パスワードを忘れた? アカウント作成

あなたのタレコミがスラドを支えます。さぁ、タレこめ!

13987889 story
Chrome

Chrome/Firefox/Safariがカザフスタン政府の証明書をブロック、政府による傍受に対処 23

ストーリー by hylom
そんなことがあったのか 部門より

Anonymous Coward曰く、

一党独裁が続く中央アジアのカザフスタンでは、2016年より国民に政府発行のルート証明書のインストールが義務付けられている。これに対しては政府がHTTPS通信を傍受できるのではないかと危惧されていたが、今年7月に実際にカザフスタン政府による中間者攻撃が報告されたことから、主要ブラウザが一斉にこの証明書をブロックする事態となっている(GIGAZINEITmediaZDNet Japan)。

ブロックを行ったのはFirefoxおよびGoogle Chrome、Safari。また、Chromiumのソースコード内に含まれているブロックリストにこの証明書が追加されているため、ほかのChromiumベースのWebブラウザでもブロックが行われるとのこと。

13964558 story
アニメ・マンガ

札幌の動物園、ラオウのコスプレで馬に乗れる企画を開始 25

ストーリー by hylom
夏休みのアクティビティとしていかがでしょうか 部門より
あるAnonymous Coward曰く、

北海道札幌市の動物園ノースサファリサッポロが、人気漫画「北斗の拳」に登場するキャラクター「ラオウ」のコスプレで馬に乗れるという企画を行っている(Jタウンネット)。

この企画は7月13日より開始されており、コスチュームを着ての記念撮影は1,000円、乗馬体験の料金は2,000円。権利者からの許諾を得ての企画とのこと。

13933359 story
Safari

インド最大のストリーミングサービス、Safariのサポートを停止。システムの不具合をSafariに押しつけた? 19

ストーリー by hylom
実際Safariは独特の挙動をするところがあったりするが 部門より

Anonymous Coward曰く、

20世紀フォックスの子会社でインド最大のビデオストリーミングサービスを手がける「Hotstar」で、Safariブラウザでからの閲覧ができなくなったという。同社はSafariの「技術的制約」が原因と発表した。しかし「情報筋」によると、実際のところはHotstarのシステムに認証していないユーザーがコンテンツにアクセスできるという不具合があり、この不具合はSafariからのみ悪用できるためにSafariからのアクセスがブロックされたという(TechCrunchSlashdot)。

この問題は南アジアで人気の高いクリケットのワールドカップが開催されている最中に発生したということで、同社には苦情が殺到しているようだ。

13927242 story
OS

Apple、iPad専用設計のiPadOSを発表 81

ストーリー by hylom
実際に触ってみないとなんとも 部門より

headless曰く、

Appleは3日、iPad専用に設計された新OS「iPadOS」を発表した(プレスリリースiPadOS Preview)。

iPadOSはiOSをベースにしているが、iPadの大画面を生かした新しいホーム画面を搭載し、Split ViewとSlide Overの機能強化やSafariでのデスクトップ版Webサイトの自動表示といった機能に対応する。テキスト編集機能の強化やApple Pencilによる操作性の向上、ファイルアプリケーションによるiCloud Driveのフォルダ共有対応や外付けドライブ対応などの機能も追加されている。

iPadOSはiPad Air 2以降およびiPad Pro全モデル、第5世代以降のiPad、iPad mini 4以降に対応し、無料ソフトウェアアップデートとして今秋提供される。開発者向けプレビュー版は同日からdeveloper.apple.comを通じて提供が始まっており、7月にはパブリックベータプログラムをbeta.apple.comで提供予定とのことだ。

13890699 story
iPhone

iOS 12.2ではデフォルトでブラウザからのモーションデータ取得が禁止に、AR/VR界隈に影響か 21

ストーリー by hylom
通知で一時的に許可、が適切な気はする 部門より

iOS 12.2ではSafariの設定で「モーションと画面の向きのアクセス」を明示的に有効にしないと、Webブラウザで実行されるスクリプト内からのモーションデータの取得ができなくなているという(@ikkou氏のTweet)。これにより、Webブラウザ上で動作するVR/ARコンテンツで問題が発生する可能性があるようだ(Qiita)。

