パスワードを忘れた? アカウント作成

13652273 story
Google

EU、Googleに罰金5700億円という過去最高金額の制裁金支払いを命じる 42

ストーリー by hylom
今度はAndroid 部門より

欧州委員会が7月18日、Googleに対し43億4000万ユーロ(約5703億円)の制裁金支払いを命じた(ITmediaギズモード・ジャパン)。

Googleに対しては2017年にも欧州委員会がWeb検索で自社を優遇したとして3000億円の制裁金を課しているほか、ロシア米ミズーリ州などでも同様のトラブルを起こしている。

今回の問題は、GoogleがAndroid端末に対しGoogleのアプリをプリインストールさせているとし、これが反競争的であるとされたもの。また、こういった慣行を90日以内に停止することも命じている。

これに対しGoogleは上訴するとしている。

13651327 story
広告

プライベートな情報を集めるデジタル広告の「体験談」を集めるサイトが登場 26

ストーリー by hylom
見ているぞ 部門より
あるAnonymous Coward曰く、

昨今では多くのネット広告企業がユーザーのネット上でのアクティビティを追跡・記録し、そのデータを元に表示する広告を決定するアルゴリズムを提供している。しかし、これに対し「監視されている」と感じる人は少なくない。さらに最近では、ネット以外の場からデータが収集されることもある。こういった状況を受けて、有志が「広告業者が自身のプライベートな情報を知っている」と感じた体験談を集める「New Organs」なるWebサイトが立ち上げられた。

このサイトでは、「電話が盗聴されている」「広告が誰にも言わなかったことを知っている」「リアルショップで買ったものが知られている」、といった選択肢を選んだ上で、何が起こったかを投稿できる。すでに700件近くの「証言」が寄せられているという。

このサイトを立ち上げたTega Brain氏とSam Lavigne氏は、このようなフレームワークを「New Organ(新しい臓器)」と呼称した。新しい臓器は個人データに対する飽くなき食欲を持っている。最初にオンライン活動を追跡しそのうちクレジットカードの数、所得などが収集される。そして新しい臓器は、オフライン生活についての商業データブローカーから購入されたデータも飲み込み始める。この情報を基にしてフレンドリストにある友人のデータも利用することで、さらに新たな情報を獲得するようになる。

新しい臓器はますます洗練されたアルゴリズムと統合され、現実に存在しない製品を広告主に提案するようになるのかもしれない(Thw OutlineSlashdot)。

13651161 story
Chrome

Operaベータ版、Chromeウェブストアからの拡張機能インストールに対応 4

ストーリー by hylom
OperaのChrome化 部門より
headless曰く、

12日に提供が始まったデスクトップ版Opera 55 betaでは、Chromeウェブストアから拡張機能をインストールできるようになっている(Opera blogsSoftpediaベータ版ダウンロードページ)。

Google ChromeではChromeウェブストアの拡張機能情報ページ右上に「CHROMEに追加」というボタンが表示され、ここから拡張機能をインストールできる。一方、他のブラウザーでは拡張機能情報の閲覧のみ可能となっている。

Opera 55 betaでChromeウェブストアを開くと、Chromeウェブストアから拡張機能をインストールするかどうか確認する通知バーが表示される。 ここで「拡張機能をインストールする」をクリックすると「Install Chrome Extensions」というOperaアドオンが追加され、Chromeウェブストアの拡張機能情報ページ右上に「OPERAに追加」というボタンが表示されるようになる。ただし、このボタンをクリックしてもChrome拡張が直接追加されるわけではなく、拡張機能マネージャーでインストールを完了する必要がある。テーマにも「OPERAに追加」ボタンは表示されるが、テーマをインストールすることはできない。

なお、Install Chrome Extensionsをインストール後に削除すると、Chromeウェブストアを開いても通知バーは表示されなくなるようだ。この場合もOperaアドオンサイトから再インストールすれば、Chromeウェブストアを利用できるようになる。Install Chrome Extensions自体は以前から提供されていたものだが、別途のインストールが不要になることで手軽に利用できるようになる。

このほか、Opera 55 betaでは設定画面が基本と詳細に分割されており、アドレスバー左端のバッジをクリックすると表示されるサイト情報パネルに証明書やCookieの情報、サイト設定呼び出しボタンが追加されている。

