パスワードを忘れた? アカウント作成

アナウンス:タレコミと日記の作成フォームが正常に機能しない問題は復旧に向けて作業中です。しばらくお待ちください。

19732827 story
ハンドヘルド

EFF、怪しいソフトウェアをプリインストールした子供向けタブレットに注意喚起 6

ストーリー by nagazou
注意 部門より
headless 曰く、

Electronic Frontier Foundation (EFF) が Amazon.com で販売されていた子供向けタブレット製品を調べたところ、複数の怪しいソフトウェアがプリインストールされていたとして注意喚起している (EFF のブログ記事HackRead の記事)。

この製品は Dragon Touch の KidsPad Y88x 10 という子供向け 10 インチタブレットで、既に製品ページは削除されている。7 インチモデルは現在も販売されているが、10 インチモデルの OS が Android 9 Pie なのに対し、7 インチモデルは Android 12 と新しく、プリインストールソフトウェアも異なる可能性がある。Amazon.co.jp でも 7 インチモデルは販売されていたが、こちらは Android 10.0 となっている。

最初に挙げられているのはマルウェア Corejava の痕跡だ。このタブレットには Corejava のディレクトリが存在し、初回起動時に Corejava の C2 サーバーにリクエストが送られたという。ただし、EFF がタブレットを最初に起動した 2023 年 5 月の時点で C2 サーバーは停止しており、現在のところペイロードが送られてくることもない。

また、このタブレットではデバイスを子供向けに変える KIDOZ アプリのプリインストールが売りになっている。KIDOZ アプリは米児童オンラインプライバシー保護法 (COPPA) 認証済みとされているが、プリインストールされているバージョンは古いもので、情報を広告サーバーに送るような古いアプリを含むアプリストア機能が搭載されている。そのため、このバージョンは 5 つのセキュリティベンダーがアドウェアと認識しているが、アプリストア機能の削除された最新バージョンでは 2 ベンダーに減少する。

このほか、過去にマルウェアであったこともある Adups アプリの「クリーンなバージョン」もファームウェア更新ソフトウェアとしてプリインストールされているとのこと。ただし、アプリにはシステムレベルのパーミッションが付与されており、Adups のサーバーから何でもインストールできるため、不安が残る。また、アプリのアンインストールや無効化は容易でなく、デバイスをファクトリーリセットすれば復活するとのことだ。

17905326 story
Java

アブソルートとカルーアが作った香水はエスプレッソマティーニの香り 12

ストーリー by headless
退廃 部門より
カクテル「エスプレッソマティーニ」の 40 周年を記念して、アブソルートとカルーアが香水「Blend No. 83」を作ったそうだ (プレスリリース製品情報アブソルートの特設ページFOODBEAST の記事)。

英国・ロンドンのバーでエスプレッソマティーニが誕生したのは 1983 年。あるスーパーモデルに「カクテルを飲みたいのか、コーヒーを飲みたいのかわからない」と言われたバーテンダーはエスプレッソコーヒーとコーヒーリキュール、ウォッカをシェイクしてマティーニグラスに注ぎ、エスプレッソマティーニを生み出したという。以来、エスプレッソマティーニは世界で最も人気の高いカクテルの一つとなっている。

ウォッカブランドのアブソルートとコーヒーリキュールブランドのカルーア、香水メーカーの Imaginary Authors のコラボレーションにより作られた Blend No. 83 はダークチョコレートとラム酒、アラビカコーヒー、ベルベットのような泡、ベンゾイン、ナイトムスク、および退廃の香り。数量限定で 50ml のボトル入り、価格は 105 ドルとなっている。クリスタルガラスのマティーニグラス型フラコンのセットも同額だが、現在は品切れだ。出荷は 11 月 24 日頃とのことだ。
17453127 story
iPhone

iPhone全モデルと2020年以降のMacからパスワード等を盗み出す方法が発見される 52

ストーリー by nagazou
発見 部門より
iPhone全モデルと2020年以降のMacを対象とした「iLeakage」と呼ばれるサイドチャネル攻撃の手法が、ジョージア工科大学の研究チームによって発見された。iLeakageは、CPU性能の向上を図る「投機的実行」を悪用する攻撃で、攻撃手順は、ウェブサイトに悪意あるコードを組み込み、ウェブサイトにアクセスしたユーザーの行動を追跡して情報を盗み取るというもの(iLeakageHelp Net SecurityGIGAZINE)。

