パスワードを忘れた? アカウント作成

アカウントを作成して、スラドのモデレーションと日記の輪に参加しよう。

13163883 story
セキュリティ

JavaScriptでASLRを無効化する攻撃「AnC」 27

ストーリー by headless
整列 部門より
あるAnonymous Coward 曰く、

x86/ARM CPUの多くが行っているメモリ管理の仕組みを悪用し、アドレス空間配置のランダム化 (ASLR)をJavaScriptから無効化する攻撃が公表された(PC Watchの記事)。

ASLRはアドレス予測を困難にすることで攻撃を防ぐという技術で、2000年代前半から実装が進んでいる。ローカルからの攻撃により無効化する手法も発見されているが、Webブラウザーの脆弱性緩和などには有効な対策と考えられていた。記事によれば、CPUのキャッシュ階層を利用した「ASLR⊕Cache (AnC)」と名付けられた攻撃により、100秒未満という短い時間でアドレスのランダム化が解除されてしまったという。AnCはハードウェアの仕組みを使用した攻撃のため、ユーザー側では対処不能としている。

正直タレコミ子には説明が難しすぎて理解不能なのだが、技術レベルの高い攻撃者であれば公開された論文を元に数週間程度で攻撃コードが再現できるという事なので、今後はメモリ周りの脆弱性に一層注意が必要かもしれない。

AnCはソフトウェアの弱点を利用するものではないため修正は容易ではないが、CPU/OS/ブラウザーベンダーに対しては公表前に短期的・長期的な緩和策が通知されている。実際にAppleはiOS 10.2.1でWebKitの強化を行ったとのこと。ユーザーレベルでは信頼できないソースからのスクリプト実行をブロックするといった対策しかできないが、有効な攻撃を行うためには別途ブラウザーの脆弱性を利用することになるため、セキュリティ更新プログラム適用の重要性も増しているといえるだろう(VUSecの記事The Registerの記事Ars Technicaの記事)。

13159630 story
Oracle

AndroidにおけるJava APIの使用を巡るOracle対Googleの裁判、Oracleが上訴 16

ストーリー by hylom
まだやるの 部門より

OracleがAndroid OSにおけるJava APIの使用を巡ってGoogleを提訴していた問題で、2月10日Oracleが上訴を行った(ZDNet Japan)。

この裁判は、GoogleがAndroid OS内でOracleに無断でJava APIを実装・提供したことが知的所有権の侵害に当たるとしてAndroidの配布中止や賠償金支払いを求めていたもの(過去記事)。

裁判では、Googleが独自に実装したJava APIが特許や著作権の保護対象であるかどうかがまず争われた。これについては2012年に米カリフォルニア州北部地域連邦地裁が著作権侵害は認めらないとの判決を下しOracleに対しGoogleの訴訟費用支払いを命じた。しかしその後Oracleは控訴、2審の米連邦巡回区控訴裁判所はGoogleによる著作権侵害を認めた。これに対しGoogleは上告していたが2015年にこれが却下され、Java APIは著作権法で保護されるということが決定したものの、2016年にはGoogleによるJava APIの利用はフェアユースに該当し責任を問われないという判断が出ていた

13158801 story
プログラミング

JavaScript、なんて略してる? 107

ストーリー by hylom
拡張子由来でJSと呼んでいる気がする 部門より

「JavaScript」を「ジャバスク」と略す人達というブログエントリがきっかけで、「JavaScriptをどのように略すか」「ほかの言語はどう略すか」といったことが話題になっている(インターネットコムはてなブックマークTwitter)。

JavaScript(ジャバスクリプト)の略称としてはJS(ジェーエス)が広く使われているが、「ジャバスク」という呼び方をする人も一定数存在するようだ。そのほか「ジャバス」などの呼称があるという話もあるという。

なお、JavaScriptを開発したNetscape Communicationsの流れをくむMozilla Japanでは、「ジェーエス」と呼ぶことはあっても「ジャバスク」と呼ぶことはないという。

13150524 story
書籍

Stack Overflowで最も言及されている書籍 21

ストーリー by headless
listicle 部門より
hylom 曰く、

Stack Exchangeのデータダンプを用い、Stack Overflowの質問と回答で最も言及されている書籍を集計した結果がwww.dev-books.comというサイトでまとめられている。

トップ10は以下の通り。多く言及されている書籍とのことで、どれも邦訳が出版されているようだ。また、www.dev-books.comではタグごとの絞り込みも可能になっている。

