パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

14951481 story
EFF

EFFのブラウザー拡張機能「Privacy Badger」を特徴付ける機能、デフォルトで無効に 14

ストーリー by headless
無効 部門より
Electronic Frontier Foundation(EFF)は7日、Webサイトによるユーザー追跡を検出・遮断するブラウザー拡張機能「Privacy Badger」で、主要機能である新しいトラッカーを学習する機能のデフォルト無効化を発表した(Deeplinks Blogの記事The Registerの記事)。

EFFは2月、トラッカー学習機能に関連するセキュリティー上の問題が複数存在するとGoogle Security Teamから報告を受けていたという。その一つは深刻な問題であったため、すぐに該当機能を削除している。もう一つは今回デフォルト無効化の選択理由となった問題で、「アクセスしたWebサイトの挙動に応じてブロックするものを選択する」という動作がフィンガープリンティングに使われる可能性や、アクセスしたページに関する情報を(ファーストパーティーストレージから)抽出される可能性が指摘されていたそうだ。

Googleが報告した内容は純粋にPoCであり、実際にこの機能が悪用されている証拠をEFFでは確認していないという。トラッカー学習機能は「長大なトラッカーリストを維持しなくても新しいトラッカーをブロックできる」というPrivacy Badgerを特徴付ける機能だが、念のためデフォルトでの無効化を決めたとのこと。新しいトラッカーを学習しなくなる代わり、これまでインストール時から変更されることのなかった既知のトラッカーリストは将来のPrivacy Badgerアップデートで更新されるようになる。

なお、学習機能自体は残されており、Privacy Badgerの設定画面で「General Settings→Advanced→Learn to block new trackers from your browsing」にチェックを入れれば有効化できる。
14260832 story
プライバシ

Gmailアカウントから送られたZoomの招待メールにGoogle Meetのリンクが追加されていたとの報告 15

ストーリー by nagazou
浸食 部門より
headless 曰く、

Zoomのオンラインミーティング招待メールで、送信者の知らない間にGoogle Meetのリンクが追加されていたとの報告が出ている(MSPoweruserの記事Neowinの記事)。

MSPoweruserの記事によれば、この招待メールはWindows 10の「メール」アプリでGoogleアカウントから送信されたものだという。メールには日時と場所(URL)に続いて参加方法に関する情報が記載されているのだが、参加方法の一つとしてGoogle MeetのURLが記載されている。事実関係は不明だが、このような情報は送信時に記載されていなかったとのことで、Googleが追加したとみられている。

14251631 story
暗号

Linuxカーネルのドキュメンテーションなどに含まれるHTTPリンク、HTTPSリンクへの置き換えが進む 11

ストーリー by nagazou
置き換え工事中 部門より
headless 曰く、

Linux 5.9に向け、ドキュメンテーションなどに多数含まれるHTTPリンクをHTTPSリンクへ置き換える作業が進められている(Phoronixの記事Neowinの記事The linux-next integration testing tree)。

置き換えの理由としては、細工することが難しいHTTPSに置き換え、リンクを開くカーネル開発者が中間者攻撃にあう可能性を減らすことが挙げられている。ただし、実際にカーネル開発者がこのような攻撃を受けている様子はなく、先を見越した変更のようだ。

置き換え作業はAlexander Klimov氏が一人で進めており、既に148件のパッチが存在する。Klimov氏はスクリプトを使用してHTTPリンクを探し、SVGファイルなどではないことを確認したうえで、HTTPSでHTTP版と同じ内容が表示される場合にのみ置き換えを行っているとのこと。osdn.jpへのリンクもHTTPSに置き換えられている。

14237213 story
Google

Google、blogspot.inドメインを失う 11

ストーリー by headless
微妙 部門より
GoogleがブログサービスBloggerでインド向けに使用していたドメイン「blogspot.in」を失ったようだ(Hacker Newsの記事Neowinの記事The Next Webの記事)。

Bloggerではもともとブログページ用に「[ブログ名].blogspot.com」というドメインを全世界で使用していたが、2012年以降はアクセス場所に合わせてサービス内容の調整を可能にするため、*.blogspot.[co.uk|com.au|in|jp]といった国別コードトップレベルドメイン(ccTLD)へのリダイレクトを開始した。ただし、2018年5月以降はblogspot.comのみで国別サービスへの対応が可能になったとのことで、逆にccTLDのドメインへのアクセスが*.blogspot.comにリダイレクトされるようになっている。

