パスワードを忘れた? アカウント作成

スラドのRSSを取り込んでみよう。

13619959 story
プライバシ

Adblock Plus、ソーシャルメディアボタンをブロックする機能の有効化を推奨 14

ストーリー by hylom
分かる 部門より
headless曰く、

Webサイトに設置されたソーシャルメディアボタンによるユーザー追跡を防ぐため、Adblock Plusがソーシャルメディアボタンブロック機能の有効化を推奨している(公式ブログThe Next WebBetaNews)。

この機能はAdblock Plusの新機能のように報じられているが、実際には以前から利用できていた。AppleがWWDC 2018でソーシャルメディアによる追跡のブロックを発表したことを受け、改めて紹介したということのようだ。AppleがSafariに搭載する追跡の通知機能をAdblock Plusにも搭載すべきかどうかのアンケート調査も実施している。なお、Adblock Plusのブログ記事ではFacebookが主なターゲットになっているが、AppleはFacebookを名指ししてはいない。

ブログ記事では有効化の手順として、フィルターリスト「Fanboy's Social Blocking List」を追加するように説明している。このフィルターリストを追加すると、Adblock Plusの設定画面で「ソーシャルメディア アイコント ラッキングのブロック」チェックボックスがオンになる。わざわざフィルターリストを追加しなくても、チェックボックスをオンにするだけで追加されるようだが、こちらの手順が紹介されていない理由は不明だ。手元のFirefox環境ではかなり前にチェックボックスを設定していたようで、フィルターリストは既に追加されていた。

13612740 story
インターネット

CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 11

ストーリー by headless
攻撃 部門より
CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事Ars Technicaの記事SlashGearの記事)。

Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。

これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、iframe上のターゲットピクセルの色を識別できる。PoCではFacebookのソーシャルプラグインを埋め込んだ攻撃用ページから、Facebookユーザーの名前やプロフィール写真を読み取っている。ただし、1回のレンダリングでは処理時間の違いを測定できないため、多数のsaturationレイヤーを重ねている。また、別のブレンドモードを指定したレイヤーをiframeとsaturationレイヤーの間に入れることで、特定のカラーチャネルを抽出するなどの処理を事前に行っている。

この脆弱性はGoogle ChromeとMozilla Firefoxで確認され、昨年12月リリースのChrome 63と今年5月リリースのFirefox 60でぞれぞれ修正されている。脆弱性は昨年3月に別の発見者がChromiumメーリングリストで報告していたが、Mozillaには手違いで11月まで報告されていなかったため、修正が遅れたとのこと。なお、Safariは発見時点で既に対策済みだったようで、Microsoft Edge/Internet Explorerではmix-blend-mode自体が実装されていない。
13481501 story
インターネット

EV証明書を使用して既知の企業になりすませる可能性が指摘される 61

ストーリー by headless
大穴 部門より
EV証明書を使用して既知の企業になりすませる可能性をセキュリティリサーチャーのIan Carroll氏が指摘している(実証ページ兼解説記事Ars Technicaの記事)。

EV証明書では厳格な審査が行われるとされ、アドレスバーが緑色に変われば安心ともいわれるが、実際には会社を設立すれば比較的簡単に取得できてしまうという。Safariの場合、EV証明書を使用したWebページではアドレスバーにURLが表示されず、発行先の会社名のみが表示されるため、本物のWebサイトに似たフィッシング用のドメインを取得しなくてもユーザーがだまされる可能性もある。9月にセキュリティ専門家のJames Burton氏は「Identity Verified」という会社を設立して取得したEV証明書を使用し、Safariで安全なWebサイトがGoogleやPayPalのログイン情報を要求しているかのように見える例を示して詐欺の可能性を警告している。

Carroll氏の場合は「Stripe, Inc」という会社を米ケンタッキー州リッチモンドで設立して実証サイト「stripe.ian.sh」のEV証明書を取得。オンライン決済サービスを提供するStripe(stripe.com)と同名だが、こちらは本社がカリフォルニア州サンフランシスコにある。しかし、Safariのアドレスバーではstripe.ian.sh、stripe.comともに「Stripe, Inc」と表示されるのみで見分けがつかない。
13471077 story
Google