順位 タイトル 邦訳
1 Working Effectively with Legacy Code レガシーコード改善ガイド
2 Design Patterns: Elements of Reusable Object-Oriented Software オブジェクト指向における再利用のためのデザインパターン
3 Clean Code Clean Code アジャイルソフトウェア達人の技
4 Java concurrency in practice Java並行処理プログラミング―その「基盤」と「最新API」を究める―
5 Domain-driven Design: Tackling Complexity in the Heart of Software エリック・エヴァンスのドメイン駆動設計 ソフトウェアの核心にある複雑さに立ち向かう
6 JavaScript: The Good Parts JavaScript: The Good Parts――「良いパーツ」によるベストプラクティス
7 Patterns of Enterprise Application Architecture エンタープライズアプリケーションアーキテクチャパターン
8 Code Complete: A Practical Handbook of Software Construction CODE COMPLETE 第2版 完全なプログラミングを目指して [上] [下]
9 Refactoring: Improving the Design of Existing Code リファクタリング 既存のコードを安全に改善する
10 Head First Design Patterns: A Brain-Friendly Guide Head Firstデザインパターン――頭とからだで覚えるデザインパターンの基本

なお、順位はStack Overflowの質問と回答に含まれるAmazon.comへのリンクをカウントした結果であり、出版社の書籍情報ページなどへのリンクはカウントされていないようだ。このサイト自体はAmazonのアフィリエイトのために作られたものとのことだ。

13138615 story
Android

Android向けVPNアプリの大半は信用できない 77

ストーリー by hylom
これはひどい 部門より
あるAnonymous Coward 曰く、

Google Playストアで配信されているVPNアプリのほとんどが信頼できるものではないという研究結果が発表されたjuggly.cnArs Technica)。

今回発表された研究はオーストラリア連邦科学産業研究機構やカルフォルニア大学バークレー校(UCB)の研究者らによるもので、283のAndroid向けVPNアプリを対象に調査を行ったという。その結果、うち18%は通信トラフィックをまったく暗号化できておらず、16%にはユーザーのWebトラフィックにデータを挿入できる脆弱性があったという。さらに、広告を表示したりユーザーをトラッキングするようなJavaScriptコードを埋め込むアプリも2つあったそうだ。さらに84%のアプリでIPv6ベースのトラフィックデータ漏洩が確認され、66%のアプリはシステム関連のドメイン名データ漏洩をブロックできなかったという。

また、67%のアプリでプライバシ保護機能が謳われていたが、そのうち75%はユーザーの活動をトラッキングするようなサードパーティライブラリを使用しており、また82%のアプリでユーザーアカウントやテキストメッセージのような情報にアクセスするための権限を要求していたという。

そのほか、38%のアプリにマルウェアとして分類されるようなコードが含まれており、SSLで暗号化された通信内容を傍受するためのデジタル証明書をインストールするアプリも4つあったとのこと。

13136142 story
Java

米スターバックス、モバイル注文システムが好調すぎて売り上げに悪影響 53

ストーリー by headless
長蛇 部門より
米国のスターバックスでは事前にモバイルアプリで飲み物を注文し、店頭で受け取れるサービスを行っているのだが、利用客が多すぎて店舗の売り上げに影響しているそうだ(Consumeristの記事Reutersの記事)。

スターバックスのモバイルアプリはAndroid版iOS版があり、店に行く前に注文しておけば行列せずに受け取ることができる。しかし、会社の休憩時間前のようにモバイル注文が集中する時間帯には、バリスタが注文をさばききれなくなることもあるようだ。そのため、モバイル注文を利用していない客が長い列にうんざりして別の店に行ってしまうこともあるという。

その結果、26日に発表された2017会計年度第1四半期決算では売り上げが予想を下回り、年間予想も縮小したため、発表後には株価も3.8%下落したとのこと。スターバックスでは、特に客の多い店舗のピーク時間帯にモバイル注文専門のバリスタを入れるなどの対策を行う計画だ。また、注文から手渡すまでの流れについても再検討を行い、注文の品が準備できたときにテキストメッセージで通知するテストも内部で実施しているとのことだ。
13134054 story
政府

マイナンバーのポータルサイトでJavaが必須となった理由 124

ストーリー by hylom
WebブラウザにICカードアクセス機能を実装して貰おう 部門より

先日マイナンバーサービスのポータルサイト「マイナポータル」がオープンしたが、このサイトはJavaが必須となっている点が議論となった。これについて内閣官房・番号制度推進室番号制度推進管理補佐官の楠正憲氏がJavaを必須とした背景を説明している(日経ITpro)。