この変更は、ユーザーのプライバシ保護強化のために行われたと見られている。しかし、この設定がオフになっていた場合、たとえばiPhoneの動きに応じてコンテンツ表示を変更するようなコンテンツがそのままでは動作しなくなるため、Webブラウザ上でVR/AR体験を提供するWebVRやWebARの普及に水を差すのではないかとの声が出ている。

なお、モーションセンサなどの利用についてはFirefoxも過去にプライバシーリスクがあるとしてAPIを非推奨にする計画を明らかにしていた(過去記事)。

13835132 story
プライバシ

Apple、Safari 12.1でDo Not Trackサポートを削除 27

ストーリー by headless
削除 部門より
AppleはSafari 12.1でDo Not Track (DNT)のサポートを削除するそうだ(リリースノート9to5Macの記事Mac Rumorsの記事DuckDuckGoのブログ記事)。

ユーザーがWebサイトに対しトラッキング拒否の意思を示すDNTだが、W3Cでは勧告候補どまりになっている。WebサイトはDNT設定に従う義務がないため、実効性がないだけでなく、逆にDNTがフィンガープリンティングの一要素として使われる可能性も指摘されている。

Safari 12.1は開発者向けにベータ版が提供されているiOS 12.2およびmacOS 10.14.4に含まれており、macOS 10.13.6/10.12.6でも利用できるとのことだ。
13824322 story
インターネット

モバイル版Microsoft Edge、Webサイトの信頼性評価を表示するNewsGuardを標準搭載 37

ストーリー by headless
標準 部門より
NewsGuardは16日、信頼に値する情報を掲載しているWebサイトかどうかを表示する同社のNewsGuard機能がモバイル版(Android/iOS)のMicrosoft Edgeで利用可能になったことを発表した(プレスリリースThe Guardianの記事BetaNewsの記事The Vergeの記事)。

NewsGuardの拡張機能はGoogle ChromeMozilla FirefoxApple Safariのほか、PC版のMicrosoft Edgeでも利用できていたが、モバイル版Microsoft Edgeでは標準機能として組み込まれている。そのため、アプリの設定で「ニュースの評価→アドレスバーに評価を表示する」をオンにすれば利用できる。

NewsGuardを有効にするとアドレスバー左端にインジケーターが追加され、正確性と責任について基本的な水準が維持されるかどうかを緑(維持される)と赤(維持されない)で確認できるようになる。リンク先各社の記事ではMail Online(Daily Mail)に赤いインジケーターが表示されることに注目が集まっているが、少し試してみたところSputnikRTAl Jazeera(英語版)にも赤いインジケーターが表示された。

一方、WikiLeaksではVOAFox Newsに緑のインジケーターが表示されるにもかかわらず、WikiLeaksに赤のインジケーターが表示されることに不満の意を示している。
13794273 story
Firefox

科学技術振興機構の電子ジャーナルプラットフォーム「J-STAGE」では未だにFirefoxが非推奨 55

ストーリー by headless
確認 部門より
hylom 曰く、

科学技術振興機構 (JST) による電子ジャーナルプラットフォーム「J-STAGE」の公式Twitterアカウントが12日、セキュリティ強化のためFirefoxや古いバージョンのブラウザで利用できなくなる可能性があると告知した。実際にFirefoxでは一時サイトが利用できない状況になっていたようだ(noteへの投稿)。

具体的な理由については明らかにされていないが、J-STAGEでは12日にTLS 1.2への切り替えとTLS 1.0/1.1の無効化を実施している。そのため、使用する暗号スイートを適切に設定していなかったことが原因ではないかとみられている。その後問題は修正され、現在のところFirefoxでも閲覧可能となっている。