2011~2012年の英在住iPhoneユーザーはGoogleから最大7.5万円受け取れる可能性 20

ストーリー by hylom
iPhone-X買うにはちょっと足りない 部門より
あるAnonymous Coward 曰く、

Googleが2011年6月から2012年2月にかけてSafariのCookieを利用してユーザーの行動を追跡していた問題で、イギリスの団体がGoogleを相手取って集団訴訟を起こしているようだ。もしこの団体が勝訴した場合、Googleから1人あたり500ポンド(約75,000円)を受け取れる可能性があるという(iPhone Mania集団訴訟のサイト)。

アメリカでは同様の訴訟が2012年に起こされており、こちらでは罰金の支払いが命じられている。イギリスでiPhoneを使用していた方は確認しましょう。集団訴訟のサイトがやたらとCoockieの情報が充実しているのには笑った。

ただし、権利があるのはイングランドおよびウェールズ在住者のみだという。

13404658 story
マイクロソフト

AppleとGoogleが修正し、Microsoftが修正しなかった脆弱性とは 47

ストーリー by headless
仕様 部門より
Microsoftはセキュリティ脆弱性として報告されたバグをセキュリティ脆弱性ではないなどの理由で修正しないこともあるが、AppleやGoogleが3月に修正したのに対し、Microsoftだけが修正しなかったという脆弱性をCiscoのTalosグループが公表した(Talosのブログ記事TALOS-2017-0306The Registerの記事)。

脆弱性はApple SafariやGoogle Chrome、Microsoft Edgeでコンテンツセキュリティポリシー(CSP)のバイパスが可能になるというもの。攻撃の流れとしてはContent-Security-Policy HTTPヘッダーで「'unsafe-inline'」を有効にし、「window.open()」で空のドキュメント(about:blank)を開く。新しいドキュメントは元のドキュメントと同一生成元だが、CSPが無効化されるため、「document.write」関数でコードを書き込めば同一生成元ポリシーを無視して他のWebサイトからデータを読み取ることができる。

Talosでは脆弱性を発見後、2016年11月29日にMicrosoftに通知したが、Microsoftは今年3月に仕様であり、脆弱性ではないと回答。Talosは再考を促したものの、修正の予定はないとの回答を受けて9月6日に脆弱性を公表した。一方、AppleはiOS 10.3およびSafari 10.1で修正済み(CVE-2017-2419)、GoogleもChrome 57.0.2987.98で修正済み(CVE-2017-5033)だ。'unsafe-inline'によるインラインスクリプトの有効化が問題とする見方もあるが、どのような場合でもクロスサイトアクセスはブロックすべきであるとTalosは主張する。なお、Mozilla Firefoxでは新しいドキュメントが元のドキュメントからCSPを継承するため、同様の問題は発生しなかったとのことだ。
13348448 story
iOS

Apple、iOSやmacOSなどの脆弱性を多数修正 27

ストーリー by headless
多数 部門より
Appleは19日、CVE-IDにして合計69件、延べ208件の脆弱性を修正するiOSやmacOSなど7本のソフトウェアのセキュリティアップデートを公開した(The Registerの記事Neowinの記事The Vergeの記事9to5Macの記事)。

修正件数が最も多いのはiOS 10.3.3の47件。半数以上の24件をWebKit関連の脆弱性が占める。次に多いのはtvOS 10.2.2の38件で、37件のmacOS Sierra 10.12.6が続く。ただし、macOSでは25件の脆弱性を修正するSafari 10.1.2の修正情報が別途公開されているため、合計ではmacOS関連の脆弱性が最も多い。なお、これらの修正の一部は同日公開されたOS X El Capitan/Yosemiteのセキュリティアップデート(2017-003)にも含まれる。

今回のセキュリティアップデートはWindowsユーザーも無縁ではない。iTunes 12.6.2 for Windowsでは23件、iCloud for Windows 6.2.2では22件の脆弱性が修正されている。iTunes/iCloudで修正された脆弱性はほとんどがWebKit関連だ。このほか、watchOS 3.2.3でも16件の脆弱性が修正されている。

