda:
17:00-17:10 - sprawy organizacyjne
17:15-18:15 - Zmora początkującego programatora, czyli jak nie pisać w T-SQL (Piotr Boguszewski)
18:20-19:00 - Aplikacje a dostęp do danych - studium przypadku i dyskusja

Po sesji Piotrka spróbujemy w konstruktywnej dyskusji rozwiązać kilka case'ów związanych z tematem przewodnim poprzedniego spotkania, czyli z dostępem do danych z aplikacji.

Uwaga!
Rejestracja na to spotkanie odbywa się w nowym trybie. Aby się zarejestrować, należy:

1) Założyć konto na portalu http://www.ms-groups.pl. Wystarczy wejść na http://www.plssug.org.pl i wybrać czerwony przycisk "Załóż konto na portalu". Konieczne będzie kliknięcie linka aktywacyjnego przesłanego drogą mailową.

2) Zalogować się na konto (żółty przycisk na http://www.plssug.org.pl lub link w prawym górnym rogu strony).

* Istnienie możliwość powiązania konta LiveID (dawniej MS Passport) z kontem na portalu - w tym celu należy na stronie logowania (po wybraniu opcji Zaloguj) wybrać opcję "Logowanie z LiveID" i zalogować się na swoje konto LiveID, a następnie podać login i hasło użyte przy rejestracji na portalu. Wtedy konto na portalu i konto na LiveID zostaną powiązane.

3) Będąc zalogowanym, na witrynie PLSSUG należy wybrać zielony przycisk "Dołącz do PLSSUG" i wypełnić krótki formularz, gdzie m.in. trzeba wskazać oddział PLSSUG (dla przypomnienia: Lublin :)). Rejestracja do portalu nie odbywa się automatycznie. Potwierdza ją tajemnicza osoba z PLSSUG, której nigdy nikt nie widział.

4) W momencie otrzymania droga mailową informacji o dołączeniu do witryny PLSSUG - można dodać się na liście uczestników spotkania (dodając nowy element do listy):
http://ms-groups.pl/plssug/13_spotkanie_PLSSUG_Lublin/Lists/Uczestnicy/ManageA.aspx

Więcej informacji:
Obszar roboczy: 13. spotkanie PLSSUG Lublin

Pomyślałem sobie, że czas najwyższy przyjrzeć się nowemu systemowi spod znaku okienek. Jako że nie jestem osobą specjalizującą się w systemach operacyjnych i ich administracji, "siódemkę" oceniał będę z punktu widzenia zwykłego użytkownika i nie zamierzam się na jej temat szczególnie rozpisywać. Na dostępną już od jakiegoś czasu betę systemu warto spojrzeć jeszcze z takiego oto powodu, że do wersji finalnej (RTM - Release To Manufacturing, poprzedzającej fazę GA - General Availability) będzie jeszcze tylko jeden RC (Release Candidate). Obecna wersja beta 7-ki jest więc znacznie bliższa temu, co znajdzie się w przyszłości w pudełkach na półkach sklepów, niż miało to miejsce w przypadku pierwszej bety Windowsa Visty. Windows 7 RTM teoretycznie powinien być wydany w 2010 roku (dokładna data nie jest znana), ale mogę się założyć, że pojawi się w trzecim kwartale 2009.

Ogólne wrażenie i interfejs

Ogólne wrażenie - pozytywne. System co prawda bardzo przypomina Vistę, ale nie można oceniać GUI systemu po tym, co widać w jego wersji beta. Longhorn na początku też wyglądał jak XP, a wszyscy wiemy jak finalnie to się zmieniło w Viście. Windows 7 na pewno będzie trochę "vistopodobny", ale programiści GUI nie powiedzieli jeszcze ostatniego słowa. Zwłaszcza że 7-ka już w wersji beta wspiera m.in. wstęgę i gesty. Poniżej niektóre zmiany interfejsowe, które zauważyłem:
- zmieniony pasek zadań (duże ikony bez napisów z listami uruchomionych instancji aplikacji),
- gadżety nie są wyświetlane w pasku bocznym jak w Viście, tylko bezpośrednio na pulpicie,
- przeniesienie okna na górę ekranu powoduje jego maksymalizację,
- potrząśnięcie oknem powoduje minimalizację wszystkich okien poza potrząsanym,
- tło pulpitu typu slideshow (background jest zmieniany rotacyjnie),
- interfejs w postaci wstęgi w MS Paint,
- obsługa szeregu skrótów - np. klawisz Windows + kursor w górę powoduje maksymalizację okna, SHIFT + kliknięcie na ikonie na pasku powoduje uruchomienie nowej instancji aplikacji.

