パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

13171330 story
情報漏洩

Cloudflareのバグで別のユーザーのCookieやパスワードが送信される 17

ストーリー by headless
通過 部門より
CloudflareのHTMLパーサーのバグにより、同社のリバースプロキシを使用するWebサイトにアクセスすると、別のユーザーのCookieや認証トークン、パスワード、APIキーなどを含むデータが送信される状態になっていたそうだ(Cloudflareのブログ記事Project Zero — Issue 1139The Registerの記事The Vergeの記事)。

このバグはバッファー終端のチェックで「>=」ではなく「==」を使用していたため、ポインターがバッファー終端を超えていることを認識できないというものだ。そのため、破損したHTMLタグを含むページを処理するとバッファーオーバーランによるメモリーリークが発生し、別のユーザーのデータが一緒に送信されることになる。バグを発見したGoogleのTavis Ormandy氏は、Heartbleedのようなバグと説明しつつ、「Cloudbleed」と呼ばないように求めているが、既にロゴも作られてしまっている。
13171107 story
暗号

SHA-1ハッシュの衝突を現実的な時間で生成する攻撃「Shatterd」 36

ストーリー by headless
粉砕 部門より
オランダ・CWI AmsterdamとGoogleの研究チームは23日、SHA-1ハッシュ値の衝突を現実的な時間で生成する攻撃手法「Shattered (SHAtterd)」を発表した(CWIのニュース記事Google Security Blogの記事Phoronixの記事Ars Technicaの記事論文: PDF)。

Shattered攻撃は多数の暗号解析技術を組み合わせたもので、同じSHA-1ハッシュ値を持ち、内容の異なる2つのPDFファイルの生成などが可能だ。高速といっても263回の試行が必要となり、攻撃の第1フェーズは6,500 CPUで1年間、第2フェーズは110 GPUで1年間を要する。それでもブルートフォース攻撃と比較すると10万倍以上高速だという。shatterd.ioではPoCとして、同じSHA-1ハッシュ値で内容の異なる2つのPDFファイル (PDF 1/PDF 2)を公開している。また、Shattered攻撃で使われているPDFかどうかを確認するテスター機能もWebページ上で提供される。研究チームではShattered攻撃がきっかけとなってSHA-1の危険性に対する認知度を高め、より安全なSHA-256などへの移行が進むことを期待しているとのこと。

SHA-1の危険性は何年も前から指摘されており、現在も文書の署名やHTTPS証明書、バージョン管理システムなど幅広く使われている。ただし、SHA-1のHTTPS証明書に関しては、CA/Browser Forumが2016年1月1日以降発行を禁じている。Googleでは2014年リリースのChrom 39からSHA-1証明書の廃止を進め、今年1月リリースのChrome 56でSHA-1のサポートを終了した。Firefox 51も昨年11月のリリース以降、SHA-1証明書を無効化するユーザーを徐々に増やしていたが、24日で移行を終了したそうだ。Firefox 52ではデフォルトで無効化される。一方、MicrosoftはInternet Explorer 11/Microsoft EdgeでSHA-1証明書を使用するWebサイトをブロックする計画だったが、2017年半ばまで延期する方針を22日に発表している。

なお、ShatterdのソースコードはGoogleの脆弱性公表ポリシーに従って90日後にリリースされるが、既に影響が出ているようだ。WebKitのリポジトリはPoCのPDFファイル2本がアップロードされたことで障害が発生したという。Apache SVNは重複ファイルの検出にSHA-1を使うため、正常に動作しなくなったようだ。
13170954 story
Chrome

Google Chromeの追加フォントダウンロードに見せかけた攻撃が確認される 9

ストーリー by headless
偽物 部門より
Google Chromeで必要なフォントが見つからないなどと表示して、Windowsユーザーにマルウェアをインストールさせようとする攻撃が確認されている(NeoSmartのブログ記事The Next Webの記事Neowinの記事Softpediaの記事)。

攻撃の内容としては、JavaScriptを使用してページ内のテキストを文字化けしたように見せかけ、正しく表示するには「Chrome Font Pack」を更新する必要があるとのプロンプトを表示するというもの。プロンプトには現在使用しているChromeのバージョンが反映されておらず、クローズボタンがプロンプトの内部にあるといった問題はあるものの、不足しているというフォントは実在のフォントであり、プロンプト内のテキストや配色なども本物らしい仕上がりとなっている。

