10 / 10 . 2013 . (17)  / BIBLIOTEKI I NARZĘDZIA Listing 13. Zmniejszenie dopełnienia wewnątrz tabeli

1and1.pl NOWE DOMENY NOWE MOŻLIWOŚCI DOMENY | E-MAIL | STRONY WWW | HOSTING | SERWERY Teraz w ofercie 1&1 mamy już ponad 700 nowych domen najwyższego poziomu (nTLD). Stwórz chwytliwy adres, np. nowak.shop, serwis.auto lub winiarnia.online i używaj go jako głównej lub dodatkowej domeny dla Twojego serwisu. Będziesz jeszcze lepiej widoczny w Internecie! W 1&1 zarejestrowaliśmy już około 20 milionów domen, co czyni nas największym europejskim rejestratorem. Dzięki funkcji przekierowania, z łatwością połączysz zarejestrowaną u nas domenę ze swoją stroną internetową, nawet jeśli jest ona hostowana przez inną firmę. Więcej informacji na 1and1.pl TERAZ REZERWUJ ZA DARMO I BEZ ZOBOWIĄZAŃ!* *Wstępna rezerwacja nTLD jest bezpłatna i nie gwarantuje, że domena zostanie zarejestrowana. O przyznawaniu wstępnie zarezerwowanych nTLD decydują niezależne od 1&1 rejestry domen. Więcej informacji na 1and1.pl oraz w regulaminach rejestrów domen.

12 / 10 . 2013 . (17)  / BIBLIOTEKI I NARZĘDZIA Listing 19. Kolejny obrazek zamknięty w znaczniku div

This is description

for first element

This is description

for second element

This is description

for third element

13/ www.programistamag.pl / TWITTER BOOTSTRAP – SZYBKIE TWORZENIE WITRYN HTML Listing 25. Przykład rozwijanego menu

14 / 10 . 2013 . (17)  / BIBLIOTEKI I NARZĘDZIA Musimy dołączyć jQuery, Twitter Bootstrap CSS i dwa pliki JavaScript – je- den dla komponentu tooltip Twitter Bootstrap i jeden dla popover Twitter Bootstrap. Plik JavaScriptu popover jest dostępny w folderze JS z pakietu Twitter Bootstrap jako bootstrap-popover.js oraz plik JavaScriptu dla tooltip jest dostępny w folderze JS jako bootstrap-tooltip.js. JQuery jest dostępny pod docs/assets/js jako jquery.js, lub może wskazywać na ten URL: http://code.jqu- ery.com/jquery-1.10.2.min.js. Popovery w grupach przycisków i grupach wejść wymagają specjalnych ustawień. Podczas korzystania z popoverów na elementach .btn-group lub .input-group, będziemy musieli określić opcję .container:'body', aby uniknąć niepożądanych efektów ubocznych (takich jak szersze elementy lub utrata zaokrąglonych rogów, gdy popover jest wyzwalany). Dostępne są cztery opcje umiejscowienia: top, right, bottom i wyrów- nanie do lewej left. Ze względu na aspekty wydajności, API dla tooltip'ów i popover'ów są typu option-in. Jeśli chcemy ich używać, potrzebujemy określić więc opcję selektora. Poniżej zostaną wymienione poszczególne opcje uruchamiające komponent. • $().popover(options). • $('#element').popover('show') – pokazuje popover dla elementu. • $('#element').popover('hide') – ukrywa popover dla elementu. • $('#element').popover('toggle') – przełącza popover dla elementu. • $('#element').popover('destroy') – usuwa popover dla elementu. Rysunek 12. Przykład popoverów Przykład: $('#myPopover').on('hidden.bs.popover', function () { // do something }) Rysunek 13. Przykład tooltipów Podobnie jak popovery – tooltipy w grupach przycisków i grupach wejść wymagają specjalnych ustawień. Podczas korzystania z tooltipów na ele- mentach .btn-group lub .input-group będziemy musieli określić opcje .container:'body'', aby uniknąć niepożądanych efektów ubocznych (ta- kich jak szersze elementy lub utrata zaokrąglonych rogów, gdy tooltip jest wyzwalany). Opcje dla poszczególnych tooltipów można alternatywnie okre- ślić z wykorzystaniem atrybutów danych, jak pokazano poniżej: Użycie wewnątrz znacznika:Hover over mePoszczególne opcje uruchamiające komponent: • $().tooltip(options). • $('#element').tooltip('show') – pokazuje tooltip dla elementu. • $('#element').tooltip('hide') – ukrywa tooltip dla elementu. • $('#element').tooltip('toggle') – przełącza tooltip dla elementu. • $('#element').tooltip('destroy') – usuwa tooltip dla elementu. Przykład: $('#myTooltip').on('hidden.bs.tooltip', function () { // do something }) RESPONSIVE WEB DESIGN Responsive Web Design jest funkcjonalnością zapewniającą użytkow- nikowi uzyskanie najlepszych odczuć (user experience) podczas przeglą- dania stron internetowych na różnych urządzeniach (posiadających różne rozmiary). Na przykład, w przypadku przeglądania strony internetowej na monito- rze komputera, a następnie wyświetlania jej na smartfonie (gdzie rozmiar jest mniejszy niż rozmiar monitora komputera), nie powinna występować większa różnica podczas pracy z UI. Inaczej mówiąc, powinniśmy mieć złudzenie, iż jesteśmy w tym samym serwisie (miejscu). Chcąc uzyskać tego typu wrażenia, potrzeba na takiej stronie uaktywnić elementy odpowiedzialne za mecha- nizm responsive design. Aby testować zachowanie strony, można zmieniać rozmiar przeglądarki za pomocą zmiany rozmiaru okien. Pomocnym będzie wtedy rozszerzenie Window Resizer dla przeglądarek Chrome czy Firefox. Jak działa responsive design? Do pracy z responsive design potrzeba stworzyć CSS, który zawiera style odpowiednie dla różnych urządzeń o róż- nych zakresach rozmiarów. Gdy strona ma się załadować na konkretnym urządzeniu, za pomocą różnych technik front-endu jak kwerendy mediów (Media Queries – które pozwalają dostosować styl do dokumentu oparty na środowisku, w którym dokument ten jest renderowany), wielkość obszaru wyświetlania musi zostać wykryta, po czym specyficzny styl dla urządzenia jest ładowany. Przejdźmy teraz nieco w głąb Responsive Design CSS początkowo opie- rając się na przykładzie wcześniejszej wersji Bootstrapa v2.3.2. Weźmy pod uwagę integrację 'bootstrap-responsive.css' z naszą stroną i postarajmy się zro- zumieć, w jaki sposób działanie tego mechanizmu zostało osiągnięte. Na wstępie musimy pamiętać, iż potrzeba dodać następujący wiersz we- wnątrz sekcji head naszej strony internetowej:Meta tag viewport jest powszechnie używany, jako że zastępuje on do- myślny i pomaga załadować styl związany z konkretnym obszarem wyświe- tlania. Właściwość width ustawia szerokość ekranu. Może ona zawierać war- tości numeryczne jak 320, oznaczając 320 pikseli, lub może posiadać wartość 'device-width', która informuje przeglądarkę, aby skorzystać z natywnej rozdzielczości (lub szerokości – dla uproszczenia) urządzenia. Właściwość initial-scale jest początkową skalą obszaru wyświetlania jako mnożnik. Tak więc, gdy jest ustawiona na 1.0, to oznacza wtedy natywną szerokość dla danego urządzenia. Oczywiście, po tym należy dodać responsive CSS z Boot- strap, jak pokazano na poniższym kodzie:Teraz, gdy spojrzymy na plik responsive CSS, możemy zauważyć, że po deklaracji pewnych ogólnych składników (linie ~10 do 22) istnieją wyspecy- fikowane różne sekcje zaczynające się od znacznika '@media'. Mamy tam zdefiniowane style dla różnych wielkości urządzeń:

MISSION CODE ACHIEVE NEW LEVEL JOIN THE CREW

16 / 10 . 2013 . (17)  / BIBLIOTEKI I NARZĘDZIA • Pierwsza z tych sekcji rozpoczyna się od znacznika '@media (max- width: 480px)', który określa style dla urządzeń, gdzie maksymalna szerokość jest równa 480 pikseli. • Druga sekcja rozpoczyna się od znacznika '@media (max-width: 767px)', który określa style dla urządzeń, gdzie maksymalna szerokość jest równa 767 pikseli. • Trzecia sekcja rozpoczyna się od znaczników '@media (min-width: 768px) oraz (max-width: 979px)', zapis ten określa style dla urzą- dzeń, których minimalna szerokość wynosi 768 pikseli, a maksymalna szerokość to 979 pikseli. • Następna sekcja jest określona dla urządzeń z maksymalną szeroko- ścią 979 pikseli, więc zaczyna się od znacznika '@media (max-width: 979px)'. • Ostatnie dwie sekcje zaczynają się od znaczników '@media (min- width: 980px)' oraz '@media (min-width: 1200px)', więc są prze- znaczone dla urządzeń o minimalnej szerokości 980 pikseli i 1200 pikseli. Funkcją, jaką spełnia ten arkusz, jest więc przechowywanie stylów według minimalnej i maksymalnej szerokości urządzeń korzystających z właściwości 'min-width' oraz 'max-width'. Aby układ responsive mógł być osiągnię- ty, Twitter Bootstrap wykonuje kolejno trzy rzeczy: 1. Modyfikuje szerokości kolumny w siatce. 2. Ilekroć jest wymagane, używa stosu elementów zamiast elementu pływającego, Element główny (html) tworzy korzeń kontekstu układania. Inne kontek- sty układania są generowane przez umieszczanie kolejnych elementów (w tym elementów pozycjonowanych relatywnie) o wyliczonej wartości 'z-in- dex' innej niż 'auto'. 3. Aby renderować prawidłowo nagłówki i tekst, zmienia ich rozmiary w ra- zie potrzeby. NARZĘDZIARESPONSYWNEWWERSJI3.0.0 W dzisiejszych czasach coraz więcej osób przegląda strony www za pomocą różnych urządzeń mobilnych. Praktycznie każdy nowoczesny telefon czy tablet umożliwia w jakimś stopniu korzystanie z Internetu. Jako projektanci musimy zadbać o to, aby zapewnić takim osobom jak najłatwiejszy dostęp do treści i funkcjonalności witryny. Prawidłowe dostosowanie strony do urządzeń mo- bilnych sprawi, że szerokie grono osób będzie mogło ją wygodnie przeglądać. Projektowanie stron na przeglądarki mobilne nie jest łatwym zadaniem.To zło- żony temat, który obejmuje zarówno aspekty wizualne, jak i funkcjonalne. W celu szybszego rozwoju interfejsów wspierających zastosowania mo- bilne (mobile-friendly), potrzeba korzystać z klas użytkowych służących do pokazywania/ukrywania zawartości poprzez urządzenia, wykorzystując Me- dia Queries. Szybsze rozwijanie takich interfejsów jest możliwe dzięki Twitter Bootstrap, który teraz również posiada zestaw klas użytkowych dla przyśpie- szenia tego procesu. Klasy te są dostępne w module 'responsive-utilities.less'. Należy używać ich w ograniczonym zakresie, unikając tworzenia różnych wersji tej samej witryny (w celu uzupełnienia prezentacji dla każdego urzą- dzenia). Narzędzia responsywne są obecnie dostępne tylko w blokach i w przełączeniu tabeli (block and table toggling). Korzystanie z nich inline oraz jako elementów tabeli nie jest aktualnie obsługiwane. Można wykorzystać jedną klasę lub kombinacji dostępnych klas w celu przełączania zawartości w bieżących wartościach granicznych obszaru wyświetlania. Warto opanować najważniejsze techniki responsywne, czyli takie, które po- zwolą nam dostosować witrynę do różnych urządzeń. Poznać podstawowe zasa- dy tworzenia witryn responsywnych, dowiedzieć się, jak wykorzystać możliwości Media Queries oraz jak stworzyć płynny układ kolumn. Poznać przydatne rozwią- zania, umożliwiające dostosowanie typowych elementów strony, jak: obrazki, tabele oraz menu do mobilnych przeglądarek. Framework Bootstrap oferuje sze- roki zestaw klas i skryptów, które pozwolą łatwo i szybko stworzyć responsywną strukturę witryny, dodać style oraz różne przydatne funkcjonalności. Rysunek 14. Ilustracja obrazująca filozofię Responsive Design