13650011 story
著作権

動画の無断再アップロードを検出するYouTubeの新ツール「Copyright Match」 30

ストーリー by hylom
今までなかったのが不思議なくらい 部門より
headless曰く、

YouTubeは11日、他ユーザーによる動画の再アップロードを検出するツール「Copyright Match」を発表した(YouTube Creator BlogBetaNewsNeowin)。

Copyright Matchではアップロードされた動画に似た動画をスキャンし、一致する動画を最初にアップロードした人にのみ検出結果を通知する。これまで自分の作成した動画の再アップロードを発見するのは困難だったが、Copyright Matchにより容易に発見可能となる。再アップロードされた動画に対しては、そのままにしておくことも、削除要請を行うことも可能だ。ただし、パブリックドメインの動画など、自分が著作権を持っていない動画への削除要請はできず、フェアユースも考慮する必要がある。

Copyright MatchはContent IDと似たような技術だが、無断再アップロードに悩まされるクリエイター向けに特化したのがCopyright Matchだという。コミュニティ全体にとって安全で効果的なツールとするため、すでに1年近くにわたってテストしてきたそうだ。YouTubeでは今週から10万人以上のサブスクライバーを持つクリエイターにCopyright Matchの提供を開始し、今後数か月かけて提供を拡大していく。長期的にはYouTubeパートナープログラムに参加するすべてのクリエイターに提供することが目標とのことだ。

13647687 story
GUI

ダーク系のUIテーマ、使ってる? 71

ストーリー by headless
暗黒 部門より
Firefox NightlyがWindows 10のライト/ダークモード設定を反映するようになった(Firefox NightlyのツイートBug 1368808)。

Windows 10のライト/ダークモード設定は「設定」アプリの「個人用設定→色→既定のアプリモードを選択します」で選択できる白/黒の配色モード設定だ。この設定が反映されるのは一部のUWPアプリのみで、Windows 10 Insider Previewビルドではエクスプローラーにも反映されるようになっているが、Microsoft Edgeですら別途設定する必要がある。Firefox Nightlyの場合、デフォルトのテーマを選択した場合にWindows 10のライト/ダークモード設定が反映されるようになる。

ライトモードの方は標準的な配色なので特に問題ないが、ダークモードでは非対応アプリの画面がまぶしく感じられることもある。Windows 10に限らず、Webブラウザーの場合はダークモードでも表示内容がWebページ次第となるものが多い。AndroidアプリSamsung Internet BrowserのナイトモードはWebページの配色もダーク系に変更されて見やすいが、メニュー表示やタブ切り替え時などに白い部分が多くなってやはりまぶしい。スラドの皆さんはOS/アプリでダーク系のUIテーマを使用しているだろうか。
13647502 story
Chrome

デスクトップ版Chrome 67、Spectreなどの対策としてSite Isolationが有効に 19

ストーリー by headless
対策 部門より
デスクトップ版のChrome 67ではSpectre/Meltdownなどの脆弱性を狙う投機的実行のサイドチャネル攻撃を緩和するため、すべてのサイトを別プロセスで読み込む「Site Isolation」が有効になっているそうだ(Google Security Blogの記事Ars Technicaの記事The Registerの記事BetaNewsの記事)。

Chromeでは以前からタブごとに別のプロセスを使用しているが、タブ内のiframeやポップアップで別のサイトが読み込まれる場合はメインタブと同一プロセスが使われていたという。通常は同一オリジンポリシーによりクロスサイトiframeやポップアップの内容にメインドキュメントからアクセスすることはできないが、何らかの脆弱性を狙われた場合にはSpectreに限らず、Site Isolationが有効な緩和策となる。また、Webページがサブリソースとして読み込もうとするクロスサイトのHTML/XML/JSONレスポンスをブロックするCross-Origin Read Blocking(CORB)も含まれる。なお、同一ドメインのサブドメインについては同一サイト扱いになるとのこと。

Site IsolationはChrome 63 で実験的な企業向けのポリシーとして実装されており、多くの問題が解決されたことから、デスクトップ版Chromeの全ユーザーで有効にできるレベルに達したという。ただし、現時点で有効になっているのは99%のユーザーで、1%はパフォーマンス改善などのため無効のままにしているそうだ。プロセス増加により、メモリー使用量は10~13%程度の増加が見込まれる。