*.blogspot.inもこれまではリダイレクトされていたとみられるが、現在は無効になっているためリダイレクトされずにエラー画面が表示される。既にリダイレクト開始から2年以上経過しており、「in」を「com」に書き換えればアクセス可能にはなるものの、インド国内のWebページでは多くのリンク切れが発生しているとみられる。
14224372 story
プライバシ

米インディアナ州最高裁判所、スマートフォンのロック解除強制は不利な証言の強制にあたると判断 11

ストーリー by headless
不利 部門より
米インディアナ州最高裁判所は23日、スマートフォンのロック解除に使用するパスワード開示を強制することは合衆国憲法修正第5条が禁ずる不利な証言の強制にあたり、州政府側が犯罪の証拠となるファイルの存在を具体的に知らない限り除外の対象にもならないとの判断を示した(裁判所文書Deeplinks Blogの記事9to5Macの記事)。

この事件は被告の女性がD.S.という人物から性的暴行の被害にあったと届け出たところから始まる。女性は所有するiPhone 7 PlusにD.S.との通話記録などが含まれるとして捜査機関に提出し、捜査機関はデータをダウンロード後に返却した。ところがデータを調査した結果、女性がD.S.に対してストーカー行為をしていたことが判明し、女性の方が逮捕・起訴されることになった。

女性のiPhone 7 Plusにストーカー行為の証拠が含まれると考えた捜査機関は令状を取得して差し押さえたのち、女性が拒否したパスワード開示を命ずる2件目の令状を取得した。それでも女性は修正第5条に反すると主張してパスワード開示を拒否し、州地方裁判所が法廷侮辱罪にあたるとの判断を示したため、女性が控訴した。

控訴受理前に司法取引が成立し、女性がストーキング罪1件を認める代わり、州側は他18件の起訴事実を未確定のまま取り下げることになったが、女性は引き続き法廷侮辱罪で罰せられる可能性があった。控訴審で判事の見解は割れたものの、法廷侮辱罪を取り消す判断が示された。州最高裁は控訴審判決を支持したが、判事の見解は3対2と割れており、長い意見書が付けられている。
14208583 story
お金

Braveブラウザー、検索ボックスの入力補完候補にアフィリエイトコード入りURLを提示して批判される 25

ストーリー by hylom
マネタイズ圧力がかかってきているのだろうか 部門より

headless曰く、

Braveブラウザーの検索ボックスに特定のURLを入力すると、入力補完の候補にアフィリエイトコード入りのURLが提示されることが発覚した(Android PoliceThe VergeSoftpediaブレンダン・アイク氏のツイート)。

最初に問題化したのは暗号通貨取引サイトBinanceのURLを入力したときの動作だ。「bina」ぐらいまで入力するとアフィリエイトコード入りのURLが提示されるが、「binance.com」または「binance.us」まで入力するとアフィリエイトコード入りのURLが第1候補として選択された状態になる。そのため、別の候補を選択しない限り、Enterキーを押すとBraveのアフィリエイトコード入りURLに移動する。付加されるアフィリエイトコードはBinanceの紹介プログラムのもので、紹介者は紹介したユーザーの取引手数料の一部を受け取ることが可能になるという。

Braveは3月にBinanceとの提携を発表し、新規タブページから直接暗号通貨の取引を行える仕組みを導入している。入力候補へのアフィリエイトコード追加はその一環だったようだが、Brave Software CEOのブレンダン・アイク氏は誤った判断だったとして修正を約束している。アイク氏によればサーチエンジンと提携したブラウザーが検索クエリにアフィリエイトコードを含めることにヒントを得たとのことだが、入力したURLに何かを付加するべきではなかったとのこと。

なお、Binanceとは違って第1候補にはならないようだが、Ledgerなどの暗号通貨取引サイトのURLを入力した場合にもアフィリエイトコード入りのURLが提示される。ただし、アイク氏はLedgerの件は知らないと説明し、すべてのアフィリエイトコードを自動補完のデフォルトから削除すると述べている。

ちなみに、Braveの設定画面の「デザイン」(brave://settings/appearance)で「Show Brave suggested sites in autocomplete suggestions」をオフにすれば、未訪問のアフィリエイトコード入りURLは入力候補に表示されなくなる。

