パスワードを忘れた? アカウント作成

Idle.srad.jpは、あなたの人生において完全な時間の浪費です。見るなよ、見るなよ。

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2021年4月30日の記事一覧(全10件)
15272674 story
セキュリティ

バッファロー製Wi-Fiルーターに複数の脆弱性 サポート終了機器は早急に買い替えを 61

ストーリー by nagazou
現役と思われる機種も多いので確認を 部門より
あるAnonymous Coward 曰く、

バッファロー製Wi-Fiルーターに複数の脆弱性が見つかったとのこと。

JPCERTによると
CVE-2021-3511:第三者により、当該機器の設定情報等を窃取される
CVE-2021-3512:第三者により、当該機器の telnet サービスを有効化され、root 権限で任意のOSコマンドを実行される
CVE-2021-20716:第三者によって当該製品のデバッグ機能にアクセスされ、当該製品上で任意の OS コマンド実行や不正なコード実行、設定の変更、サービス運用妨害 (DoS) 攻撃等が行われる可能性
といった、深刻な内容ばかりのようだ。

基本的には最新パッチを適用すればよいが、サポートが終了している機器についてはパッチが提供されることはなく
使用を停止し、代替商品への買い替えを促している。

JVNVU#99235714 バッファロー製ルータにおける複数の脆弱性
JVNVU#90274525 バッファロー製の複数のネットワーク機器においてデバッグ機能を有効化される問題

15272676 story
Google

GoogleのCOVID-19接触通知システム、プライバシーリスクにつながるデータをプリインストールアプリが読み取り可能 7

ストーリー by nagazou
日本はプリインストールアプリ多いからなあ 部門より
headless 曰く、

GoogleのCOVID-19接触通知システムで、プライバシーリスクにつながるデータがサードパーティーのプリインストールアプリから読み取れる状態になっていたそうだ(The AppCensus Blogの記事The Markupの記事The Vergeの記事SlashGearの記事)。

問題のデータは近くにいるユーザー同士が送受信する近接識別子「Rolling Proximity Identifier (RPI)」と、RPIを送ってきたユーザーのMACアドレスだ。GoogleのシステムではこれらのデータをAndroidのシステムログへ書き込むようになっていたという。ユーザーがインストールしたアプリはシステムログを読み取ることはできないが、プリインストールアプリは読み取り可能だ。発見者のAppCensusによれば、システムログ読み取りのパーミッションを得たプリインストールアプリは数多くあるようだ。

RPIは公開されるデータなので一見問題なさそうだが、MACアドレスと組み合わせて大量のデータを照合すればユーザー同士の相関図を作ることができる。また、RPIは10~20分ごとに更新されるものの、陽性者が保健当局に秘密鍵「Temporary Exposure Key (TEK)」を提供し、診断鍵として公開された場合、その陽性者に複数のRPIを結び付けることも可能になる。さらに、ユーザーに接触の有無を通知する際、そのデータもシステムログに記録されるとのこと。そのため、個人を特定可能なデータをログに記録しない、というAndroidのベストプラクティスをGoogle自身が守っていないとAppCensusは批判する。

AppCensusは今回の調査を米国土安全保障省(DHS)科学技術局(S&T)から受注して実施しており、この問題を2月に報奨金プログラムを通じてGoogleへ報告したという。しかし、Googleは報告を却下し、自らバグ報告後の修正期限として推奨する60日以上経過しても修正する様子がなかったため、倫理面について議論した末に開示を決めたとのこと。一方、Googleは報告を受けて数週間前に修正をロールアウトし、今後数日中に完了する見込みだとThe Markupに伝えたとのことだ。

15272679 story
ハードウェア

TSMC、半導体製造の契約期間を最長5年に。長期契約優先 35

ストーリー by nagazou
ほかの企業の頑張りが求められる 部門より
ニュースイッチの記事によれば、台湾のTSMCは主要な顧客に対し、契約期間を従来の1年間から3から5年間に変更すると通知しているという。現状の半導体の需要逼迫から、長期の契約を優先的に引き受ける強気の戦略に転換したと見られる。この影響により、自動車メーカーなどにとっては、生産計画などの自由度が低下するリスクがあるとしている。半導体不足の結果、産業界のパワーバランスが大きく変わったとしている(ニュースイッチ)。
15272684 story
スラッシュバック

