パスワードを忘れた? アカウント作成

過去1週間(やそれより前)のストーリは、ストーリアーカイブで確認できますよ。

13581654 story
インターネット

Google App Engineで検閲回避に使われてきた機能、停止される 8

ストーリー by hylom
最大手の逃げ道が 部門より
taraiok 曰く、

アプリケーションホスティング環境を提供するGoogleのクラウドサービス「Google App Engine」は、検閲対策のためのプロキシ的な使われ方もしていたのだが、Googleがそのための機能を廃止したようだ(The VergeTorプロジェクトに投稿されたTicketArs TechnicaSlashdot)。

この手法は「Domain Fronting」と呼ばれており、検閲されたサイトに対しGoogle App Engine経由で通信を行うことで検閲を回避するというもの。4月13日、Tor開発者らがGoogleのネットワークアーキテクチャが変更されたことを発見しこの問題が明らかになった。これにより中国のインターネット検閲に反対するGreatFire.orgやSignal、Psiphonといった反検閲ツールの運用に影響が出るとみられている。

Google側はDomain Frontingはもともとサポートされていた機能ではなく、今回の変更は長期のネットワーク計画の一環であるとしている。また、今後公式の機能として提供する予定はないとも回答している。

13580916 story
Opera

Android/iOS向けVPNアプリ「Opera VPN」終了へ 8

ストーリー by headless
終了 部門より
OSL NetworksがAndroid/iOS向けに提供しているVPNアプリ「Opera VPN」を4月30日で完全に終了するそうだ(公式サイトでの発表BetaNewsの記事SlashGearの記事Softpediaの記事)。

Opera VPNはOpera Software ASAが2015年に買収したカナダ・SurfEasyのVPNサービスを無料で利用できるようにするアプリ。アプリ内購入で速度制限などを解除できるサブスクリプションサービス「Opera Gold」も提供している。Opera VPN終了にあたって、Opera Goldユーザーに対してはSurfEasy Ultra VPNの1年間サブスクリプションが無料提供される。そのほかのユーザーに対しては、Android/iOS版Opera VPNアプリを通じてSurfEasy Total VPNを80%引きで提供するとのこと。

Opera VPNのリリース当初、開発元はOperaとなっていたが、その後OSL Networksに変更された。Opera Software ASAは2016年、Operaブラウザーなどを開発するコンシューマー事業を中国企業のコンソーシアムへ売却。コンシューマー事業側が株式非公開のOpera Software ASとなり、Opera Software ASAはその後Otello Corprationに名称を変更した。

OSL Networksは昨年6月にユーザーからの質問に対し、同社はアイルランドを拠点とするOpera Software ASAの子会社だと回答していた。ただし、現在Opera VPNのWebサイトには「Made in Tronto」との記載があり、OtelloのWebサイトでは子会社として記載されていない。一方、SurfEasyの所在地はトロントで、昨年Symantecが買収している。

デスクトップ版のOperaブラウザーに搭載されているVPN機能もSurfEasyが提供していたが、現在VPNを有効にした状態のIPアドレスで調べると、提供元は「Opera Software AS」となっていた。
13580913 story
Google

Google、Pixelbookにマルチブートオプションの追加を計画? 32

ストーリー by headless
追加 部門より
GoogleがPixelbookにマルチブートオプションを追加する計画を進めているのではないかという話が出ている(XDA-Developersの記事Neowinの記事Android Policeの記事Redditのスレッド)。

発端となったのは、Chromium OSの「vboot_reference」プロジェクトに数週間前に出現した「eve-campfire」ブランチ(eveはPixelbookのコードネーム)で、コミットメッセージの「AltOS」「Alt OS」という記述をRedditユーザーが発見したことだ。コミット内容としては、AltOSのブートフロー用フラグの追加と、AltOS選択画面用文字列の追加というものだ。コメントには「go/vboot-windows」という記述もみられる。

Alt OSは「alternative OS」、つまりChrome OSと他のOSをデュアルブートにするオプションではないかと予想されているが、現時点で詳細は不明だ。Redditではコメントの記述からPixelbookでWindowsを実行できるようになることを期待するコメントがある一方、Fuchsia OSは別としてGoogleがWindowsやLinuxのブートを公式にサポートするとは思えないという意見も出ている。そもそもデュアルブート関連という予想がまったく外れている可能性もあるが、スラドの皆さんはどう思われるだろうか。
13580415 story
マイクロソフト