Javaを採用した理由は、WindowsおよびMacの両方をサポートするためとのこと。マイナンバーカード内のICチップに保存されている情報にWebブラウザアクセスするためには、現時点では何らかのアドオンが必須となっており、マイナポータルではそのためにJavaを選択したとのこと。それ以外にもWebブラウザからICチップにアクセスする技術はあるものの、WindowsとMacの両方に対応させるにはJavaを使用せざるを得ない状況だという。

また、Javaプラグインは現在多くのブラウザで非推奨とされていることから、対応ブラウザがはInternet Explorer 11(32ビット版)とSafariのみになってしまったという。

対策として政府側はAndroidアプリを2017年度中にリリースするほか、スマートフォンアプリと連携することでJavaや関連ソフトウェアをインストールせずに利用できる環境構築を目指すという。

13131649 story
Firefox

Windows 10におけるWebブラウザベンチマーク結果 38

ストーリー by hylom
Edgeは正直まだ使い物にはならない印象ではある 部門より

ZDNet Japanにて、Windows 10環境でEdge、Internet Explorer 11、Google Chrome 49、Firefox 43、Opera 34という主要Webブラウザのベンチマークテストを行った結果が照会されている。

複数のベンチマークツールでテストが行われており、各ベンチマーク毎の結果も示されている。総合的にはChromeがやはり強かったが、JavaScript系のベンチマークテストではEdgeがChromeを上回る成績を出すケースもあったという。ただ、HTML 5のサポートに関するテストではEdgeは最下位だったとのこと。

これを受けて、記事ではChromeが「Windows 10の最強ブラウザ」としつつ、Edgeについては今後に注目したいという結論になっている。

13130424 story
Chrome

Adobe Readerをインストールすると勝手にインストールされるChrome拡張に脆弱性が発見される 24

ストーリー by hylom
勝手に広まる脆弱性 部門より

先日最新版Adobe Readerをインストールすると勝手にChrome拡張がインストールされるという話があったが、この拡張を悪用した脆弱性が存在することが指摘されている(ZDNet Japan)。

発見された脆弱性は、閲覧しているページとは無関係の任意のJavaScriptコードを実行可能にできるクロスサイトスクリプティング(XSS)脆弱性(Chromiumのバグトラッカー)。すでにAdobeは1月19日付けでこの問題に対処するアップデートをリリースしている。

13125571 story
ソフトウェア

マイナンバーサービスのポータルサイト「マイナポータル」がオープン、Java必須 99

ストーリー by hylom
レガシー感 部門より

内閣府がマイナンバー関連のポータルサイト「マイナポータル」のアカウント登録を開始した(日経ITpro)。

マイナポータルでは、行政サービスの提供や税金などの支払い、各種書類の受け取りといったサービスが利用できる。利用にはマイナンバーカードおよびICカードリーダライタが必要で、マイナンバーカードの電子証明書を利用するようだ。

そのほか、ログインにはJava実行環境やJPKI利用者クライアントソフト、マイナポータル環境設定プログラムのインストールが必須となるいう。

13121088 story
プライバシ

Webブラウザの自動入力機能を悪用して意図しない個人情報を送信させるデモ 16

ストーリー by hylom
シンプルな手口 部門より

Webブラウザの自動入力機能を悪用して個人情報を盗む手法が公表された。実証コードも公開されているBleeping ComputerGIGAZINESlashdot)。

Webブラウザの自動入力機能は、住所やクレジットカード情報などをあらかじめWebブラウザに登録しておくことで、Webページ上のフォームに自動的にそれらを入力するというもの。今回公表された実証コードでは、画面上に見えないようにフォームを配置し、さらにJavaScriptを使ってフォームに値が入力されたらそれらを自動的に処理するようなコードを組み合わせるというもの。

公開されているデモでは「Name」および「Email」入力フォームのみが表示されており、送信されるのは名前およびメールアドレスだけのように見えるが、電話番号や住所などを入力するフォームも見えないように配置されており、Webブラウザにこれらの情報が登録されており、さらに自動入力機能を利用した場合はこれらの情報も自動的に入力されて送信されてしまう。

ただし、Safariでは自動入力の際に入力するデータをユーザーに確認する仕組みになっており、また、Firefoxではユーザーが自動入力するフォームを指定する必要がある。そのため、これらブラウザでは悪用は難しいようだ。

13104355 story
Java

Oracle重役曰く、Java SEの有料機能を知らずに使用しているユーザーなどいるわけがない 31

ストーリー by headless
反論 部門より
OracleがJavaを利用する企業に対してライセンス料の請求を開始したと報じられたことに対し、同社のJava Platform Groupで開発担当バイスプレジデントを務めるGeorges Saab氏は、有料機能を知らずに使用しているユーザーなどいるわけがないなどと否定したそうだ(V3の記事)。

