Fodbold er ikke kun fysik, det er også kemi, forklarer American Chemical Society i en lille 2½ minut lang video om Brazuca – dette års VM-fodbold.

Mennesker, der har oplevet et trip på psykedeliske svampe, fortæller om følelsen af en surrealistisk drømmeverden – og neuroforskere har nu afdækket årsagen til følelsen, så vi alle sammen kan forstå det:

Det aktive stof i svampene, psilocybin, skaber simpelhen ændringer i hjernen, og det er disse ændringer, der giver en følelse af at være på en helt anden planet, skriver Newscientist.com.

»Det er første gang man har fundet fysiske beviser for, hvad de skøre svampe gør ved hjernen«, siger Robin Carhart-Harris, der er forsker ved Imperial College London og en del af det team, der har foretaget studiet.

Svampe tager dig til primale dybder

Forskere fra Imperial og Goethe-Universität i Frankfurt, Tyskland, gav 15 personer et skud med flydende psilocybin, mens de lå i en fMRI-scanner. Scanningerne viste, at strømmen af blod gennem forskellige områder af hjernen ændrede sig. Strømningerne er et tegn på, hvor aktive de forskellige områder er.

De billeder, der blev taget, mens de frivillige var under indflydelse af stoffet, blev sammenlignet med dem, der blev taget, mens de samme testpersoner var givet et placebo-stof.

Under påvirkning af psilocybin opstod der en nedsat aktivitet i ‘mindre primitive’ regioner af hjernen forbundet med selvkontrol og tankevirksomhed på høj plan – såsom thalamus, bageste cingulate og mediale præfrontale cortex.

Derimod blev aktiviteten i hippocampus og forrest i cingulate cortex øget. Det er områder, der omhandler følelser og dannelsen af erindringer og som oftest kaldes de ‘primitive’ områder af hjernen, fordi det er de første dele, der har udviklet sig. Det er også disse områder, der er særligt aktive, når vi drømmer.

»Vi er glade for resultatet, fordi det passer ind i ideen om, at psykedeliske svampe øger din følelsesmæssige rækkevidde,« siger Robin Carhart-Harris.

Fordele for psykisk syge

Ifølge psykiateren Adam Winstock fra Maudsley Hospital og Lewisham Narcotics and Alcohol Service i London, er der neurovidenskabelige fordele ved denne opdagelse. Psilocybin kan sammen med andre psykedeliske stoffer anvendes terapeutisk, da det har en evne til at trænge dybt ind i de primale hjørner af hjernen.

»Det at drømme synes at være et afgørende redskab for ubevidst følelsesmæssig bearbejdning og læring. Ved at bruge psilocybin til at skabe en drømmelignende tilstand, kan folk håndtere stress eller depression. Det kunne muligvis bearbejde noget af den selvkritik, der hæmmer vores evne til at ændre os og vokse,« siger psykiateren.

Forskerholdet drømmer om at kunne fortsætte med at udforske den potentielle anvendelse af psykedeliske svampe, LSD og andre hallucinogener til behandling af depression.

Med en milliard kroner fra Dansk Undergrunds Consortium (DUC) i ryggen åbner DTU nu Center for Olie og Gas.

Centret skal fra 1. juli ledes af Bo Cerup-Simonsen, der forlader sit job som direktør for Mærsk Maritime Technology, hvor han blandt andet har stået i spidsen for udviklingen af Triple E-klassen. Nu skal han drive et forskningscenter, der kan levere ‘internationalt orienteret forskning i verdensklasse’.

Sørger du får at pleje karrieren? Tjek de nyeste job på Jobfinder

Milliarden, der udmøntes over en tiårig periode, kom til veje i forbindelse med 2013-aftalen om ændret beskatning af oliemilliarderne i Nordsøen. Her besluttede regeringen og olie- og gasindustriens parter at udvikle en langsigtet strategi for at optimere udnyttelsen af reser­verne i den danske undergrund. Om realiseringen af den strategi siger Bo Cerup-Simonsen:

»Allerførst skal vi have defineret i lidt større detaljegrad, hvad succeskriterierne for centret skal være. Den overordnede vision er, at centret skal bidrage til at øge olie- og gasudvindingen i den danske under­grund, men det skal præciseres, så vi har lidt mere retning på vores arbejde,« siger han.