Microsoft、Google Chromeユーザーを悪意あるWebサイトから守る拡張機能を公開 31

ストーリー by headless
本物 部門より
MicrosoftがGoogle Chrome用拡張機能「Windows Defender Browser Protection」をChromeウェブストアで公開した(公式サイトThe Vergeの記事BetaNewsの記事)。

Windows Defender Browser ProtectionはユーザーがアクセスしようとするWebサイトをフィッシングサイトやマルウェアホスティングサイトなど有害なサイトのリストと照合し、一致する場合はブロックするというもの。つまり、SmartScreenをGoogle Chromeで使用できるようにするということのようだ。同様の機能はGoogle Chromeにも備わっているが、Microsoft Edge 99%、Google Chrome 87%というフィッシング攻撃からの保護率(NSS Labs調べ)を提示し、Windows Defender Browser Protection拡張機能をインストールすることでMicrosoft Edge並みの安全性が保たれると説明している。

公式サイトの動画ではWindows 10 PCでMicrosoft Edgeを使用すれば常に最も安全だと説明しているが、3月のデスクトップブラウザーシェアでMicrosoft Edgeは4%台(StatCounterNet Applications)。一方Google Chromeは60%を超える圧倒的なシェアを獲得しており、このままではWindows 10ユーザーの保護が不十分だと考えたのかもしれない。

なお、Microsoft EdgeとInternet Explorerで公式サイトにアクセスした場合、Microsoft Edgeの導入ページにリダイレクトされてしまう。そのため、公式サイトの内容を見るにはGoogle ChromeやMozilla Firefoxなど別のWebブラウザーでアクセスする必要がある。
13580413 story
ボットネット

悪意あるコードを含む偽拡張機能、Chromeウェブストアで合計2,000万人以上がインストール 15

ストーリー by headless
偽物 部門より
人気の広告ブロック拡張機能「Adblock Plus」の偽物がChromeウェブストアで配布されていたことが半年ほど前に話題となったが、現在も状況は改善されていないようだ。AdGuardの調べによれば、合計2,000万人以上がChromeウェブストアから悪意あるコードを含む偽拡張機能をインストールしていたという(AdGuard Blogの記事BetaNewsの記事HackReadの記事)。

ここでいう偽拡張機能は、主に広告ブロック拡張機能など人気の拡張機能をクローンして多少のコードを付け加え、本物と紛らわしい名前を付けたものだ。こういった偽拡張機能に対抗するには商標権侵害でGoogleに削除を求めるしかなく、対応には数日かかるという。しかし、最近では紛らわしい名前を付けるのではなく、拡張機能の説明で検索結果上位になるようなキーワードを含めるものも増えているそうだ。

AdGuardが悪意あるコードを発見した偽拡張機能のうち、「AdRemover for Google Chrome」はAdBlockをクローンしたもので、ユーザー数は1,000万人以上だったという。付け加えられた悪意あるコードは、リモートサーバーから画像に埋め込んだコードを受け取って実行するもので、バックグラウンドページとして任意の操作を実行できる。つまり、偽拡張機能のインストールによりボットネットに組み込まれることになる。

同様のアプローチをとる偽拡張機能は他に4本発見されており、うち2本は広告ブロック、あとの2本はそれ以外の拡張機能だったという。なお、AdGuardは問題をGoogleに報告済みで、5本すべて削除されている。ユーザー数は偽広告ブロック拡張機能3本だけで2,000万人を超えるが、1億人以上が使用しているというAdblock Plusのユーザー数もChromeウェブストアでは1,000万人以上と表示されているので、AdRemoverのユーザー数だけで2,000万人を超える可能性もある。
13580002 story
地震

震災による地盤沈下と隆起が影響した施工ミスで防潮堤の高さが計画よりも22cm高くなる 75

ストーリー by hylom
大地の力 部門より
あるAnonymous Coward曰く、

宮城県気仙沼市魚町で建設中の防潮堤が、施工ミスで22センチ高くなってしまったそうだ(日経コンストラクション河北新報毎日新聞)。

原因は、東日本大震災による地盤沈下と、それが時間経過によって再び隆起した結果を反映せずに施工してしまったことにあるとのこと。東北地方太平洋沖地震(東日本大震災)では、地震直後、大規模な地盤沈下が観測されれていた。気仙沼市でも、0.7m弱の地盤沈下が起きていたが、そこから再び隆起したことから、2017年2月の次点で再び基準高さを0.28m高くする改訂が行われていた。

年平均5ミリも高くなっていたという計算になり、この値を長期的な地殻変動データで確認するとプレート境界にある山岳部並に大きい高い値となっており、改めて東北地方太平洋沖地震の凄まじさを感じる。今回のニュースはそれが直接実害として現れたと言うことのようだ。

