パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13292015 story
ソフトウェア

デスクトップ版MS OfficeがWindowsストアに登場、インストールは現在のところ不可 2

ストーリー by hylom
UWP化するのか 部門より
headless曰く、

Microsoftは今月上旬に開催したメディアイベント「#MicrosoftEDU」で、UWP化したフルバージョン(Win32)のMicrosoft OfficeアプリをWindowsストアで提供することを発表した。提供開始の目標は6月とされているが、既にWindowsストアで検索するとアプリがヒットするようだ(On MSFT)。

Windows 10の「ストア」アプリで「Word 2016」「Excel 2016」「PowerPoint 2016」などを検索すると、アプリが検索結果の先頭に表示される。また、Windowsの設定で地域が米国に設定されている場合は「Office 365 Personal」なども検索にヒットする。各アプリには星3~4個の評価が付けられているが、アイコンをクリックするとエラーメッセージが表示されてアプリの詳細ページを表示することはできない。

Microsoftでは最近「Google Chrome」など、Windowsストアでは未提供の有名アプリと同名のスパムアプリを多数削除したとみられている。そのため、検索結果に表示されるこれらのアプリがスパムアプリである可能性は低いと思われるが、詳細ページが開けないため、本物かどうかは確認できない。

13287140 story
Chrome

WindowsのSCFファイルをGoogle Chromeでダウンロードさせ、SMB認証情報を取得する攻撃 29

ストーリー by headless
認証 部門より
Windowsのシェルコマンドファイル(.scf、SCFファイル)とGoogle Chromeの組み合わせにより、SMB認証情報を取得する攻撃手法をセキュリティ企業のDefenseCodeが公開している(DefenseCodeの記事Threatpostの記事The Registerの記事Softpediaの記事)。

SCFファイルはWindows 98で導入され、主にクイック起動ツールバーの「デスクトップの表示」で使われていた。SCFファイルの内容はINIファイルと同様のテキストファイルで、セクションごとに値の名前と値のデータの組み合わせが記述されている。ファイルのアイコンは「Shell」セクションの「IconFile」で指定するのだが、アイコンをUNCパスで指定した場合、アイコンの保存されたフォルダーをエクスプローラーで開く際に、指定されたリモートサーバーへSMB認証情報が送られる。そのため、攻撃者が自分の支配下にあるサーバーのIPアドレスを指定すれば、ターゲットのユーザー名とNTLMv2パスワードハッシュを取得することが可能となる。パスワードハッシュはオフラインでクラックするほか、SMBリレー攻撃に使用することも可能だ。

一方、Google Chrome側の問題は、デフォルトでファイルのダウンロード先を確認せずにダウンロードが実行される点だ。そのため、攻撃用に細工したSCFファイルのリンクをChrome上でクリックさせれば、ファイルがユーザーの「ダウンロード」フォルダーに保存される。このフォルダーをユーザーが開いた時点で、攻撃者はSMB認証情報を取得できることになる。Windowsのショートカットファイル(.lnk、LNKファイル)もSCFファイルと同様の動作をするが、ChromeではStuxnetの感染が問題になった際にLNKファイルをサニタイズする仕組みが導入されているとのこと。
13284523 story
Android

Google、メモリ1GB以下のデバイスに最適化した「Android Go」を発表 63

ストーリー by hylom
コンパクト版 部門より
headless曰く、

Googleは17日に開幕した「Google I/O 2017」初日のキーノートで、低価格デバイス向けの「Android Go」を発表した(Android Developers BlogArs TechnicaThe Verge9to5Google)。

Android GoはAndroid Oをベースに、搭載メモリ1GB以下のデバイスでスムーズに効率よく動作するように最適化を進めているという。また、Googleアプリもメモリやストレージ、モバイルデータ通信の使用量を減らすべく開発が進められている。Chromeのデータセーバーはデフォルトでオンになり、通信量を抑えたYouTubeアプリのライト版「YouTube Go」もベータ版が公開されている。エントリーレベルのデバイスでは、最適化されたアプリがPlayストアで推薦されるとのこと。