Brug for udenlandske forskere

Først når de overordnede linjer er blevet lidt skarpere defineret, vil Bo Cerup-Simonsen gå i gang med rekrutteringen af nye forskerkræfter. Men selv med en milliard i ryggen bliver det ikke nogen nem opgave.

»Folk har det jo generelt godt, hvor de er, i denne her branche, så vi skal have udarbejdet en appellerende vision. Det med at være en del af noget, der giver mening, og hvor der er ressourcer til at udforske nye ting – det burde appellere til mange,« siger Bo Cerup-Simonsen og fortsætter:

»Hvordan vi skaber et sted, der er så interessant at være, at de dygtigste forskere gerne vil være en del af det, bliver netop en stor del af vores strategi,« siger han.

Indvindingsgraden skal op

Selvom centrets fokus er på den danske undergrund, er Bo Cerup-­Simonsen ikke i tvivl om, at udenlandske forskere bliver en nødvendig del af det nye center.

»Jeg tror, man vil være nødt til at hente nye kræfter fra udlandet. Forskningsmiljøet skal gerne vokse og styrkes, og det kan godt være, vi kan gøre det ved at tiltrække danskere, der ikke tidligere har været i olie- og gasindustrien, men det er også oplagt at se på at rekruttere fra udlandet,« siger Bo Cerup- Si­mon­sen.

I øjeblikket udnyttes kun 26 procent af de olie- og gasreserver, der findes i den danske undergrund, hvor den tilsvarende indvindingsgrad i Norge og Storbritannien er på henholdsvis 41 og 46 procent. Derfor giver det god mening at lede efter forskere uden for landets grænser.

»Der findes jo nogle af de her dybt specialiserede områder, hvor der er stærke forskningsmiljøer i udlandet, og der kan man sagtens forestille sig, at man kan tiltrække en seniorforskertype, som synes, det kunne være interessant at komme og arbejde med de danske problemstillinger,« siger han.

Røde blodlegemer er særligt egnede til at agere kurerer, da de er specialiserede til at transportere ilt rundt i kroppen. Ved at modificere blodcellerne med enzymer har forskere fra Whitehead Institute i Massachusetts fået dem til at transportere andre molekyler, som f.eks. kan være medicin eller et vaccine-antistof.

Forskningen er et samarbejde mellem to biologiprofessorer og ledende medlemmer af Whitehead Institute ved Massachussetts Institute of Technology, MIT – Harvey Lodish og Hidde Ploegh.

Ideen præsenteres i denne uges udgave af Proceedings of the National Academy of Sciences (PNAS) og er beskrevet på MIT’s hjemmeside.

De røde blodlegemer er desuden specielle, fordi de har en lang livscyklus – omkring fire måneder – og der er rigtig mange af dem. Men vigtigst er det måske, at de ikke har nogen kerne med arvemateriale. Når en stamcelle specialiserer sig til en rød blodcelle, frastødes cellekernen, som både indeholder opskriften på organismen og eventuel tidligere genmanipulation, der giver risiko for at udvikle f.eks. kræftceller.

Ved at udnytte den egenskab indsætter biologerne let modificerede gener for overfladeproteiner i en endnu ikke færdigudviklet blodcelle. Når blodlegemet er færdigdannet og uden arvemateriale, forbliver proteinet på overfladen, hvor det bliver modificeret ved hjælp af Ploeghs særlige teknik, kaldet ‘sorttagging’.

‘Sorttagging’-teknikken bygger på det bakterielle enzym sortase A ved at binde et stærkt kemisk bånd til overfladeproteinet og et valgfrit andet stof. Det kan eventuelt være et antigen, der kan ‘fange’ et gift-molekyle. Modificeringen skader ikke cellen på nogen måde.

