เมื่อเราเริ่มตั้ง Environment สำหรับการพัฒนา การแยก User ของนักพัฒนาออกจากกันดูจะเป็นเรื่องที่เข้าท่า เพราะสไตล์การพัฒนาของนักพัฒนาแต่ละคนที่แตกต่างกัน (คนละรำคาญการปิดหน้าต่างที่จำเป็นการใน Debug เสียจริง) แต่เมื่อแยก User ออกมาแล้วเราก็จะพบปัญหาเรื่องสิทธิ์ในการเข้าถึงเว็บที่จะทดสอบ รวมถึงสิทธิ์ในการติดตั้ง WSP

สำหรับสิทธิ์ในการเข้าถึงเว็บ ปกติจะแก้ได้ด้วยการเพิ่มสิทธิ์ไม่ว่าจะเป็น Farm Administrator หรือ Site Collection Administrator ให้กับผู้ใช้ที่ต้องการ

ส่วนสิทธิ์ในการติดตั้ง WSP จากการค้นหาหลาย ๆ เว็บแนะนำวิธีให้ไปเพิ่มสิทธิ์ db_owner ให้กับ User ที่ต้องการลงใน Database ของ SharePoint เองซึ่งผมมองว่ามันไม่น่าจะเป็นแนวทางที่ Microsoft อยากจะให้ทำเท่าไร แต่แล้วก็พบว่ามีคำสั่ง PowerShell คำสั่งหนึ่งที่จะช่วยเพิ่มสิทธิ์พิเศษนี้ได้ คำสั่งนั้นคือ Add-SPShellAdmin

หลักการคือ การจะสามารถติดตั้ง WSP ได้ ผู้ใช้ต้องมีสิทธิ์ในการจัดการ SharePoint ผ่าน Shell และมีสิทธิ์ในการเข้าถึงฐานข้อมูลที่เกี่ยวข้องใน SharePoint ดังนั้นผู้ใช้คำสั่งคำสั่งนี้ครั้งแรกคือ User ที่สิทธิ์ใหญ่ที่สุดใน SharePoint Farm

คำสั่งน่ารู้คือ

Add-SPShellAdmin -UserName *DOMAIN\Username*

แต่แค่นี้ยังไม่พอครับ คำสั่งนี้แค่เพิ่มให้เขาพร้อมที่จะใช้งาน PowerShell ได้แต่ยังไม่สามารถติดตั้งได้ คำสั่งต่อมาที่ต้องรู้คือ

Add-SPShellAdmin -UserName *DOMAIN\Username* -database *DATABASE_GUID*

ปัญหาคือ เราจะทราบได้อย่างไรว่ามีฐานข้อมูลตัวไหนที่เกี่ยวข้องกับเราบ้าง เพราะถ้าใส่ไม่ครบ อาจจะพบปัญหาคือสั่ง Deploy ลงได้แค่บาง Site Collection กรณีที่ Web Application นั้นมีฐานข้อมูลที่เกี่ยวข้องอยู่หลาย ๆ ก้อน ซึ่งปัญหานี้จะปรากฏใน Event Viewer เป็น EventID 3760 ซึ่งกล่าวถึง Login failure ของฐานข้อมูล

คำสั่งที่น่ารู้อีก 2 คำสั่งคือ Get-SPDatabase และ Get-SPContentDatabase ซึ่งเมื่อศึกษาพารามิเตอร์ที่เกี่ยวข้องก็จะทำให้เราเลือก Content Database ที่เกี่ยวข้องกับ Web Application ของเรา คำสั่ง Get-SPContentDatabase จะแสดงเฉพาะฐานข้อมูลตัวที่ Started อยู่เท่านั้น แต่ไม่ได้แปลว่านี่คือฐานข้อมูลทั้งหมดที่เกี่ยวข้องกับ Web Application ของเรา ซึ่งอาจจะต้องคอยสังเกตจาก EventID 3760 ด้วย

การทดลองครั้งหนึ่งที่ได้ทำคือ ทำการติดตั้ง WSP ใส่ Site Collection 2 ตัวคือ http://foo และ http://foo/bar ผลปรากฏว่าเฉพาะ http://foo ที่ทำการติดตั้งสำเร็จ เนื่องจากบังเอิญว่า http://foo/bar นั้นอยู่บนฐานข้อมูลอีกก้อนที่ไม่อยู่ในสถานะ Started จึงต้องสั่งเพิ่มสิทธิ์ผู้ใช้เข้าฐานข้อมูลก้อนนั้น แล้วจึงทำการติดตั้งได้