14180801 story
インターネット

「DEF CON中止のお知らせ」が現実に 4

ストーリー by headless
実現 部門より
毎年のように中止のお知らせが出回るDEF CONだが、今年のDEF CON 28は8月にラスベガスで予定されていたイベントが本当に中止となり、Discord上のバーチャルイベント「DEF CON 28 Safe Mode」として開催することが発表された(DEF CONのアナウンスDEF CON 28 Safe Mode FAQMashableの記事The Registerの記事)。

DEF CON中止のお知らせ(DEF CON is cancelled)は長年繰り返されたジョークであり、FAQページにも「Is DEF CON cancelled?」という質問に「No.」と回答する項目が存在した(Internet Archiveのスナップショット)。しかし、今年はCOVID-19の影響によりラスベガスでのイベントは開催不能との判断が示され、回答もそれを反映したものに変更されている。

DEF CON創始者のDark Tangent氏は4月11日の時点で中止を決断していたが、どのように中止するのかを検討するため発表までに時間がかかったとのこと。DEF CON 28 Safe Modeは8月6日のオリエンテーションに続いて7日~9日にリモート開催される。DEF CONのDiscordサーバーは8月6日に一般公開されるとのこと。なお、同時期にラスベガスで開催予定だったBlack Hat USAも中止となり、バーチャルイベントとして実施することが発表されている。
14177450 story
プライバシ

EFF曰く、AppleとGoogleによるSARS-CoV-2感染者との接触検出技術にはプライバシー保護とセキュリティ対策のさらなる強化が必要 23

ストーリー by headless
対策 部門より
AppleとGoogleが協力して開発を進める新型コロナウイルス(SARS-CoV-2)感染者との接触検出技術について、さらなるプライバシー保護およびセキュリティ対策が必要だとEFFが主張している(Deeplinks Blogの記事Computingの記事)。

この接触検出技術を使用するスマートフォンは毎日生成される秘密鍵を用いてRolling Proximity Identifier(RPID)と呼ばれる近接識別子を生成し、少なくとも5分ごとにRPIDを含むPingを送信する。RPIDは10~20分ごとに更新され、端末で生成した秘密鍵と他の端末から受信したRPIDは端末内にのみ2週間保存されるため、プライバシーリスクは最低限となる。

ただし、感染が判明したユーザーが保健当局に情報の共有を許可すると、秘密鍵が「diagnosis key (診断鍵)」として公開されることになる。他のユーザーはこの診断鍵を用いて接触の有無を確認できるのだが、悪意をもった人物が大量にRPIDを収集すれば、顔認識などの技術と組み合わせて感染者データベースを作ったり、感染者の行動範囲を地図上に表示したりといったことが可能になってしまう。そのため、EFFでは緩和策として秘密鍵の更新頻度を高くすることを提案している。

捜査当局が情報を利用してユーザー同士を関連付けることも可能となるが、ユーザーが必要に応じてアプリを無効化したり、特定期間のデータを削除したりできるようにすることで緩和できる。これではアプリの実効性が低下しそうだが、EFFは別の方法として強い暗号とパスワードによる保護も提案している。このほか、RPIDを生成したデバイスから送信されたかどうかを確認する手段がないため、受信したRPIDを再送信して精度を低下させるといった攻撃も考えられるとのこと。

この接触検出技術の第1段階はAPI提供で、AppleとGoogleは保健当局によるアプリ開発を意図したものだと説明している。ただし保健当局の多くは自前でのアプリ開発ができないため、開発を外部に発注することになる。そのため、外部の開発者がアプリを悪用しないように注意を払う必要もある。第2段階ではAppleとGoogleがOSに接触検出技術を組み込むことになるが、ユーザーの明示的な許可を確実に得る仕組みが必要だ。また、両社は感染拡大の危機的状況が終われば接触検出技術を削除すると述べているが、削除計画も明確にする必要があるとのことだ。

なお、AppleGoogleは4日、それぞれサンプルコードを公開した。
14104517 story
EFF

EFF曰く、あなたが思うよりずっと公衆Wi-Fiは安全 44

ストーリー by hylom
ただし暗号化された通信に限る 部門より

headless曰く、

EFFによれば、「安全のために公衆Wi-Fiの使用を避けるべき」というアドバイスはほぼ時代遅れであり、以前ほど多くの人に適用できるものではないという(Deeplinks BlogSoftpedia)。

Webページの多くがHTTP接続だった時代、暗号化されていないWi-Fiネットワークに接続すると通信内容を盗み見られる可能性があった。しかし、2010年にFiresheepが公開されて以来、Web接続の暗号化の重要性が認識されてサイトのHTTPS化が進んだ。EFFは無料でサーバー証明書を発行するLet's Encryptの立ち上げに協力し、無料証明書の取得とインストールを容易にするCertbotを開発している。