Saab氏によれば、Oracleではライセンス料を支払わずにJava SEの有料機能を使用しているユーザーからライセンス料を徴収する活動を進めてはおらず、担当スタッフを雇ってもいないという。Java SEのライセンスモデルはSun Microsystemsから買収する以前と変わっていないとし、ユーザーが誤ってJava SE Advancedの機能を使ってしまいやすいようになっているなどと示唆することは誤りだとも述べているとのことだ。
13097973 story
Java

Oracleが企業のJavaユーザーに対しライセンス料徴収活動を進めている? 90

ストーリー by hylom
これが新たなマネタイズ手法か 部門より
あるAnonymous Coward曰く、

OracleによるSUNの買収から実に6年を経て、ついにJava利用企業をターゲットにしたライセンス料請求が始まったという噂が今週Slashdotなど一部で話題となっているようである(Register)。

日本語で解説されている方のツイートによると、どうもJavaSEの本体は無料であるが、JavaSEのダウンロード時に一緒にダウンロードされるAdvanced Desktop、JavaSE Advanced、Suiteといった機能は本来有料であり、無料だと思ってこれらの機能まで使っていた企業に対してライセンス料を請求しだしたという話らしい。Oracleはライセンス料徴収のために20名の新規スタッフを雇ったとも報じられており、ある企業は10万ドルの支払いを要求され、最終的に減額されたものの3万ドルを支払ったという。

Oracleがなぜ今になってこうした活動を開始したのかについては、顧客がどの機能を使用しているかを把握するのに年月がかかってしまったためではないかとされている。この噂がどこまで真実なのかは不明だが、OracleではJavaSEにこれら機能を含めずダウンロードする手段を提供しておらず、事実であれば利用者には困ったことになりそうである。

13089623 story
ゲーム

情報処理学会 人工知能ゲームプログラミングコンテスト「SamurAI Coding 2016-17」予選募集中 33

ストーリー by headless
募集 部門より
washizaki 曰く、

今年度も情報処理学会により国際 人工知能プログラミングコンテストSamurAI Coding 2016-17が開催されます。

「SamurAI Coding」はゲームをテーマにAIプログラミングスキルを競う国際的なコンテストであり、学会主催の形では5年目になります。オンライン予選の募集締切は日本時間2017年2月12日20時59分。予選を勝ち抜いた16チームは2017年3月17日に第79回全国大会・名古屋大学にて併設される決勝に進出でき、旅費補助や賞金等の特典も予定されています。

今回のゲームは「SamurAI 3x3 (サムライ スリー オン スリー) 2016」。異なる武器を持った3名のサムライからなる軍団を制御し、相手の軍団と領地獲得を競います。前回好評であったルールが拡張され、一つのAIプログラムで異なる3名を操る点がポイント。1人でもチームでも、学生も社会人も、誰でも楽しく参加できます。プログラミング言語としては、C++、Java、Pythonを含む様々な主要な言語の中から自由に選ぶことができます。

12966397 story
iOS

誤って緊急通報システムを攻撃するPoCを公開して逮捕されたアリゾナのハッカー18歳 22

ストーリー by headless
surprrrrise!!! 部門より
米国・アリゾナ州のマリコパ郡保安官事務所は27日、緊急通報番号(911)に対してサイバー攻撃を実行するコードへのリンクをTwitterに投稿した18歳の男を逮捕したことを発表した。男は調べに対し、間違ったリンクを投稿してしまったと話しているとのこと(プレスリリース: PDFマリコパ郡保安官事務所のFacebook記事Softpediaの記事Arizona Daily Independentの記事)。

このコードはJavaScriptで書かれており、iOSのバグを悪用して911に繰り返し(ワン切り)発信をするものだという。バグの存在を友人から聞いた彼は、ポップアップを表示するバージョンやメールアプリを呼び出すバージョンなど複数のPoCを作成したが、911に発信するバージョンが違法であることは認識しており、公開するつもりはなかったとのこと。そのため、ポップアップを表示するバージョンを公開したつもりだったが、実際には911に発信するバージョンを誤って公開してしまったと主張しているそうだ。

コードへのリンクは1,849回クリックされたとのことで、アリゾナ州フェニックス周辺を中心に、テキサス州やカリフォルニア州の緊急通報システムも影響を受けたという。問題の発生をマリコパ郡保安官事務所に通知したサプライズ警察署の緊急通報システムには、数分の間に100回以上の着信があったとのこと。男はコンピューターへの不正アクセスに関する第2級重罪3件に問われ、マリコパ郡の4th Avenue Jailに収監されたとのことだ。
typodupeerror

計算機科学者とは、壊れていないものを修理する人々のことである

読み込み中...