17/ www.programistamag.pl / TWITTER BOOTSTRAP – SZYBKIE TWORZENIE WITRYN HTML Rysunek 15. Zestawienie klas dla przełączania zawartości bieżącego obszaru wyświetlania w wersji 3.0.0 PODSUMOWANIE W drugiej części artykułu omówiono wybrane ważniejsze (z punktu wi- dzenia developera) komponenty będące składnikami frameworka. Opisano również ważniejsze zmiany występujące w wersji v3.0.0, która jest oficjalną wersją produkcyjną. Twitter Bootstrap obecnie implementuje flat design, co w przypadku stron internetowych nie zawsze jest pożądane. Wystąpiły pew- ne zmiany w nazewnictwie oraz strukturze i teraz nie wszystko, co było do- stępne w v 2.3, jest dostępne także w v3.0.0. Zmiana niektórych nazw klas być może ma sens, ale utrudnia aktualizację do najnowszej wersji. Można pokusić się o ponowną kompilację plików LESS, przywracając poprzednie nazewnic- two, ale będzie to pracochłonne. Podsumowując – dzięki wykorzystaniu bibliotek Bootstrap'a rozwijane aplikacje internetowe tworzone są szybciej, będą się cechowały skalowalno- ścią oraz przyjaznym interfejsem użytkownika. Bezbłędne działanie pakietu jest zagwarantowane przez twórców w przeglądarkach Chrome, Safari oraz Firefox. Można zaznaczyć, że wciąż trwają także prace nad polepszeniem wy- dajności obsługi dla przeglądarki Internet Explorer. Zdobytą wiedzę możemy bez przeszkód zastosować do utworzenia wła- snej witryny oraz poszerzyć swoje umiejętności w zakresie tworzenia este- tycznie wyglądających, responsywnych stron. Dzięki Bootstrapowi proces ten będzie łatwy i przyjemny. Koniec z wyliczaniem marginesów, tworzeniem form czy ramek od podstaw – Twitter Bootstrap zrobi to za nas. Korzystając ze skalowalności, nasza strona będzie dobrze wyglądała na komputerze, ta- blecie czy smartfonie. Wykorzystanie frameworka przy projektowaniu strony przyspieszy nam pracę oraz zwiększy zadowolenie z efektu końcowego. W sieci PP http://twitter.github.com/bootstrap/–zasobyTwitterBootstrapv2.3.2. PP http://themecrunch.com/2013/04/twitter-bootstrap-tutorials-tools- and-resources/ – zasoby oraz tutoriale dlaTwitter Bootstrap. PP http://getbootstrap.com/components/ – dokumentacja dla komponentówTwitter Bootstrap v3.0.0. PP http://getbootstrap.com/css/ – dokumentacja modułu CSS dla Twitter Bootstrap v3.0.0. PP http://getbootstrap.com/javascript/ – dokumentacja JavaScript dla Twitter Bootstrap v3.0.0. PP http://www.bootstraptor.com/bootstrap3 – zestawy szablonów i motywy zbudowane przy wykorzystaniuTwitter Bootstrap v3.0.0. PP http://www.w3resource.com/twitter-bootstrap/responsive-design.php– ResponsiveWebDesignprzywykorzystaniuTwitterBootstrap–artykuł. PP http://getbootstrap.com/customize/ – moduł pobierania frameworka wraz z panelem personalizowania. PP http://getbootstrap.com/getting-started/#migration – ważniejsze zmiany pomiędzy wersjami 2.x a 3.0.0. PP http://bradfrostweb.com/blog/web/mobile-first-responsive-web- design/ – blog traktujący o tematyce Responsive Design Łukasz Mazur lukash.mazur@gmail.com Autor obecnie jest programistą/architektem aplikacji biznesowych dedykowanych na platformy mobilne. Pracuje dla irlandzkiej firmy Mobile Travel Technologies Ltd. Dodatkowo poszerza swoja wiedzę dotyczącą zagadnień analityki biznesowej w Institute of Technology Blanchardstown – Dublin na wydziale Computing Business Intelligence & Data Mining.