Site Isolationの動作はhttp://csreis.github.io/tests/cross-site-iframe.htmlを開いて「Go cross-site (complex page)」をクリックし、Chromeのメニューから「その他のツール→タスクマネージャ」を選んでタスクマネージャを起動すれば確かめられる。有効になっていればiframeに読み込まれたサイトが「サブフレーム」として表示されるはずだ。
13646934 story
Android

Android「P」はピスタチオ? 30

ストーリー by headless
激戦区 部門より
Googleの次期モバイルOS「Android P」をポーランドのHuaweiサポートが「Android Pistachio」と呼んだと、ポーランドのWebメディアTabletowoに読者がスクリーンショット付きでタレこんでいる(Tabletowoの記事BetaNewsの記事SlashGearの記事)。

このスクリーンショットは読者とHuaweiサポート担当者とのライブチャット画面だ。読者は当初、Huawei P9 lite miniにメジャーアップデート(Android 8.0 Oreo/EMUI 8.0)の提供予定があるかどうかを質問している。その後、他モデルのスペックからメジャーアップデート提供を予測する話になり、担当者が最新OSを「Android Pistachio」と説明している。

Androidはバージョン1.5「Cupcake」以降、メジャーバージョンはデザートの名前をアルファベット順に付けるのが恒例となっており、次期バージョンは「P」となる。ただし、この担当者が「Pistachio」を正式な名称として使用したのかどうかは不明だ。2月にはBloombergがGoogle内部でのコードネームを「Pistachio Ice Cream」と報じており、省略してそう呼んでいるだけの可能性もある。

GoogleはAndroidの名前が甘い食べ物である必要はないとたびたび示唆しているが、これまでに甘くない食べ物が選ばれたことはない。また、Android 4.4以降、内部コードネームが正式な名前になったこともない。TabletowoのGrzegorz Dąbek氏はピエロギを希望しているようだが、どうなるだろうか。
13643224 story
Android

Android PではWPSが廃止に? 18

ストーリー by hylom
専用アプリで、が妥当なのかも 部門より
headless曰く、

Googleの次期モバイルOS「Android P」ではWPS(Wi-Fi Protected Setup)のサポートが廃止されるようだ(Android Police)。

Android Pでは5月のDeveloper Preview 2(DP2、API 28)でWifiManagerクラスのWPS関連メソッドやフィールド、WifiManager.WpsCallbackクラス、WpsInfoクラスが非推奨になっており、設定→Wi-FiでもWPSオプションが削除されていたらしい。これらの点はDP2の段階でIssue Trackerに上がっているが、動作変更点としては記載されないままDP4までWPSオプションは復活していない。

Wi-Fi機器間での暗号化設定をPINやボタンで容易に実行できるようにするため策定されたWPS規格だが、PIN認証では総当たり攻撃が可能な脆弱性が発見されている。しかし、WPS規格ではPIN認証が必須となっていることから、新しいルーターの中にはWPS搭載を避ける機種も増えているそうだ。

13640930 story
Google

Googleのクラウドサービスは機械的な判断で突然システムを止めることがある 50

ストーリー by headless
不審 部門より
hylom 曰く、

風力・太陽光発電プラントの監視システムをGoogle Cloud Platform(GCP)上で構築・運営していた企業が突然アカウントを一時停止され、システムを運用できなくなるというトラブルが発生したそうだ(Mediumの記事The Registerの記事)。

このシステムは、8か国にわたって設置された数百の設備を1か所で24時間/365日監視するという大規模なもので、状況に応じて発電量を調整するといったクリティカルな作業も行っていたという。

しかし、6月28日に全サイトがダウンしているとUptime Robotからの警告があり、Googleからは「potential suspicious activity (潜在的に疑わしい活動)」を検出したので全システムを停止したと知らせる電子メールが届く。その時点で既にクラウド上のアプリケーションやデータベースに接続できない状態になっており、カスタマーサービスチャットや電話連絡もできなかったそうだ。