この攻撃手法を悪用するウェブサイトにアクセスすると、ウェブサービスのパスワードやメール情報などが盗まれる可能性がある。研究チームは2022年9月12日にiLeakageの存在をAppleに報告ずみとしているが、具体的な対策はおこなわれていないようだ。緩和策としてはロックダウンモードに切り替えるか、ブラウザーでJavaScriptを無効にするなどの手段があるが、いずれも運用上の制限が発生する。

hinatan 曰く、

iPhone向けには対応策がないようです。

17426262 story
著作権

マツダ、オープンソースのAPIクライアントが著作権侵害だと主張してGitHubから削除させる 61

ストーリー by headless
侵害 部門より
マツダがオープンソースのホームオートメーションソフトウェア Home Assistant が使用するオープンソースのAPIクライアントについて GitHub に DMCA 通知を送り、マツダ車へのアクセス機能を削除させたそうだ (Home Assistant のブログ記事Ars Technica の記事GitHub のプルリクエスト)。

この API クライアントは Python および JavaScript で書かれており、マツダが Android / iOS 向けに公開している MyMazda アプリが使用する MyMazda (Mazda Connected Service) API を通じたマツダ車の各種情報へのアクセスを可能にするものだ。マツダは API クライアントのコードがプロプライエタリな API 情報を含む同社の特定の情報を利用して書かれたものであり、MyMazda アプリと同じ機能を提供するため著作権侵害だと主張している。

米連邦最高裁では Oracle 対 Google の裁判で API が著作権保護の対象になるかどうかの判断を示さなかったものの、API が著作権保護されると仮定してもその保護は弱く、使用はフェアユースにあたるとの判断を示している。そのため、裁判になればフェアユースが認められる可能性も高いが、API クライアント開発者の Brandon Rothweiler (brd99) 氏は余暇に開発しているソフトウェアのための裁判で財政的リスクを負うことはできないとして、MyMazda API 統合の削除を決めたとのこと。

Home Assistant はブログ記事でマツダの動きに落胆したと述べ、最近 Tesla が公式 API のドキュメントを公開したことや、Volkswagen Group が Home Assistant をフィーチャーするアプリストアを公開したことに触れてオーナーが自分の車のデータを活用できるようになる利点が大きいと指摘。この点でマツダが Home Assistant と合意できる部分もあるはずだとして、対話を呼び掛けている。
17405951 story
オープンソース

オープンソースエコシステムへのサプライチェーン攻撃が大幅に増加 31

ストーリー by headless
増加 部門より
Sonatype の報告書 9th Annual State of the Software Supply Chain によると、2023 年にはオープンソースエコシステムへのサプライチェーン攻撃が大幅に増加しているそうだ (プレスリリースBetaNews の記事報告書: PDF)。

調査対象は Maven Central (Java)・npm (JavaScript)・PyPI (Python)・NuGet (.NET) という 4 つのエコシステム。これらのエコシステムでは 9 月時点で 245,032 個の悪意あるパッケージが見つかっており、2022 年 (88,000 個) の 3 倍近い数字になっている。Sonatype が調査を始めた 2019 年分から 2022 年分までの累計と比較しても 2 倍以上となるようだ。

また、2023 年に Maven Central でダウンロードされたソフトウェアのうち、10% が既知の脆弱性を含んでいたという。この比率は 2021 年の 14%、2022 年の 12% から減少傾向している。ただし、2022 年の調査と同様に脆弱性を含むダウンロードの 96% は既に修正版が入手可能であり、事前に確認すれば回避可能だったとのことだ。
17403607 story
プログラミング