18 / 10 . 2013 . (17)  / BIBLIOTEKI I NARZĘDZIA Karol Rogowski S koro już wiemy, czym są aplikacje czasu rzeczywistego, a jeszcze nie zdążyliśmy przejść do żadnej konkretnej rozmowy technicznej, to zasta- nówmy się, czy faktycznie jest tego aż tak wiele, żeby było warto zaprzą- tać sobie tym głowę. Zacznijmy może od portali społecznościowych, które to ostatnio na całym świecie zdobywają coraz większą popularność. Nie mówię już nawet o kwestiach rozmów, ponieważ konieczność dostawania tam danych na żywo jest kwestią bezdyskusyjną. Zauważmy też, że każda niemalże akcja innych użytkowników mająca z nami jakiś związek skutkuje natychmiastowym poinformowaniem nas o tym. Portale społecznościowe nie są oczywiście jedy- ne, jeżeli chodzi o konieczność posiadania świeżych danych. Spójrzmy na przy- kład na wszelkiego typu notowania. Czy to giełdowe czy też związane z wy- nikami sportowymi. Dodatkowo są też najróżniejsze aplikacje pozwalające na jednoczesną interakcję ze sobą kilku użytkowników.Tak, wiem, że pierwszą na- chodzącą myślą są gry interaktywne, ale to nie jest jedyny przykład. Są przecież też sytuacje, gdy jednocześnie musimy pracować nad jakimś dokumentem. Przykłady tego typu można by mnożyć jeszcze długo. Ale mam nadzieję, że udało mi się już zobrazować skalę problemu posiadania realnych danych oraz to, że naprawdę istnieje szeroki rynek na tego typu rozwiązania. PUSH SERVICE Zanim zaczniemy omawiać konkretne rozwiązanie technologiczne, po- wiedzmy sobie, w jaki sposób odbywa się komunikacja w omawianych apli- kacjach. Bazuje ona na wzorcu zwanym Push Service. I chociaż bardzo się starałem, to nie udało mi się wymyśleć tłumaczenia na polski, które nie wy- paczałoby treści zawartej w oryginalnej nazwie. Dlatego właśnie zostaniemy przy nazwie anglojęzycznej. Push Service, najogólniej mówiąc, ma za zadanie dostarczanie i rozdzielanie komunikatów. Przyjrzyjmy się rysunkowi poniżej, a następnie omówimy dokładniejszą budowę tego wzorca. Rysunek 1. Budowa wzorca Push Service Jak widzimy powyżej Push Service opiera się na synchronizacji współ- pracy podpiętych do niego klientów oraz zdarzeń. Klienci w tym przypadku powinni być rozumiani jako wszelkiego rodzaju aplikacje chcące korzystać z powiadomień dostarczanych przez serwis. Z drugiej strony mamy natomiast zdarzenia, których wystąpienie powoduje wysłanie powiadomień do odpo- wiednich klientów. Natomiast klienci po otrzymaniu powiadomienia już po swojej stronie odpowiednio na nie reagują. Wiem, że na pewno taki schemat nie zobrazuje od razu wszystkiego, ale na pewno da jakiś pogląd na to, co chcemy osiągnąć. SIGNALR Na początku powiedzmy sobie, czym w ogóle jest SignalR. Jest to Frame- work pozwalający nam na tworzenie Push Service-ów. Składa on się z dwóch części. Pierwszą z nich jest zestaw rozwiązań serwerowych, które służą nam do faktycznego budowania tego, w jaki sposób ma wyglądać nasz serwis, oraz z części klienckiej. Odpowiedzialna jest ona za możliwość komunikacji z serwisem. Dzięki odpowiednim bibliotekom pozwala ona na komunikację z praktycznie każdą platformą. Jest to bardzo ważne, ponieważ ciężko jest wy- magać, aby wszystko pracowało na .NET-cie. Ogólna idea działania tej technologii jest poniekąd schowana w jej na- zwie. Chodzi mianowicie o to, że powinniśmy operować na sygnałach. Po- przez sygnał rozumiemy wysłanie małej porcji danych, która zostaje już po stronie odczytującej ją aplikacji odpowiednio zinterpretowana. Powinniśmy się wystrzegać przesyłania przy użyciu SignalR całych dużych kawałków da- nych. Jeżeli chcemy napisać sygnał, który będzie informował o zmianach w którymś z elementów wyświetlanych na naszej stronie, powinno to się odbyć następująco: Sygnał informuje nas o tym, że dany element się zmienił. Może to zrobić na przykład poprzez wysłanie jego identyfikatora. Dopiero nasza aplikacja po odpowiedniej interpretacji sygnału pobiera oddzielnym zapyta- niem nowe dane i obsługuje je na właściwy sposób. NAPISZMY COŚ Jak już pewnie zdążyliście zauważyć, w swoich artykułach staram się kłaść możliwie jak największy nacisk na praktyczne wykorzystanie technologii i w ten sposób zapoznawać Was z jej działaniem. Nie inaczej będzie w tym przypadku. Napiszemy Push Service, który to będzie obsługiwał scenariusz prostego chatu. Nie jest to może jakiś bardzo skomplikowany i wyrafinowa- ny przykład, ale pozwoli zaznajomić się ze sposobem działania omawianej technologii. A jeżeli ktoś będzie chciał dalej się tego uczyć, to będzie miał już gotowe podwaliny. Pierwszym krokiem, jaki należy wykonać, jest utworzenie pustej aplika- cji ASP.NET MVC4, na której będziemy pracować. Kolejną czynnością będzie dodanie do naszego projektu Hub-a. Hub jest to klasa, w której będziemy ASP.NET SignalR – czyli aplikacje czasu bardzo rzeczywistego Aplikacje czasu rzeczywistego to rozwiązania, które dostarczają dane na bieżąco. Powiedzmy na przykład, że chcemy przeczytać sobie poranne wiadomości na którymś z licznych istniejących w sieci portali. Dane powinny tam być możliwie świeże, z tym że nie są one raczej dostarczane na żywo, a po prostu pobierają się podczas naszego wej- ścia na stronę. Wszystko w tej sytuacji jest ok, ponieważ nie oczekujemy chyba odświe- żania ich co chwilę. Inaczej sytuacja wygląda, jeżeli chodzi np. o chat na jakimś portalu społecznościowym. Tutaj otrzymywanie danych na żywo jest kwestią krytyczną.

