パスワードを忘れた? アカウント作成

今週も投票をしましたか?

13780969 story
インターネット

スターバックス、米店舗のWi-Fiにポルノブロック機能を導入へ 75

ストーリー by headless
導入 部門より
スターバックスが来年から米店舗のWi-Fiにコンテンツフィルターを導入し、ポルノや違法コンテンツの閲覧をブロックするそうだ(The Vergeの記事Business Insiderの記事The Next Webの記事)。

スターバックスは2016年、米NPOのEnough Is Enough(EIE)の要請に対しポルノコンテンツのブロックを検討すると回答していたが、2年以上経過した現在もポルノ閲覧を禁じるのみでブロックは実施されていないという。そのため、EIEではスターバックスが約束を破ったと批判し、11月20日から署名キャンペーンを開始。1週間ほどで目標とする5万人の半数を超える署名を集めていた。

一方、スターバックスでは2年の間に複数のコンテンツフィルタリング技術をテストしていたといい、ようやく適切なソリューションを特定できたので2019年から米店舗での導入を順次開始する、とBusiness InsiderやThe Vergeに伝えたとのこと。現在のところスターバックスからの公式な発表は出ていない。

EIEが「National Porn Free Wi-Fi」キャンペーンを開始したのは2014年。2016年にはマクドナルドがEIEの要請に応じてコンテンツフィルターを導入するなど、大手ファーストフードチェーンの多くが店舗のWi-Fiでポルノコンテンツをブロックする中、スターバックスは大きく出遅れていた。
13780668 story
クラウド

AWS LambdaがCOBOLをサポートしたことが話題に 61

ストーリー by hylom
コードをそのまま使いたいという需要は分かる 部門より
あるAnonymous Coward曰く、

Amazon.comの「Amazon Web Services(AWS)」ではさまざまなクラウドサービスが提供されているが、その1つである「AWS Lambda」にてCOBOLが利用できるようになったことが話題になっている(AWS News BlogPublickeyDevelopersIOTogetterまとめ)。

AWS Lambdaは小規模なプログラムをAWSのインフラ上で実行できるサービスで、リクエストやイベントをトリガとして処理を実行する。今までAWS Lambdaで実行できるコードはNode.js、Java、Go、C#、Pythonの5言語に限られていたが、今回はここにRubyが追加されるとともに、「Custom Runtime」としてサードパーティによる言語の追加が可能となり、新たにC++、Rust、Erlang、Elixir、COBOL、PHPのサポートが追加された。COBOLのサポートはBlu Ageが提供する

ネット上で特に話題となっているのがCOBOLの追加で、COBOL対応が発表されるとTwitterでは困惑の声とともにCOBOLがトレンド入りしたほか、会場内でも笑い声が上がったそうである。まさかのCOBOLシステムのAWS Lambda移行がやってくるのだろうか?

なお、AWS Lambdaでは実行できる処理内容に制約があるため、任意のプログラムをAWS Lambdaにそのまま移行できるわけではない。

13779644 story
オープンソース

npmリポジトリで公開されているパッケージに仮想通貨を盗むマルウェアが混入 15

ストーリー by hylom
ピンポイントで狙っていたのか 部門より
あるAnonymous Coward曰く、

JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した(Qiitaに投稿された解説記事event-stremパッケージに対するチケットRegisterZDNet)。

このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。

問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。

13771685 story
Java

AWSが独自のOpenJDK「Amazon Corretto」発表 46

ストーリー by hylom
Amazonに依存するか、Oracleに金を払うか、それとも 部門より
あるAnonymous Coward 曰く、

米Amazon.comが独自にサポートを提供するOpenJDKディストリビューション「Amazon Corretto」を発表した(PublickeyOSDN Magazine)。

Java 8は2023年まで、Java 11は2024年まで無償でLTSを提供する。

LinuxだけでなくWindowsやmacOSもサポート対象になる。OpenJDK 8ベースのものとOpenJDK 11ベースのものも提供を予定している。Amazon.comは社内でOpenJDKを運用しており、独自に互換性テストなども行っているとのことで、こえrを外部にも提供するという。

なお、Javaを開発した元Sun Microsystemsのジェームズ・ゴスリン氏は現在Amazon.comのAWS部門に所属しているとのこと。

13771596 story
Mozilla

Mozilla Thunderbird、2019年の大きな計画に向けてソフトウェアエンジニア募集 10

ストーリー by hylom
単価が気になる 部門より

オープンソースのメールソフト「Thunderbird」プロジェクトが来年の「大きな計画」のため、ソフトウェアエンジニアを募集している(The Mozilla Thunderbird Blog)。

