En række undervandsmikrofoner har opfanget en intens lyd, som muligvis kunne være lyden af det forsvundne MH370-fly, der styrter ned. Det kan indskrænke eftersøgningsområdet og på den måde gøre det lettere at finde det forsvundne passagerfly, skriver The Guardian.

Forskere fra Curtin Universitet i Australien, som har analyseret lyden, understreger dog, at lyden lige så godt kan stamme fra et jordskælv eller lignende. De vurderer, at sandsynligheden for, at lyden stammer fra flystyrtet kunne være helt nede på ti procent.

Lyden er opfanget af forskellige sensorer. Nogle opsat af FN til at monitorere atomsprængninger, og andre er sat i havet af australske forskere til brug i forskning. Blandt andre opfangede Curtin Universitet i Australien lyden på en sensor 40 kilometer uden for Rottnest Island, en lille ø uden for byen Perth. På samme tid blev lyden opfanget af en sensor fra FN’s overvågning af atomsprængninger ved Cape Leeuwin, der er det mest sydvestlige punkt i Australien.

FN analyserede data fra sensorerne kort tid efter flystyrtet, men fandt i første omgang ingen resultater. Men da man i eftersøgningen begyndte at fokusere på Det Indiske Ocean, begyndte forskere fra Curtin Universitet, at undersøge deres egne sensorer. Her fandt man et klart signal.

Da FN måtte derefter igen i gang med analysearbejdet, og denne gang fandt man lyden begravet i en masse baggrundsstøj.

Forskerne fortæller, at tidspunktet passer godt med den tid de regner med at flystyrtet fandt sted. Samtidig er der ingen tvivl om, at et flystyrt generer høj larm under vandet, når det styrter ned. Det kan dog ikke med sikkerhed slås fast, om lyden rent faktisk kommer fra et flystyrt eller om der er tale om naturlige lyde fra f.eks. jordskælv.

Passagerflyet forsvandt den 8. marts med 239 mennesker ombord.

Øl og mineralvand fra de tre største tyske supermarkeder indeholder alle plastikfibre, der menes at stamme fra syntetisk tøj. Det viser en undersøgelse, som den nordtyske tv-station NDR har gennemført i samarbejde med forskere fra Berlins tekniske universitet.

I en tv-udsendelse mandag aften fortalte NDR om resultaterne. Her fremgik det blandt andet, at de forskellige typer øl, der indgik i undersøgelsen, indeholdt fra 2 til 79 plastikfibre pr. liter. Nogle fibre var mikroskopiske, mens andre var store nok til at kunne ses med det blotte øje.

Mikroplastfibre som dem, der er konstateret i øl og vand i undersøgelsen, udledes blandt andet til vandmiljøet fra vask af syntetisk tøj. Undersøgelser viser, at vask af et enkelt stykke syntetisk tøj frigiver op til 1.800 plastfibre til spildevandet.

»Vi har konstateret dette her syntetiske materiale mange steder, ikke kun i fødevarer, men også i luften,« siger professor Gerd Liebezeit til NDR.

Der findes ifølge NDR ikke undersøgelser af, om plaststykkerne har helbredsmæssige konsekvenser for mennesker, men forskere har tidligere konkluderet, at mikroplastik ophober sig i havdyr, der indtager de små plastikstykker.

»Mikroplastik vil før eller siden udgøre en fare for os mennesker,« forudsiger økotoksikolog og professor ved det tekniske universitet i Berlin Stephan Pflugmacher Lima, over for NDR.

Samme universitet har ved undersøgelser af muslinger slået fast, at de ophober mikroplast i kroppen, og at deres krop bliver stresset af fremmedlegemerne. Forskerne påpeger, at man ikke kan udelukke lignende effekt hos mennesker.

Den tyske bryggeriforening afviser over for tv-stationen, at der kan findes mikroplast i de produkter, som NDR’s undersøgelse henviser til. To af de tre tyske supermarkedskæder har på grund af udsendelsen sat gang i deres egne undersøgelser af problemet, mens den sidste af de tre supermarkedskæder ikke har svaret på tv-stationens henvendelser.