19/ www.programistamag.pl / ASP.NET SIGNALR – CZYLI APLIKACJE CZASU BARDZO RZECZYWISTEGO definiować zachowania naszego serwisu. Będą się tam znajdować zarówno wymagane zdarzenie, jak i te metody, które są charakterystyczne tylko dla naszego rozwiązania. Klasę taką możemy dodać, jako jeden z już przygoto- wanych elementów. Rysunek 2. Dodawanie nowego Hub-a Po kliknięciu przycisku Add do naszego projektu zostanie dodany nowy element. Oprócz tego, że widzimy teraz nowy plik, to warto zwrócić uwagę na trzy nowe referencje, które pojawiły się w naszym rozwiązaniu. Są to bibliote- ki Microsoft.AspNet.SignalR.Core, Microsoft.AspNet.SignalR.Owin oraz Micro- soft.AspNet.SignalR.SystemWeb. Jak łatwo można zgadnąć, są to elementy odpowiedzialne za działanie technologii SignalR w naszej aplikacji. Zajrzyjmy teraz do naszego nowego pliku. Listing 1. Zawartość pliku ChatHub.cs namespace ExampleChat { using Microsoft.AspNet.SignalR; ///

20 / 10 . 2013 . (17)  / BIBLIOTEKI I NARZĘDZIA return base.OnConnected(); } ///

21/ www.programistamag.pl / ASP.NET SIGNALR – CZYLI APLIKACJE CZASU BARDZO RZECZYWISTEGO reklama var proxies = {}; this.starting(function () { // Register the hub proxies as subscribed // (instance, shouldSubscribe) registerHubProxies(proxies, true); this._registerSubscribedHubs(); }).disconnected(function () { // Unsubscribe all hub proxies when we "disconnect". This is to ensure that we do not re-add functional call backs. // (instance, shouldSubscribe) registerHubProxies(proxies, false); }); proxies.ExampleChat = this.createHubProxy('ExampleChat'); proxies.ExampleChat.client = {}; proxies.ExampleChat.server = { joinRoom: function (name, room) { return proxies.ExampleChat.invoke.apply(proxies. ExampleChat, $.merge(["JoinRoom"], $.makeArray(arguments))); }, sendMessage: function (name, message) { return proxies.ExampleChat.invoke.apply(proxies. ExampleChat, $.merge(["SendMessage"], $.makeArray(arguments))); }, sendMessageToRoom: function (name, room, message) { return proxies.ExampleChat.invoke.apply(proxies. ExampleChat, $.merge(["SendMessageToRoom"], $.makeArray(arguments))); } }; return proxies; }; signalR.hub = $.hubConnection("/signalr", { useDefaultPath: false }); $.extend(signalR, signalR.hub.createHubProxies()); }(window.jQuery, window)); Powyżej nie został oczywiście przedstawiony cały zawarty tam kod. Jedy- nie elementy, na które chciałbym zwrócić uwagę. Na początku uświadommy sobie, co tak naprawdę się tutaj znajduje. Jest to samo-wywołująca się funk- cja (javascript self invoking function). Zamieszczam angielską nazwę z dwóch względów. Po pierwsze, tłumaczenie na polski niektórych nazw technicznych wychodzi strasznie, i to jest zdecydowanie jeden z takich przypadków. Po dru- gie, jeżeli ktoś nie rozumie, jak to działa, to bez problemu będzie wiedział, czego szukać w Internecie. Co do wewnętrznej budowy kodu, to spójrzmy na dwa miejsca. Po pierw- sze, na funkcję createHubProxy.W jej argumencie jest podana nazwa, którą to narzuciliśmy naszemu Hub-owi. Po drugie, na to, gdzie znajdują się napisa- ne przez nas metody. Zostały one zamknięte w obiekcie, jako wartości unikal- nych kluczy, a obiekt ten jest przypisany do Proxy naszego Hub-a. Jak łatwo można było się domyśleć, wszystkie one zostały jak najbardziej prawidłowo uznane za metody serwerowe. Na koniec tego artykułu mam jeszcze prośbę, aby każdy przeanalizował sobie resztę kodu Hub-a. Można dzięki temu zdobyć sporo ciekawej wiedzy na temat szczegółów jego działania. PODSUMOWANIE Artykuł ten był pierwszą z dwóch części omawiania technologii SignalR. Dowiedzieliśmy się, czym w ogóle są aplikacje czasu rzeczywistego, na jakiej zasadzie działają oraz jak omawiana technologia odpowiada na ten sektor potrzeb. Jeżeli chodzi o praktykę, to stworzyliśmy część serwerową naszego rozwiązania, z którą będziemy, jako klienci, łączyć się w następnym artykule. Ja ze swojej strony bardzo dziękuję za czas poświęcony na przeczytanie tego artykułu i zapraszam do lektury kolejnych. W przypadku jakichkolwiek uwag,pytańlubpropozycjipomysłównakolejneartykułyproszępisaćnakarol. rogowski@gmail.com lub szukać mnie na https://twitter.com/KarolRogowski. Karol Rogowski karol.rogowski@gmail.com Absolwent Informatyki Politechniki Białostockiej. Microsoft Certificated Professional Deve- loper .NET Web Developer. Obecnie pracuje jako Development Lead w firmie DevCore.Net. Autor wielu treści na portalach technologicznych, głównie związanych z HTML 5 i JavaScript. W wolnym czasie pokerzysta amator