しかし、「Update」ボタンをクリックすると攻撃のクオリティは急激に低下するという。プロンプトはインストール手順を説明する内容に切り替わるが、実行するよう指示されるファイルと実際にダウンロードされるファイルの名前が異なる。しかも、Chromeのダウンロードバーには「一般的にダウンロードされておらず、危険を及ぼす可能性」があるとの警告が表示される。また、説明で使われている警告ダイアログボックスの画像は別の実行ファイルのもので、ファイル名や発行者名の部分にぼかしがかけられている。

ただし、Chromeは危険性に関する警告を表示するにとどまり、ChromeもWindows Defenderもマルウェアとは認識しないという。VirusTotalのスキャン結果では59本のセキュリティソフト中、このファイルをマルウェアと認識したのは9本にとどまる。この攻撃を発見したNeoSmart TechnologiesのMahmoud Al-Qudsi氏は、Chromeのセーフブラウジング機能でブロックできるよう、このファイルのコピーをChromeのセキュリティチームに送っているとのこと。なお、Al-Qudsi氏はクラックされたWordPressサイトをブラウズしているときにこの攻撃を発見したそうだ。
13170302 story
著作権

GoogleとMicrosoft、海賊版配信サイトの検索順位を引き下げへ 22

ストーリー by hylom
ブロック 部門より

GoogleやBingといった検索サイトで、海賊版コンテンツを提供するサイトの検索順位を下げる動きがあるという(GardianThe Next WebThe BridgeSEMリサーチ)。

消費者が違法ダウンロードサイトに到達することを防ぐとともに正規配信サイトへと誘導することを目的としており、今夏にもこの変更が検索サイトに適用される見込みのようだ。

これと並行して、違法サイトのブロックや違法サイトの拡散防止、正規サイトからのダウンロードを奨励するキャンペーンなども行われるとのこと。

13170154 story
電力

Samsung、Galaxy Note 7のバッテリーや外装を交換し、整備済製品として販売する計画 61

ストーリー by hylom
欲しい人もいそう 部門より
headless 曰く、

過熱・発火問題を受けて生産終了となり、全品回収が行われているSamsungのGalaxy Note 7だが、回収品のバッテリーや外装を交換し、整備済製品として販売する計画が報じられている(Neowin9to5GoogleSoftpedia韓国経済新聞)。

Samsungによれば、加熱・発火の原因となった3,500mAhのバッテリーを容量の小さいものに交換し、早ければ6月にも販売を開始する計画だという。交換後のバッテリー容量は3,000~3,200mAhになるとみられる。Samsungは旧モデルの整備済製品を米国のオンラインストアで販売しているが、Galaxy Note 7についてはインドやベトナムなどの新興国での販売となるようだ。ただし、同社の関係者によれば、状況によってはGalaxy Note 8発売までのつなぎとして韓国国内でも販売する可能性があるとのこと。なお、Samsung IndiaはGadgets 360に対し、インドで整備済Galaxy Note 7を販売する計画があるとの報道は正しくないと述べている。

Samsungは昨年10月に全品回収を開始した際、修理や改修などを行わずに全品廃棄処分にする方針を示していた。しかし、携帯電話をリサイクルしてもレアアースはほとんど回収できないなど、環境負荷が大きいとの批判も強く、韓国の環境省では課徴金の対象となる可能性についても言及しているそうだ。Samsungは回収したGalaxy Note 7のうち発火原因の調査に20万台以上を使用したが、在庫として250万台が残っているという。整備済製品として販売することで、ある程度の損失を補てんするだけでなく、環境負荷の問題を解決する狙いもあるようだ。

13169093 story
Android

次期Android「O」の名称は何になる? 60

ストーリー by hylom
Okashi 部門より
headless 曰く、

Googleは次期Androidを5月のGoogle I/Oで発表するとみられるが、AndroidおよびChrome OS、Play担当シニアバイスプレジデントのHiroshi Lockheimer氏がOreoを使用したケーキの写真をTwitterに投稿している(Lockheimer氏のツイート9to5Googleの記事[1][2]Phone Arena)。