จะว่าไปคำว่า Started/Stopped ของ Content Database นี่ก็สร้างความสับสนจริง ๆ เพราะนิยามมันคือ การยอมรับให้มี Site Collection ใหม่เกิดบนตัวมันได้ ซึ่งเมื่อเปลี่ยนเป็นสถานะ Stopped นั่นแปลว่าปิดรับการเพิ่ม Site Collection ไม่ได้ความว่าฐานข้อมูลก้อนนั้นไม่ถูกใช้งาน

ได้รับโจทย์งานมาว่าอยากให้มีการลงทะเบียนก่อนจะเข้าถึงเอกสารทั้ง Library

เพื่อนเสนอมาว่า ทำ Web Part ให้เขากรอกชื่อเลย เราก็ย้อนกลับไปว่า มันก็รู้ชื่อเขาอยู่แล้วจะให้กรอกอีกทำไม เราก็เลยมองไปที่ List Item ผสมกับ Workflow ให้ทำการเพิ่มสิทธิ์ ความคิดผ่านนะ แต่พอเอาไปทำจริง Workflow ดันไม่ทำงานซะงั้น

แต่แล้วก็แว้บความคิดอีกว่า เอ้อ แล้วทำไมไม่ใช้ SharePoint Group ไปตรง ๆ เลย ข้อมูลที่จะกรอกลงทะเบียนมันก็ไม่เห็นจะมีอะไรเลยนี่นะ

ขั้นเตรียมการ เราทำการสร้าง SharePoint Group ขึ้นมา 1 อันแล้วนำไปผูกกับ Library ที่ต้องการแล้วทำการ Stop Inherit Permission แล้วทำการลบ Group หรือบุคคลที่ไม่เกี่ยวข้องออกให้หมด แล้วก็ให้สิทธิ์กับ SharePoint Group นั้นพอสมควร

จากนั้นกลับมากำหนดค่ากับ SharePoint Group ให้อนุญาตให้ Request for joining แล้วก็ตั้งให้ Accept คำขอการเข้ากลุ่มโดยอัตโนมัติ แล้วก็อย่าลืมเอา e-mail ปลายทางออกด้วย เดี๋ยวจะได้เมล์ที่ไม่พึงประสงค์มาเยอะเกินเหตุ (เพิ่งทราบว่าการ Request เข้ากลุ่มใน SharePoint ตัวระบบไม่ได้เก็บสถิติใด ๆ ไว้เลยนอกจากพ่น e-mail ร้องขอออกไปอย่างเดียว ซึ่งในนั้นก็มีเพียงแค่ลิงค์ที่จะนำไปสู่หน้าการตั้งสิทธิ์โดยมีพารามิเตอร์ของผู้ใช้ที่ร้องขอสิทธิ์เท่านั้น!)

มีโจทย์ที่สนุกกว่านั้นอีกหน่อยคือ แล้วจะหลอกล่อให้ผู้ใช้เข้าไป Join Group อย่างไรดี ส่งไปหน้ากลุ่มแล้วให้กด Join Group เอาเองก็ดูจะไม่เข้าท่าเท่าไร ก็เลยได้ข้อเสนอแนะมาว่า ก็จำลองปุ่ม Join Group มาเลยดีกว่าไหม? เหมือนจะง่ายนะ แต่เผอิญว่าปุ่มนั้นใน Code HTML ที่ถูกสร้างขึ้นมาบนหน้าจอ SharePoint ดันให้ลิงค์เป็น javascript: ซึ่งแปลว่าไม่มีลิงค์ให้กดนะ!

เราก็เลยต้องมานั่งแกะว่าจริง ๆ กดแล้วมันทำอะไร ก็ไปพบว่ามันเรียกใช้งาน Javascript function ที่ชื่อ JoinOrLeaveGroupClick() ซึ่งในนั้นก็เป็นการสั่ง __doPostBack() ตามกระบวนการของ ASP.net ก็ดูเหมือนว่าจะสุดทางแล้ว ต่อมาก็คิดต่อว่า แล้วเราจะสั่งมันได้อย่างไร ก็พบว่าเราสามารถแทรกหน้า SharePoint Group ใส่ iframe ได้ เนื่องจากเราไม่ติดข้อจำกัดของ XSS (หน้าแสดงผลกับหน้า SharePoint อยู่บนโดเมนเดียวกัน) เราก็เลยถือโอกาสเขียน Javascript สั่งให้ไปเรียกใช้งานฟังก์ชั่นดังกล่าวใน iframe แทน ซึ่งก็ทำได้ไม่ผิดกติกาอะไร แต่ก็มีเรื่องที่ต้องคิดอีกอย่างคือ การเข้าหรือออกจากกลุ่มมันดันใช้ฟังก์ชั่นเดียวกัน แล้วจะมีหนทางในการตรวจสอบก่อนไหมว่า ผู้ใช้คนนี้อยู่ในกลุ่มแล้วให้ซ่อนปุ่มกดนี้ไป