Android Goはメモリ1GB以下の全デバイスに搭載され、2018年に出荷される。また、Android Oでは「Go設定」が提供され、メモリ1GB以下のデバイスでは自動で有効になるという。Android O以降の将来のバージョンでもAndroid Goと同様の仕組みが導入されるとのこと。開発者に対しては、Android Developersサイトの「何十億人ものユーザーに受け入れられるアプリを構築する」を参照し、オフラインでの使用やAPKサイズの縮小、バッテリー/メモリー使用量の減少など、Android Goデバイス向けに最適化することを推奨している。

13281809 story
インターネットエクスプローラ

IE11とEdgeでもついにSHA-1証明書使用サイトをブロックへ 5

ストーリー by hylom
EOL 部門より

5月9日にリリースされたInternet Explorer 11およびEdge向けアップデートでは、SHA-1ベースの証明書を使用しているWebサイトをブロックする措置が導入された(ITmedia)。

このような証明書は「無効な証明書」として扱われ、使用しているサイトを閲覧しようとした場合警告が表示されてページがロードされなくなるという。

暗号化などに使われるハッシュ関数「SHA-1」は、現在では十分な安全性を有していないとして電子証明書などでの利用が推奨されない状況となっている。そのため、FirefoxやChromeなどではすでにサポートが廃止されている。

13280289 story
インターネット

ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 57

ストーリー by headless
障壁 部門より
Microsoftが先日発表したWindows 10の新エディション「Windows 10 S」では既定のWebブラウザーがMicrosoft Edgeに固定されており、変更できない。MicrosoftはどのようなWebブラウザーでもWindowsストアで公開されていれば実行できると述べているが、Google ChromeやMozilla Firefoxが実行できるようになる可能性は低いようだ(MSPoweruserの記事BetaNewsの記事The Vergeの記事On MSFTの記事)。

Windowsストアポリシーの10.2.1には「Web を閲覧するアプリでは、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります。」との記載がみられる。つまり、ChromeやFirefoxをUWP化しただけではWindowsストアで公開できないことになる。このような項目はこれまで存在しなかったが、変更履歴によれば、1月17日のドキュメントバージョン7.2で追加されたようだ。

ストアポリシーの変更についてMicrosoftでは、ユーザーの安全を保つためだとし、他のストアで入手したアプリが使いたいユーザーはWindows 10 Proにいつでも変更できると述べているとのことだ。

なお、NetApplicationsの4月分デスクトップブラウザーシェアデータによれば、1位のChromeが59%を占めており、以下IE(18.40%)、Firefox (11.80%)、Edge(5.62%)、Safari(3.44%)の順になっている。StatCounterではChromeが63.45%。以下全バージョン合計でFirefoxが14.5%、IEが9.00%、Safariが5.18%となっており、Edgeのシェアは3.72%にとどまる。
13273380 story
Windows

Microsoft曰く、毎日3億人以上がWindows 10を使っている 48

ストーリー by headless
毎日 部門より
Microsoftのコーポレートバイスプレジデント、ユスフ・メヘディ氏によれば、世界で3億人以上が毎日Windows 10を使っているそうだ(Softpediaの記事MSPoweruserの記事On MSFTの記事)。

Windows 10 SやSurface Laptopに関するBloomberg Technologyのインタビューに答えたもので、Windows 10の月間アクティブユーザー数は4億人を超えており、3億人以上が毎日平均3時間半以上Windows 10を使用しているとのこと。ただし、月間アクティブユーザー数の4億人以上という数字は、昨年9月に公表された数字と同じだ。Microsoftは最近のブログ記事でも同じ数字を使用しており、9月以降どの程度増加しているのかについては明らかにされていない。