Hvis Danmark havde gjort som Norge og bekæmpet svine-MRSA ude i staldene, var vi sluppet for den voldsomme spredning af smitten, som foreløbig har ført til fire dødsfald.

Det konkluderer en af Danmarks førende eksperter i resistente bakterier, Yvonne Agersø, der er seniorforsker ved DTU Fødevareinstituttets afdeling for epidemiologi og genomisk mikrobiologi.

»Hvis bakterien bliver ved at få lov til at sprede sig hos grisene, må vi også forvente, at flere mennesker bliver smittet,« påpeger hun.

Den norske fødevarestyrelse har besluttet at screene samtlige norske svinefarme for at finde frem til smittede besætninger. Ved at kende omfanget af bakteriens udbredelse, kan de overvåge de smittefri besætninger og forhindre, at smittede smågrise bliver solgt videre og smitter andre svinefarme.

Nøjagtig det samme forslag til screening af samtlige farme og alle led i svineproduktionen kom fra den arbejdsgruppe, som blev nedsat i 2012 af Sundhedsministeriet og Fødevareministeriet for at stoppe spredningen af MRSA fra svin i Danmark.

Alligevel har skiftende ministre, senest den nuværende fødevareminister Dan Jørgensen (S), afvist at gribe ind over for smitten blandt svinene i staldene. Dan Jørgensens nye handlingsplan er ganske vist baseret på arbejdsgruppens anbefalinger, men fokuserer i stedet på rådgivning og bedre hygiejne for at forhindre, at landmændene tager smitten med sig ud af stalden.

Men selv om krav til håndvask og tøjskift kan reducere smittespredningen, ærgrer det Yvonne Agersø, der var medlem af regeringens MRSA-arbejdsgruppe, at den nye handlingsplan ikke rummer tiltag, der skal fjerne eller reducere bakterien hos smittekilden. Heller ikke tiltaget om reducering af antibiotikaforbruget vil kunne fjerne MRSA fra besætningerne, højst vil det kunne mindske udviklingen af bakterien på sigt.

»Handlingsplanen gør ikke noget for at fjerne MRSA – kun reducere spredningen fra stalden« siger Yvonne Agersø.

Hun var en af forslagsstillerne om at screene samtlige led i svineproduktionen i Danmark for på den måde at få et datagrundlag for at kunne lægge den rette strategi for at bekæmpe MRSA hos svinene.

En anden forslagsstiller er professor i klinisk veterinærmedicin på Københavns Universitet Jens Peter Nielsen, der også var medlem af regeringens MRSA-arbejdsgruppe.

»Jeg mener bestemt, vi har brug for at kende omfanget af smitten og screene samtlige svinefarme anonymt som i Norge, hvis vi skal kunne agere på problemet,« siger professor Jens Peter Nielsen.

Flere medlemmer af Folketingets fødevareudvalget har også udtrykt kritik af regeringens fravalg af handling mod smittekilden i staldene og manglende screening af bakteriens udbredelse.

Fødevareminister Dan Jørgensen (S) og sundhedsminister Nick Hækkerup (S) er i dag kaldt i samråd i fødevareudvalget for at redegøre for den voldsomme vækst i spredningen af MRSA-bakterien.

Selv om den britiske styrelse for skibsnavigation GLA i disse dage advarer mod, at Norge vil nedlægge de gamle radiobølgebaserede Loran-C navigationsstationer næste år, deles bekymringen hverken af Danmarks Rederiforening eller Danmarks Fiskeriforening.

General Lighthouse Authorities i Storbritannien og Irland mener, at det vil være til fare for de maritime brugere – herunder de danske skibe – at nedlægge systemet, da der så ikke vil være et backup-system til GPS, GLONASS og det europæiske Galileo, som de fleste skibe i dag navigerer ved hjælp af. Men chefkonsulent i Danmarks Rederiforening, Morten Glumsø, nedtoner problemet:

»Man anvender ikke Loran-C i danske skibe i dag. Teknologisk er Loran-systemet overhalet af satellitsystemet GPS, som har en global dækning,« siger han.