業務内容はThunderbirdの改善とメンテナンスで、求められるスキルとしてはオープンソース開発に対する知識や大規模ソフトウェアシステム開発に対する知識と経験、JavaScriptおよびHTML、CSS、C++の知識、デバッグ能力などが挙げられている。

報酬に関する条件は書かれていないが、作業時間は週当たり最大40時間、6か月間(延長の可能性アリ)の契約でリモート作業がメインになるようだ。

13765095 story
お金

StatCounterへのサイバー攻撃でビットコインを盗むコードが暗号通貨取引サイトに埋め込まれる 3

ストーリー by headless
攻撃 部門より
世界200万件以上のWebサイトにトラッキングコードを設置してブラウザーやOSのシェアを集計するStatCounterがサイバー攻撃を受け、暗号通貨取引サイトGate.ioのユーザーをターゲットにするスクリプト改変が行われていたそうだ(WeLiveSecurityの記事Gate.ioの発表The Registerの記事Softpediaの記事)。

改変されたのは「www.statcounter.com/counter/counter.js」というファイルで、悪意あるコードが追加されていたという。悪意あるコードの内容としては、表示中のURLに「myaccount/withdraw/BTC」が含まれている場合、StatCounterと似たドメイン名の「statconuter.com」からビットコインを盗み出すスクリプトを追加するといったものだ。

悪意あるコードはStatCounterのトラッキングコードを使用するサイトに埋め込まれただけでなく、StatCounterのWebサイトにも埋め込まれていたとみられるが、「myaccount/withdraw/BTC」を含まないURLへのアクセス時にユーザーが攻撃を受けることはない。ESETの調べによると、「myaccount/withdraw/BTC」を含むURLがある暗号通貨取引サイトはGate.ioのみだという。そのため、Gate.ioのユーザーをターゲットにした攻撃とみられている。

ESETによれば改変が行われたのは11月3日で、6日にESETから報告を受けたGate.ioはStatCounterの使用を中止した。悪意あるコードは既にcounter.jsから削除されているが、現在のところStatCounterからの発表は特に出ていないようだ。
13762875 story
ソフトウェア

AVAST社、仮想通貨マイニング関連ソフトウェアをマルウェアと判定する基準を発表 88

ストーリー by hylom
個人情報収集系もこれくらいの基準が必要では 部門より

セキュリティソフトなどを手がけるAVAST Softwareが、「仮想通貨採掘行動のガイドライン」を発表した(仮想通貨WatchAVASTの発表)。

最近ではユーザーの同意を得ずにインストールしたマシンのリソースを使って仮想通貨採掘を行うようなソフトウェアが登場しており問題となっている。今回のガイドラインはこうしたソフトウェアを「悪意のあるソフトウェア」としてブロックするための判断基準を示すものだ。

こういった機能を持つソフトウェアをマルウェアと判断しないための基準としては、初回のインストールおよび実行時に採掘機能のオン/オフをユーザーが明示的に指定できること、指定を行って初めてそれに従って採掘を開始すること、分かりやすい表示を行い「同意しない」を選択する場合に余計な手間がかからないこと、などが挙げられている。

また、最近ではJavaScriptを使って採掘を行うWebサイトについても問題となっているが、こういったサイトについても悪意のあるサイトかどうかを判断する基準が記されている。

13761090 story
Google

Google、アカウントへのサインイン時にJavaScript有効化を必須にする方針 51

ストーリー by hylom
JavaScriptなしで動くGoogleサービスってあったっけ 部門より
あるAnonymous Coward曰く、

Googleは今後、Googleアカウントへのサインイン時にJavaScriptの利用を必須にする方針だという。ログイン時にJavaScriptでの「リスク評価チェック」を実行するというのが理由(CNET JapanSlashdotExtremeTech)。

なお、GoogleのデータによるとJavaScriptを無効にしているユーザーは0.1%ほどだそうだ。

13747125 story
教育

無料キャンペーン期限をJavaScriptで自動更新していたプログラミングスクール、景表法違反もろもろで炎上 44

ストーリー by hylom
サーバーサイドで書き換えていれば良かったのに(違う 部門より
あるAnonymous Coward曰く、

侍エンジニア塾」というプログラミングスクールのWebサイトに景品表示法違反の記述がみつかり、そこから芋づる式にいろいろな問題がみつかり炎上騒ぎとなっているようである(元関係者によるまとめ記事AXIAの炎上分析記事)。