今回修正された脆弱性のうち、任意コード実行につながる可能性があるものは全69件中46件。WebKit関連では24件中19件となっている。iOS/macOS/tvOS/watchOSでは、BroadcomのWi-FiチップBCM43xxで発見されたリモートからの任意コード実行を可能にする脆弱性CVE-2017-9417(Broadpwn)も修正された。なお、GoogleはBroadpwnの脆弱性に対処したAndroidのセキュリティパッチを7月5日にリリースしている。
13343266 story
DRM

W3C、著作権管理技術EMEの標準化を決定。フリーソフトウェア財団などは反発 45

ストーリー by hylom
W3C外で勝手にやられるよりはマシという判断か 部門より
あるAnonymous Coward曰く、

W3Cは、WWWの生みの親であるティム・バーナーズ=リーの承認を得て、デジタル著作権管理付きコンテンツを再生するためのW3Cの標準仕様「Encrypted Media Extensions」(EME)の導入を決定した。今回の導入が決定したことにより、ユーザーはプラグインなしにコピープロテクションの掛かったコンテンツを閲覧できるようになる(techdirt記事1techdirt記事2FSFの発表1FSFの発表2Slashdot)。

EMEの導入に関してはフリーソフトウェア財団(FSF)や人権団体などが反対を続けてきた。理由としてはHTMLに直接DRMを導入することは、真にオープンなインターネットのあり方に反するものだといったもの。今回の決定に対して控訴手続きも行うという。W3Cの決定に控訴するための仕組みは用意されていたものの、使われてるのは今回が初めてである模様。

なお、EMEはすでにGoogle ChromeやInternet Explorer Safari、Firefox、Edgeなどでサポートされており、これを利用してDRM付きコンテンツをWebブラウザ上での再生できるようにしている動画配信サービスも登場している(The Netflix Tech Blog)。

13341658 story
iOS

Apple、iOSの広告ブロックはSafari用のものだけを認める方針か 36

ストーリー by headless
方針 部門より
AppleがiOSの広告ブロックアプリについて、Safari用のものだけを認める方針に転換したと報じられている(9to5Macの記事Mac Rumorsの記事)。

iOS 9以降ではSafariの拡張機能として広告ブロック機能を提供できるようになっているが、VPN/ルート証明書を使用してSafari以外のアプリで広告ブロックを提供するアプリもApp Storeで入手可能だ。こういったアプリを開発するFutureMindがアプリを更新しようとしたところ、App Storeのレビューで却下されたという。Appleは2015年に独自のルート証明書をインストールする広告ブロックアプリをApp Storeから削除しているが、これとは別の理由のようだ。

FutureMindによれば、Appleは今後Safariのコンテンツブロック機能を使用する広告ブロックのみを許可し、VPN/ルート証明書による広告ブロックは許可しないと言われたそうだ。さらに、FutureMindのアプリはApp Store審査ガイドラインの4.2に違反するとも指摘されたとのこと。

ガイドライン4.2はアプリの最低限の機能を規定するものだ。4.2.1では「用途に合ったAPIおよびフレームワークを使用し、アプリケーションの説明に記載」することを求めており、広告ブロックがVPN/ルート証明書の用途に合わないと判断されたものとみられている。

これについてAppleは、ガイドラインを変更したわけではないと9to5Macに説明。App Storeでは他のアプリの機能を妨げるアプリをこれまでも認めておらず、サードパーティーアプリの広告をブロックするアプリは削除するという。さらに、Appleは開発者が収入を得る手段の一つとして、広告を支持しているとも述べたとのことだ。
13325242 story
インターネット

米オライリー、電子書籍の直販を廃止 28

ストーリー by hylom
選べるようにするのが最適では 部門より
あるAnonymous Coward曰く、

米技術書出版大手のO'Reilly Mediaは28日、公式オンラインストアでのDRMフリーの電子書籍の直接販売を中止し、今後はAmazon等小売店経由での購入か、または同社の電子書籍定額サービスSafariのいずれかを使用するようにとアナウンスした(アナウンスSlashdotソフトアンテナブログ)。

