パスワードを忘れた? アカウント作成

スラドのTwitterでストーリをフォローしよう。

14970189 story
Firefox

Firefox 82、複数の問題が報告されてロールアウトを制限 12

ストーリー by headless
制限 部門より
Mozillaが先日リリースしたFirefox 82で複数の問題が報告され、ロールアウトを制限しているようだ(Softpediaの記事Ghacksの記事)。

22日のFirefox Channel Meetingによると、印刷関連問題セキュリティソフトウェアとの組み合わせFirefoxがクラッシュする問題、実験的なプライバシー設定を有効にしている場合にWebサイトからログアウトしてしまう問題が報告されている。

手元の環境では既にFirefox 82に更新されており、特に問題もなさそうだが、スラドの皆さんは何か問題があっただろうか。
14969492 story
Chrome

Google Chrome、終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部残るバグ 15

ストーリー by headless
削除 部門より
Google Chromeで終了時のサイトデータ削除を有効にしてもGoogle関連のサイトデータが一部削除されない問題が指摘され、Googleがバグだと説明しているそうだ(The Registerの記事The Vergeの記事Android Policeの記事発見者Jeff Johnson氏のブログ記事)。

この設定はGoogle Chromeの設定画面で「プライバシーとセキュリティ→Cookieと他のサイトデータ」にある「Chromeの終了時にCookieとサイトデータを削除する」をオンにすることで有効化できる。

実際に試してみたところ、Cookieはすべてのサイトで削除されたが、「chrome.google.com」と「www.google.com」ではローカルストレージが削除されず、「www.youtube.com」ではデータベースストレージ、サービスワーカー、ローカルストレージが削除されなかった。ただし、この動作は終了時の自動削除に限られ、個別に手動で削除すればすべて削除できる。

Googleはこの問題を調査中で近日中に修正版をロールアウトすると説明しており、手元の環境ではChromeを86.0.4240.111に更新したところ、YouTubeのサービスワーカーとローカルストレージは削除されるようになった。YouTubeのデータベースストレージとGoogleのローカルストレージは相変わらず削除されない。

ちなみに、Chromiumベースの新Microsoft Edgeでも同様の設定を試してみたが、いくつかのサイトで削除されないものがみられた。
14967267 story
バグ

Microsoft曰く、Microsoft OfficeのPWAが無断インストールされるのは意図しない動作だった 19

ストーリー by nagazou
未必の故意 部門より
headless 曰く、

先週からWindows 10でMicrosoft OfficeのプログレッシブWebアプリ(PWA)が無断でインストールされたという報告が増えていたのだが、意図しない動作だったとMicrosoftが説明しているそうだ(ZDNetの記事The Vergeの記事)。

これについてはZDNetのMary Jo Foley氏が情報提供者からの非公式な見解として報じ、その後The VergeがMicrosoftの声明として報じている。話としては、新Microsoft EdgeにはWebサイトをPWAとしてインストールする機能が備わっており、スタートメニューに登録されたWebサイトのショートカットをPWAに変換したということのようだ。

しかし、Microsoft Officeがインストールされていない環境ではOfficeのWebアプリへのショートカットがスタートメニューに登録されているため、これらがPWAとしてインストールされることになる。この動作はMicrosoftの意図したものではなく、調査のため変換を一時中止したとのこと。

なお、不要なPWAは設定の「アプリ→アプリと機能」またはコントロールパネルの「プログラムと機能」でアンインストールできる。

14966423 story
お金

楽天Edy、WAON、nanacoでシステム会社の決済端末の不具合により二重取引が発生。古いものでは2013年頃から 82

ストーリー by nagazou
7年間ですか 部門より
電子決済サービスを提供しているトランザクション・メディア・ネットワークスは19日、一部の電子マネー取引で、二回重複して取引が実施される「二重引去り」が発生したと発表した(トランザクション・メディア・ネットワークス)。

該当する電子マネーサービスは「楽天Edy」「WAON」「nanaco」の3種類。二重引去りが発生した可能性のある期間は2013年から20年8月31日までと長期にわたる。二重引去りが発生した原因としては、同社が提供する、決済端末用ミドルウェアの不具合であるという。二重支払い分の金額については返金を行うとしている(楽天EdyWAONnanaco)。

各電子マネーにおける被害の発生は、楽天Edyが2013年2月14日から、WAONは2013年8月8日から、nanacoは2014年12月4日からで、全サービス2020年8月31日までの期間に発生しているとのこと。