22 / 10 . 2013 . (17)  / PROGRAMOWANIE APLIKACJI WEBOWYCH Michał Leszczyński N ajpopularniejszą metodą logowania w Internecie jest uwierzytel- nianie za pomocą hasła. Metoda ta, choć jest jedną z najwygod- niejszych, nie jest pozbawiona wad. W celach porównawczych na serwerze muszą być przechowywane hasła wszystkich użytkowników – naj- częściej w formie hasha, np. z funkcji SHA1, bcrypt etc. W przypadku wycie- ku bazy danych będącego choćby następstwem włamania, atakujący może posłużyć się różnymi technikami, aby odzyskać oryginalne hasła, inwestując w to odpowiednią ilość mocy obliczeniowej. Istnieje też ryzyko wstawienia przez włamywacza backdoora w kodzie aplikacji, który zajmie się rejestro- waniem haseł przesyłanych na serwer otwartym tekstem podczas logowa- nia (ruch HTTPS trafiający do aplikacji zostaje już wcześniej odszyfrowany przez serwer). Odporność na tego typu zagrożenia wykazuje autoryzacja przy pomo- cy certyfikatu użytkownika SSL, podczas której na serwer nigdy nie jest wysyłany pełny certyfikat, a jedynie dowód na to, że użytkownik, który go prezentuje, jest równocześnie jego właścicielem. Jest to możliwe dzię- ki zastosowaniu kryptografii asymetrycznej. Po stronie serwera nie trzeba więc przechowywać żadnych wrażliwych danych logowania dotyczących konkretnych użytkowników. Bezpieczeństwo całego systemu przekłada się bezpośrednio na bezpieczeństwo klucza używanego do wystawiania certyfikatów. Podpis cyfrowy Algorytmy szyfrowania asymetrycznego, oprócz swojego typowego za- stosowania w szyfrowaniu wiadomości, znajdują użycie przy tworzeniu pod- pisów cyfrowych. Para kluczy dla szyfru asymetrycznego składa się z dwóch kluczy: prywatnego (który należy do właściciela i powinien być przecho- wywany bezpiecznie) oraz publicznego. Dowolna wiadomość może zostać podpisana cyfrowo przez posiadacza klucza prywatnego, a wiarygodność podpisu można zweryfikować, wykorzystując klucz publiczny. SPOSÓB DZIAŁANIA Wystawianie certyfikatów Certyfikaty SSL użytkownika mogą być wydawane przez określony urząd certyfikacji (CA), który posiada swój certyfikat główny i jest uznany za zaufa- ny na serwerze aplikacji. Ponieważ certyfikaty użytkownika są wystawiane w celu umożliwienia serwerowi sprawdzenia tożsamości klienta, a nie odwrot- nie jak w przypadku klasycznego zastosowania SSL, certyfikat główny nie musi być zainstalowany w systemie klienta. Certyfikaty użytkownika SSL – jak to ugryźć? Technologia SSL znajduje swoje użycie w olbrzymiej ilości aplikacji i usług interne- towych. Jednym z głównych celów jej zastosowania jest umożliwienie klientowi sprawdzenie, czy komunikuje się on z zaufanym serwerem. Istnieje jednak rozsze- rzenie, które pozwala dokonać zupełnie odwrotnej czynności, umożliwiając serwe- rowi sprawdzenie autentyczności klienta. Celem tego artykułu jest zatem omówie- nie i implementacja certyfikatów użytkownika na przykładzie aplikacji hostowanej w kontenerze Tomcat. Rysunek 1. Procedura wystawiania certyfikatów użytkownika SSL Distinguished name CertyfikatyużytkownikasązgodnezestandardemX.509(RFC5280 [1] ), muszą więc zawierać distinguished name (DN) podmiotu oraz wystawcy, czyli informacje o nich zapisane w formacie par atrybut=wartość, od- dzielanych przecinkiem. Przykładowy DN podmiotu: CN=someguy123, O=Example Flail Store, OU=Member Najczęściej używane standardowe atrybuty: O organization name OU organizational unit name CN common name L locality name ST state or province C country name Uwierzytelnianie użytkownika Autoryzacja użytkownika za pomocą certyfikatu jest opcjonalną częścią SSL handshake, czyli negocjacji bezpiecznego połączenia z serwerem. Należy tu zauważyć, że przeprowadzenie takiej autoryzacji nie jest możliwe w połą- czeniu nieszyfrowanym. Podczas uwierzytelniania certyfikatem użytkownika, losowe dane wy- generowane podczas negocjacji bezpiecznego połączenia są podpisywane przez użytkownika za pomocą wcześniej wystawionego mu certyfikatu. Pod- pis ten jest później wysyłany wraz z informacjami o certyfikacie do serwera.