日本語対応の分かち書きライブラリ『BudouX』、AndroidやChromeに標準搭載へ 43

ストーリー by nagazou
搭載 部門より
Googleが9月24日、公式ブログ上で日本語などアジア圏の言語でのテキスト折り返しを改善するための「BudouX」という「分かち書き」ライブラリを紹介している。アジア圏の言語は単語と単語の間にスペースを入れないため、テキストが意図しない位置で改行されてしまい読みにくくなることがある(Googleブログ窓の杜)。

「BudouX」はこの問題を解決するために開発された。「BudouX」は、オープンソースのライブラリで、サイズはモデルを含めて20KB程度とコンパクト、かつさまざまな言語モデルを学習できる特徴がある。現時点では日本語と中国語(簡体字と繁体字)で利用可能で、JavaScript、Python、Javaなどのプログラミング言語でサポートされている。このライブラリは既に「adobe.com」などで活用されているという。また、「Google Chrome 119」以降では、特定条件で自動的に「BudouX」の分節区切りが適用される。また、「Android 14」以降でも「BudouX」が使われているとのこと。
17221986 story
オープンソース

OSSのWebフレームワークが突如TypeScriptからJavaScriptに移行して紛糾 130

ストーリー by nagazou
紛糾 部門より
あるAnonymous Coward 曰く、

「Turbo 8」というOSSのWebフレームワークが、「Remove TypeScript」というプルリクで突然にTypeScriptからJavaScriptへの移行を行ったことで、OSS界隈で大きな話題となっているらしい。一般にTypeScriptは型のあるベターなJavaScriptとして扱われるが、移行理由として厳しい型付けやコンパイルの要否などが挙げられている。ただしプルリク提出から2時間で議論する間も無くマージされたので、相当のツッコミも入っているようだ(Turbo 8 is dropping TypeScriptGitHub Remove TypeScript by afcapelDEVCLASSはてなブックマーク)。

17003677 story
Python

IEEE Spectrumのプログラミング言語ランキング、Pythonが2位以下との差を大きく広げる 75

ストーリー by nagazou
大差 部門より
headless 曰く、

IEEE Spectrum のプログラミング言語ランキングでは 2017 年以来 Python が 1 位を保っているが、2023年版では 2 位以下との差を大きく広げた (The Top Programming Languages 2023DEVCLASS の記事)。

IEEE Spectrum のランキングでは昨年まで 1 位のスコアを 100 点としていたのに対し、今年は 1 位のスコアが 1 点となったためそのままの数字では比較しにくいが、昨年 96.8/100 点で 2 位だった C は 0.4641/1 点と半減して 4 位に後退し、Java が 5 位から 2 位へ上昇している。ただし、Java のスコアも昨年の 70.22/100 点から今年は 0.588/1 点まで大きく減少した。昨年の 2 ~ 4 位が大幅に減少したのに対し、昨年 7 位だった JavaScript は 40.48/100 点から 0.4638/1 点まで増加して 5 位に上昇した。このほか、トップ 10 では Go と TypeScript が増加している。

Python は何にでも使える言語となり、よりシェアの少ない専門的な言語からシェアを奪って増加しただけでなく、強力で幅広いライブラリが利用可能な AI などの分野では主流の言語となった。また、ハイエンドコンピューティングにおけるムーアの法則が終焉に向かう一方でローエンドのマイクロコントローラーはパフォーマンスの向上が続いており、インタープリターのオーバヘッドで不利な Python が組み込み開発の競争にも加わるようになったほか、子供たちが最初のプログラミング言語として Python を学ぶことにより長期的なポジションも確保したとのこと。

一方、求人では SQL が Python を上回っている。ただし、純粋な SQL プログラマーが求められているのではなく、Java や C++ など他の言語と組み合わせたスキルが求められているという。また、Java など C ライク言語の総計は Python を上回っており、特に高パフォーマンスが求められるタスクやリソースに制約のあるタスクなど、インタプリターのオーバーヘッドが問題になる用途では Python が不利 (対策も試みられてはいるが) だ。このほか、Python による置き換えの難しい言語として R や Fortran、COBOL が挙げられている。