Apple風文体で書かれた「桃太郎」が、はてな匿名ダイアリーに 22

ストーリー by nagazou
F1レーサーのコメント文体とかも面白い 部門より

なるほどこれはApple文体だ、と納得できる桃太郎の文章が話題になっている。この桃太郎ははてなに書かれたもので、「こんな桃、見たことない。」というどこかで見たようなフレーズから始まる(はてな匿名ダイアリー)。冒頭部をちょっと引用すると、

洗濯をしていたおばあさんが見つけたのは、世界でいちばん大きな、桃でした。

このような桃は、わたしたちも見たことがありません。もちろんおばあさんも、見たことがありませんでした。山に芝刈りに行っていたおじいさんも、見たことがなかったはずです。流れてきたのは、本当に大きな桃だったのです。

Hello, Momotaro.

となっており、いろいろと応用が聞きそうなネタではある。

15272670 story
プログラミング

プログラミングはキー2つだけあればよい? 50

ストーリー by nagazou
コピペでなんでも作れる 部門より
Holy Cater氏の作成した究極のプラグラミングツール(自称)がバズっている。リンク先の画像を見ていただければ、一発で何か分かるネタなのだが、SimPad Nanoという小型キーパッドを利用して作成したコピー・ペーストの専用キーボードとなっている。キートップにデカデカと貼られた「コピ」+「ペ」の文字のインパクトが強烈だ。左のキーにコピー(Ctrl+C)、右のキーにペースト(Ctrl+V)が割り当てられており、プログラミング時に必要不可欠なコピー&ペーストが手早く行えるのが特徴となっている(Holy Cater氏のツイートPC Watch)。
15272687 story
ニュース

輸入木材の価格が高騰。木造物件に工期遅れなどの影響も。銅も史上最高値に迫る 49

ストーリー by nagazou
高騰 部門より
不動産投資の楽待の記事によれば、住宅用の輸入木材がかつてないほど高騰しているそうだ。中国の木材需要の急増に加え、米国での金融緩和政策により、新築住宅の建設需要が急増し、需要が逼迫しているとしている。国内でも構造材の仕入れ価格は4月以降上昇する見込みだという。建築坪単価で5000円~1万5000円ほど、建て売りとしての販売価格にすると3%ほど上昇する可能性があると話す業者も出ているそうだ。また新たな受注に関しては木材が確保できないため、工期を数か月延ばす必要があるとする話もあるようだ(楽待不動産投資新聞材木先物 ローソク足チャート Investing.comt)。

これとは別に、銅の国際価格が高騰していることかも報道されている。コロナ禍の影響で需要が急減していた2020年3月の安値(4371ドル)に比べると2倍超となる1トン1万ドルを4月の29日に突破した。これは、11年2月に付けた史上最高値の1万190ドルに迫る約10年ぶりの高値水準であるそうだ。ワクチンが普及しつつあることや、各国の大規模財政政策による世界経済が急回復していることを反映したものだとしている(日経新聞)。
15272706 story
スラッシュバック

学校の貸与タブレットの電気代は誰が払うべきか? 104

ストーリー by nagazou
インフラ関係のお金払いたがらない人は一定数いる 部門より
政府がコロナ禍の影響で「GIGAスクール構想」のスケジュールを前倒ししたことにより、今年の3月末で全国の小中学校で1人1台のタブレット端末やPCなどを設置する計画がほぼ終了した。一方でこの配布された端末をめぐり新たな問題が出てきているらしい。(東京すくすく東京新聞)。

東京新聞の記事によると、千葉県習志野市教育委員会が端末の利用同意書に、保護者に電気代負担を求める内容があったという。このことから一部保護者から「義務教育であり、家庭に費用負担を求めるのはおかしい」などの声が出ており、同意書の提出を拒否する保護者もいるという。この習志野市の場合は、拒否なら持ち帰りできない方針だとしている。