また、この場所は、元々さらに巨大な防潮堤が計画されたものの住民の反対運動が起きていた場所の一つだった、というのが問題を複雑化させている模様。国土地理院の発表を受けて設計が変更されていたのに現場で反映されていなかった、と言う話もある。今後は、住宅の方を同じだけかさ上げするか、防潮堤を直すか、そのままかの三つの選択肢が示されているそうだ。

13580000 story
Android

AndroidのWebView、バージョン66ではSafe Browsingがデフォルト有効に 4

ストーリー by hylom
追跡ブロック 部門より

Googleは17日、危険なWebサイトへのアクセスをブロックするGoogle Safe BrowsingをAndroidのWebViewでデフォルト有効にすることを発表した(Chromium Blog9to5GoogleAndroid Police)。

WebViewはAndroid 5.0以降でGoogle Playを通じたアップデートが提供されており、昨年6月からSafe Browsingは利用可能だが、デフォルトでは無効になっていた。今月リリースのWebView 66ではデフォルトでSafe Browsingが有効になり、WebViewを使用する開発者は特に変更の必要なく保護機能を利用できるようになるとのこと。

WebViewのSafe Browsingは既に、APIドキュメントではデフォルトで有効との記述に変更されている。開発者はベータ版のWebViewを使用してテストURL(chrome://safe-browsing/match?type=malware)にアクセスすれば、アプリでの動作を確認できる。

13579998 story
Google

Google、サイト閲覧者に対し料金を支払っての広告ブロックという選択肢を提供する仕組みを開始へ 52

ストーリー by hylom
金で解決 部門より

近年悪質な広告が増えていることもあって、Webブラウザが標準で広告ブロック機能を導入する動きが出るなど、Web広告に対する圧力は強まっている。これに対し、Googleが広告ブロックで減ってしまった広告収入分を運営者に還元するサービス「Funding Choic」eを2018年5月から提供することを明かしているGIGAZINEMDN)。

このサービスは広告ブロック機能が有効化されたWebブラウザのアクセスを検知してポップアップを表示し、「このサイトで広告の表示を許可」と「広告削除パスを購入」という選択肢を提示するというもの。後者を選択すれば費用はかかるが広告を非表示にでき、その収益が運営者に分配されるという。

まずは米国やヨーロッパなどの一部の国でサービスが提供されるようだ。

13579997 story
セキュリティ

「秘密の質問」が分かれば任意のメールアドレスでパスワードを変更できるJCBのWebサービス 37

ストーリー by hylom
2018年にもなって秘密の質問? 部門より
あるAnonymous Coward曰く、

JCBプリペイドカードのWebサービスのセキュリティ設定が残念な感じになっているという話が、とあるTwitterユーザーによって報告されている

報告されている問題は、カード種別と氏名、生まれた年、「秘密の質問」とその回答が分かれば、任意のメールアドレスにパスワード再設定用のURLを送信できる点。「秘密の質問」は任意には設定できず、「母親の旧姓」や「初めて買ったペットの名前」「卒業した小学校の名前」など、ソーシャルハッキングで比較的容易に入手できるような情報ばかりとなっている。

JCBプリペイドカードは退会しても15ヶ月間はマイページにログインして利用明細が確認できる仕組みで、アカウント情報を削除することはできないという。その間のメールアドレスやパスワードの変更を可能とするために、確認メールの送信先を任意に指定できるようにしてしまったのではないか、とツイート主は推測している。

陸マイラーの間では「楽天カード」から「ANA JCBプリペイドカード」を経由して「nanacoチャージ」するルートで人気が高い一方、未だに一定期間でログインパスワードを強制変更させるセキュリティ仕様が物議を醸していた。

なお、今月16日にはデザイナー向けソフトウェア販売代理店のA&Aが、ユーザID・パスワードを忘れた場合の通知機能を悪用した不正アクセスを受けたことを発表している。

「秘密の質問」については第三者に推測される危険性が高いことが以前から問題とされており、SNSなどを使って「秘密の質問」の回答を聞き出す手法がたびたび話題となっている(2014年の記事2015年の記事)。また、Googleは2015年に「秘密の質問」には根本的欠陥があるという分析結果を公表しているほか、米政府機関によるセキュリティ指針でも使用すべきではないとされている