16741300 story
IBM

IBM、生成AIでCOBOLコード近代化計画 72

ストーリー by headless
近代 部門より
IBM が同社の AI・データプラットフォーム watsonx の生成 AI で COBOL コードの近代化を加速すべく、IBM watsonx Code Assistant を開発しているそうだ (IBM Z and LinuxONE Community のブログ記事Ars Technica の記事The Register の記事紹介動画)。

COBOL コードのリライトには多数の開発者と手間のかかる手作業が必要であり、何年もの年月と数百万ドルの費用をかけても近代化できるのはごく一部にとどまる。IBM watsonx Code Assistant では巨大でモノリシックなアプリケーションのリファクタリング・変換・検証を自動化し、ビジネスサービスごとに分離して近代化できるという。

変換の過程では COBOL コードを Java コードに変換するほか、COBOL コードのままで最適化を実行することも可能だ。IBM では COBOL から変換した Java コードが Java 開発者から見て自然なものとなることを目指しているそうだ。データソースやアプリケーションサーバーはそのままでよく、移行のための処理は不要とのこと。

IBM watsonx Code Assistant は IBM ZRed Hat Ansible Lightspeed で利用可能になるとのことだ。
16699742 story
アナウンス

並列処理をGo/Rust/Kotlin/Python/JSで解説するイベント 20

ストーリー by nagazou
告知 部門より
タクシーアプリなどを開発するGOは、並列処理をGo/Rust/Kotlin/Python/JSで解説するイベントを8月8日に開催する(並列処理をGo/Rust/Kotlin/Python/JSで解説!思想の違いを体感しよう)。

今回のイベントでは、「並列処理、並行処理の手法」というテーマに絞って、Go、Python、Kotlin、Rust、TypeScript の5つの言語でそれぞれ解説。言語によって並列・並行処理の仕組みも異なることから、言語毎に実装の仕方を見比べたり、異なる言語がもつ概念を知ることで、よりそれぞれの言語への理解を深められるとしている。イベント参加費は無料で、Webから事前の申し込みが必要となっている。当日のタイムテーブルは以下の通り。

19:00-19:05 オープニング
19:05-20:05 ・技術書典への取り組みの紹介
・Go編「Go ルーチンで並列処理を実装しよう」
・Python編「ちょっとしたデータ分析の並列化・ Python」
・Rust編「Rustにおける並列処理」
・JavaScript編「JavaScript の 非同期処理 Promise、 async/await を理解する」
・Kotlin編「並列処理・非同期処理のアプローチKotlin」
20:05-20:10 クロージング
16674530 story
GUI

デジタル庁のWebサイトのデザイン評価で賛否 82

ストーリー by nagazou
トップで重い動画再生するサイトだけは勘弁 部門より
デジタル庁の公式サイトに関してはスラドでも以前、JavaScript無効でも閲覧可能であるべきかといった議論があったが、mu_tomoya氏の「デジタル庁のサイトやばすぎるwww」という記事をきっかけに、デジタル庁の公式サイトのデザインの是非について議論がおこなわれていたようだ。mu_tomoya氏の指摘はシンプルで見やすいサイトであるといった趣旨で、技術的な視点やレイアウトや文字サイズ、フォントの種類などにこだわったものといった内容となっている(5ちゃんねる過去記事ニュー速ブログ)。

一方でこうした突き詰めたシンプルさを嫌う人たちも一定数いるようだ。意見としては「シンプルで見やすいのはその通りだと思うが、素人目で簡素すぎてなんだかショボいと感じてしまう」、「検索は最重要機能にも関わらず見つけにくい」といった意見だ。否定的意見は具体的なものが少なく問題点が掴みにくいが、強引に忖度してみると、おそらく一定のルールが適用されすぎて記事の強弱が一本調子のため、視線誘導的な理由でポイントが掴みにくいといった要素を批判しているのではないかと思われる。

ただ全体的には、mu_tomoya氏の指摘のようなシンプルさを褒めるものや、それ故のメンテナンス性の高さ、読み込みの速さなど肯定的な見方のほうが多いようだ。
16673669 story
グラフィック