W Windows 7 nie ma m.in. klienta poczty Windows Mail czy komunikatora Windows Messenger - i wg mnie bardzo dobrze, bo niepotrzebnie zaśmiecają system w przypadku, jeśli ktoś nie życzy sobie ich używać. Oczywiście wymienione aplikacja nadal będą dostępne, wystarczy je pobrać z witryny Windows Live. W standardowej instalacji systemu jest natomiast dołączony program Sticky Notes, można więc sobie ponaklejać na pulpit żółte karteczki z krótkimi informacjami. Uważam, że to dobre posunięcie, choć w świecie oczekującym widowiskowości przejdzie bez większego echa.

Instalacja

Instalacja wygląda tak samo, jak w Viście. Microsoft nie zdecydował się jeszcze na zmianę sprawdzonego instalatora na nowy. Proces instalacyjny na średniej klasy laptopie na maszynie wirtualnej z dostępnym 1 GB RAMu zamknął się w ok. 30 minutach, co uważam za dobry wynik. Miałem małe problemy, kiedy zainstalowałem sobie Virtual Machine Addition. System zaczął mi się uruchamiać w trybie repair i myślałem już, że za chwilę będzie trzeba powtarzać instalację, jednak naprawa się udała i po zainstalowaniu właściwej wersji VMAdditions wszystko działa prawidłowo.

Wydajność i zajętość zasobów

Tuż po starcie system utylizuje ok. 260 MB pamięci fizycznej, natomiast po uruchomieniu i zamknięciu szeregu aplikacji - ok. 350 MB. To bardzo dobry wynik zbliżony do XP i (na szczęście) oddalony od Visty. Co prawda ocena wydajności pracy systemu na maszynie wirtualnej jest jak pływanie na czas w betonowych tenisówkach, jednak Windows 7 wydaje się lżejszy niż Vista i da się to odczuć nawet pracując na niezbyt hojnie obdarowanej zasobami wirtualce. Wzrosła także szybkość uruchomiania systemu. Jeśli wyłączy się Aero (na wirtualce miałem wyłączone by default) i zbędne usługi, system działa sprawnie nawet na 512 MB RAMu.

Usability i bezpieczeństwo

7-ka bezproblemowo wykryła i zainstalowała mi drukarkę Samsunga. Vista - wręcz odwrotnie. Oczywiście to nie dowód, że w obsługą sprzętu w nowym systemie będzie już zupełnie cudownie, ale pojedynczy fakt potwierdzający tezę, że Windows 7 jest bardziej hardware-friendly. Oczywiście zarówno w tym przypadku, jak i w szeregu innych nowych i zmienionych funkcjonalności, wiarygodna ocena będzie możliwa dopiero po pewnym czasie używania. Z drugiej strony już dzisiaj podnoszone są zarzuty m.in. wobec zmodyfikowanego UAC (User Access Control). UAC w "siódemce" generuje znacznie mniej niechcianych alertów, jednak podobno przez ową nieczułość systemu na określone rutynowe działania istnieje potencjalna luka, która hipotetycznemu robakowi umożliwia całkowite wyłączenie mechanizmu. Trudno to oceniać, Microsoft jeszcze nie zdecydował się na zmiany w kodzie z tego powodu. Faktem jest jednak, że pracując z Windows 7 ogląda się znacznie mniej irytujących okienek z alertami. Z założenia jest to bardziej ryzykowne niż przykładowo konieczność potwierdzania każdego zapisu na dysku. Kompromis bezpieczeństwa i wygody użytkowania to zawsze kwestia mniej lub bardziej względna i indywidualna.