ちなみに、2016年には『JCBの会員向けWebサービスで「秘密の質問」による本人確認が導入される』という話が話題になっていた。

13579877 story
検閲

ロシア、当局への暗号鍵提出を拒否したメッセージングアプリ運営者に対するブロッキングを実行 19

ストーリー by hylom
ロシア式 部門より

ユーザーのプライバシーを尊重していると評価されていたメッセージングアプリ「Telegram」が、ロシアから締め出されることになった。ロシア当局が同サービスの運営者に対しバックドアを要求したもの、運営側はこれを拒否。その結果、ロシア国内からTelegramが利用しているIPアドレスへのアクセスがブロックされる状況になったという(P2Pとかその辺のお話R本の虫)。

ロシア当局はTelegramでやりとりされているメッセージを傍受するために暗号鍵の引き渡しを要求したが、Telegram側はこれを拒否。そのためロシア連邦通信局がロシア国内でTelegramをブロックする訴訟を起こし、裁判ではロシア連邦通信局側の主張が全面的に認められブロッキングが決定したという。この公判は前日に日程が決まり、またわずか18分間で終わったという。判決が出たあと、すぐに連邦通信局はISPに対しブロッキングを指示、ISP側はこれに従ったという。

TelegramのサービスはAmazonやGoogleの提供するインフラを使っており、百万件を超えるIPアドレスがブロック対象となっているようだ。

13579846 story
インターネット

大手IT企業ら、共同でサイバー空間保護のための協定を結ぶ 5

ストーリー by hylom
Microsoftのベビーフェイス化 部門より

MicrosoftやFacebook、OracleなどのIT企業やSymantec、Trendmicroなどのセキュリティ企業、HPやDell、Ciscoなどのハードウェア企業、BTやCloudfareなどのネットワークインフラ企業などが「Cybersecurity Tech Accord」(サイバーセキュリティテック協定)に調印した。

Cybersecurty Tech Accordはサイバー空間における民間管理やセキュリティ及び安定性、回復力の向上を目指すというもので、サイバー攻撃に対する防衛力向上、政府による民間人や民間組織を狙ったサイバー攻撃を支援しないこと、開発者や人々などに対するセキュリティ向上のための啓蒙を行うこと、こういった目的のために強調して企業が動くことなどを宣言している(ITmediaSlashdot)。

Microsoftはこの協定について文民の保護を定めた「ジュネーブ条約」のデジタル版だとし、業界が連携して対策を強化する必要性を説いている。

ただし大手IT企業のうち、AppleおよびAmazon、Googleなどは同協定に参加していない。

13579829 story
統計

Android Nougatのシェアが30%を超える 10

ストーリー by hylom
スライド 部門より
headless曰く、

GoogleがAndroid Developersサイトで公開しているAndroidプラットフォームバージョンごとのデータによると、Android 7.x Nougatのシェアが初めて30%を超えている。

今回のデータは4月16日までの7日間にGoogle Playアプリが収集したもの。0.1%未満のバージョンは除外されている。前回分のデータは2月5日までの7日間に収集されたもので、3月は更新されなかったため、増減幅は10週分となる。

Android 7.0は0.7ポイント増の23.0%、Android 7.1は1.6ポイント増の7.8%で、Nougat合計では2.3ポイント増の30.8%。Android 5.x Lollipopは1.7ポイント減の22.9%となり、Android 7.0が単体でLollipop全体を上回った。Android 5.0は0.5ポイント減の4.9%、Android 5.1は1.2ポイント減の18.0%となっている。

Android 8.x Oreoは3.5ポイント増の4.6%と前回の4倍以上に増加しており、0.5ポイント減で4.5%のAndroid 4.1.x~4.3 Jelly Beanを初めて上回った。Android 8.0は3.3ポイント増の4.1%、Android 8.1は0.2ポイント増の0.5%となっており、Oreoの大半をAndroid 8.0が占める。

このほかのバージョンではAndroid 6.0 Marshmallowが2.1ポイント減の26.0%、Android 4.4 KitKatが1.5ポイント減の10.5%とそれぞれ大きく減少した。Android 2.3.x GingerbreadとAndroid 4.0.x Ice Cream Sandwichは変動がなく、それぞれ0.3%、0.4%となっている。Jelly Beanで減少したのはAndroid 4.2.x(0.4ポイント減)とAndroid 4.3(0.1ポイント減)のみで、この1年ほど毎月0.1~0.3ポイントの減少を続けていたAndroid 4.1.xは変動がなかった。

NougatはNexusデバイス向けロールアウトから20か月弱で30%を超えたことになる。ペースとしてはMarshmallow(約18か月)やLollipop(約13か月)よりも遅い。ロールアウトから約8か月が経過したOreoNougatの同時期と近いペースで増加しているようだ。