Androidではバージョン1.5の「Cupcake」以来、アルファベット順にデザートの名前を付けることが恒例になっており、次期Androidは「O」から始まる名前になる。Lockheimer氏の投稿はこれにからめたもののようで、次期Androidは「Oreo」ではないかなどと話題になっている。

ただし、Lockheimer氏はAndroid Nougatの名称発表直前まで「Nutella」を含むツイートを複数投稿しており、特に意味はないとの見方もある。なお、最近は「P」から始まる名前のお菓子「ポッキー」の写真も投稿している。

9to5Googleが実施している次期Androidの名称に関する人気投票では、Oreoが圧倒的な支持を集めているようだ。Oreoはお菓子の種類ではなくブランド名だが、Andorid 4.4 KitKatの例もあるので、可能性がないわけではない。スラドの皆さんが考えるAndroid「O」の名称はどのようなものだろうか。

13163254 story
統計

2016年第4四半期のスマートフォン販売台数は4億3,153万台 45

ストーリー by headless
順位 部門より
Gartnerのデータによると、2016年第4四半期のスマートフォン販売台数は前年同四半期から7%増の4億3,153万台となっている(プレスリリース)。

Appleは2015年第4四半期以降、4四半期連続で前年同四半期から販売台数を減らしていたが、2016年第4四半期は前年同四半期から551万台増(7.7%増)の7,704万台。シェアも0.2ポイント増の17.9%となり、2年ぶりにSamsungを上回って1位となった。2位のSamsungは前年同四半期から666万台減(8%減)の7,678万台で、シェアも2.9ポイント減の17.8%となっている。ただし、AppleとSamsungの差は26万台程度であり、Appleは第4四半期に販売台数が大きく増加する傾向がある。そのため、2017年第1四半期には再び順位が入れ替わる可能性もある。

3位~5位は中国メーカー3社が占めており、販売台数・シェアともに伸びが大きい。3位のHuaweiは前年同四半期から869万台増(27%増)の4,080万台、シェアも1.5ポイント増の9.5%となっている。4位のOppoと5位のBBK Communication Equipmentは販売台数・シェアともに倍増し、Oppoは1,374万台増(106%増)の2,670万台でシェアが3ポイント増の6.2%、BBKは1,293万台増(113.8%増)の2,429万台でシェアが2.8ポイント増の5.6%となっている。3社の販売台数を合計すると9,180万台となり、21.3%を占める。

OS別にみると、Androidが2,728万台増(8.4%増)の3億5,267万台でシェアは1ポイント増の81.7%。iOSはベンダー別のAppleの数字と同じであり、AndroidとiOSの合計で99.6%を占める。Windowsは330万台減(75.2%減)の109万台となり、シェアは0.8ポイント減の0.3%。BlackBerryは70万台減(77%減)の21万台。シェアは0.1%を割り(0.048%)、表の上では0%という扱いになっている。その他のOSも36万台減(40.2%減)の53万台となり、シェアは0.1%となっている。
13161701 story
変なモノ

米マクドナルド、必要以上に革新的なストローを開発 38

ストーリー by headless
二層 部門より
米マクドナルドは15日、デュアルレイヤーシェイク専用の「おそらく必要以上に革新的」というストロー「Suction Tube for Reverse Axial Withdrawal(STRAW)」を発表した(米マクドナルドのニュース記事[1][2]Foodbeastの記事The Vergeの記事Co.Designの記事)。

米マクドナルドは3月17日のセントパトリックスデー前後に限定でミントフレーバーの「Shamrock Shake」を販売している。今年追加される複数の限定メニューのうち、チョコレートシェイクとミントシェイクを2層にした「Chocolate Shamrock Shake」をかき混ぜなくても2つのフレーバーをバランスよく味わえるように開発されたのがSTRAWだ。

STRAWを開発したのは、GoogleのProject Ara開発にも携わったJACEとNK Labs。当初、NK LabsのSeth Newburg氏は長いストローと短いストローを組み合わせればいいと簡単に考えていたという。しかし、残り半分になると短いストローで空気を吸うことになってしまう。さまざまなデザインを検討した末、J字型のストローにたどり着いたそうだ。