Loran-C er forældet

I Danmark findes der i dag ingen Loran-C stationer, men det er der heller ikke behov for, ifølge Danmarks Rederiforening.

»Der er en række usikkerheder, men også en række fordele ved GPS-systemerne. Loran-C er et forældet system, der består af antenner, der sender signaler ud, som du modtager fra forskellige retninger, hvoraf du så får en position. Nøjagtigheden afhænger blandt andet af afstanden mellem antennerne. Positionsbestemmelsen er meget mere præcis med GPS-systemet,« påpeger Morten Glamsø.

Radiobølgernes udbredelse er så stor, at der ikke er et behov for stationer i alle lande. Samtidig findes der i dag fortsat en station på Færøerne, der dog er betalt af Frankrig. Danmark har med andre ord aldrig prioriteret det gamle system økonomisk.

Ingen bekymring i havnen

Heller ikke i Danmarks Fiskeriforening er der panik at spore. Her mindes man ikke, at Loran-C har været benyttet af de danske fartøjer.

»Der er så mange backup-satellitter, så vi er ikke bekymrede for, at signalet pludselig vil forsvinde for et skib. Vi vil med al sandsynlighed ikke få brug for stationerne,« konstaterer chefkonsulent Kenn Skau Fisher.

Han bakkes op af elektronikchef Flemming Stampe fra Hanstholm Elektronik, der er Danmarks største producent af navigationsudstyr. Han beskæftiger sig dagligt med erhvervsfiskernes både i Hanstholm Havn, der ofte bevæger sig i de nordiske farvande.

»Bådene i vores havn bruger simpelt hen ikke Loran-C. Det er et meget gammelt og forældet langbølgesystem, og GPS er mere nøjagtigt,« konstaterer Flemming Stampe.

Danmark mangler backupsystem

Men selv om bekymringen for satellitnedbrud ikke fylder meget i Danmarks Rederiforening, er chefkonsulent Morten Glamsø enig med GLA i, at et backup-system kunne være rart at have. Også i Danmark.

»Man kan godt overveje, om man har brug for backup-system, som vi faktisk ikke har i dag. Alternativet, hvis man mister GPS-signalet på åbent hav, vil være at finde sin sekstant frem, og så kan det tage lang tid at bestemme sin position,« siger han.

Han mener derfor, at der godt kan være et problem ved, at alle stationerne nedlægges på verdensplan. I dag er satellitsystemerne nemlig hinandens backup.

»Der er et krav til en række af skibene om, at de skal have et elektronisk søkort (ECDIS) og et backup-system til det primære system. Positionen i ECDIS er satellit-styret og det er backup-systemet dermed også. Så satellit-systemerne har en række usikkerheder, uanset om de kommer fra Kina, USA, Rusland eller Europa,« konstaterer Morten Glamsø.

For første gang nogensinde er ladningen af antihydrogen bestemt med høj præcision.

En international forskergruppe ved Cern anført af Jeffrey Hangst fra Aarhus Universitet skriver i Nature Communications, at de med en nøjagtighed på otte decimaler har bestemt, at den elektriske ladning er neutral.

Det kan næppe kaldes for en overraskelse, men eksperimentet er et skridt på vejen til at fastslå den mikroskopiske forskel, der er mellem stof som hydrogen og antistof som antihydrogen, der er opbygget af en negativt ladet antiproton og en positiv ladet positron.

Ifølge Standardmodellen, der beskriver de forskellige elementarpartikler, er der ingen forskel mellem partikler af stof og partikler af antistof, bortset fra de har modsat ladning.

Da universet i dag er opbygget af partikler af stof og ikke af partikler af antistof, er der dog en præference på 1:10 milliarder for stof frem for antistof.

For at finde frem til årsagerne til denne forskel og kunne lave en udvidelse af Standardmodellen til at redegøre herfor, er det nødvendigt at kunne gennemføre detaljerede studier af antihydrogen.

Det foregår ved flere eksperimenter ved Cern, herunder Alpha-eksperimentet, som gennem en årrække har udført eksperimenter med antihydrogen.