Udover muligheden for at bringe medicin og vacciner til et bestemt sted i kroppen, kan blodlegemerne også hjælpe til med at nedbryde åreforkalkninger og fjerne såkaldt dårligt kolesterol fra årene, mener biologerne.

Forskningen er blandt andet støttet af det amerikanske militær og deres Defense Advanced Research Projects Agency (DARPA). Militærets interesse går mest på at skabe vacciner mod biologiske våben.

Isis er ikke blot navnet på en militant gruppe af sunnimuslimer, der lige nu hærger Syrien og Irak – hvor den har erobret centrale dele af landet. Det er også navnet på den amerikanske udgave af Mobilepay, og derfor ser tjenesten sig nu nødsaget til at ændre navn. Det skriver direktør Michael Abbott i et indlæg på selskabets hjemmeside.

Selskabet valgte navnet for fire år siden, men har nu altså besluttet sig for et nyt brand, der ikke forbinder det med vold. Det er endnu ikke besluttet, hvad det nye navn skal være.

Amerikanernes svar på Mobilepay blev oprettet i 2010 af de tre store mobilselskaber AT&T, Verizon og T-Mobile, og tjenesten samarbejder blandt andet med American Express, Visa og Mastercard. Tjenesten blev lanceret i november 2013 og oplever en enorm tilgang i antallet af brugere.

Sammenligner man tallene for salget af digital musik for første halvår af 2014 med salget i første halvår 2013, er det gået drastisk nedad. Det viser tal fra Nielsen Soundscan – et informationssystem, der sporer salget af musik i USA og Canada.

I onsdags udgav Nielsen Soundscan sin halvårlige rapport om salget af musik på det amerikanske marked, og den viser en tilbagegang i salget af digitale singler på 90 millioner kopier til 593 mio i forhold til første halvår 2013.

Kun et enkelt album solgte mere end 1 million kopier: Soundtracket til Disneys ‘Frozen’ som til trods nåede 2.7 millioner downloads. På singlelisten topper Pharrell med nummeret ‘Happy’, der blev downloadet i alt 5.6 millioner gange fra januar til juli.

Ser man på tallene for både det digitale og fysiske salg af albums, viser de en samlet nedgang på 15 procent., mens nedgangen i salget af digitale singler er på 13 procent.

På trods af nedgang i salget af digitale downloads, er der ikke sket en tilsvarende stigning i antallet af streaminger fra tjenester som Spotify, der kun steg med 20 millioner.

I lyset af de mange utrættelige artikler og diskussioner her på Version2 er det vel egentlig ikke overraskende, at arrangørerne af Goto Copenhagen i år har valgt at afslutte med en keynote om overvågning – nærmere bestemt Erik Dörnenburg og Martin Fowler, der har tænkt sig at belære os allesammen om “Our responsibility to defeat mass surveillance.”

Foto af nolifebeforecoffee

Jeg spekulerer dog på, om det overhovedet er muligt at finde en softwareudvikler blandt publikum, som ikke allerede har taget stilling til, hvor på spektret mellem sølvpapirshat og Minority Report, deres foretrukne samfundsmodel befinder sig? Kommer d’herrer så ikke bare til at prædike for koret?

Interessant er dog deres tanke om, at “We believe that this engagement requires greater knowledge of a user’s goals and also responsibility for the user’s welfare and our impact on the world.” Hvem er “the user” i denne sammenhæng; er der ikke ofte mere end en enkelt slags bruger involveret, har de altid sammenfaldende interesser, og hvis side bør softwareudvikleren så stå på, hvis de ikke har det?

Lad os tage eksemplet med gymnasiernes Lectio-system, der nu har fået et modul til at forudsige elever, der er i væsentlig risiko for at droppe ud. Er det altid i elevens interesse at blive “opdaget” og “hjulpet”, eller kan man f.eks. risikere at Rosenthal-effekten sætter ind, når lærernes forventninger til eleven påvirkes af systemets stempling? Får rektorerne et uheldigt incitament til hurtigt at skaffe sig af med “håbløse” elementer, eller er det her netop det, der skal til for at modvirke den sociale arv? Det er ikke nemt at forudsige.