ちなみに、J-STAGEの「動作確認済ブラウザ」ページでは、Windows 7のInternet Explorer 11とChrome 45.0、Mac OS XのSafari 10と、かなり古いバージョンのWebブラウザが「推奨」とされており、Firefoxについては非推奨のようだ。

13792931 story
テクノロジー

普及が進むパスワードなし生体認証規格「FIDO」 18

ストーリー by hylom
知らなかった 部門より
あるAnonymous Coward曰く、

寡聞にして知らなかったが、パスワードなしで利用できる生体認証の標準規格「FIDO(Fast IDentity Online、ファイド)」というものがあるらしい。物理的なログインキーや生体認証などを使った認証のための標準規格で、現在さまざまな企業がアライアンスに参加しているという(Engadget Japanese)。

すでにNTTドコモやソフトバンク、Yahoo! JAPANがAndroid版のChromeブラウザでFIDOを使った生体認証によるログインがサポートされているほか、KDDIやLINEも今後サポートを行うという。

Google ChromeやFirefoxもFIDOをサポートしているほか、EdgeやOperaも対応を進めている一方でAppleはFIDOアライアンスに参加していないため動向が不明だが、Safariでサポートが実験的に行われているようだ。

13766393 story
バグ

iPhoneのSafariに不具合、特定のCSSアニメーションを使ったWebページを開くとクラッシュ 39

ストーリー by hylom
iOSでよくある話ではあるが 部門より
あるAnonymous Coward曰く、

特定のCSSアニメーションを使ったWebページをiPhoneのWebブラウザ(Safari)で閲覧すると、iPhoneに高負荷がかかりアプリがクラッシュする(再起動される)という問題が発見された(GIGAZINE)。

この情報を公開していたページ既に非公開にされているが、いやしくもプログラマー名乗る人が「iPhoneでCSSアニメーションさせたら落ちた!サイト作って公開しよう!」って安易な行動に出るのは職業倫理の意識が足りなすぎ。

13755840 story
インターネット

政府統計オンライン調査、各ブラウザのNPAPIサポート廃止によりIE11以外での回答提出はサポート対象外に 78

ストーリー by hylom
2018年のニュースとは思えない 部門より

政府の統計調査にインターネットを使ってオンラインで回答するための受付窓口となっている「政府統計オンライン調査総合窓口」におけるPDF調査票回答の推奨環境が2018年10月10日よりInternet Explorer 11(IE11)のみに変更された(同サイトの告知ページ)。利用者側でIE11環境を用意できない場合は紙の調査票での提出に切り替えるよう指示されている。

FirefoxやSafariのNPAPIサポートが終了し、ブラウザ上でのAdobe Readerプラグインが利用できなくなったことが理由だという。

13747205 story
インターネット

主要ブラウザーは2020年にTLS 1.0/1.1を無効化する計画 13

ストーリー by hylom
あと1年ちょっと 部門より
headless曰く、

10月15日、メジャーブラウザーのTLS 1.0/1.1無効化計画が一斉に発表された(Google Security BlogMicrosoft Edge Dev BlogWebKit公式ブログVentureBeat)。

GoogleはChrome 72(2019年1月に安定版リリース見込み)でTLS 1.0/1.1を非推奨とし、これらのバージョンを使用するサイトで警告が表示されるようになる。さらにChrome 81(2020年1月に早期リリース見込み)ではTLS 1.0/1.1が無効化される。

Microsoftは2020年前半にその時点でサポートされているバージョンのMicrosoft EdgeとInternet Explorer 11のデフォルトでTLS 1.0/1.1を無効にする。Appleは2020年3月以降、iOSとmacOSのアップデートでSafariからTLS 1.0/1.1のサポートを完全に削除する計画だという。

MozillaはFirefoxでのTLS 1.0/1.1サポートを2020年3月に無効化する計画だ(Mozilla Security Blogの記事)。プリリリース版のFirefoxで無効化されるのは2020年3月よりも前になる。具体的な日程については後日発表するとのことだ。