Baseret på 386 hændelser er det lykkedes for Jeffrey Hangst og de øvrige forskere at måle ladningen af antihydrogen til at være:

[latex] (-1,3 \pm 1,1 \pm 0,4) \times 10^{-8} e [/latex]

hvor e er elektronens ladning, og plus/minus-værdierne er henholdsvis den statistiske og systematiske usikkerhed knyttet til målingerne.

Dette resultat for ladningen af antihydrogen er henved en million gange bedre end de hidtil bedste eksperimenter, skriver forsker i deres videnskabelige artikel.

Målingerne har bestået i at studere, hvordan atomer af antihydrogen eventuelt afbøjes under påvirkning af et elektrisk felt, når de frigives fra den magnetiske fælde, der kan holde antihydrogen frit svævende, da atomet har et magnetisk moment.

Nye eksperimenter til august

Alpha-eksperimentet får sine antiprotoner, der indgår i antihydrogen, fra samme fødekilde, som benyttes i de første faser i acceleratorsystemet, der sender protoner ind i Large Hadron Collider.

Under den store LHC-ombygning i 2013 og 2014 har antihydrogen-eksperimenterne derfor også måttet ligge stille. Men som første led i projektet, der skal genåbne LHC i begyndelsen af 2015, vil det også være muligt at genoptage eksperimenter med antiprotoner og dermed antihydrogen fra august i år.

Antihydrogen-eksperimenterne ved Cern omfatter nu Alpha-2, der er en opgraderet version af Alpha, foruden de konkurrerende eksperimenter Atrap og Asacusa samt det nye eksperiment Aegis, der vil fokusere på tyngdekraften påvirkning af antihydrogen, så det kan blive afgjort, om antihydrogen falder op eller ned i et tyngdefelt.

Kan du ikke vente, til det bliver den 1. juli, hvor Digitaliseringsstyrelsen har bebudet at NemID baseret på JavaScript i stedet for Java, bliver frigivet? Så har du chancen for at smugkig på en demo af en foreløbig NemID JS-løsning på hjemmesiden PortalProtect.

Det er firmaet Asseco Denmark A/S, der står bag PortalProtect, der på produktes hjemmeside beskrives som en sikkerhedsinfrastruktur til blandt andet portaler. Hjemmesiden oplister både DanID (ejet af Nets, som står bag NemID), Nykredit og Patent- og Varemærkestyrelsen blandt sine kunder. En af de login-løsninger, som PortalProtect understøtter, er NemID, og herunder altså en demo af NemID JS. Og koden bag den demo, kommer fra Nets, forklarer adm. direktør i Asseco Denmark A/S Torben Falholt.

»Javascript-delen er noget, som udelukkende laves af Nets, vi henter deres kode og eksekverer den i vores løsning (authentication og authorization). Den hentes i en form, som ikke umiddelbart er læsbar eller meningsfuld – men altså eksekverbar,« oplyser han i en mail til Version2.

Han fortæller endvidere:

»Vi forsøger ud fra den dokumentation som de (Nets, red.) udgiver at være på forkant med PortalProtect, så vi meget meget hurtigt kan få vores kunder til at anvende de nye funktioner – når de engang måtte blive lagt i produktion.«

Det er også den samme NemID JS demoside, datalog og internetaktivist Christian Panton har kigget på, da han med egne ord var ved at få kaffen galt i halsen på grund af brugen af obfuskering i test-versionen af NemID JS. Obfuskering vil sige, at koden er gjort bevidst kompliceret – eksempelvis for at forhindre kriminelle i at finde og udnytte sikkerhedshuller i softwaren.

En oplevelse, der har fået Christian Panton til at iværksætte et de-obfuscator projekt på webhosting-tjenesten for softwareprojekter GitHub. De-obfuscatoren er et stykke software, der har til formål at reducere kompleksiteten i NemID JS. Christian Panton fortæller, at de dele af NemID JS-koden, han har analyseret med de-obfuscatoren, har resultereret i en reduktion af kodestørrelsen på ca. 33 pct.

Løsningen kan ses her. Af PortalProtect-siden fremgår det dog, at der kræves et brugernavn og en adgangskode, der skal være oprettet i DanID’s testsystem, hvis det skal være muligt at logge ind med løsningen.