24 / 10 . 2013 . (17)  / PROGRAMOWANIE APLIKACJI WEBOWYCH Do tagu Connector odnoszącego się do connectora HTTPS należy dodać następujące atrybuty: truststoreFile="" truststorePass="" clientAuth="want|true" Atrybut clientAuth określa zachowanie serwera podczas negocjacji bez- piecznego połączenia. Jeśli wartość atrybutu zostanie ustawiona na want, ser- wer będzie honorował certyfikaty użytkownika, ale pozwoli również ustanowić połączenie klientom, którzy z jakiegoś powodu nie mogą przedstawić prawi- dłowego certyfikatu. W przypadku ustawienia wartości na true, serwer każ- dorazowo będzie zrywał połączenia od klientów, którzy się nie uwierzytelnią. CLIENT-SIDE: GENEROWANIE ŻĄDAŃ CERTYFIKACJI Z PRZEGLĄDARKI Do bezpiecznego przeprowadzenia certyfikacji potrzebne jest API, któ- re pozwoli na wygenerowanie pary kluczy i stworzenie żądania certyfikacji (CSR). Przeglądarki kompatybilne z Netscape (Firefox, Chrome, etc.) oferują do tego celu tag keygen [3] będący regularnym elementem formularza. Mi- crosoft odmówił jednak implementacji tego rozwiązania w Internet Explorer, ponieważ w systemach Windows Vista i nowszych dostępne jest Certificate Enrollment API [4] , którego można użyć przez ActiveX z poziomu skryptu po stronie klienta. Wobec tego, trzeba stworzyć aplikację, która zależnie od przeglądarki klienta zaserwuje mu formularz wykorzystujący kompatybilną technologię. Ze względu na ograniczoną ilość miejsca, implementacja omówiona w arty- kule będzie dosyć uproszczona, aby nie zagłębiać się w rzeczy mocno wykra- czające poza temat. Po stronie klienta przykład ograniczy się do dwóch statycznych stron z formularzami – jednym dla IE, drugim dla przeglądarek kompatybilnych z Netscape. Oba formularze będą zawierały pole do wpisania nicku, który zo- stanie później użyty jako Common Name (CN) w wygenerowanym certyfika- cie, oraz kontrolkę generatora kluczy. Keygen Element reprezentuje generator pary kluczy i jest wyświe- tlany w przeglądarce analogicznie do tagu , przy czym poszcze- gólne opcje na liście są długościami kluczy wspieranymi przez dany silnik przeglądarki. Element ten posiada następujące unikalne atrybuty: PP keytype – algorytm klucza, który powinien zostać użyty (domyślnie RSA), PP challenge – ciąg znaków (domyślnie pusty), który zostanie podpi- sany i wysłany razem z żądaniem certyfikacji (prosta forma udowod- nienia, że wysyłający żądanie jest równocześnie posiadaczem klucza). Wysłanie formularza zawierającego kontrolkę generatora kluczy po- woduje wygenerowanie żądania certyfikacji w formacie Signed Public Key and Challenge (SPKAC lub inaczej Netscape SPKI). Oryginalnie w pełni funkcjonalny tag został zaimplementowany w 1996 roku w przeglądarce Netscape. Rysunek 3. Generator pary kluczy w Netscape 3.04 uruchomionym w syste- mieWindows 3.11 Rysunek 2.Wymagania, które muszą zostać spełnione przy autoryzacji IMPLEMENTACJA Wymagania Do pracy potrzebne będą: • serwer Apache Tomcat ze skonfigurowanym connectorem HTTPS, • zestaw narzędzi OpenSSL oraz keytool, • podstawowa wiedza na temat tworzenia servletów [2] . Konfiguracja kontenera Tomcat Generowanie certyfikatu CA Na początku konieczne będzie wygenerowanie certyfikatu głównego dla urzędu certyfikacji, wykorzystywanego przez serwer aplikacji do wystawiania i weryfikowania certyfikatów użytkowników. Do utworzenia certyfikatu po- trzebny będzie zestaw narzędzi OpenSSL. Tworzenie nowego klucza prywatnego: $ openssl genrsa – out cakey.pem 2048 … oraz certyfikatu CA dla tego klucza: $ openssl req – new – x509 – days 3650 – key cakey.pem – extensions v3_ca – out cacert.pem Po wywołaniu polecenia użytkownik zostaje zapytany o dane potrzebne do wystawienia certyfikatu. Dane te będą później widniały w każdym certyfi- kacie klienta jako informacje o wystawcy. Import certyfikatu do truststore Po utworzeniu certyfikatu CA trzeba będzie go zaimportować do truststo- re (magazynu zaufanych certyfikatów). Można to zrobić, używając keytool: $ keytool – importcert – keystore truststore.jks – alias our_ca – file cacert.pem Jeżeli truststore nie jest jeszcze utworzony, polecenie utworzy magazyn o nazwie truststore.jks i poprosi o ustawienie dla niego hasła. Konfiguracja connectora Ostatnim krokiem konfiguracji kontenera jest włączenie autoryzacji klientów w connectorze SSL oraz ustawienie opcji związanych z truststore. Wszystkie certyfikaty wystawione przez CA, którego certyfikat znajduje się w zaufanym magazynie, automatycznie będą zaufane.

