[15/08/2016] Microsoft ha lanzado el .Net Framework 4.6.2, que mejora la seguridad en múltiples áreas, incluyendo la BCL (Base Class Library). La nueva versión también tiene mejoras para el cliente SQL, Windows Communication Foundation, el CLR (Common Language Runtime) y el marco web ASP.Net.
El enfoque de seguridad en la BCL impacta sobre las capacidades PKI y los certificados X.509 ahora soportan el algoritmo de firma digital FIPS 186-3. "Este soporte permite certificados X.509 con claves que excedan los 1024 bits”, afirmó Stacey Haffner de Microsoft. "También permite firmas informáticas con la familia SHA-2 de los algoritmos de hash (SHA256, SHA384 y SHA512)”.
La biblioteca también soporta cifrado simétrico de clave continuada. "La Windows Cryptography Library (GNC) soporta el almacenamiento de claves simétricas persistentes en dispositivos de software y hardware. El .Net Framework ahora presenta esta capacidad GNC”, indicó Haffner.
En el cliente SQL, el .Net Framework Data Provider para SQL Server -System.Data.SqlClient- presenta mejoras para la función Always Encrypted para proteger los datos confidenciales, como los números de la tarjeta de crédito. Para mejorar el rendimiento, ahora se coloca en la cache los metadatos del cifrado para los parámetros de consulta, y para la seguridad, las entradas clave de cifrado de columna en la cache de las claves son expulsadas después de un intervalo de tiempo configurable.
El marco Windows Communication Foundation, para las aplicaciones orientadas a servicios, ya no tiene como protocolo predeterminado el SSL 3 para la negociación de conexiones seguras al usar NetTCP y una credencial de tipo de certificado porque SSL 3 ya no se considera seguro. "En la mayoría de los casos no debería haber impacto sobre las aplicaciones existentes, puesto que TLS 1.0 siempre se ha incluido en la lista de protocolos predeterminada para NetTCP”, afirmó Haffner. Todos los clientes existentes deberían poder negociar una conexión con al menos TLS 1.0.
ClickOnce, para el despliegue de aplicaciones, ahora soporta TLS 1.1 y 1.2. "SSL y TLS 1.0 ya no son recomendables o soportados por algunas organizaciones”, indicó Haffner. ClickOnce seguirá soportando TLS 1.0 para aplicaciones que no pueden hacer upgrade o simplemente no lo hacen, y las aplicaciones de ClickOnce pueden alojarse en directorios virtuales con SSL habilitado y los certificados de cliente requeridos.
La versión 4.6.2 también cuenta con capacidades asincrónicas mejoradas en ASP.Net. Los escenarios asincrónicos se han habilitado a través de mejoras en el SessionStateModule y Output-CacheModule. "El equipo está trabajando en lanzar versiones asincrónicas de ambos módulos a través de NuGet, que tendrá que ser importado a un proyecto existente. Se prevé que ambos paquetes de NuGet se lancen en las próximas semanas”, señaló Haffner. El almacenamiento en cache del output puede mejorar el rendimiento de las aplicaciones ASP.Net, mientras que el estado de la sesión permite el almacenamiento y recuperación de los datos del usuario.
En el CLR, Microsoft está trabajando en mejoras relativas a NullReferenceException, una excepción que se produce cuando hay un intento de desreferenciar una referencia de objeto nulo. "Estamos parcialmente a través de una asociación con el equipo de Visual Studio para proporcionar una mejor experiencia de depuración para referencias nulas en una versión futura de Visual Studio”, afirmó Haffner. La depuración en Visual Studio se basa en las API de depuración de CLR para la interacción de bajo nivel con el código.
También en la BCL, la versión 4.6.2 repara la limitación de la longitud de nombre de archivo de 260 caracteres en las API de System.IO. La limitación ha sido más común en las máquinas de los desarrolladores que crean árboles de fuente profundamente anidados o que usan herramientas Unix especializadas.
Por su parte, el marco de la interfaz de usuario de Windows Presentation Foundation de Microsoft cuenta con capacidades de clasificación de grupos en el upgrade. Una aplicación que solicita una clase CollectionView para agrupar datos ahora puede ser explícita al declarar cómo ordenar los grupos. Esto soluciona los problemas con el ordenamiento no intuitivo y acelera el proceso de creación de grupos. También, aplicaciones WPF están habilitadas de acuerdo al DPI por monitor.
Paul Krill, InfoWorld (EE.UU.)