Overskriften på keynoten trækker det meget sort/hvidt op. Jeg håber, at selve foredraget bliver noget mere nuanceret – ligesom den virkelige verden er.

Her til formiddag holdt alle sjællandske regionaltog stille på grund af en teknisk fejl i Banedanmark it-systemer.

»Vi har endnu ikke de præcise tekniske analyser, men vi ser fejlen i dag, som en følge af et strømudfald, vi havde i går,« siger Søren Boysen, direktør for teknisk drift hos Banedanmark.

Strømafbrydelsen har skadet it-systemerne, og direktøren mener, at det har været grunden til at alle regionaltog på Sjælland holdt stille tirsdag formiddag.

»Vi havde ingen driftsforstyrrelser i går. Strømudfaldet gik ud over vores indre linjer, som radiokommunikation,« siger han til Ingeniøren.

Banedanmark har endnu ikke status over den præcise årsag. De holder løbende deres hjemmeside opdateret.

Togdriften skulle nu være ved at være tilbage til normal.

Den 15. juli udsender Oracle den næste sikkerhedsopdatering af det Java-plugin, som kræves for anvende NemID. Men opdateringen kommer ikke til Windows XP, og det betyder, at 250.000 danskere får problemer med at anvende deres NemID.

Det betyder, at der blandt andet kan blive problemer med udbetaling af dagpenge, fordi dagpengemodtagere eksempelvis ikke kan registrere de jobsøgninger , som er dem påkrævet. Det skriver Avisen.dk.

A-kasserne frygter at det vil betyde en masse bøvl for de modtagere, der skal have udbetalt penge i slutningen af juli. De opfordrer derfor til, at folk erhverver sig et nyt styresystem.

6,1 procent af de, der bruger NemID, har et XP-styresystem – svarende til 256.000 danskere. Dem der ikke har mulighed for, eller lyst til, at skifte styresystem, kan download en blanket, som ganske langt må udfyldes i hånden og sendes til a-kassen.

Selvom der fra 1. juli kommer en udgave af NemID til smartphones, som ikke er afhængig af Java, har Digitaliseringsstyrelsen gentagne gange opfordret til, at brugerne af XP skifter system. De er nemlig langt mere udsat for virus og hackerangreb, da XP ikke bliver tilstrækkeligt sikkerhedsopdateret.

Jeg har tidligere skrevet, hvordan jeg på to aftener fandt to store sikkerhedshuller på to offentlige sites.

Det første site lækkede authentication cookien over http og dermed mulighed for, at en Man-In-The-Middle kunne aflæse cookien og overtage brugerens identitet.

Det andet site kan udsættes for et Cross site scripting angreb.

Cross site scripting (XSS)

Det går i al sin enkelthed ud på, at man ved at manipulere med input kan indsætte JavaScript på et site og dermed kan eksekvere JavaScript kode på sitet. Problemet skyldes at input parametre til en webside ikke saniteres og kontrolleres og dermed kan hackeren forsøge at manipulere parametrene til sitet og dermed prøve at få injectet noget Javacript.

Der er to typer cross site scripting: Reflected Cross Site Scripting hvor angrebet typisk udføres ved at sende links eller lignende til ofrene, som så ved at klikke på linket får aktiveret angrebet. Et stored Cross Site Scripting derimod er mere alvorligt, da serveren i modsætning til reflected gemmer angriberens data i databasen og dermed bliver langt flere brugere udsat for angrebet.

De første forsøg

Hvis et site har en søgefunktionalitet så er det et godt udgangspunkt at forsøge at sætte at reflected XSS angreb ind først. Det gjorde sig også gældende på dette site. Søgefunktionaliteten er implementeret ved, at der kaldes en url med en query parameter “SearchTerm”, som indeholder søgeordet.

Jeg forsøger først at søge på

. Dette medfører en fejl på sitet. Jeg prøver lidt forskellige kombinationer (med eller uden <, / og >) og alle medfører en fejl på sitet.