Version2 har stillet en stribe spørgsmål til Digitaliseringsstyrelsen og Nets, som blandt andet går på brugen af obfuskering i NemID JavaScript. Digitaliseringsstyrelsen henviser til Nets. Og Nets ønsker ikke at kommentere løsningen med henvisning til, at den endnu ikke er endeligt frigivet.

Fakta

NemID JavaScript er betegnelsen for den kommende udgave af NemID, som fungerer uden Java-platformen. Flere har kritiseret, at NemID i den nuværende form er afhængig af Java. Kritikken har blandt andet gået på, at sikkerhedshuller i Java i sig selv kan gøre en computer usikker, og desuden virker Java og dermed NemID typisk ikke på mobiltelefoner og tablets. Med til historien om NemID og Java hører opdateringen fra Oracle, der står bag Java, som sidste år bevirkede at NemID i tre døgn ikke fungerede hos de brugere, der havde fulgt gængs sikkerhedspraksis og opdateret til den seneste Java. Senere kom det frem, at Nets ikke havde testet om NemID ville virke med den nye opdatering fra Oracle.

Digitaliseringsstyrelsen forventer, at NemID JS, trods problemer i forbindelse med en planlagt pilottest, som planlagt bliver lanceret 1. juli.

Obfuskeret computerkode der fylder omkring en megabyte. Et kig i den foreløbige test-kode til den kommende NemID JavaScript imponerer ikke umiddelbart internetaktivisten og datalogen Christian Panton, der blandt andet er kendt for at hacke sit Rejsekort. Nu har han startet et softwareprojekt på nettet, der er designet til at reducere kompleksiteten og dermed også filstørrelsen på NemID JS.

Senest har Christian Panton været i vælten, for at lave sin egen udgave af NemID uden Java – netop ved brug af JavaScript i stedet. Et par måneder før den officielle lancering af NemID JS, der er sat til 1. juli. Et initiativ, der fik en kølig modtagelse af leverandøren af NemID, Nets.

Christian Panton er faldet over testkoden på en demo-hjemmeside ved PortalProtect. Det beskrives som en sikkerhedsinfrastruktur til blandt andet portaler. Løsningen fungerer med forskellige login-metoder – herunder NemID. Firmaet er ejet af Asseco Denmark A/S, som over for Version2 bekræfter, at JavaScript-koden på NemID JS-demosiden kommer fra Nets. Testkoden bruger Asseco Denmark A/S til at forberede PortalProtects kunder til, når NemID JS går live.

I forhold til testkoden til den kommende NemID JS, som Christian Panton har kigget på, hæfter han sig ved, hvor obfuskeret JavaScript-koden bag NemID er gjort. Obfuskering vil sige, at koden bevidst er gjort svært gennemskuelig for at camouflere, hvad der sker i softwaren. En af pointerne kan være, at eksempelvis kriminelle får sværere ved at finde og udnytte sikkerhedshuller. Der er dog delte meninger om, i hvor høj grad, obfuskering giver øget sikkerhed, da det kan lade sig gøre at omgå obfuskeringen. Og noget kunne tyde på, at obfuskering i tilfældet NemID JS kan være skønne spildte kræfter.

I hvert fald har Christian Panton nu startet et projekt på webhosting-tjenesten for softwareprojekter GitHUB med navnet obfuscated-id. Det er et program, der har til formål at de-obfuskere NemID JS-koden. Altså fjerne de tiltag, der er lagt i koden for at gøre den så uforståelig som mulig. Han mener, obfuskeringen både får koden til at fylde langt mere, end den burde, og samtidigt gør det sværere at finde fejl.

»Jeg googlede for lidt tid siden mig frem til en hjemmeside som havde en demo af NemID/JS. Da jeg tidligere har kigget på Java-versionen, var det interessant for mig at kigge på, hvordan den kommende løsning virker,« skriver Panton i en mail og fortsætter:

»Jeg fik næsten kaffen galt i halsen da jeg opdagede hvor meget energi der havde været brugt til obfuscation af JavaScript-versionen. Især fordi det netop var et af kritikpunkterne ved den nuværende løsning. For at automatisere analysen af de næsten én megabyte store JavaScript filer, så skrev jeg en simpel deobfuscator til at fjerne nogle af de lag af kompleksitet der er lagt ind over. På den del af koden jeg har analyseret indtil nu, reducerer den desuden filstørrelsen med ca. 33%.«

Hvad kan de-opfuskatoren nu, og hvad skal den kunne?