硬質プラスチック製のSTRAWは先端部分に加え、屈曲部分と折り返し部分に開けられた穴により、バランスよくシェイクを飲むことができる。量が少なくなってきたときには屈曲部分からのみシェイクが吸い込まれるため、空気を吸ってしまうことはないという。STRAWは2,000本限定。米国内の一部の店舗でのみ、Chocolate Shamrock Shakeを購入した人に先着順で無料提供される。
13160838 story
Google

Googleの謎OS「Andromeda」の正体は「Fuchsia」だった 68

ストーリー by hylom
しかしどっちにしろ謎は多い 部門より
あるAnonymous Coward 曰く、

GoogleはLinuxカーネルに依存しない新しいオープンソースOS「Fuchsia」を作っている(過去記事)。また、AndroidとChrome OSの後継として「Andromeda」というOSも開発されているという別の報道もあったが、その実体は不明であった。しかし、半導体アナリストのDaniel Matte氏がFuchsiaプロジェクトのソースコードを調査した結果、両OSは基本的には同一のものだと判断されたという(Tech SpecSlashdot)。

一般的にはChrome OSがAndroidに統合されつつあるとみられていたが、同氏の目からするとAndroidとChrome OSの両方がFuchsiaに統合されつつあるという。根拠の一つは新OSの対応CPUであるようだ。FuchsiaはARM、x86およびMIPSに対応、Intel CPUを搭載したノートPCで動作することも明らかだという。

13159630 story
Oracle

AndroidにおけるJava APIの使用を巡るOracle対Googleの裁判、Oracleが上訴 16

ストーリー by hylom
まだやるの 部門より

OracleがAndroid OSにおけるJava APIの使用を巡ってGoogleを提訴していた問題で、2月10日Oracleが上訴を行った(ZDNet Japan)。

この裁判は、GoogleがAndroid OS内でOracleに無断でJava APIを実装・提供したことが知的所有権の侵害に当たるとしてAndroidの配布中止や賠償金支払いを求めていたもの(過去記事)。

裁判では、Googleが独自に実装したJava APIが特許や著作権の保護対象であるかどうかがまず争われた。これについては2012年に米カリフォルニア州北部地域連邦地裁が著作権侵害は認めらないとの判決を下しOracleに対しGoogleの訴訟費用支払いを命じた。しかしその後Oracleは控訴、2審の米連邦巡回区控訴裁判所はGoogleによる著作権侵害を認めた。これに対しGoogleは上告していたが2015年にこれが却下され、Java APIは著作権法で保護されるということが決定したものの、2016年にはGoogleによるJava APIの利用はフェアユースに該当し責任を問われないという判断が出ていた

13159639 story
インターネット

Amazon、Skypeなどと競合する音声/ビデオ通話サービス「Amazon Chime」を提供開始 14

ストーリー by hylom
とりあえず出してみた? 部門より
あるAnonymous Coward曰く、

AmazonがSkypeやGoogleハングアウトなどの対抗となる音声・ビデオ通話サービス「Amazon Chime」を提供開始した(TechCrunchSlashdot)。

GeekWireによれば、アプリ内のボタンをクリックするだけで簡単に会議参加できるとしている。なお@ITによればほかの同等サービスと比べても、特にユニークな機能は見当たらないとのこと

ちなみにAmazon.com(Amazon.co.jp)のアカウントをそのまま使えるが、提供元となるAmazon Web Services(AWS)ではスケジュール管理などの都合から、個人用のAmazonアカウントとは別のアカウントを作成することを推奨しているそうだ。

13159460 story
アメリカ合衆国

米カリフォルニア州オーロビル・ダムに決壊の危機 27

ストーリー by hylom
老朽インフラの危機 部門より
あるAnonymous Coward 曰く、

米カリフォルニア州のオーロビル湖に設置されている全米一の高さを持つオーロビル・ダムGoogleマップ)の放水路が損壊し、決壊の可能性がある状況になっているという(CNN.co.jp朝日新聞)。これにより、付近の住民ら約20万人が一時避難する事態になったそうだ。