Podsumowanie

Jak na betę, jest nieźle - 7-ka zmierza w dobrym kierunku. Nie używałem "produkcyjnie" systemu Windows Vista - miałem go co prawda zainstalowanego na domowym laptopie, ale 90% czasu przed komputerem spędzam na firmowym, na którym działa stary poczciwy Windows XP. Zamierzam więc wykonać przeskok XP -> 7-ka i mam nadzieję, że RTM najnowszego systemu Microsoft nie da mi powodów, przez które będę się musiał wycofać ze swoich planów. Windows 7 dostępny będzie w następujących edycjach:
- Windows 7 Starter,
- Windows 7 Home Basic,
- Windows 7 Home Premium,
- Windows 7 Professional,
- Windows 7 Ultimate,
- Windows 7 Enterprise.

Niektórzy twierdzą, że liczba odmian systemu jest zbyt duża. Nie wdając się w cechy poszczególnych wersji, wydaje mi się, że krytyka jest nietrafiona. Jaki jest problem w tym, że wybór jest większy niż mniejszy? Że będzie trzeba doczytać co oferują poszczególne edycje i zastanowić się, czego właściwie potrzebujemy? Że jeśli czegoś nie potrzebujemy, to nie będziemy musieli za to płacić? W przypadku doboru wersji Microsoft dokładnie wsłuchiwał się w głosy klientów, więc akurat w tym aspekcie nie są to czyjeś bezpodstawne wymysły i należy się za to pochwała.

Ciekawostka

Na koniec małe nawiązanie do tematu postu. Dlaczego domyślną tapetą Windows 7 beta jest ryba? Otóż ma to związek ze słowem "beta" - owa ryba, konkretnie gatunek bojownik syjamski, po łacinie nazywa się betta splendens. Cytując za wikipedią, "bojowość i zaczepność tego gatunku została wykorzystana do walk na śmierć i życie" - odnosząc to do Windows 7 można więc interpretować, że jego twórcy są bojowo nastawieni :) Z resztą nie kto inny jak Linus Torvalds stwierdził niedawno, że "dzięki Windows 7 Microsoft może przeżywać swoją drugą młodość". Gra jest więc warta przysłowiowej świeczki.

Więcej informacji:
MSDN Blogs: Engineering Windows 7 (oficjalny blog Windows 7)

Zapraszam na 12. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z dostępem do danych z aplikacji - sesję główną poprowadzi Marcin Borecki. Spotkanie odbędzie się we worek 20 stycznia 2009 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Rejestracja polega na:
1) wysłaniu komentarza do tego posta z imieniem i nazwiskiem
lub
2) wysłaniu wiadomości ze swoim imieniem i nazwiskiem z tego adresu.

Agenda:
17:00-17:10 - sprawy organizacyjne
17:15-18:15 - Rola aplikacji w dostępie do danych (Marcin Borecki)
18:20-19:00 - Aplikacje a dostęp do danych - studium przypadku i dyskusja

Tematyka spotkania jest jak widać całkiem przekrojowa, a w dodatku bardzo istotna. Marcin na pewno będzie pokazywał, jak pisać kod aplikacji, aby dostęp do danych był wydajny oraz co zrobić, jeśli kodu nie widzimy i nie możemy go zmienić. Dla najaktywniejszych uczestników przewidujemy atrakcyjne nagrody. Na spotkaniu zostaną także rozdane identyfikatory członkowskie PLSSUG Lublin, które wykonał nasz sponsor - firma Microsoft (jeśli tylko uda mi się je odebrać kilka dni wcześniej przy okazji spotkania w siedzibie MS w Warszawie).