被害金額は楽天Edyが最大393件で合計64万9744円、WAONが最大287件で合計42万3133円、nanacoが最大74件で合計23万4366円だとしている。二重引去りされたかどうか確認する方法としては、ICカードのカードIDから判定できるサービスが先のトランザクション・メディア・ネットワークスのリリースページからアクセスできる。
14966377 story
Chrome

Google Chrome、タブの検索機能がテスト可能に 18

ストーリー by nagazou
便利そう 部門より
headless 曰く、

Windows版のGoogle Chromeでタブの検索機能がテスト可能になっている(Ghacksの記事Techdowsの記事9to5Googleの記事Redditの記事)。

タブの検索機能はデフォルトで無効になっている。有効化はchrome:flagsでフラグを設定するのではなく、コマンドラインオプション「--enable-features=TabSearch」を指定してChromeを起動する必要がある。常用するならコマンドラインオプション付きで起動するようにショートカットを編集するといいだろう。

コマンドラインオプション付きで起動するとタブストリップの「+」ボタンの隣にタブ検索ボタンが追加され、クリックすると検索ボックスと開いているタブのリストが表示される。機能的にはFirefoxでタブがオーバーフローしたときに表示されるボタンと同様だが、Chromeの場合はFirefoxと違ってボタンが常に表示され、複数のウィンドウで開いているタブがすべてリストアップされる。

コマンドラインオプションは安定版を含む全チャネルの最新ビルドで有効だが、タブ検索のショートカットキーは安定版で「Ctrl+Shift+E」なのに対し、プレビュービルド(Canary/Dev/Beta)では「Ctrl+Shift+A」となり、タブ検索ボタンのデザインも異なる。

この機能はChrome OSのCanaryチャネルで8月から利用可能になっていた。8月にはMacでのタブ検索機能に関するバグ報告が出ており、最近はすべてのデスクトップOS版(Linux/Windows/Chrome/Mac)を対象にしたバグ報告も出ているので、LinuxやMacでも利用できるのかもしれない。

なお、先日話題になったタブストリップのスクロール機能はCanaryとDevで利用可能になり、スクロールボタンも表示されるようになっている。

14960189 story
バグ

メキシコで発見された新種のハチ、COVID-19にちなんだ学名が付けられる 5

ストーリー by nagazou
いつ名付けられたか分かりやすい 部門より
headless 曰く、

メキシコ・タマウリパス自治大学(UAT)の研究者がメキシコで新種のハチ5種を発見し、1種にCOVID-19にちなんだ学名「Stethantyx covida」を付けたそうだ(論文EurekAlert!の記事)。

新種はいずれもヒメバチ科ツヤアメバチ亜科の昆虫で、寄生バチとも呼ばれる昆虫の一種だ。新種の学名は外見や生態にちなんで凝った名前が付けられることもあるが、St. covidaの場合はメキシコでCOVID-19が拡大中に分類されたことにちなんだもので、ハチ自体の特徴とCOVID-19を結び付けるものはないようだ。研究者はこの名前をパンデミック下の特別な年を記憶する名前と位置付け、メキシコの7州(UATのあるタマウリパスを含む)とグアテマラで発見された特筆すべき新種のヒメバチに付けるのはいいアイディアだと考えているそうだ。

他4種の学名と命名理由は以下のようなもの。これらも命名理由はシンプルだ。

  • Meggoleus hidalgoensis: メキシコのイダルゴ州(Hidalgo)にちなんで命名
  • Meggoleus whartoni: 米国の昆虫学者でコマユバチとヒメバチの専門家、Robert Wharton氏に敬意を表して命名
  • Phradis belovi: 発見者の友人でもある著名な昆虫学者、Vassili Belov氏にちなんで命名
  • Stethantyx oaxacana: メキシコのオアハカ州(Oaxaca)にちなんで命名
14959462 story
バイオテック

強烈な毒をもつふさふさの毛虫再び。米バージニア州で目撃例が増加 9

ストーリー by nagazou
恐怖のふさふさ 部門より
2014年頃に話題となったこともある「ふさふさ」毛虫が帰ってきてしまったようだ。ウイッグが何かのようにも見えるこの毛虫は蛾の一種であるサザン・フランネル・モスの幼虫で強い毒を持つ。現在、米バージニア州で相次いで目撃されており、バージニア森林局が見かけても近寄らないよう警告を出しているという(CNNナゾロジー)。

この毛虫は長い毛の中に毒針毛を持っており、万一触れてしまった場合、かゆみとともに発疹が置き、嘔吐や発熱、腫れなどが起きてしまうとされる。これまではテキサスやミズーリなどでは見られたものの、バージニア州で見かけることはまれだったようだ。目撃例が増えた原因は不明だが、気候変動に伴い昆虫の生息域も変化しているのではないかとしている。
14951481 story
EFF

EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 14

ストーリー by headless
無効 部門より
Electronic Frontier Foundation(EFF)は7日、Webサイトによるユーザー追跡を検出・遮断するブラウザー拡張機能「Privacy Badger」で、主要機能である新しいトラッカーを学習する機能のデフォルト無効化を発表した(Deeplinks Blogの記事The Registerの記事)。

EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。

Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。

なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。
14949487 story
Chrome

Chrome Canary、タブストリップのスクロールが可能に 11

ストーリー by nagazou
たくさん開いてもタブ上の文字が読める 部門より
headless 曰く、

Chrome Canaryでタブストリップのスクロール機能が利用可能になっている(Ghacksの記事)。

タブストリップのスクロール機能はタブの数が増えてもタブ幅を一定幅よりも小さくならないようにし、はみ出した部分をマウスホイールでスクロール表示できるようにする機能だ。この機能を利用するにはChrome Canary 88.0.4284.0以降(88.0.4285.0で確認)でchrme://flagsの「Scrollable Tabstrip (chrome://flags/#scrollable-tabstrip)」を「Enabled」にしてChromeを再起動すればいい。

この機能は2018年から開発が進められており、フラグ自体は安定版のChromeにも実装されているが、タブが一定幅よりも小さくならないようになるだけでスクロールはできなかった(Macでは少し前からスクロールできるようになっていたようだが未確認)。また、タブストリップの隣に左右のスクロールボタンを配置してスクロールできるようにする機能の実装も進められているようだ。

14946617 story
お金

GoToイート、ポイントバックキャンペーンに資産が増えるバグが見つかる 124

ストーリー by nagazou
入ってるところならどこでもできるなこれ 部門より
GoToイートで鳥貴族を利用すれば儲かる、というシステム上のバグがあるという話が10月の第1週目に出回り始めた

Go Toイートでは、食事金額の25%を還元するプレミアム食事券による還元と、ぐるなびや食べログといった特定の予約サイト経由で予約を行うポイントが付与される2種類の還元経路がある(過去記事)。後者の店舗では、ディナータイムに予約したうえで来店すれば、1000円分のポイントバックがもらえる。

鳥貴族では、すべてのメニューが298円(税込み327円)。つまり1品だけ頼んで食べて帰れば差額の673円がユーザーの利益になるというもの。これを10店舗を回れば、6730円の儲けが発生する。Twitterなどではこの裏技の使い手を「鳥貴の錬金術師」などと呼ぶようになったようだ。

さすがにこの話が広まるにつれ、鳥貴族が困っているようだ。ある特定の予約サイトでは、1人につき200円の「送客手数料」が発生するのだという。つまり鳥貴族で1品しか注文しなかった場合、鳥貴族が得られる売り上げは98円となる。食材費用や人件費を差し引いた場合、逆ざやが発生している可能性は高いとみられる。弁護士ドットコムによると、この状況自体は鳥貴族も認識しているそうだ(弁護士ドットコム)。
14932693 story
Android

Google、Android OEMによるAOSP外コードのセキュリティ問題に取り組む 3

ストーリー by headless
対応 部門より
Googleは2日、Android OEM特有のセキュリティ問題に対応する「Android Partner Vulnerability Initiative (APVI)」の開始を発表した(Android Developers Blogの記事9to5Googleの記事Monorail - apvi)。

GoogleはAndroid OSやAndroidアプリに関する脆弱性報告報奨金プログラムを行っており、報告されたAndroid Open Source Project (AOSP)ベースのコードに関する問題はAndroidのセキュリティに関する公開情報(ASB)を通じて開示している。一方、個別のAndroid OEMによるAOSP外のコードで見つかった問題に対処する明確な手段は最近まで用意されていなかった。

APVIはそのギャップを埋めるものであり、Googleが発見した問題の修正をOEMパートナーに促し、ユーザーに透明性を提供するものだという。APVIの取り組みは1年以上前から進められていたようで、既に8件の問題が修正されている。
14632641 story
お金

東証で障害発生し、全銘柄の売買が停止中 92

ストーリー by nagazou
取引開始前からダメらしい 部門より
あるAnonymous Coward 曰く、

現在、東京証券取引所にて、相場情報の配信に障害が発生し、東京証券取引所の全銘柄の売買が停止している。 障害に伴う売買の停止について

本日、相場情報の配信に障害が発生しており、東京証券取引所における全銘柄の売買を停止いたしますのでお知らせします。併せて、その時点より注文受付につきましても不可となります。復旧については現在のところ未定ですが、今後の予定については改めてご連絡いたします。