NetApplicationsの4月分データによると、Windows 10のシェアは前月から0.92ポイント増の26.28%。昨年9月との比較では3.75ポイントの増加(16.64%増)にとどまる。9月以降、Windows 10が1ポイント以上増加したのは11月のみであり、他の月は1ポイント未満の増減となっている。一方、Windows 7は前月から0.92ポイント減の48.50%となっているが、昨年9月との比較では0.23ポイント増加している。Windows 7は昨年4月に50%を割って以降、1ポイント前後の増減を繰り返しており、昨年4月との比較では0.68ポイント増加している。NetApplicationsのデータをそのまま当てはめることはできないが、Windows 10の月間アクティブユーザー数が5億人を超えるのはもう少し先かもしれない。
13273121 story
Chrome

Google Chrome 58、64ビットWindows環境で32ビット版を64ビット版に自動更新 88

ストーリー by headless
更新 部門より
先日安定版がリリースされたGoogle Chrome 58.0.3029.96のWindows版では、32ビット版Chromeの更新時に64ビット版へ移行する機能が搭載されている(Chrome Releasesの記事Neowinの記事Softpediaの記事)。

対象となるのは4GB以上のメモリーを搭載した64ビットWindows環境で、32ビット版Chromeの更新を実行すると64ビット版が自動でインストールされる。64ビットプログラムを使用することでパフォーマンスや安定性、セキュリティが向上するが、対象の環境では更新時に32ビット版を選択することはできないようだ。Chromeのダウンロードページから32ビット版をインストールすることは可能だが、次バージョンへの更新時にどうなるのかは不明だ。

手元の環境では既に64ビット版のChromeがインストールされていたので確認できなかったが、32ビット版のChrome 57がインストールされた環境を探して更新を実行してみると、64ビット版のChrome 58がインストールされた。
13271854 story
Mozilla

Mozilla、Symantecが発行した証明書の信頼性回復に関する議論に参戦 86

ストーリー by headless
参戦 部門より
Symantecおよびパートナー企業が発行したSSL/TLS証明書の信頼性回復に関する議論にMozillaも参加するようだ。MozillaのGervase Markham氏がSymantecに対する提案の素案を公表し、Googleグループで検討が進められている(素案Googleグループ投稿The Registerの記事)。

Symantecが運営する認証局の過去2~3年にわたる問題はMozillaでも認識しており、調査を進めていたという。問題は2015年に発生したテスト証明書数千件の誤発行をはじめ、パートナー企業での問題を把握せずに放置していた点などが挙げられており、SymantecがCA/Browser ForumのBaseline Requrementなど業界の指針やベストプラクティスに従わず、顧客の利便性を優先してきたなどと批判している。

Markham氏はSymantecの提案による監査強化などの対策について、適切に実施されるかどうか保証がなく、信頼性の回復につなげるのは難しいと述べるなど、提案の実効性について疑問を呈する。その一方で、Googleによる2番目の提案、Symantecが公開鍵基盤(PKI)を刷新して証明書の発行を適切に管理できるようにすることを支持している。

SymantecがPKI刷新を受け入れない場合、PKIヒエラルキーをすべて含み、傘下のCAを含め発行可能な証明書の種類などを記入した組織図の提供を求めている。一方、EV証明書のEVステータス無効化は不要であるとし、証明書の有効期限はGoogleが提案する最長9か月に対し、最長13か月にすると述べている。
13271032 story
Chrome

Chrome 62、より多くの場面でHTTP接続ページの安全性に関する警告が表示されるようになる 33

ストーリー by headless
増加 部門より
Googleが10月にリリースを予定しているChrome 62では、より多くの場面でHTTP接続ページの安全性に関する警告メッセージが表示されることになるようだ(Google Security Blogの記事9to5Googleの記事The Registerの記事)。

Chrome 56以降では、パスワード入力フィールドやクレジットカード情報入力フィールドを含むHTTP接続のページを表示すると、情報アイコンの右側に「保護されていません」と警告が表示される。Chrome 62では任意の入力フィールドを含むHTTP接続のページで、ユーザーがフィールドへの入力を開始した場合に警告が表示されるようになる。さらに、シークレットウィンドウではすべてのHTTP接続ページで常に警告が表示されるとのことだ。
13269510 story
暗号