発端となったのは、Twitterで報告された次の記述。

今なら入会金10万円無料、<script>addDate(today(),'D',7);</script>日まで

JavaScriptによってキャンペーン期間を表示しており、その日付は常に「閲覧日の1週間後」になることから、露骨な景品表示法違反であるとして騒ぎになった。次いで、解約を求めるユーザーに対して「解約できない契約」「払った金額100%の解約金」といった明らかに違法な回答をしたことも問題となった(行政書士による解説)。さらにコンテンツへも注目が集まり「C言語のサンプルがバグだらけ」「PHPのコードもデタラメ」など、もはや収集が付かない状態と化している。

最近のエンジニア人気(?)でこの手の「1か月でプログラミングの仕事ができる」といった謳い文句のスクールなどがまた増えている印象があるが、実際のところどうなのだろうか?生徒や教師、また採用側の人などいればいろいろ語って頂きたい。

13729148 story
Firefox

非常に長い名前のBlobでFirefoxをクラッシュさせる攻撃 29

ストーリー by hylom
新バグ 部門より
headless曰く、

CSSを使用してSafariをDoS攻撃する実証コードが先日話題になったが、作者のSabri Haddouche氏(pwnsdx)が今度はJavaScriptを使用してFirefoxをDoS攻撃する実証コードを公開している(Bleeping ComputerBetaNewsNeowin)。

この攻撃は非常に長い名前のBlobを生成して繰り返しダウンロードさせることでFirefoxがクラッシュするというもの。条件によってはOSがクラッシュすることもあるという。実証コードはGitHubで公開されているほか、Webサイト「Browser Reaper」で実際に動作を試すことも可能だ。Windows 10上のFirefox 62で試してみたところ、メモリ使用率が大きく増加していき、Windows自体の操作も困難になった。長い時間はかかったものの何とかPCをスリープさせることができ、復帰後にFirefoxのみクラッシュしたが、放置すればWindowsごとクラッシュするかもしれない。なお、Bleeping Computerの記事ではモバイル版のFirefoxには影響しないとしているが、Android版Firefoxで実行して放置するとアプリがクラッシュした。

この攻撃は以前話題になったGoogle Chromeに対する攻撃と似ている。ChromeのデフォルトではWebサイトによる複数ファイルの連続ダウンロードにユーザーの許可が必要になるため、許可を求めるダイアログで「ブロック」をクリックすれば攻撃を回避できる。ただし、Chrome 69ではダイアログが出たまま放置するとフリーズした。Windowsの応答も遅くなったが、タスクマネージャーでChromeを終了させることは可能だった。Microsoft Edgeの場合はダウンロード確認の通知が表示され、一時的にメモリ使用率が増加するものの、しばらくするとページがリロードされて元の状態に戻った。

MozillaのBugzillaでは複数ファイルの自動連続ダウンロードに対する保護の必要性が2年前から議論されている。ただし、今回の実証コードに対するバグリポート(報告者はおそらくHaddouche氏)は複数ファイルのダウンロードではなく、Blob URLの扱いに関するバグ1438214に統合された。バグ1438214は2月から議論されているが、こちらも現在のところ有効な解決策は出ていないようだ。

Browser ReaperではSafariに対するDoS攻撃の実証コード(Reap Safari)と今回の実証コード(Reap Firefox)に加え、Chromeに対するDoS攻撃の実証コード(Reap Chrome)を試すこともできる。こちらは履歴のナビゲーションをループさせる攻撃だ。Chromeでは実行後しばらくするとタブがクラッシュし、Edgeではページがリロードされた。一方、Firefox上ではReap Firefoxの実行時と同様の状態になってしまった。

13728991 story
Java

Java 11リリース、リリースサイクル変更後初のLTS版 38

ストーリー by hylom
金を払えば解決する話ではある 部門より
あるAnonymous Coward曰く、

Oracleは26日、2014年3月のJava 8以来となる長期サポート (LTS) 対象の「Java 11」をリリースした(リリースノートPublickeyGIGAZINEInfoQ)。

既報の通りJavaのリリースサイクルはJava 9以降、大きく変更されており、Java 9、10はサポートの短い半年ごとの新機能リリース版であったため、多くの利用者にとってはJava 11がJava 8以前からの乗り換え先となる。11では言語的な変更点は小さいが、それ以上にサポートが有償になるのではないかという点で大きな注目が集まっている。

Javaのサポートを巡ってはスラドでもたびたび記事が取り上げられているが(2017年10月2018年2月)、Oracle公式のOracle JDKでは有償サポート契約によりLTS期間を通じてパッチが提供される一方、無償のOpenJDKでLTS期間にわたってパッチが提供されるかは情報が二転三転しており、いまだはっきりしない状態が続いている。Java 8の無償サポート終了は2019年1月を予定しているため、移行までの猶予期間は限られている。