Herefter forsøger jeg bare at søge på rubbish. Det giver en fejlfri søgning. Jeg prøver herefter at se sidens kildekode og søger på rubbish, for at finde de steder på siden, hvor søgetermen benyttes.

Og voila: Den benyttes i noget JavaScript kode:

Nu har vi noget

Så kunne jeg bruge et søgekriterie, hvor jeg injectede noget JavaScript kode? Og ville det have en effekt. Ja for længere nede i JavaScript koden blev searchTerm skrevet ud i et html element:

Nu skulle jeg bare finde ud af, hvordan jeg kunne injecte JavaScript ind i variablen searchTerm. Da indholdet af variablen sættes server-side og jeg kan se, at den udskrives html encodet, så kan jeg jo bare indsætte ved at JavaScript encode mit JavaScript:

Ovenstående bliver i JavaScript til

Og det skrives ud i div tagget og dermed bliver det eksekveret af browseren. Og resultatet er en alert boks med indholdet pwnd by kbt [pile_of_poo] (jeg kan desværre ikke indsætte unicode karakterer i blogposten).

Hvad kan det bruges til

Man kunne jo sende et link til en masse potentielle brugere af sitet og håbe at de klikker på det. Hvis de samtidigt er logget ind på sitet, kan man altså udføre en masse handlinger på deres vegne. Hvis det havde været en webbank kunne man instruere browseren i at submitte en formular, der fx overførte penge. Hvis det havde været en webbaseret email løsning kunne man jo slette alle personens emails eller overtage kontoen.

Et af de mest grelle eksempler på XSS er Samy MySpace worm. Her brugte en ung mand XSS til at lave en orm, der sendte en masse venneforespørgsler af sted på det sociale site MySpace.

Hvordan kan man sikre sig?

Angrebet kan udføres fordi udviklerne af sitet ikke har været opmærksomme nok på at validere input parametre samt at sørge for den korrekte encoding af input parametre, som udskrives igen. I dette tilfælde havde udviklerne sikret, at man ikke kunne bruge < tegnet i søgestrengen. De havde også sørget for at html encode søgetermen inden den blev skrevet ud i “du har søgt på rubbish”, men de havde glemt at JavaScript encoding er noget helt andet end html encoding.

Man kan bruge de forskellige frameworks måder at encode på. Fx understøtter ASP.NET MVC automatisk html encoding, så når en variabel skrives ud i html sikrer frameworket, at der automatisk encodes og dermed umuligt at injecte fx scripts. ASP.NET MVC understøtter også JavaScript encoding igennem brug af AjaxHelper klassen. Hermed sikres at det ikke er muligt at udføre ovenstående XSS angreb.

Epilog

Som jeg skrev i mit første indlæg så har jeg ikke udnyttet sikkerhedshullerne og har været i kontakt med ansvarlige for de to sites. XSS sårbarheden blev hurtigt fikset på Sundhed.dk og kan ikke længere udnyttes, men desværre er det endnu ikke lykkedes det andet site at rette op på fejlen.

Vi må som udviklere tænke sikkerhed ind i løsningen og de to viste sikkerhedshuller er ikke besværlige at sikre sig i mod. Vi skal tænke sikkerhed ind i vores kode reviews, så det bliver en naturlig del af Definition-of-done: Har vi husket at sanitere input parametre? Encoder vi korrekt når vi viser output på skærmen?

SSL everywhere

Hvorfor ikke bruge https over alt på vores sites? Specielt hvis vi tillader folk at logge ind og have personificeret indhold! Der eksisterer mange myter om SSL og rigtigt mange sidder stadig tilbage med indtrykket af, at det er dyrt at anskaffe og har så stor indvirken på performance, at det er nødvendigt at anskaffe dedikeret hardware til kryptering. Ilya Grigorik fra Google har lavet sitet Is TLS fast yet, hvor myterne aflives. Ved at bruge SSL overalt vil vi sikre vores brugeres privatliv og vi sikrer os i mod Man-In-The-Middle attacks, hvor indholdet fra vores site manipuleres på vej mod brugeren.