13729148 story
Firefox

非常に長い名前のBlobでFirefoxをクラッシュさせる攻撃 29

ストーリー by hylom
新バグ 部門より
headless曰く、

CSSを使用してSafariをDoS攻撃する実証コードが先日話題になったが、作者のSabri Haddouche氏(pwnsdx)が今度はJavaScriptを使用してFirefoxをDoS攻撃する実証コードを公開している(Bleeping ComputerBetaNewsNeowin)。

この攻撃は非常に長い名前のBlobを生成して繰り返しダウンロードさせることでFirefoxがクラッシュするというもの。条件によってはOSがクラッシュすることもあるという。実証コードはGitHubで公開されているほか、Webサイト「Browser Reaper」で実際に動作を試すことも可能だ。Windows 10上のFirefox 62で試してみたところ、メモリ使用率が大きく増加していき、Windows自体の操作も困難になった。長い時間はかかったものの何とかPCをスリープさせることができ、復帰後にFirefoxのみクラッシュしたが、放置すればWindowsごとクラッシュするかもしれない。なお、Bleeping Computerの記事ではモバイル版のFirefoxには影響しないとしているが、Android版Firefoxで実行して放置するとアプリがクラッシュした。

この攻撃は以前話題になったGoogle Chromeに対する攻撃と似ている。ChromeのデフォルトではWebサイトによる複数ファイルの連続ダウンロードにユーザーの許可が必要になるため、許可を求めるダイアログで「ブロック」をクリックすれば攻撃を回避できる。ただし、Chrome 69ではダイアログが出たまま放置するとフリーズした。Windowsの応答も遅くなったが、タスクマネージャーでChromeを終了させることは可能だった。Microsoft Edgeの場合はダウンロード確認の通知が表示され、一時的にメモリ使用率が増加するものの、しばらくするとページがリロードされて元の状態に戻った。

MozillaのBugzillaでは複数ファイルの自動連続ダウンロードに対する保護の必要性が2年前から議論されている。ただし、今回の実証コードに対するバグリポート(報告者はおそらくHaddouche氏)は複数ファイルのダウンロードではなく、Blob URLの扱いに関するバグ1438214に統合された。バグ1438214は2月から議論されているが、こちらも現在のところ有効な解決策は出ていないようだ。

Browser ReaperではSafariに対するDoS攻撃の実証コード(Reap Safari)と今回の実証コード(Reap Firefox)に加え、Chromeに対するDoS攻撃の実証コード(Reap Chrome)を試すこともできる。こちらは履歴のナビゲーションをループさせる攻撃だ。Chromeでは実行後しばらくするとタブがクラッシュし、Edgeではページがリロードされた。一方、Firefox上ではReap Firefoxの実行時と同様の状態になってしまった。

13720294 story
Safari

WebページをSafariに読み込ませるだけでiOSデバイスが再起動するCSSベースの攻撃 11

ストーリー by hylom
2010年代のブラクラはOSもクラッシュさせる 部門より
headless曰く、

SafariにWebページを読み込ませるだけでiOSデバイスが再起動するという、CSSを使用したDoS攻撃の実証コード(クリック注意)が公開された。ソースコードもGitHubで公開されている(発見者のツイートNeowin9to5MacZDNet)。

攻撃はネストした多数のdivエレメント(PoCでは3,486個)に対し、処理に3Dアクセラレーションを用いるCSSのbackdrop-filterプロパティを適用するというもので、急速にグラフィックリソースをすべて消費してカーネルパニックを引き起こすというもの。macOS上のSafariでは一時応答しなくなるものの、しばらく待てばタブを閉じることが可能だという。