13716615 story
Java

米スターバックス、環境負荷の低いGreener Storeを全世界で10,000店舗オープンする計画 72

ストーリー by headless
節約 部門より
米スターバックスは13日、環境負荷の低い店舗を設計・建築・運用するための「Starbucks Greener Stores」フレームワークを発表し、2025年までに全世界で10,000店舗のGreener Storeをオープンする計画を明らかにした(プレスリリースGeekWireの記事USA TODAYの記事)。

スターバックスは2001年に米国グリーンビルディング協会(USGBC)に参加し、小売店舗向け環境評価システム LEED for Retailプログラムの開発に参加。現在は1,500店舗のLEED認証店舗を世界20か国で展開している。Starbucks Greener StoresはLEED認証プログラムを基礎とし、持続可能性に関する第三者認証機関のSCS Global Servicesや世界自然保護基金(WWF)などとともに開発されたもの。スターバックスだけでなく幅広い小売業界で利用できるようオープンソースとして公開する計画だという。

Starbucks Greener Storesで注力する点としては、水と電力の使用量削減や100%再生可能エネルギーの使用、客と従業員の健康に配慮した環境づくり、持続可能素材の利用やごみ削減、持続可能性推進への関与が挙げられている。Starbucks Greener Storesにより持続可能性のある店舗運用が可能になるだけでなく、スターバックスでは10年間で光熱水費5,000万ドルを節約できるとのことだ。
13705576 story
Java

Javaではもう儲からない 95

ストーリー by hylom
Javaを使う分野が下火という話も 部門より
あるAnonymous Coward曰く、

日経xTECHによると、Javaではもうからない、新言語を学べという。

先日、求人サービスを手がけるビズリーチが日本国内でのプログラムング言語別年収ランキングを発表したが、ランキング上位10言語にJavaは入っていない。Javaプログラマの年収の中央値は500万円(14位)で、Javaの求人数は3万4000件と多いものの、昨年比では3割減少しているという。

記事ではこの結果から、「Javaを学べば職はあるものの、高額な年収は期待できない」としている。

13699998 story
法廷

Java APIをめぐるOracleとGoogleの裁判、Googleは再び連邦最高裁に上訴する構え 54

ストーリー by headless
審理 部門より
米連邦巡回区控訴裁判所は8月28日、Java APIの使用がフェアユースに当たるかどうかOracleとGoogleが争っている裁判で、全法廷での再審理を求めるGoogleの請求を却下した(The Registerの記事Android Policeの記事裁判所文書: PDF)。

2010年から争われているこの裁判は、OracleがJavaの特許権と著作権を侵害されたと主張してGoogleを訴えたものだ。しかし、特許権侵害については早々に決着し、Java APIが著作権保護されるかどうかが争点になっていた。2012年の連邦地裁判決ではAPIの機能自体は著作権保護の対象にならないと判断しているが、2014年の控訴裁判所判決はAPIの機能だけでなくGoogleが37のJava APIパッケージからコピーしたとされるコードの宣言および構造・順序・構成(SSO)についても著作権で保護されると判断。その一方で、フェアユースであるかどうかの判断を連邦地裁に差し戻した。GoogleはAPIに著作権を認めた2審判決を不服として最高裁に上訴したが受理されず、Java APIが著作権保護の対象になるという2審判決は確定している。

差し戻された連邦地裁では2016年、GoogleのJava API使用がフェアユースに当たるとする陪審の評決に従った判決を下したため、Oracle側が控訴。控訴裁判所は今年3月、フェアユースに当たらないと判断した。GoogleもJavaコードの宣言とSSOが著作権保護対象にならないことの確認を求めて控訴していたが、控訴裁判所では既に確定した判決を変更する理由が示されていないとして棄却している(裁判所文書)。Oracle側は損害額を88億ドルと主張しており、賠償額については再び連邦地裁で審理されることになる。

ただし、Googleは陪審の評決を覆した控訴裁判所の判断を不服として、再び連邦最高裁に上訴する考えを示している。
13693103 story
Chrome

Android版Chrome、低速接続時のJavaScript無効化機能をデフォルトで有効にする計画 66

ストーリー by headless
低速 部門より
Android版のGoogle Chromeで、低速接続時にJavaScript を無効化する「NoScript」フラグがデフォルトで有効になるそうだ(Chromium - Issue 876778XDA-Developersの記事Android Policeの記事)。

この機能はNetwork Information APIを使い、ネットワーク通信速度が2G並み、またはそれ以下の場合にJavaScriptを無効にするというものだ。昨年10月からプレビュー版として搭載されており、「chrome://flags/#enable-noscript-previews」を設定することで有効化できる。日本では2G回線を利用できないが、判定は実際の通信速度によって行われるため、より高速な回線でも速度が著しく低下した場合は動作するとみられる。
typodupeerror

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

読み込み中...