Googleが検出した疑わしい活動はサービス料金の支払いに関するもので、クレジットカードと政府が発行したクレジットカード名義人の写真入り身分証明書の写真を3営業日以内にアップロードするよう求めていた。そこでシステムの運営担当者がカードの名義人に連絡を取って情報を送信したところ、20分後にはシステムが復帰したそうだ。このときはカード名義人のCFOにすぐに連絡が付いたため数時間のダウンタイムで済んだようだが、情報送付が遅れたらすべてのアプリケーションやデータを削除するとも記載されていたとのこと。

なお、これを報告しているユーザーによれば、AWSではサービスをブロックする前に警告し、ユーザーが事情を説明したり問題を解決したりする猶予を与える、より「人間的な」方法で決済に関する問題を解決するという。こういった問題が解決されない限り、今後新しいプロジェクトをGCPで構築することはないとも述べている。

13640098 story
Chrome

Chrome 67で封じたはずのダウンロード爆弾バグが復活。Firefox、Vilvadiなども影響 26

ストーリー by hylom
蘇ってしまった 部門より
あるAnonymous Coward曰く、

Google Chrome 67がリリースされたばかりだが、Chrome 65で修正されたはずの「Download bomb(ダウンロード爆弾」バグが復活したという。Bleeping Computerのテストによると、Firefox、Vilvadi、Opera、Braveなどのブラウザにも影響を与えているとしている。Internet ExplorerとEdgeには影響はない(Bleeping ComputerFOSSBYTESAppualsSlashdot)。

Download bombはファイルをダウンロードしてローカルに保存するAPIを悪用したもので、悪意のあるページにアクセスした際に何百から何千ものダウンロードを行わせてブラウザをフリーズさせるとともに、この問題を解決するための「サポート電話番号」を提示、ブラウザのロックを解除するために一定の金額を要求するといった「テクニカルサポート詐欺」などで使われていた( 過去記事)。

皮肉なことに最新のChrome 67(67.0.3396.87)でこの問題が復活したことで、ブラウザーを最新の状態に保っている人ほど問題を引き起こす可能性があるとしている。

13640087 story
Google

Google、サードパーティアプリ開発者がユーザーのGmailを読めることを否定せず 26

ストーリー by hylom
ただしOAuthでの認証の必要あり 部門より
headless曰く、

Googleがサードパーティアプリ開発者にユーザーのGmailメッセージ閲覧を認めているというWSJの報道を特に否定することもなく、Gmailのセキュリティとプライバシーについてブログで解説している(The KeywordブログVentureBeatThe VergeNeowin)。

WSJの報道内容はGoogleがGmailでメール内容を読み取ってそれにマッチした広告を表示することをやめた一方で、数百のサードパーティアプリ開発者に受信トレイのスキャンを許可しており、場合によっては人間のエンジニアがメッセージの内容を閲覧しているというもの。記事では悪用が確認されているわけではないとしつつ、機械学習で必要なデータを抽出するためにエンジニアがユーザーの電子メールを読む、といったサードパーティ開発者の慣行を紹介している。なお、GmailだけでなくMicrosoftやYahooの電子メールについても同様の処理が行われていることも示唆されている。

これに対しGoogleでは、アプリにGoogleアカウントへのOAuthアクセスを認める前に審査を行い、ポリシー違反が確認されたら許可を停止するなど、ユーザーの選択を可能にする一方で不正アプリから保護していると主張する。また、Google以外のアプリについては事前にアクセスするデータを明示してユーザーの許可を求めており、GoogleアカウントのSecurity Checkupでアクセス許可を閲覧・削除できることなどを説明している。

ただし、審査に通ってしまえば不正の有無をGoogleが確認するのは困難になるとみられる。また、ユーザーに許可を求める画面ではアプリが電子メールにアクセスすると表示されるが、これで開発者が電子メールを読むことがあるとは認識できない点も指摘されている。

13639431 story
プライバシ

EUの一般データ保護規則(GDPR)、多くの企業で対応が不十分という指摘 41

ストーリー by hylom
ですよね 部門より

EUの一般データ保護規則(GDPR)が5月25日に施行された(過去記事)。GDPRではEU域内のユーザーが利用するサービスがプライバシに関する情報を収集する場合、収集する内容の提示と収集への同意を求めるよう求めており、多くのWebサイトがこれに対応すべくプライバシポリシやサイトの修正を行っている。しかし、実際には多くの企業がプライバシに関する情報の取り扱いについてGDPR施行前と同じ対応をしており、こういった修正は単なるパフォーマンスだという指摘が出ている(GIGAZINE)。