今回の決定は新規販売の中止ということのようで、既存の購入者は引き続き購入済みの書籍にアクセス可能で、改訂版が出た場合はアップデートを入手することも可能とのこと。同社の決定は、SpotifyやNetflixのように定額サービスが主流となってきた事を受けたもののようだ。

ただし、Safariは月額料金が39ドルからと他のサービスに比べて比較的高めであることと、また結果的に今後はDRMフリー版が入手できなくなることから、不満の声も上がっている。なお、同様にDRMフリーの電子書籍を提供する日本オライリーが追随するのかは不明。

13306679 story
iOS

Appleが新OSで初めてサポートするHEIF、FLAC、Opusなど 63

ストーリー by headless
発音 部門より
maia 曰く、

アップルがWWDC2017で発表した中に、iOS 11やmacOS High Sierra等でサポートするメディアフォーマットがいくつかある。画像系はHEIF、オーディオ系はFLAC、Opus(低遅延)、Spatial Audio Formats(B-format)等がある(Engadget日本版の記事PHILE WEBの記事)。

HEVC(H.265)は4Kをにらんで少し前から対応していたが、ハードウェアエンコードは、現状A10 Fusion搭載端末と第6世代のIntelチップ搭載Macが8bitのエンコードに対応する。HEIF(High Efficiency Image File Format)はコンテナだが、HEVCのコーデックでロスレス、ロッシー圧縮に対応し、静止画、連続画像、動画、音声、メタデータなどをまとめて扱える。圧縮効果としては同画質ならJPEGの半分近く、JPEG 2000に対しても優位性があるという。2015年に規格はファイナライズされた。AppleはJPEG(JFIF)の代替としてHEIF、AVC/H.264の代替としてHEVC/H.265を標準サポートするつもりのようだ。FLAC(Free Lossless Audio Codec)のサポートは永らく望まれていた事で、市場の現実に合わせた形。既存のiPhoneはDACの都合で、48kHz/24bitまでしか対応しない。

また、MASA.H 曰く、

先日行われたWWDC 2017においてiOS 11では画像と動画のコーデックとしてそれぞれHEIF(High Efficiency Image File format)とHEVC(High Efficiency Video Codec)が追加されることが発表された(9to5MacのWWDC 2017ライブブログ)

HEVCはともかくHEIFの現時点での普及率および認知度は0に等しいと思うのだが、iOSに採用されたことで普及が進んでいくのだろうか。それともJPEG 2000のように忘れ去られていくのだろうか。

静止画にHEVCといえば、BPGがまず思い浮かぶのだが、BPGは個人が提唱したフォーマットなのに対して、HEIFは組織としてのMPEG(The Moving Picture Experts Group)が規定しISOになっている(ISO/IEC 23008-12)。といっても特許の処理が面倒なのか、BPGの実装を見たことはあってもHEIFの実装は見たことがない。ないものは使えないので実用的なのは現時点ではBPGなのだが、HEIFには今後対応ソフトが出てくることに期待したい。

iOS 11ではiPhone 7/7 Plusで撮影した写真がHEIFで保存されることになるという。なお、誰もが気になる「HEIF」の発音だが、AppleのカメラソフトウェアチームのBrad Ford氏が同僚に読み方を聞いて集計するという科学的な手法を用いて調査(動画: 該当部分は21分過ぎから※)したところ、ドイツ人は「ハイフ」、フランス人は「エーフ」、ロシア人は「ヒーフ」だったという。46%を占める「ヒーフ」が最多という結果になったが、HEIFを開発したのがNokiaであることから、フィンランド語の発音「ヘイフ」が選ばれるべきだというフィンランドオフィスが主張。ただし、「ヘイフ」と発音した人は1%に過ぎないという。Ford氏個人は登壇直後から「ヒーフ」と発音しており、イメージ圧縮チームのDavide Concion氏も別のHEIF解説セッション動画※で「ヒーフ」と発音している。