ก็เลยต้องมานั่งสังเกตว่าเมนูของการ Join Group กับ Leave Group มีข้อแตกต่างอย่างไร ก็พบว่า ในการ Join Group เมนูที่เกิดขึ้นจะมีโครงสร้าง ul ซึ่งประกอบด้วย li แค่อันเดียว แต่การ Leave Group จะเกิด li มา 4 อัน (เป็นเมนู 3 อัน แล้วตัวแบ่งอีก 1 อัน) ซึ่งก็โชคดีอีกว่า li แต่ละตัวมี Attribute ชื่อ id ประกอบด้วย นั่นจึงทำให้สามารถใช้ฟังก์ชั่นหากิน getElementById จัดการตรวจสอบว่าพบ id ของเมนูที่ต้องการหรือไม่ หากพบก็จะสั่งให้ซ่อนปุ่มได้อีกชั้น พบว่าเราต้องใช้วิธีนับจำนวนแถว td ของตารางที่เป็นตัวกำหนดแถบเมนูว่ามีกี่ปุ่ม ซึ่งหากยังไม่ได้เข้ากลุ่มตารางดังกล่าวจะมีจำนวน td 4 อัน (หากเข้ากลุ่มแล้วจะมี 7 อัน)

สังเกตว่าจากเริ่มต้น Programming สุดท้ายก็มาจบลงที่ Javascript ที่ผูกโยงกับการใช้ฟีเจอร์เดิม ๆ ของ SharePoint นั่นเอง บางทีหลังจากผ่านประสบการณ์อะไรมาก ๆ มันก็ทำให้เราคิดได้ว่า ความต้องการบางอย่าง จริง ๆ ใน SharePoint มันก็มีให้อยู่แล้ว การที่จะมานั่งเขียน Code ทำไปทุกอย่างมันก็วุ่นวายเสียแรงเกินไป เรามาใช้มายากลของ HTML ทำดีกว่าง่ายกว่าเยอะ!

วางแผนว่าเมื่อ Windows 8 ออกคงต้องขยายฮาร์ดดิสก์ใน ThinkPad X220 ของที่ทำงาน แล้วก็อาจจะต้องขอเพิ่มแรมไปอีกเสียหน่อย (16 GB ไปเลย)

Client Hyper-V ก็เหมือนกับโปรแกรมพวก VMware นั่นแหละ และจากที่ได้ลองใช้ Hyper-V บน Windows Server 2008 R2 แล้วนั้นพบว่า มันใช้ง่ายแล้วดูเป็นธรรมชาติดี ซึ่งอาจจะทำให้กระบวนการพัฒนาซอฟท์แวร์บน SharePoint ทำได้สะดวกขึ้น เพราะเราจะได้แยกสภาวะการทำงานออกจากปัจจุบันที่ฝาก Image ไว้บน ESXi ซึ่งยังใช้การแบ่งปันบัญชีผู้ใช้งานกับผู้ใช้อีกคนที่ชอบปรับแต่งหน้าตาของ Visual Studio จนเป็นที่หงุดหงิดของผมมาก

มันเป็นดราม่าระหว่างคนหาช่องโหว่ในการ Jailbreak กับคนที่อยากจะให้ Jailbreak ได้

เหตุมันมีอยู่ว่า คนที่ไม่ได้ทำอะไรเลยเอาแต่ร้องขอ ออกมาต่อว่าผู้หาช่องโหว่ในการ Jailbreak ว่าทำไมทำได้แล้วไม่ปล่อยออกมา ซึ่งเหตุผลของคนทำเขาก็ชัดเจนในจุดยืนว่า เขาไม่ต้องการให้มีคนหาประโยชน์จากช่องโหว่ที่เขาหามาได้ ไม่ว่าจะเป็นการนำ Tool ที่พัฒนาแจกฟรีไปหาเงิน (นึกไม่ออกก็ที่คุณไปจ้างให้ตู้ตามห้างทำให้นั่นแหละ) หรือการทำเครื่องมือสืบสวน (Forensics) โดยการนำ code ที่ถือว่าเป็น opensource (ไม่แน่ใจว่าเปิดเผยหรือไม่ แต่น่าจะ reverse ได้ไม่ยาก) ไปใช้หารายได้