13579137 story
交通

米ロサンゼルスでカーナビアプリが難所を近道として誘導する問題が勃発 50

ストーリー by hylom
これはひどい 部門より
headless曰く、

米国・ロサンゼルス市のバクスターストリートで、Wazeなどカーナビアプリの誘導とみられる交通量急増により事故が増加するなどの問題が発生しているそうだ。カーナビアプリによる裏道の交通量増加は他の場所でも発生しているが(過去記事)、バクスターストリートは事情が違うのだという(Los Angeles Timesの記事[1][2]Ars Technicaの記事[1][2])。

19世紀に建設されたバクスターストリートの勾配は32%で、2つの大きな丘がある。市の道路勾配基準の倍以上、米国ではトップ10に入る急勾配だという。坂を上り切った反対側は急激に落ち込んでおり、舗装にはひび割れが多い。この坂をスケートボードで滑り降りる動画はYouTubeで123万回以上視聴されている。

そのため、気軽に通行できるような道ではないのだが、アプリに近道として誘導されたドライバーが急坂を上り切れず後続車に追突されたり、雨の日にはスリップして道路沿いの家の庭や塀に突っ込むこともあるそうだ。地元住民はWazeに対策を求める申し入れを行っているが、Waze側は特殊な方法でアルゴリズムを変更する必要があるため、対応できないと回答したとのこと。

市では2015年から交通渋滞対策としてWazeや親会社のGoogle、Appleと提携してリアルタイムの交通状況データを提供している。当時から住宅地の交通量増加を懸念していたポール・クレコリアン市議は10日、市交通局に対策を求め、市法務部にアプリの案内に従った結果発生した事故の分析を求める動議を市議会に提出した。クレコリアン氏が問題提起してから2年以上経過するが、Googleは対応する意思を示していないそうだ。

WazeはLos Angeles Timesの質問に対し、市民から疑問が出ているにしても市が公道として通行を許可している限り、案内することに問題ないとの考えを示し、それを市が変更するならアプリ側でも対策を行うと回答している。GoogleはArs Technicaの質問に同様の回答をする一方、バクスターストリートに関する案内の調整をWazeが自分の意志で行えない理由については回答がなかったとのことだ。

13577515 story
日本

公開された陸自の日報が読み物として面白いと話題に 90

ストーリー by hylom
確かにこれは 部門より

当初防衛省が存在しないとしていた、陸上自衛隊のイラク派遣部隊の日報が開示された(毎日新聞朝日新聞)。開示された日報は朝日新聞が公開しているが、この日報内の日誌が面白いと話題になっている(Togetterまとめ)。

日誌には隊員が現地で過ごし見聞きした内容の一部が記載されており、他国部隊や現地人との交流、さまざまな出来事などが記録されているようだ。なお、これら日報をまとめてダウンロードできるようにGoogle Driveにアップロードしたユーザーも登場している

13577401 story
Android

次期Android「P」の名称は何になる? 61

ストーリー by hylom
恒例のお題 部門より
headless曰く、

次期Android「P」の名称が「Popsicle」になるのではないかと話題になっている(9to5GoogleBGRSlashGearMashable)。

発端はGoogleが12日にInstagram Storyで公開した壁紙集にアイスキャンディー(Popsicle)のものが含まれていたことだ。Instagram Storyは24時間で消えてしまうが、9to5Googleが確保した画像をGoogle Driveで公開している。

Androidではアルファベット順にデザートの名前を付けるのが「Cupcake」以来恒例になっており、今年は「P」から始まる名前となる。Popsicleは米語で一般名称的に使われているが、ユニリーバの登録商標だ。ただし、Androidの名称ではこれまでに「KitKat」や「Oreo」の例があるため、商標であることは問題ないとみられる。

Googleが早い段階でヒントのように出してくるお菓子は単なる話題作りの可能性もあるが、昨年は2月の段階でGoogleのHiroshi Lockheimer氏がOreoを使ったケーキの写真をツイートしていた。そのため、Popsicleになる可能性もゼロではなさそうだ。なお、Googleが内部で使用しているAndroid Pのコードネームは「Pistachio Ice Cream」だと2月にBloombergが報じている

PopsicleはLollipopと若干かぶる気もするが、スラドの皆さんはどう予想されるだろうか。

typodupeerror

海軍に入るくらいなら海賊になった方がいい -- Steven Paul Jobs

読み込み中...