その結果、現在米国から閲覧されるWebページの92%がHTTPS接続だという。インドなどHTTPS接続ページの閲覧率が低い(80%)国もあるが、それでも大半のページがHTTPSで保護されている。HTTPSでもメタデータは暗号化されないが、接続先ドメイン名やダウンロードサイズといったものであり、閲覧したページのURLや送受信したメッセージなどが盗み見られることはない。ただし、ソフトウェアに脆弱性があると公衆Wi-Fi接続中に攻撃を受ける可能性もあるため、常にソフトウェアを最新の状態に保つことが重要とのこと。

政府機関が人々を監視する場合はISPのコアルーターなどもっと上流で行われることが多く、暗号化されていない公衆Wi-Fiの盗聴リスクを心配することもない。人生には心配事がたくさんあるが、そのリストから公衆Wi-Fiを消しても問題ないとのことだ。

14095735 story
ゲーム

任天堂が特許を侵害したとして損害額1,010万ドルの評決が出ていた米裁判、判事は特許が無効と判断 9

ストーリー by hylom
ひっくり返るのか 部門より

headless曰く、

米テキサス北部地区連邦地裁のBarbara Lynn判事は17日、WiiおよびWii Uが特許を侵害したとしてiLife Technologiesが任天堂を訴えていた裁判について、特許が無効との判断を示した(裁判所文書The VergeArs Technica)。

この裁判は2013年、体の動きの検出に関するiLifeの特許6件を任天堂が侵害したとして、iLifeが任天堂を訴えていたものだ。ただし、6件中5件は米特許商標庁審判部(USPTO PTAB)が無効と判断している。その結果、残った米特許6,864,796の請求項1が有効かどうかが争点となっていたが、2017年に陪審は請求項1を有効と判断し、iLifeの損害額を1,010万ドルとする評決を出している。これに対し、任天堂側が(陪審の評決とは異なる)法律問題としての判決申立および再審理申立を行う一方、iLife側は判決登録申立を行っていた。

判事は請求項1のコミュニケーションデバイスに搭載されたセンサーで体の動きを検出し、プロセッサーで(転倒などの)危険性を判断、その情報を送信するという内容について、抽象的なアイディアだと判断。コンポーネントに対する何らかの改善が加えられていれば別として、従来のコンピューターに抽象的なアイディアを実装しても抽象的なアイディアに変わりはないとし、抽象的なアイディアに対するソフトウェア特許を認めないとする連邦最高裁判決(Alice判決)により、この特許も無効になると判断した。

これにより、任天堂側の法律問題としての判決申立を認め、再審理申立およびiLife側の判決登録申立を却下。任天堂側に有利な判決登録を行うとのことだ。

14074221 story
スラッシュバック

Microsoft Security Essentials、1月14日以降もウイルス定義の更新が提供されることに 18

ストーリー by headless
決定してから発表してほしい 部門より
Microsoftがサポートページ更新し、Microsoft Security Essentials(MSE)に2020年1月14日以降もウイルス定義の更新を提供すると明記した(Computerworldの記事Softpediaの記事On MSFTの記事gHacksの記事)。

サポートページでは当初、MSEにはWindows 7と同じ製品ライフサイクルが設定されており、Windows 7の延長サポートが終了する1月14日以降はMSEがWindows 7を保護しなくなると記載されていた。更新後は1月14日以降もウイルス定義ファイルの更新が提供されるが、MSEプラットフォームの更新は行われなくなるといった内容に変更されている。日本向けのサポートページでは現在のところ、Windows 7の拡張セキュリティ更新プログラムに関するFAQ記事が更新済み、Windows 7のサポート終了に関する記事が未更新となっている。
14066381 story
インターネット

英政府から流出した文書がRedditで拡散される、Reddit運営はロシアの工作と判断 3

ストーリー by hylom
おそロシア 部門より

Anonymous Coward曰く、

米掲示板サイトReddit上に、英国と米国の貿易交渉に関する機密文書が投稿された。Redditの運営がこのアカウントを調査した結果、ロシア発と考えられる大規模な組織的活動の一環と判断されたそうだ(StripesTechCrunchCNET JapanSlashdot)。

英国では12月12日に総選挙が行われる。この選挙ではEUからの離脱の是非(ブレグジット)が大きな争点となっており、この投稿はこの選挙に影響を与えるためのものではないかと推測されている。