※動画再生にはSafariが必要。ただし、Microsoft Edgeでも再生できた。

13289911 story
クラウド

iCloudで削除したメモ、保持期限を過ぎても復元できることが判明 36

ストーリー by hylom
謎仕様 部門より
headless曰く、

iCloudのメモアプリで削除したメモが、保持期限とされる30日間を超えて復元可能な状態になっていることをElcomSoftが発見したそうだ(ElcomSoftのブログ9to5MacMac Rumors)。

削除したメモは「最近削除した項目」に移動し、必要に応じて復元できるようになっている。「最近削除した項目」にメモを移動してから30日経過すると完全に削除されると説明されており、実際に古いメモは見えなくなるようだ。しかし、ElcomSoftによれば、同社のElcomsoft Phone Breaker 6.50を使い、iCloudに同期したデータをダウンロードすると削除から30日間の保持期限を過ぎたメモも取得できるのだという。

保持期限を過ぎた削除済みメモがすべて復元できるのかどうかは不明だが、ElcomSoftがテストしたアカウントの中には2015年に削除したメモが含まれるものもあり、少なくとも保持期限を2週間過ぎた削除済みメモにアクセスできるアカウントも複数あったとのこと。

ElcomSoftは2月、iOSデバイス上で削除したSafariの履歴がiCloudからすぐには削除されず、復元可能な状態になっていることを発見している。また、昨年8月にはiCloud Photo Libraryから完全に削除した写真や動画を復元可能なことも発見している。いずれの場合もAppleは復元できないように対策を行っており、今回も同様に対策が行われるとみられる。ただし、ユーザーがアクセスできないデータをAppleが保持している理由は明らかにされておらず、実際にデータが削除されたのかどうかも不明だ。

13287941 story
映画

HuluがリニューアルでHDCPが必須に、事前告知無しで混乱 62

ストーリー by hylom
まだ何か出てきそう 部門より
あるAnonymous Coward曰く、

先日日本版Huluのリニューアルが行われたのだが、その際にディスプレイ出力に著作権保護のためのHDCPが必須となり、またこの告知が事前に行われなかったとみられることから、混乱が起きているようである(Engadget JapaneseINTERNET Watch)。

HDCPは不正コピー防止のための技術で、対応には再生機自体が対応していることの他、ディスプレイが対応していること並びにHDMIケーブルやHDCP対応のDVI等での接続が必要となる。HDCP対応自体は各分野で徐々に進められていたが、今回のリニューアルでは事前に十分な告知が行われなかった様子でもあり、切り捨てとなったユーザーからは見られないといったクレームが殺到している模様である(告知ツィートと返信)。

HDCP対応自体は時代の流れという面もあるが、移行には多くの場合買い替えが必要なため、突然言われたユーザーとしてはたまったものではないだろう。

また、Mac OS X環境において外付けディスプレイへの出力を行う場合、Safariの利用が必要になるとのこと。

13280289 story
インターネット

ChromeやFirefoxをそのままUWP化してもWindowsストアでは公開できない 57

ストーリー by headless
障壁 部門より
Microsoftが先日発表したWindows 10の新エディション「Windows 10 S」では既定のWebブラウザーがMicrosoft Edgeに固定されており、変更できない。MicrosoftはどのようなWebブラウザーでもWindowsストアで公開されていれば実行できると述べているが、Google ChromeやMozilla Firefoxが実行できるようになる可能性は低いようだ(MSPoweruserの記事BetaNewsの記事The Vergeの記事On MSFTの記事)。

Windowsストアポリシーの10.2.1には「Web を閲覧するアプリでは、Windows プラットフォームによって提供される適切な HTML エンジンと JavaScript エンジンを使用する必要があります。」との記載がみられる。つまり、ChromeやFirefoxをUWP化しただけではWindowsストアで公開できないことになる。このような項目はこれまで存在しなかったが、変更履歴によれば、1月17日のドキュメントバージョン7.2で追加されたようだ。

ストアポリシーの変更についてMicrosoftでは、ユーザーの安全を保つためだとし、他のストアで入手したアプリが使いたいユーザーはWindows 10 Proにいつでも変更できると述べているとのことだ。