同ダムでは大雨が続いたことによって水位が上がった状態となったが、メインの放水路は深さ12メートル以上の陥没穴が開いており利用できない状況になっていたという。そのため緊急用の放水路を初めて使用することとなったが、こちらでも浸食が起きており、放水路がいつ決壊してもおかしくない状況になっていたという。現在では放水によってオーロビル湖の水位は低下しており、状況はやや改善されたようだ。

13159448 story
Google

YouTube上にある日本のレーベルに所属しているアーティストのMVはアメリカからは見られない 17

ストーリー by hylom
しわ寄せは消費者とアーティストに 部門より
insiderman 曰く、

昨今ではミュージックビデオをYouTube上で公開することは珍しくないが、日本の音楽レーベルに所属しているアーティストのミュージックビデオの多くは、アメリカやオーストラリアからは視聴できないという(Togetterまとめ)。

日本のロックバンド、くるりの岸田繁氏がYouTube上でのミュージックビデオ公開を告知したところ、海外からは見られないという反応があったことが発端。ミュージシャン田中潤氏のブログによると、YouTube側と日本のレーベル側との契約問題が原因のようだ。

YouTubeは2015年に定額配信サービス「YouTube Red」を開始したが、当時このYouTube Red関連の契約に合意していないアーティストのコンテンツはYouTube上から削除されるという話もあった(過去記事1過去記事2)。この辺りが原因となっているようである。

13157783 story
携帯電話

企業が最も禁止しているモバイルアプリはゲーム「Angry Birds」 32

ストーリー by hylom
意外に真面目なラインアップ 部門より
あるAnonymous Coward 曰く、

MobileIronが14日に発表した報告書によると、ビジネス用モバイルアプリの使用は急増、10以上のビジネス用アプリを使っている企業は全体の80%近くを占めているという。そんな中、企業が使用禁止アプリとしてブラックリスト入りしている上位10位が発表された。2016年第4四半期の上位10アプリは以下の通り(プレスリリースFORTUNESlashdot)。

  • 1位:Angry Birds
  • 2位:Dropbox
  • 3位:Facebook
  • 4位:Whatsapp
  • 5位:Twitter
  • 6位:Skype
  • 7位:OneDrive
  • 8位:Outlook
  • 9位:Netflix
  • 10位:Google Drive

この調査では、2016年10月1日から2016年12月31日までの期間、世界中の7800社に対してアンケートを行った。Android、iOSおよびWindows端末のアプリを対象に調査しているという。

情報流出のリスクがあるものが大半を占めているが、1位のAngry Birdsはゲームであるため、ほかのアプリとはやや毛色が違う。Angry Birdsは年齢や住所、デバイス識別番号などを暗号化無しに送信していることが知られており、世界中の企業で個人情報流出のリスクの高いアプリとして知られているのが理由であるようだ。 。

13155997 story
海賊行為

Googleドライブの海賊版共有対策はハッシュ値の照合? 12

ストーリー by hylom
これだけではないかもしれないが 部門より
headless 曰く、

Googleドライブは容量が許す限りどのようなファイルでも保存できることから、海賊版の共有に使われることも多いという。Googleではこのような問題への対策として、海賊版の公開用リンク生成をブロックしているようだ(TorrentFreak)。

Googleドライブに格納したハリウッド映画のスクリーナー(メディアなどに提供されるサンプル版)のコピーを共有しようとしたところ、警告が表示されてリンクが生成できなかったとの報告を読者から受けたTorrentFreakでは、同様の現象が再現することを確認したという。

警告は利用規約に違反する可能性があるといったもので、違反の詳細は提示されないが、米デジタルミレニアム著作権法(DMCA)に基づく削除要請の手順を解説するページへのリンクが含まれていたとのこと。TorrentFreakの問い合わせに対し、Googleでは不正利用防止対策の詳細についてはコメントできないと回答している。

Googleは米著作権局が昨年開催した円卓会議で、Googleドライブにおける海賊版対策として、ファイルのハッシュ値を利用して検出する仕組みを導入済みだと回答している。そのため、Googleドライブのコンテンツに対する有効な削除要請を受けた場合にハッシュ値を記録し、他のユーザーが同じファイルを共有しようとした場合に警告する仕組みだとTorrentFreakはみているようだ。

typodupeerror

Stableって古いって意味だっけ? -- Debian初級

読み込み中...