ロシアの西側ブランドカフェ・レストランチェーン、国内ブランド転換が進む 20

ストーリー by nagazou
転換 部門より
headless 曰く、

ウクライナ侵始を受けて西側ブランドが相次いで撤退したロシアでは、メジャーなカフェ・レストランチェーンの国内ブランド転換が進んでいるようだ (FOODBEAST の記事Business Insider の記事)。

ロシアのマクドナルドは主要市場で同社初という全店舗売却を行ったが、買収された店舗は「おいしい。」のような意の「フクースナ・イ・トーチカ」に変わった。新ブランドでも「M」型ロゴが使われているが、マクドナルドのようなダブルアーチの「M」ではなく、モスバーガーのような 3 ピースの「M」になっている。また、クリスピー・クリームは「Krunchy Dream」に、スターバックスコーヒーは「Stars Coffee」に変わった。Stars Coffee のロゴはよくある偽スタバ風で、セイレーンの顔はそのままに髪型や服装が変更されている。

16661751 story
Java

米スターバックス、黒人従業員の身代わりに解雇した白人従業員へ36億円支払うべきとの評決を受ける 113

ストーリー by headless
評決 部門より
crass 曰く、

シャノン・フィリップス氏は米スターバックスでフィラデルフィアを含む地方の運営責任者として働いていたが、2018 年にフィラデルフィアの店舗で何も注文せずに待ち合わせをしていた黒人 2 人が店員の通報により逮捕された事件に関連して解雇された。

フィリップス氏は「店舗を担当する地区マネージャーが黒人であったため、白人のスケープゴートを必要としていた会社により人種を理由に解雇された」と訴えていた。陪審は訴えを認め、スターバックスがフィリップ氏に損害賠償金 60 万ドル、懲罰的損害賠償金 2,500 万ドルを支払うべきとする評決を出した (NPR の記事)。

当時フィラデルフィアの地区マネージャーは 2 人おり、事件のあった店舗の担当でない白人の地区マネージャーを虚偽の差別行為で停職にするよう命じられたフィリップス氏が断ったところ、1 か月もしないうちに解雇を告げられたとのこと (訴状: PDF)。

16580920 story
バグ

GPT-4は「ハノイの塔」が解けない? 72

ストーリー by nagazou
議論百出 部門より
route127 曰く、

再帰呼出しによるプログラミング例としても古くから例題にも用いられてきたリュカによるハノイの塔」についてGPT-4が誤った回答を返すようだ。
3段重なった石板の真ん中の段をだるま落としの様に抜こうともするようで杭と石板の物理的制約が「理解」されていないのではないかという考察が寄せられている一方で、

はたまた「プロンプトが下手なだけ」などという意見まで飛び交っている。
成功例も寄せられており、どうやら初期条件の与え方により一般的なハノイの塔で生成される確率バイアスに引っ張られることによる誤答なのではないかという仮定の元にそれを補正する方法が考察されている。

16556351 story
Java

米ワシントン州のApple Store、隣の店の壁に穴を開けて侵入した窃盗犯により50万ドルの被害 15

ストーリー by headless
切穴 部門より
米ワシントン州リンウッドの Apple Store で閉店後、窃盗犯が隣の店からトイレの壁に穴を開けて侵入し、436 台の iPhone が盗まれたそうだ (KING 5 の記事Ars Technica の記事Mac Rumors の記事The Register の記事Seattle Coffee Gear CEO のツイート)。

被害にあったのはショッピングモール AlderwoodApple Alderwood で、隣にはコーヒー器具専門店 Seattle Coffee Gear が入店している。犯人は閉店後も警備が厳しい Apple Store の正面突破を避けて隣の店から侵入する計画を立てたとみられ、パイプを傷つけることなく人が潜り抜けられる大きさに壁をくり抜いていることから、Seattle Coffee Gear では周到な計画の元実行された犯行との見方を示しているという。

警察によれば Apple の被害額は 50 万ドルに上るという。一方、Seattle Coffee Gear の被害は錠の交換と壁の修理で 1,500ドル程度にとどまったとのことだ。
typodupeerror

最初のバージョンは常に打ち捨てられる。

読み込み中...