»Det er ikke forfærdeligt meget kode, og det eneste, jeg i øjeblikket gør, er at lave en række reduktioner af kompleksitet. Der var blandt andet funktioner hvor tekststrenge blev gemt, som nu kan læses i koden med det blotte øje,« skriver Christian Panton og fortsætter:

»Den fremtidige udvikling bliver fokuseret på at skrælle mere kompleksitet af.«

Hvad er dit foreløbige indtryk af NemID JS?

»Jeg synes, det er meget positivt, at vi bevæger os væk fra Java. Jeg har kun set hvad jeg må formode er en test-version, så det vil jeg hellere svare på når det går live og jeg har fået lidt mere tid til at kigge på det,« skriver Christian Panton.

Version2 har spurgt NemID-leverandøren Nets og Digitaliseringsstyrelsen, myndigheden der på statens vegne har indgået kontrakten med Nets om NemID-løsningen, om følgende:

• Har Nets/Digitaliseringsstyrelsen nogen kommentarer til, at der nu ligger et open source projekt på GitHub, der er designet til at fjerne den kompleksitet, som bevidst er lagt ind i NemID JS?

• Kan Nets/Digitaliseringsstyrelsen bekræfte, at koden i NemID JS bevidst er gjort kompliceret?

• Vurderer Nets/Digitaliseringsstyrelsen, at øget kode-kompleksitet, giver øget sikkerhed?

• Mener Nets/Digitaliseringsstyrelsen, det er hensigtsmæssigt, set ud fra et driftsmæssigt perspektiv, at kode-kompleksiteten i NemID JS lader til at være særdeles omfattende?

• Mener Nets/Digitaliseringsstyrelsen, det er hensigtsmæssigt, at borgerne skal bruge båndbredde og cpu-kraft på at håndtere NemID JS, der lader til at have en omfattende størrelse, som følge af bevidst indbygget kode-kompleksitet?

• Påtænker Nets/Digitaliseringsstyrelsen at foretage sig noget for at mindske kode-kompleksiteten i den endelige NemID JS-udgave, der er sat til at blive frigivet 1. juli?

Kontorchef i Digitaliseringsstyrelsen Cecile Christensen sender i en mail bolden videre til Nets:

»Vi stiller krav om et højt niveau af sikkerhed i den nye JS-klient. Vi forventer, at koden har den nødvendige kompleksitet, men heller ikke mere. Det er ofte sådan, at opretholdelse af høj sikkerhed tilfører en vis kompleksitet til systemer og kode,« skriver hun og fortsætter:

»Den konkrete tekniske udvikling af systemet ligger hos Nets, og vi må derfor henvise til Nets for en mere detaljeret besvarelse af spørgsmål til selve koden eller andre tekniske detaljer – i det omfang Nets kan svare på dette uden at gå på kompromis med sikkerheden.«

Kommunikationskonsulent ved Nets Ulrik Marschall oplyser, at virksomheden ikke ønsker kommentere på NemID JS inden det bliver officielt frigivet, og Nets har ej heller nogen kommentarer til Christian Pantons NemID de-obfuscator på GitHub.

Fakta

NemID JavaScript er betegnelsen for den kommende udgave af NemID, som fungerer uden Java-platformen. Flere har kritiseret, at NemID i den nuværende form er afhængig af Java. Kritikken har blandt andet gået på, at sikkerhedshuller i Java i sig selv kan gøre en computer usikker, og desuden virker Java og dermed NemID typisk ikke på mobiltelefoner og tablets. Med til historien om NemID og Java hører opdateringen fra Oracle, der står bag Java, som sidste år bevirkede at NemID i tre døgn ikke fungerede hos de brugere, der havde fulgt gængs sikkerhedspraksis og opdateret til den seneste Java. Senere kom det frem, at Nets ikke havde testet om NemID ville virke med den nye opdatering fra Oracle.