基本的に影響を受けるのはWebKitベースのアプリのみのようだが、Microsoft Edge/Inernet Explorerではページの読み込みに失敗する。IEの場合は大量にネストされたdivエレメントの処理の方で問題が発生しているようだ。Windows 7上のIEがクラッシュしたという報告もみられるが、手元のWindows 10環境ではIE自体がクラッシュすることはなかった。このほか、Windows 10上のGoogle Chrome/Mozilla Firefox/Opera/Vivaldi/Brave/UC Browserで試してみたが、特に問題が発生することはなくページが表示された。

なお、Chromeは「chrome://flags/#enable-experimental-web-platform-features」をEnabledにしなければbackdrop-filterプロパティが有効にならない。有効にしてPoCを読み込ませると画面が真っ黒になってしまったが、divエレメントの数を1~2個に減らせばフィルターが適用された状態での表示を確認できた。このほかのブラウザーはbackdrop-filterプロパティをサポートしないため、フィルターは適用されない。Android版のChromeでは「enable-experimental-web-platform-features」をEnableにしてPoCを読み込ませると端末ごとフリーズした。ただし、そのまま放置しておくと数分後にはChromeのタブがクラッシュし、操作可能な状態に戻った。

13713128 story
プライバシ

Mac App Store、不正な処理を行っていたアプリについて通報後も1か月放置 20

ストーリー by hylom
結局通報だけでは動かないのか 部門より
Trend Microなどが提供するMac向けアプリ、ユーザーに無断でブラウザ履歴などの情報を収集・送信していたという話があったが、こういった不正な処理を行っているアプリの存在をMac App Storeに通報しても、削除までに至る道のりは長いようだ。

headless曰く、

個人情報をユーザーに無断で送信していることが8月初めにAppleへ報告されていたセキュリティアプリ「Adware Doctor:Anti Malware &Ad」が1か月後になってようやくMac App Storeから削除された(Objective-See's Blog9to5MacMac RumorsSoftpedia News)。

Adware DoctorはSafariをはじめとするWebブラウザーの履歴やApp Storeの検索履歴、実行中プロセスの一覧などをZIPファイルに格納して中国のサーバーに送信していたという。ユーザーの同意なく個人情報を収集することは、App Store Reviewガイドライン5.1.1に違反する。なお、通常のアプリはサンドボックス化により他のアプリの情報を取得することはできないが、このアプリはマルウェアの検出に必要だなどとしてユーザーのパーミッションを得ていた。詳細については元NSAハッカーのパトリック・ウォードル氏が発見者のジョン・マックス氏(@privacyis1st)と協力して調査を行った結果を、Objective-See's Blogの記事にまとめている。

このアプリはもともと「Adware Medic」として公開されていた「Malwarebytes for Mac(当時の名称はAdwareMedic)」の偽物で、いったんMac App Storeから削除されていたが、その後「Adware Doctor」という名称で再公開されたものだという。削除前、日本のMac App Storeでは600円で販売されており、Mac App Storeの有料アプリランキングではスウェーデンで2位、カナダで4位、デンマークで6位に入る人気アプリだった。なお、アプリ自体は削除されているが、現在のところ上述の3か国向けページではランキングに入ったままだ。

マックス氏やウォードル氏から報告を受けたAppleは定型の返信をしたのみで特に動きはなかったが、Objective-Seeの記事を各メディアが一斉に報じた直後にアプリを削除したようだ。このほか、マックス氏は同じ開発者による「AdBlock Master:Block Popup Ads」と別の開発者による「Komros Anti Malware & Adware」(いずれも無料)についても同時に問題を指摘しており、これらも既に削除されている。さらに、トレンドマイクロの「Dr. Cleaner」と「Dr. Antivirus」でも同様の問題を指摘し、PoC動画をVimeoで公開している。なお、これら2本のアプリは日本のMac App Storeでは公開されていなかったようだ。

これとはまた別件だが、App Storeで公開されている人気iOSアプリ20本以上がユーザーの位置情報などをデータマネタイゼーション企業に販売していると、GuadianAppが指摘している。

typodupeerror

一つのことを行い、またそれをうまくやるプログラムを書け -- Malcolm Douglas McIlroy

読み込み中...