STRONA 25

25/ www.programistamag.pl / CERTYFIKATY UŻYTKOWNIKA SSL – JAK TO UGRYŹĆ? Wynikowy formularz powinien wyglądać tak: Listing 1. Formularz netscape.html dla przeglądarek kompatybil- nych z Netscape

Nick:

Encryption:Przy próbie wysłania formularza żądanie certyfikacji zostanie automa- tycznie wygenerowane i wstawione jako parametr csr. W odpowiedzi na to zapytanie, serwer powinien wysłać wystawiony certyfikat wraz z nagłówkiem Content-Type: application/x-x509-user-cert Przeglądarka automatycznie zainstaluje taki certyfikat w swoim magazynie. CertEnroll Certificate Enrollment API to rozbudowany interfejs od Microsoft, który pozwala również na wystawianie żądań certyfikacji w formacie PKCS#10 oraz instalowanie wygenerowanego certyfikatu na kompu- terze klienta. Poprzez ActiveX z interfejsu można skorzystać za pomocą X509EnrollmentWebClassFactory[5] . Należy jednak pamiętać, że przeglądarka ze względów bezpieczeństwa nie pozwoli odwołać się do tego obiektu, jeśli strona z korzystającym z niego skryptem nie została po- brana przez HTTPS. Pora na stworzenie formularza dla IE (plik ie.html). Pożądane byłoby, aby oba formularze miały podobny układ i wygląd. Wygląd tagu moż- na emulować, używając . Listing 2. Formularz ie.html przypominający wyglądem formularz z pierwszego listingu

Nick:
Encryption:1024 (Medium Grade)2048 (High Grade)W tym wypadku żądanie certyfikacji nie zostanie wygenerowane automa- tycznie przy wysyłaniu formularza, cały proces trzeba przeprowadzić, tworząc odpowiedni skrypt JavaScript. Konieczne jest w tym miejscu zadeklarowanie obiektu fabryki, który posłuży do tworzenia potrzebnych obiektów CertEn- roll. Do obsługi odpowiedzi serwera przyda się również jQuery. Listing 3. Potrzebne zależności oraz funkcja pomocniczaOstatnim krokiem jest zdefiniowanie funkcji CreateReq(), która przy wysyłaniu formularza sprawdzi, jakiego wyboru co do długości klucza doko- nał użytkownik, wygeneruje żądanie certyfikacji i wstawi je do pola csr w formularzu. Ponieważ instalacja certyfikatu również wymaga wywołania od- wołania do obiektu Enroll, najwygodniejszym rozwiązaniem będzie wysła- nie zawartości formularza AJAXem, a potem wywołanie Enroll.Install- Response na otrzymanej odpowiedzi, co spowoduje instalację certyfikatu. Listing 4. Funkcja obsługująca wysłanie formularza function CreateReq() { try { var PrivKey = CreateInst("CX509PrivateKey"); var Req = CreateInst("CX509CertificateRequestPkcs10"); var Enroll = CreateInst("CX509Enrollment"); // niezbędne stałe var ALLOW_UNTRUSTED_ROOT = 4; var AT_KEYEXCHANGE = 1; var CONTEXT_USER = 1; var XCN_CRYPT_STRING_BASE64 = 1; var XCN_CRYPT_STRING_BINARY = 2; // rozmiar klucza zgodnie z wyborem użytkownika PrivKey.Length = $("#keysize").val(); PrivKey.KeySpec = AT_KEYEXCHANGE; Req.InitializeFromPrivateKey(CONTEXT_USER, PrivKey, ""); // wystawiamy żądanie certyfikacji PKCS#10 Enroll.InitializeFromRequest(Req); var pkcs10 = Enroll.CreateRequest(XCN_CRYPT_STRING_BASE64); $("#csr").val(pkcs10); $.post({ url: "certHandler", data: $("#csrForm").serialize(), async: false, success: function(data) { Enroll.InstallResponse(ALLOW_UNTRUSTED_ROOT, data, XCN_CRYPT_STRING_BINARY, ""); alert("Zainstalowano certyfikat!"); } }); } catch(ex) { alert("Błąd: " + ex.description); } return false; } Należy zwrócić szczególną uwagę na fakt, że żądania PKCS#10 mogą nieść ze sobą DN podmiotu tworzącego żądanie. Nie ma jednak obowiązku dołączania tej informacji do żądania certyfikacji, a niekiedy wystawiający cer- tyfikat może całkowicie ją zignorować i w odpowiedzi wystawić certyfikat o zupełnie innych parametrach. XEnroll W systemieWindowsXP wprowadzono interfejs XEnroll, który później zo- stał zdeprecjonowany i usunięty w następnej wersji.Z powodu złamania kom- patybilnościwstecznejniejestmożliweużycieXEnrollwsystemieinnymniżXP, alerównieżniejestmożliweużycieCertEnrollwsystemiestarszymniżVista. Server-side: Servlet wystawiający certyfikaty Zadaniem do zrealizowania po stronie serwera jest odbieranie żądań certyfikacji i wystawianie certyfikatów użytkownika. Te czynności będzie re- alizował CertReqHandlerServlet, zmapowany pod URL /csrHandler (adres docelowy dwóch wcześniej stworzonych formularzy). Ponadto, do manipulowania obiektami związanymi z certyfikatami wykorzystana zosta- nie biblioteka BouncyCastle Crypto API [6] (należy dodać do zależności pakiety bcpkix-jdk15on oraz bcprov-jdk15on). Do wystawienia jakiegokolwiek certyfikatu potrzebny jest wcześniej stworzony certyfikat CA. Servlet zaimportuje ten certyfikat wraz z jego klu- czem podczas inicjalizacji.