Więcej informacji:
Kalendarz: 12. spotkanie PLSSUG Lublin

Kilka dni temu ukazał się exploit umożliwiający zdalne wykonanie kodu przy wykorzystaniu znanej od 4 grudnia podatności przepełnienia sterty (heap overflow vulnerability) w procedurze systemowej sp_replwritetovarbin. Kilka dni po publikacji exploita Microsoft potwierdził, że narażonych jest całkiem sporo wersji systemu SQL Server. Problem dotyczy bowiem wszystkich wersji 2000 oraz wszystkich 2005 bez najnowszego SP3, który lukę eliminuje. SQL Server 2008 jest wolny od problemu.

sp_replwritetovarbin to rozszerzona procedura składowana (extended stored procedure - czyli de facto zewnętrzna biblioteka wywoływana w kontekście instancji SQL Server) wykorzystywana przez wewnętrzne interfejsy replikacyjne wyłącznie w jednej sytuacji - kiedy w replikacji transakcyjnej z modyfikowalnymi subskrypcjami (transactional replication with updatable subscriptions) o odpowiednim ustawieniu @update_mode ('failover' lub 'queued tran' - domyślne) dokonywana jest DMLowa operacja modyfikacji w tabelach subskrypcji. Aby zablokować możliwość przeprowadzenia ataku najlepiej odebrać prawa wykonywania procedury roli public (REVOKE) lub odmówić tego prawa (DENY):

USE master
DENY EXECUTE ON sp_replwritetovarbin TO public

a następnie - o ile to możliwe - podnieść wersję instancji do co najmniej SQL Server 2005 SP3. Oczywiście powyższa zmiana uprawnień będzie skutkowała wyłożeniem się replikacji (ale tylko w/w rodzaju, pozostałe replikacje - np. klasyczna transakcyjna - nie są zagrożone workaroundem).

Na czym polega problem z niesławną procedurą sp_replwritetovarbin? Na tym, że kiedy zostanie wywołana z takimi przykładowymi parametrami:

DECLARE @retcode int,
@end_offset int,
@vb_buffer varbinary,
@vb_bufferlen int,
@buf nvarchar;
EXEC master.dbo.sp_replwritetovarbin 1, @end_offset output, @vb_buffer output, @vb_bufferlenoutput,
'AAAAAAAAAAAAAAAA(..3 tysiące liter A..)AAAAAAAAAAAAAA','1','1','1', '1','1','1','1','1','1';

to biblioteka stojąca za procedurą wykona zapis do kontrolowanego adresu w pamięci, przez co możliwe jest wstrzyknięcie i wykonanie obcego kodu w kontekście procesu instancji SQL Server. Gotowy exploit można znaleźć tutaj (zapytania zaszyte w kodzie VB strony ASP, exploit tworzy tzw. reverse shella na porcie 4445). Atakujący musi dysponować uwierzytelnionym dostępem do instancji serwera (czyli mówiąc wprost musi być w stanie wykonać kod T-SQL choćby w kontekście konta o najsłabszych uprawnieniach), gdyż prawo wywołania procedury przypisane jest do roli public bazy master. Do wykorzystania exploita w scenariuszu prawdziwego ataku potrzebny jest więc także np. skuteczny SQL injection, choć oczywiście to tylko jedna z wielu możliwości.

Luka jest moim zdaniem całkiem poważna i występuje w miejscu, które od dawna wskazywane było i jest jako niebezpieczne - czyli wesoły i swawolny obszar rozszerzonych procedur składowanych. Od kiedy w wersji SQL Server 2005 pojawiła się możliwość integracji CLR (czyli pisania m.in. procedur składowanych w kodzie zarządzanym .NET), uzasadnienie istnienia procedur XP ogranicza się już tylko do kwestii interfejsów wewnętrznych/systemowych, a i te można przecież "unatywnić" w samym silniku bazodanowym, tak jak jest to zrobione m.in. z obsługą dziennika transakcji. Choć z drugiej strony całkowicie rozumiem programistów z Redmond - też bałbym się dotykać czegokolwiek związanego z replikacją :)

Więcej informacji:
Microsoft Security Advisory (961040): Vulnerability in SQL Server Could Allow Remote Code Execution
SEC Consult Security Advisory < 20081209-0 >
EXPLOIT: Microsoft SQL Server "sp_replwritetovarbin()" Heap Overflow - Reverse Shell

Zgodnie z zapowiedziami, Microsoft 15 grudnia 2008 roku udostępnił SP3 do SQL Server 2005. Warto zaznaczyć, że trzeci Service Pack nie jest krokiem w kierunku rozwoju funkcjonalności, tylko zagregowanym zbiorem poprawek, które wydane zostały od czasów (nie)sławnego SP2. Publiczny SP3 jest przeznaczony dla wszystkich edycji poza Express Edition (w przypadku tej wersji poprawka w trybie private jest udostępniana na żądanie). Build nowego SP to 9.00.4035. Plik instalacyjny waży 300-400 MB w zależności od architektury systemu docelowego (32bit/64bit/Itanium).