Symantec、同社発行のSSL/TLS証明書を信頼してもらうための対策をGoogleに提案 27

ストーリー by hylom
譲歩となるか 部門より
headless 曰く、

Symantecおよびパートナーの登録局(RA)が発行したSSL/TLS証明書のGoogle Chromeでの扱いについて、有効期限短縮やEVステータスの無効化がChromiumプロジェクトで3月に提案されたことを受け、Symantecが対案を示している(Symantec Official BlogRegister)。

この問題はSymantecやパートナーのRAが適切な確認を行わないまま証明書を大量に発行していたというもの。ChromiumプロジェクトのBlink開発チームの調査によれば、少なくとも3万件が数年にわたって不正発行されていたという。チームではSymantecの証明書発行ポリシーや業務を信頼できなくなったとして、ChromeでSymantecが発行した証明書の扱いを変更することを提案していた。

これに対してSymantecでは、同社の発行した証明書が幅広く使われており、置き換えが容易でないこと、世界の電子商取引の80%以上が同社の証明書により保護されていること、同社が世界最大のOV/EV証明書プロバイダーであることなどを挙げ、証明書による通信の保護を中断することなくGoogleの懸念を解消するための対策を提案している。

対策の内容としては、Symantecが発行したEV証明書やパートナーが発行したSSL/TLS証明書に対して外部による再審査を行うこと、WebTrustによる定期的な審査を行い、報告書を公表すること、有効期限3か月のSSL/TLS証明書の幅広い提供を進め、有効期限9か月以上の証明書は9か月目に無料でドメインの再確認を実施すること、認証局としての運営を継続的に改善していくことなどを挙げている。

13254689 story
Windows

Windows 10 Cloud(仮称)の推奨スペックがリーク 86

ストーリー by headless
窓雲 部門より
Microsoftが5月2日に開催するハードウェアイベントでは、Windows 10の新SKU「Windows 10 Cloud(仮称)」の発表が予想されているが、このSKUで推奨されるスペックなどの情報をWindows Centralが入手したそうだ(Windows Centralの記事Neowinの記事The Vergeの記事BetaNewsの記事)。

Windows 10 Cloudは実行可能なアプリをUWPアプリに制限し、Chromebookに対抗する廉価版SurfaceのOSとして、教育分野での普及を目指すとみられている。名称は「Windows 10 S」という名称になる可能性もあるようだ。

アプリの制限はWindows RTの失敗を想起させるが、当時よりも成熟したMicrosoftストアでUWPアプリが提供される点やDesktop App Converter (Project Centennial)によりWin32アプリもUWPアプリとして提供可能になっている点、ハードウェアチームがユーザーのニーズや要望を把握している点などが異なるとWindows Centralは指摘する。
13250865 story
インターネット

ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 28

ストーリー by hylom
よく思いつくなあ 部門より
headless 曰く、

形の似た文字をドメイン名に使い、フィッシングサイトなどを正規サイトに偽装する「IDNホモグラフ攻撃」は以前から知られており、Webブラウザー側での対策も行われているが、Google ChromeとMozilla Firefoxの対策を迂回する方法が発見されたそうだ(Xudong Zheng氏のブログWordfenceのブログRegisterNeowin)。

ASCII外の文字を含む国際化ドメイン名はPunycodeという方式でASCIIに変換して表現される。このようなドメイン名はPunycodeに変換されたことを示すため「xn--」が先頭に付加されるが、ChromeやFirefoxのアドレスバーやリンクのツールチップでは元の文字に逆変換して表示される。

ChromeFirefoxではホモグラフ攻撃対策の一環として、ドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycodeのまま表示する。しかし、文字種を混在させなければ逆変換表示になることを利用し、キリル文字だけで偽ドメイン名を作れば対策の迂回が可能だ。