情報元へのリンク

東京証券取引所でシステム障害が発生した。相場情報の配信に障害が発生しているのが理由だという。午前9時の取引開始からすべての銘柄で売買が停止している。同様の理由で名古屋証券取引所も取引を停止している。10時時点では復旧のめどはたっていないとのこと。大阪取引所の先物取引は通常通り取引されている(日経新聞)。

・12:10追加
第4報として東京証券取引所は全銘柄の売買を終日停止すると発表した。明日以降の予定については別途報告するとしている(東京証券取引所)。

14515534 story
バグ

国勢調査オンライン、地下に住んでいても「B1」と入力できない 102

ストーリー by nagazou
前回はどうしたんだろう 部門より
国勢調査のインターネット回答で、マンション等の地下階に住んでいると回答できないという仕様が話題になっているらしい(朝日新聞)。

ただいま国勢調査が行われている最中だが、2015年の国勢調査からはインターネット経由での回答も可能となっている(過去記事)。調査では住所や名前、居住の実態などを調査するが、住所入力時に地下に住んでいることを入力できないという指摘が出ている模様。

問題となっているのは、質問項目「住宅の建て方」の部分で、「共同住宅(アパート・マンションなど)」を選択した場合、建物全体の階数や住んでいる住宅のある階を入力する項目が表示される。しかし、居住階の欄に「B1」と打ち込み入力を完了するを選ぶとエラーが表示されるとのこと。
14444617 story
バグ

イーサネット通信エラーにより緊急着陸モードになるスイス製ビジネスジェット 46

ストーリー by headless
緊急 部門より
スイス・Pilatus AircraftのビジネスジェットPC-24でイーサネット通信エラーによりオートパイロットが緊急着陸モードになるなどの問題が報告されたとして、EU航空安全機関(EASA)が耐航空性改善指令(AD)を出している(ADThe Registerの記事)。

報告されているのは、PC-24が離陸後の上昇中にデュアルチャンネルのデータコンセントレーションユニットで2つのイーサネット通信チャンネルが両方とも使用できなくなったというもの。データコンセントレーションユニットはさまざまな入力データを共通のデジタルデータに変換する役割を果たす。これによりブレーカーが落ちたことで、オートパイロットが緊急着陸モードに切り替わったほか、環境制御システムの機能が低下したり、乗客用酸素マスクが下りたりしたという。また、クルー用の警告システムがさまざまなメッセージを表示し、フラップや燃料系、防除氷雨装置の機能も大幅に低下したとのこと。

Pilatusでは問題を修正したUtility Management System(UMS) ソフトウェアの更新(ビルド7.3)を開発して作業指示書(SB)を発行しており、ADでは発効日の10月1日から30日以内に影響を受けるバージョンのソフトウェアを更新するよう命じている。
14444649 story
マイクロソフト

Microsoft、Netlogon特権昇格の脆弱性に活発な攻撃が確認されていると注意喚起 14

ストーリー by headless
活発 部門より
Microsoftは24日、Netlogonの特権昇格の脆弱性(CVE-2020-1472、Zerologon脆弱性)に対する活発な攻撃が確認されているとして注意喚起した(Microsoft Security IntelligenceのツイートArs Technicaの記事The Registerの記事BetaNewsの記事)。

この脆弱性はMicrosoft Netlogon Remote Protocol(MS-NRPC)の安全なRPCを使用しないNetlogonセキュアチャネル接続に存在し、Windows Serverでは8月の月例更新で修正されている。脆弱性の深刻度を示すCVSSスコアは最も高い10.0となっており、米国土安全保障省のCybersecurity & Infrastructure Security Agency(CISA)は政府機関に対して8月の月例更新プログラムを適用するよう命じる緊急指令20-04を発出しているが、これまでMicrosoftは悪用の可能性が低いと評価していた。今回の注意喚起も一連のツイートはMicrosoft 365の宣伝のような感じになっている。

なお、Zerologon脆弱性はプロトコルレベルの脆弱性であり、MS-NRPCを実装するSambaも影響を受ける。ただし、影響を受けるのはドメインコントローラーとして使用する場合で、ファイルサーバーとしてのみ使用する場合は直接的な影響を受けない。また、2018年3月リリースのSamba 4.8以降ではデフォルトで安全なRPCの使用が強制されるため、smb.confで「server schannel = auto」または「server schannel = no」が指定されていない限り影響を受けない。一方、Samba 4.7までのバージョンはsmb.confに「server schannel = yes」を指定しなければ影響を受けるとのことだ。
typodupeerror

私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson

読み込み中...