Reddit運営によれば、最初に「gregoratior」と呼ばれるアカウントが問題の貿易交渉文書を投稿したという。次に「ostermaxnn」というユーザーが同じものを再投稿した。複数のアカウントが連携することで、文書の注目度を高めようとしていたと運営側は見ている。

こういった調査の結果、Reddit運営英政府文書の漏えいに関わっていたsubreddit(Reddit上のフォーラム)と61のアカウントを投票操作およびプラットフォームのポリシーに反する不正使用を理由に削除したことを明らかにしている。

14028841 story
アメリカ合衆国

米カリフォルニア州バークレー議会、政府による顔認識技術の使用を認めず 5

ストーリー by hylom
オプトアウト 部門より

Anonymous Coward曰く、

米カリフォルニア州バークレーは、政府による顔認識技術の使用を禁止することを決めた。今年初めにケイト・ハリソン評議員によって提案された条例が、議会の満場一致で可決されたという(電子フロンティア財団の発表Slashdot)。

こうした顔認識技術の禁止をうたう都市は、サンフランシスコやオークランドなどに続いて4番目になる。この条例が通過したことで、カリフォルニア州が進めている警察官が装着するカメラでの顔認識ソフトウェアの使用を禁じることなどを目的とした州法案「AB 1215」にも署名が行われる模様。

電子フロンティア財団(EFF)は、過去数年にわたって顔認識技術を監視に利用することに対し、懸念を絶えず表明してきた。実際、MITのメディアラボによって、女性や有色人に対して顔認識技術のエラー率が高まるという問題が指摘されている。バークレーの顔認証の禁止は、政府による生体認証監視の使用を削減するための重要な一歩になるとしている。

13995002 story
バイオテック

同性愛という性的嗜好を決定付ける単独の遺伝子は存在しない 62

ストーリー by hylom
遺伝子と指向の影響は簡単な話ではなさそう 部門より

「人の性的指向に強く関わる特定の遺伝子は存在しない」という研究結果が発表された(Science誌掲載論文Science誌の解説記事NHK)。

この論文は同性愛の性的指向を持つ人約50万人分の遺伝子データを対象にした大規模な分析を元にしたもの。同じ研究グループの過去の研究ではDNAが同性愛の性的嗜好に関わっている可能性があるとされていたが、今回の研究では同性愛者はDNA内で特定の1つ以上の「マーカー」を持つ可能性が高いものの、この遺伝子マーカーの影響は1%以下と小さく、こういった遺伝子単独の存在だけではその人が同性愛者かどうかを判別することはできないということが分かったという。

結論としては、人間の性的指向は遺伝的影響もあるものの、それには数百から数千もの遺伝子が複雑に関わっており、また環境的な要因なども大きいため、遺伝子で人の性的指向を分析することは難しいという。

13970793 story
Android

プライバシー重点とされるAndroid Qでも広告主はユーザーの追跡が可能 11

ストーリー by hylom
どのあたりがバランスの良い落としどころか 部門より

Anonymous Coward曰く、

現在、ベータ版が公開されているAndroidの次期バージョンとなるAndroid Q(Android 10)では、プライバシーに重点が置かれている。しかし、電子フロンティア財団(EFF)がこれに対し、OSが依然としてユーザーよりも広告トラッカーを優先していると指摘している。

EEFによると、Android QではGoogleやサードパーティの広告主がアプリ間でユーザーを追跡できるようにする機能が継続的にサポートされており、Android Qで行われているプライバシー対策の良さが損なわれているという。さらにAndroidでは、アプリのインターネットへのアクセスをユーザーが制御できていないと指摘した。

Android Qではデバイスの識別に新たな制限を設けている一方で、Advertising ID(広告ID)と呼ばれる固有のデバイス識別子を生成し公開している。これにより、広告主が複数のアプリを利用してユーザーの行動を関連付けできる。Advertising IDはトラッキングCookieのようなもので、デフォルトではデバイス上のすべてのアプリに表示され、リセットこそ可能なものの、制限や削除はできない。

さらに、Facebookやほかのターゲティング会社は、他のプラットフォーム上のユーザーをターゲットにするため、Advertising IDのリストをアップロードすることを企業に許可しているとも指摘している(SD Times電子フロンティア財団Slashdot)。

typodupeerror

日々是ハック也 -- あるハードコアバイナリアン

読み込み中...