キリル文字にはラテン文字と似た字形の文字が多く、フォントによっては全く同じ字形で表示されることもある。PoCとして、Xudong Zheng氏は「https://apple.com/」に見えるドメイン https://www.xn--80ak6aa92e.com/ (https://аррӏе.com/)、Wordfenceは「https://epic.com/」に見えるドメイン https://www.xn--e1awd7f.com/ (https://www.еріс.com/)を公開している。

なお、Internet ExplorerやMicrosoft EdgeではPunycode表記のまま表示される。Safariも同様のようだ。また、Firefoxでは「about:config」で「network.IDN_show_punycode」の値をtrueに変更すれば逆変換を無効にしてPunycode表示に固定することも可能だ。Chromeにはオプションが存在しないが、Chrome 58で対策が行われているとのことだ。

13249389 story
Chrome

GoogleがChromeに広告ブロック機能の実装を検討していると報じられる 41

ストーリー by hylom
またイタチごっこになるのだろうか 部門より
takehora 曰く、

GoogleがGoogle Chromeへの広告ブロック機能実装を計画しているとWall Street Journalが報じている。

この機能はデフォルトで有効となる予定で、ブロックされるのは「顧客体験を悪化させる」タイプの広告だという。Coalition for Better Ads(より良い広告のための連合)が定めた「Better Ads Standards for Desktop and Mobile Web in North America and Europe」(北米及び欧州におけるデスクトップ・モバイルWebのためのより良い広告基準)が指標となる。

具体的には、ポップアップ、音声付きで自動再生される動画、Prestitial Ads(Webサイトを開くと、カウントダウンと共に全画面でまずは広告が表示されるもの、もしくは、一旦広告ページが表示されるもの)がブロック対象となる。

また、「不快な広告」があるサイトにおいてはそのサイト上の全ての広告をブロックする方式も検討しているという。これによってWebサイト運営者は、サイト上のすべての広告が基準に合致しているかどうかを確認することが求められるという。

13244194 story
Chrome

Google Chrome、ページロード途中のレイアウト変動を抑える技術を導入 13

ストーリー by hylom
誤クリック対策? 部門より

画像のコンテンツが多いページや、回線が遅い環境の場合、Webブラウザでページをロード中に後からロードされた画像などによってページのレイアウトが変わり、表示されているテキストが画像に押しのけられて移動してしまったり、突然ページトップにスクロールしてしまうという現象が発生してしまう。これによって広告の誤クリックなどが発生するため、これを意図的に狙うサイトもあるようだが、Google Chromeがこの問題への対策を行ったようだ(TechCrunch)。

Google Chromeに新たに搭載された「スクロール・アンカリング」という技術によってこれを実現しているという(GoogleのScroll Anchoringに関するドキュメント)。

13244735 story
マイクロソフト

MicrosoftがChromebookに対抗の端末を出すという噂 93

ストーリー by hylom
難しい立ち位置 部門より
あるAnonymous Coward 曰く、

Microsoftは5月2日、米ニューヨークで教育分野向けの発表会を開催する予定らしい。ここではUWP(Universal Windows Platform)アプリのみが実行可能な「Windows 10 Cloud」(仮称)という新OSと、それを搭載したChromebook対抗の新型端末の発表がうわさされているという。UWPアプリだけ動くというコンセプトは以前失敗に終わったWindows RTに近い(Slashdot)。

新機種についてはいくつか推測が出ている。VentureBeatによれば、Chromebookに対抗するためにはSurface Pro 4並みの性能が必要だとし、またChromebookやiPadと競合できる500ドル前後の価格が必要ではないかと指摘している。またストア以外からアプリをインストールする方法があるかどうかなども気になる部分だという。

またITmediaによれば、「Microsoft SIM」を搭載した「常時接続PC」なのではないかというもの。このSIMを組み合わせることで「世界のどこにいてもデータ通信容量を購入さえすれば、インターネットが(Wi-Fiなしでも)使える」ようになると言われているそうだ。ただどちらも憶測でしかなく、正体が分かるにはまだ時間が掛かりそうだ。

typodupeerror

長期的な見通しやビジョンはあえて持たないようにしてる -- Linus Torvalds

読み込み中...