Przy okazji wspomnę, że kilka dni wcześniej wydany został także Feature Pack do SQL Server 2005, czyli zestaw 24 dodatkowych (niezależnych) narzędzi o bardzo różnym przeznaczeniu, które rozszerzają możliwości serwera. Są nimi:
- Microsoft ADOMD.NET,
- Microsoft Core XML Services (MSXML) 6.0,
- Microsoft OLEDB Provider for DB2,
- Microsoft SQL Server Management Pack for MOM 2005,
- Microsoft SQL Server 2000 PivotTable Services,
- Microsoft SQL Server 2000 DTS Designer Components,
- Microsoft SQL Server Native Client,
- Microsoft SQL Server 2005 Analysis Services 9.0 OLE DB Provider,
- Microsoft SQL Server 2005 Backward Compatibility Components,
- Microsoft SQL Server 2005 Command Line Query Utility,
- Microsoft SQL Server 2005 Datamining Viewer Controls,
- Microsoft SQL Server 2005 JDBC Driver,
- Microsoft SQL Server 2005 Management Objects Collection,
- Microsoft SQL Server 2005 Compact Edition,
- Microsoft SQL Server 2005 Notification Services Client Components,
- Microsoft SQL Server 2005 Upgrade Advisor,
- Microsoft .NET Data Provider for mySAP Business Suite, Preview Version,
- Reporting Add-In for Microsoft Visual Web Developer 2005 Express,
- Microsoft Exception Message Box,
- Data Mining Managed Plug-in Algorithm API for SQL Server 2005,
- Microsoft SQL Server 2005 Reporting Services Add-in for Microsoft SharePoint Technologies,
- Microsoft SQL Server 2005 Data Mining Add-ins for Microsoft Office 2007,
- SQL Server 2005 Performance Dashboard Reports,
- SQL Server 2005 Best Practices Analyzer.

Więcej informacji i pobieranie:
Download: Microsoft SQL Server 2005 Service Pack 3
Books Online: What's New in SQL Server 2005 SP3
Download: Feature Pack for Microsoft SQL Server 2005 - December 2008

Zapraszam na 11. spotkanie grupy Polish SQL Server User Group w Lublinie, które tym razem poświęcone będzie zagadnieniom związanym z codzienną pracą programistów bazodanowych i administratorów dbających o wydajność instancji SQL Server. Spotkanie odbędzie się we środę (wyjątkowo nie we wtorek) 17 grudnia 2008 roku (godz. 17:00-19:00) w siedzibie Anica System S.A., ul. Konrada Wallenroda 4C, 20-607 Lublin, V piętro (można wchodzić od 16:30).

Rejestracja polega na:
1) wysłaniu komentarza do tego posta z imieniem i nazwiskiem
lub
2) wysłaniu wiadomości ze swoim imieniem i nazwiskiem z tego adresu.

Agenda:
17:00-17:20 - sprawy organizacyjne
17:30-19:00 - Przypadki użycia obiektów bazodanowych i optymalizacji (Andrzej Ochera)

Z tego co wiem sesja Andrzeja na pewno będzie zakładała mini-dyskusję n/t każdego z prezentowanych case'ów. W ramach przyjacielskich wizyt gościem specjalnym na spotkaniu będzie Rafał Czupryński z Microsoft Polska, czyli przedstawiciel jednego z naszych głównych sponsorów. Może przywiezie coś pod choinkę? :) Nawet jeśli nie przywiezie, to poprzez uczestnictwo w dyskusji i/lub odpowiedź na pytania prelegenta można będzie wygrać atrakcyjne nagrody.

Więcej informacji:
Kalendarz: 11. spotkanie PLSSUG Lublin