Digitaliseringsstyrelsen forventer, at NemID JS, trods problemer i forbindelse med en planlagt pilottest, som planlagt bliver lanceret 1. juli.

Så er vi godt i gang med NDC Oslo konferencen. Igen i år har vi valgt at deltage på konferencen, fordi vi mener at bredden på konferencens emner gør, at alle dem der deltager fra Schultz kan finde interessante talks. Og igen i år er programmet sprængfyldt med interessante emner og talere. Her er alt fra funktionel programmering og C#/C++ over gadgets til mere bløde emner som agile processer og UX/Design.

De første to dage er pre-konferencen, hvor der er workshops som varer 1-2 dage. Her tilmelder man sig et forløb og går i dybden med nogle emner. Hos Schultz beskæftiger vi os meget med sikkerhed i web applikationer, og vi varetager vedligeholdelsen af Digitaliseringsstyrelsens SAML komponenter til NemLog-in. Derfor har de fleste tilmeldt sig workshoppen med de to sikkerhedsguruer Brock Allen og Dominick Baier. Her er der sikkerhedsnørderi for alle pengene og de nyeste teknologier som OWIN og Katana bliver pillet fra hinanden og sat sammen igen. Vi har også haft et team på funktionel programmeringsworkshop.

Sikkerhedsworkshop af Dominic Baier og Brock Allen

Der sker en masse cool ting hos Microsoft for tiden og ASP.NET gennemgår i disse måneder en stor forandring.

Claims-baseret model

Microsoft har siden lanceringen af ASP.NET for mange år siden skiftet fokus i forhold til sikkerhed og siden 2010 har de understøttet en Claims-baseret model gennem Windows Identity Foundation. En Claims-baseret model er en abstrakt model, hvor et claim beskriver noget om en given bruger. Det kunne være brugerens navn, rolle, gruppetilhørsforhold, e-mail og lignende. Windows Identity Foundation startede som et stand-alone produkt, men er siden .NET 4.5 blevet en del af frameworket, og ASP.NET applikationer benytter nu Claims-modellen som underliggende sikkerhedsmodel. Claims-modellen har den store fordel for os udviklere, at den er så tilpas abstrakt, at den nemt tillader mapning mellem forskellige autentifikationsmetoder og bruges fx når vi laver en web applikationen som tillader login på sociale tjenester som Google, Facebook og Twitter.

OWIN og Katana

Udover det store spring med en Claims-baseret model er Microsoft også begyndt at skille hele ASP.NET frameworket fra hinanden med introduktionen af OWIN og Katana (Katana er meget symbolsk navnet på et Samurai sværd). ASP.NET har vokset sig stort og bloatet gennem tiden og indeholder alt for megen funktionalitet i forhold til måden, vi i dag bygger web-løsninger på, hvor vi benytter mere lightweight frameworks som MVC og Web Api. Det har Microsoft indset, og derfor er de begyndt at skille ASP.NET ad i mindre dele og prøver dermed at lave Legoklodser i forskellige størrelser, som kan sættes sammen til en løsning. Vi synes, det er den helt rigtige vej for Microsoft og ASP.NET frameworket. Det er tydeligt, at de fortsætter med det i forbindelse med den nylige introduktion af ASP.NET vNext, hvor også .NET stakken bliver splittet op i mindre Legoklodser.

OWIN er en simpel pipeline-model som kan modtage et http request og afsende et http response. Den indkommende request sendes igennem en pipeline af såkaldte middleware komponenter, som hver håndterer requestet. Den nye sikkerhedsmodel er implementeret som middleware, og det gør hele modellen meget nem at udvide, hvor nye sikkerhedsmodeller kan kobles ind i pipelinen.

Fremtidsperspektiverne er meget interessante for ASP.NET og .NET, og det bliver nemmere for os som udviklere at kode sikre ASP.NET løsninger og at give brugerne af disse løsninger en nem mulighed for at logge ind med Google, Facebook og Active Directory. For os hos Schultz vil det være oplagt at lave OWIN middleware til at understøtte NemLog-in.