GDPRでは「収集する内容の提示と収集への同意」について、具体的にどのようにすべきかということは定められていない。そのため、単に表示を出すようになっただけのサイトや、以前使っていたCookieの利用に関する情報提示ポップアップの文言を書き換えただけのサイトも少なくないようだ。

なお、すでにGDPR違反としてGoogleやFacebookが提訴されており、こういった裁判の結果が具体的にどういった対応を行えばよいのかの指針になると期待されているようだ。

13639319 story
Android

Android P Beta 3の提供が始まる 2

ストーリー by hylom
次へ 部門より
headless曰く、

Googleは2日、Android P Beta 3(Developer Preview 4)の提供を開始した(Android Developers Blogの記事)。

Android PのAPI(API 28)は6月のBeta 2でファイナライズされており、Beta 3は初期のリリース候補ビルドとしてファイナル版に近いシステムの挙動を確認できる。PixelデバイスおよびAndroid Emulator用のシステムイメージとビルドツールが更新されており、マルチカメラのサポートノッチのサポート (DisplayCutout)など、Android Pの新機能を確認するのに必要な機能がすべて含まれるとのこと。

Android Pをターゲットにしたアプリの開発はAndroid Studio 3.1でAPI 28 SDKをインストールするか、Android Studio 3.2を使用し、プロジェクトのcompileSdkVersionとtargetSdkVersionを28にすればいい。非SDKインターフェイスの制限など、Android Pで変更される点についても確認しておくことが推奨されている。

13637541 story
Google

GoogleのHTTPSへの移行プロモーションは正しくないのか 83

ストーリー by hylom
キャリアがデータを改ざんする可能性は十分あるんだけどなあ 部門より
あるAnonymous Coward 曰く、

GoogleはHTTPSプロトコルの採用を促進することで、ウェブ上のセキュリティを強化する方針を打ち出している。これに対し反対する声がSlashdotで紹介されている(Slashdot)。

反対の理由としては、まずGoogleが勝手にWebのルールを決めることに対する反感が挙げられている。それに加えて、Web上にはメンテナンスされていないWebサイトのコンテンツがあり、こういったコンテンツはHTTPに対応できないといったことが挙げられている。そのため、GoogleのHTTP廃止計画が成功すれば、多くの過去のWebサイトのコンテンツにアクセスできなくなる可能性があるとし、Googleの試みは、大量の本を燃やす焚書のようなものだと指摘している。

またSlashdot読者の一人は、HTTPで運用されているの多くは、ユーザーデータを収集したり、ユーザーとのやりとりを提供していないことから、HTTPSを使用しない「リスク」は無関係であると指摘している。

13636711 story
プライバシ

Webブラウザー「Brave」、プライベートタブにTorを統合 2

ストーリー by hylom
回線的にもプライベート 部門より
headless曰く、

「広告を見てくれたら謝礼金を支払う」などのユニークなアイデアが話題になったデスクトップ向けWebブラウザ「Brave」が、ベータ機能としてプライベートタブにTorを統合した。この機能は6月28日にリリースしたBraveのバージョン0.23で利用できる(BraveのアナウンスRegisterV3)。

Torの統合はBraveユーザーが簡単にプライバシーの強化されたプライベートタブを利用できるようにするためのものだといい、ハンバーガーメニューから「New Private Tab with Tor」を選択すればTorを有効化した状態でプライベートタブを開くことができる。なお、通常のプライベートタブと基本的には同じもののようで、Torの有効/無効はタブの開始ページにある「Make this tab much more private with Tor」で切り替えることも可能だ。

通常のプライベートタブではデフォルトのサーチエンジンがGoogleになっているが、タブでTorを有効にするとDuckDuckGoに切り替わる。Torを無効にしたままでもタブの開始ページにある「Private search with DuckDuckGo」で簡単にDuckDuckGoへ切り替えられる。なお、Torを有効にした状態でDuckDuckGo以外のサーチエンジンを使用するには、設定画面の「Search」で「Use DuckDuckGo by default for search in Private Tabs with Tor」をオフにする必要がある。

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...