ทางผู้หาช่องโหว่จึงทำการเก็บงำช่องโหว่ไว้ใช้เอง เพราะเขาเห็นว่า การมีช่องโหว่ที่ไม่รู้ว่าคืออะไรเป็นประโยชน์กับเขาในการเสาะหาช่องโหว่อื่น ๆ ได้ในอนาคต และคิดว่าผู้ที่อยากจะหารายได้จากการ Jailbreak ก็ควรจะมีส่วนร่วมในกระบวนการหาช่องโหว่บ้างมากกว่าจะมาคว้าพุงปลาไปกิน

ผมค่อนข้างเห็นด้วยในเหตุผลของเขานะ และนี่อาจจะเป็นสาเหตุที่ทำให้จำนวน Hacker ที่มีความเคลื่อนไหวในกระบวนการ Jailbreak มีจำนวนลดลงเรื่อย ๆ เพราะทนสภาพความเสื่อมโทรมของวงการไม่ได้ ทำฟรีแล้วไม่ได้อะไรคงไม่ว่า แต่ทำฟรีแล้วถูกชุบมือเปิบไปคงเป็นเรื่องที่ใคร ๆ ก็เคืองครับ

จะว่าไปถ้าจำเรื่อง SHAtter ได้ นั่นก็เป็นช่องโหว่ที่เขาจะเก็บไว้ใช้นะ แต่สุดท้ายก็ถูก Apple ค้นพบ (คาดว่า) จากการเก็บ log ที่ถูกส่งกลับไปทำให้ถูกปิดไปไม่ได้นำมาใช้งานในเครื่องมือ Jailbreak ใด ๆ เราก็ไม่ทราบว่าช่องโหว่ที่ถูกเก็บงำไว้นี้จะถูกปิดเมื่อใดเช่นกัน แต่ก็หวังว่ามันจะยังมีช่องโหว่ในระดับ Bootrom หรือให้ดีก็ Hardware เลยที่จะทำให้สามารถ Jailbreak ถาวรได้

ความยุติธรรมของศาลคือ ตัดสินคดีตามข้อกฎหมายที่มี

ความยุติธรรมของศาลคือ ตัดสินคดีตามข้อเท็จจริงที่นำสืบ รับฟังข้อเท็จจริงจากโจทก์และจำเลย

ความยุติธรรมของศาลคือ ตัดสินคดีตามที่รับฟ้อง

แต่ที่เราคิดกันว่าศาลไม่ยุติธรรมเพราะศาลไม่ได้ตัดสินข้างเรา หรือตัดสินไม่ถูกใจเรา หรือคิดไปเองว่าความยุติธรรมที่ล่าช้าคือความอยุติธรรม

ติดปัญหากับ DelegateControl มาหลายวัน วันนี้แก้ออกเสียที เป็นความสะเพร่าของผมเอง

ใน CKSDev มี Template การสร้าง DelegateControl ไว้ให้ใช้ แต่เหมือนจะไม่ได้เขียนคำอธิบายที่ชัดเจนไว้ให้ชัดเจนว่าต้องกรอกอะไร แล้วห้ามกรอกอะไร

หลักการของ DelegateControl คือ การโหลด Control ที่บนหน้าเว็บไม่รู้ว่าคืออะไรมาแสดง โดย Control ปริศนานี้จะถูกโหลดผ่าน Feature (ได้ทุก Scope เลย) ดังนั้นเราจึงต้องมาเขียน Element Manifest อธิบายมัน

สำหรับตัวอย่าง Tag ภายใน Element Manifest เช่น

<Control Id="ชื่ออ้างอิงที่จะเอาไปใช้" Sequence="เลขน้ำหนัก ยิ่งน้อยยิ่งเบา ยิ่งอยู่ก่อน" ControlSrc="ที่อยู่ของ Control ปกติจะใช้ ~/_controltemplates/ นำหน้า แต่ถ้าไปวางไว้ที่อื่นก็ใส่ Path ที่อ้างถึงได้ (อะไรที่ IIS มองเห็น)" />

หรือ

<Control Id="ชื่ออ้างอิงที่จะเอาไปใช้" Sequence="เลขน้ำหนัก" ControlAssembly="..." ControlClass="..." />

ปัญหาคือ ในแบบฟอร์มของ CKSDev ไม่ได้ระบุว่า หากกรอก ControlSrc แล้ว ไม่จำเป็นต้องกรอก ControlAssembly และ ControlClass (แต่ 2 ตัวนี้ต้องกรอกคู่กัน) หากกรอกไปหมดทุกอันเลย ผลที่ได้คือ Delegate Control จะไม่ถูกโหลดมาใช้งาน เพราะมันคงงงว่าจะอ่านจาก ascx หรือจะอ่านจาก Class กันแน่

เมื่อแก้ไขถูกต้องแล้วทุกอย่างก็จะทำงานเป็นปกติ