Skrevet af: Jonas, Kim, Stefan og William.

Funktionel programmerings workshop af Venkat Subramanam

Funktionel programmering er meget oppe for tiden og har affødt interesse for et hav af forskellige funktionelle programmeringssprog som Scala, Clojure, Erlang, Haskell og F#. Hvis du vil med på vognen med funktionel programmering, skal du så skifte programmeringssprog og stak? Flere af disse sprog henvender sig rigtig godt til det funktionelle paradigme, da det nu engang er det, de er bygget op omkring. Men Venkat Subramanam’s tilgang til funktionel programmering i denne workshop er ikke, at vi skal starte med at finde et nyt sprog at kode i. Vi kan i stedet starte med at tænke funktionelt i det sprog, vi er vant til at arbejde med. Sprog som C# og Java har nemlig i dag faciliteterne til, at du kan arbejde funktionelt.

Derfor er Venkat’s tilgang til denne workshop også: “Hvilket sprog koder du i til hverdag?”. Under workshoppen har der kørt eksempler i primært C# og Java, da der var flertal for disse sprog blandt deltagerne, men der har også været adskillige eksempler i JavaScript, Ruby og F#.

Et radikalt anderledes paradigme

Funktionel programmering er et radikalt anderledes paradigme end objektorienteret, og sprogene er typisk designet som enten et funktionelt, objektorienteret eller mixet sprog.
Til dagligt arbejder vi i C#, og selvom C# understøtter muligheden for funktionel programmering via Action og Func, vil sprogets objektorienterede design hele tiden tillade dig, at du træder ved siden af. Derfor tror vi også, det er vigtigt at forstå, hvad der faktisk er motivationen bag den funktionelle tilgang, så du kan holde dig på den funktionelle sti.

Den helt grundlæggende metode til funktionel programmering er, at man skal designe “pure functions”. Dette er metoder/funktioner, der givet det samme input, til hver en tid vil returnere det samme output. De kan ikke være afhængige af delt tilstand såsom member variable i et objekt eller tid. En metode skal være enkapsuleret af udelukkende dets input variable. Et andet vigtigt punkt er, at data er immutable, altså en funktion må ikke ændre i tilstand – heller ikke i input parametre, udelukkende returnere nye data.

Som vi ser det, er det fire umiddelbare store fordele ved denne tilgang
* Koden bliver nemmere at teste. Du tvinger dig selv til at anvende en metode der er meget præcis omkring, hvad den skal bruges til, for at kunne udføre sit arbejde
* Det bliver sværere som udvikler ikke at tage stilling til parallelisering af sin kode. Med den funktionelle tilgang bliver dette til en triviel opgave, da du ikke har shared state!
* Du skulle begynde at se færre fejl i din kode. Mange af de fejl vi får introduceret, skyldes ofte, at vi piller ved tilstanden af objekter/data på kryds og tværs i en metode, og så er det, at man liiige misser en lille uskyldig metode, der ændrer en variabel, man ikke havde forventet
* Din kode bliver mere koncis og enkel at overskue, når metoder ikke har side effects, men kæder atomare operationer sammen

Vores udgangspunkt som .NET udviklere har været, at funktionelle programmeringssprog i høj grad er noget, der gør sig gældende i den finansielle verden, eller andre regnetunge områder. Typisk kan man observere, at dele af ens applikation måske ville drage fordel af at blive refaktoreret i et funktionelt programmeringssprog, såsom regelmotorer og heuristik over store datasæt. Desværre bliver man hurtigt forpustet ved tanken om at introducere nye moving parts, nye sprog og risiko.

Jeres erfaringer?

Vi er nysgerrige efter, om nogen af jer læsere har erfaring med at indføre funktionel programmering i projekter – eller måske introducere komponenter skrevet funktionelt, i et i forvejen objektorienteret program? Har det ændret på, hvordan I tilgår jeres løsninger?

Skrevet af Allan og Anders

Følg os frem til fredag på denne blog og på twitter #ver2ndc