なお、NetApplicationsの4月分デスクトップブラウザーシェアデータによれば、1位のChromeが59%を占めており、以下IE(18.40%)、Firefox (11.80%)、Edge(5.62%)、Safari(3.44%)の順になっている。StatCounterではChromeが63.45%。以下全バージョン合計でFirefoxが14.5%、IEが9.00%、Safariが5.18%となっており、Edgeのシェアは3.72%にとどまる。
13250865 story
インターネット

ChromeとFirefoxのホモグラフ攻撃対策を迂回する方法 28

ストーリー by hylom
よく思いつくなあ 部門より
headless 曰く、

形の似た文字をドメイン名に使い、フィッシングサイトなどを正規サイトに偽装する「IDNホモグラフ攻撃」は以前から知られており、Webブラウザー側での対策も行われているが、Google ChromeとMozilla Firefoxの対策を迂回する方法が発見されたそうだ(Xudong Zheng氏のブログWordfenceのブログRegisterNeowin)。

ASCII外の文字を含む国際化ドメイン名はPunycodeという方式でASCIIに変換して表現される。このようなドメイン名はPunycodeに変換されたことを示すため「xn--」が先頭に付加されるが、ChromeやFirefoxのアドレスバーやリンクのツールチップでは元の文字に逆変換して表示される。

ChromeFirefoxではホモグラフ攻撃対策の一環として、ドメイン名にラテン文字やキリル文字、ギリシャ文字が混在している場合にPunycodeのまま表示する。しかし、文字種を混在させなければ逆変換表示になることを利用し、キリル文字だけで偽ドメイン名を作れば対策の迂回が可能だ。

キリル文字にはラテン文字と似た字形の文字が多く、フォントによっては全く同じ字形で表示されることもある。PoCとして、Xudong Zheng氏は「https://apple.com/」に見えるドメイン https://www.xn--80ak6aa92e.com/ (https://аррӏе.com/)、Wordfenceは「https://epic.com/」に見えるドメイン https://www.xn--e1awd7f.com/ (https://www.еріс.com/)を公開している。

なお、Internet ExplorerやMicrosoft EdgeではPunycode表記のまま表示される。Safariも同様のようだ。また、Firefoxでは「about:config」で「network.IDN_show_punycode」の値をtrueに変更すれば逆変換を無効にしてPunycode表示に固定することも可能だ。Chromeにはオプションが存在しないが、Chrome 58で対策が行われているとのことだ。

13207046 story
お金

米FedEx Office、Flashを有効にしたユーザーに値引きサービスを提供 26

ストーリー by headless
手間 部門より
WebブラウザーでAdobe Flashの動作制限が進められる中、米FedEx OfficeのオンラインプリントサービスではFlashが必須となっているようだ。そのため、Flashを有効化してサービスを利用したユーザーに対し、値引きを提供している(The Registerの記事)。

Flashが無効になっているWebブラウザーでプリントサービスのページに移動しようとすると、Flashを有効にしなければ利用できないといった内容のエラーページが表示される。Flashを有効にしてサービスを利用した場合、エラーページに記載されているクーポンコードを使用することで、30ドル以上の注文で5ドルの値引きが受けられるとのこと。このページにはGoogle ChromeとSafariでのFlash有効化手順なども表示されるが、Chrome 57で廃止された「chrome:plugins」ページを使用する手順が記載されており、情報が古いようだ。

なお、Chrome 56以降ではユーザーが許可したサイトでのみFlashの実行を許可するオプションがデフォルトになっているが、自動実行を許可する設定に変更しなければFlashコンテンツを含むページへ移動できない。Windows 10 Creators UpdateのMicrosoft EdgeでもFlashの実行にユーザーの許可が必要となる。サイトごとの自動実行を許可することも可能だが、オプションはFlashコンテンツを含むページでのみ表示されるため、FedEx Officeのサービスを利用できるよう設定するのは簡単ではない。
typodupeerror

「科学者は100%安全だと保証できないものは動かしてはならない」、科学者「えっ」、プログラマ「えっ」

読み込み中...