一方でこうした電気代に関する内容を含まない学校もあり、電気代の負担の基準はどうなっているのかという声が出ているという。なお、文部科学省は学校で使う端末であることから、学校で充電してもらうと話しているという。
15272695 story
統計

Windows 10の月間アクティブデバイス数は13億台以上 4

ストーリー by nagazou
インドの人口くらいか 部門より
headless 曰く、

Microsoftのサティア・ナデラ氏は4月27日、同社2021年度第3四半期(2021年第1四半期)決算発表の中でWindows 10の月間アクティブデバイス数が13億台を超えたことを明らかにした(決算発表トランスクリプト: DOCXWindows Centralの記事On MSFTの記事Neowinの記事)。

MicrosoftはWindows 10のリリース当初、2~3年で10億台に到達する目標を掲げていた。リリースから2か月ほどで1億台を超えていたが、実際に10億台を超えたことが発表されたのは約4年半後の昨年3月だった。2019年3月から2020年3月までの1年間では2億台増にとどまっていたが、その後13か月で3億台増加したことになる。ナデラ氏によれば、(パンデミック下で)人々がつながり続け、生産的かつ安全であり続けるため、これまでになくWindows PCに向かったとのこと。なお、Micosoft by the Numbersサイトのデータはまだ更新されておらず、10億台以上のままになっている。

15272714 story
アメリカ合衆国

ランサムウェアによって奪われた機密情報で警察が脅迫される 16

ストーリー by nagazou
脅迫 部門より
shadowfire 曰く、

The Hacker Newsのこの記事によると
The Babuk Lockerというクラッカー集団がランサムウェアを使ってアメリカ合衆国ワシントンD.C.のコロンビア特別区首都警察の機密情報を盗み、警察へ情報提供している人物のリストを犯罪組織に流すと脅しているらしい。

犯罪組織に深く関わっている情報提供者の身元が流出すれば大変な事態になる。不謹慎ながらまるで欧米の現代スパイ映画のようだと思ってしまった。

情報元へのリンク

15272716 story
Digital

「デジタル庁創設に向けた準備サイト」はJavaScript無効でも閲覧可能であるべきか? 186

ストーリー by nagazou
うーむ 部門より
あるAnonymous Coward 曰く、

内閣官房情報通信技術(IT)総合戦略室は27日、「デジタル庁創設に向けた準備サイト」を公開した。9月1日のデジタル庁創設に向けて、第2弾となる民間人材の公募を開始している(ITmedia NEWS日経xTECH)。

そんな中、「デジタル庁創設に向けた準備サイト」がスクリプト無効で閲覧できないと題するブログが一部で話題となっている。スクリプトが無効の設定で当該サイトにアクセスすると、ページが真っ白で何も表示されないのだという。クロールbotなどが必ずしもJavaScriptが有効な状態で閲覧するとは限らず、また将来的にアーカイブされたページを閲覧する際に支障が出るおそれがあることから、ブログ主はJavaScript無効でも閲覧できる形にすることをIT総合戦略室に要望している。

技術的な補足をすると、当該サイトはWebデザインプラットフォーム「STUDIO」を利用して構築されている。そのSTUDIOはWebアプリケーションフレームワーク「Nuxt.js」をクライアント側でレンダリングを行うSPA(Single Page Application)モードで動かしているとみられる。サーバ側でレンダリングを行うUniversalモードまたはSSG(Static Site Generation)モードに変更することで問題を回避可能なため、ブログ主は「JavaScript 無効でも閲覧できる形にする(具体的には Static Site Generation 方式を採用する)ことはそう難しくない(少なくとも 0 から作り直す必要はない)のではないか」と綴っている。

この要望に関し、はてなブックマークでは意見が割れている。政府CIO補佐官の楠正憲氏は「図らずして面倒臭い老人避けになっている件。この画面が見えない人たちは募集対象ではないのでは?」と辛辣なブコメを寄せている一方で、STUDIOのエンジニアは「公開サイトの作り直しをしていてSSRする様にするのでそちらが完了次第解決する見込みです。」とツイートしており、いずれ解決の方向に進むようだ。

情報元へのリンク

typodupeerror

犯人はmoriwaka -- Anonymous Coward

読み込み中...