ツイッターはオラクルへの支払いも遅延している | スラド IT
支払い拒否で有名なツイッターがオラクルへの支払いを拒否した模様。 ちなみにオラクルの経営者エリソンはマスクがツイッターを買収する際に10億ドル(円じゃないよドルだよ)を貸した恩人(ツイッターからすれば疫病神?)の模様。 OracleはTwitterにクラウドサービスを提供しているが、その対価の支払いが数か月にわたり未払いとなっていると報じられている。TwitterのCEOであるイーロン・マスク氏とOracleの共同創業者であるラリー・エリソン氏は古くからの友人だった。その上、エリソン氏はマスク氏がTwitterの買収する際、10億ドルを出資している立場だ。にも関わらず、未払いが生じていることから、Oracle側は支払いを回収するため、Twitterの従業員や元従業員に直接電話をかけ始めたなどの報道もあるようだ(Business Insider Japan、Data Center Café)
TwitterでPNGに偽装しファイル共有を行う方法が発見される | スラド IT
PNG画像に偽装することにより、Twitter上でファイルの共有が行える方法が発見されたそうだ。セキュリティ研究者のDavid Buchanan氏が発見したもので、特定の条件を満たせばZIP、MP3といったファイルを埋め込んでの投稿、それをダウンロードして元に戻すことも可能であるとしている(David Buchanan氏のツイート、GitHubに上げられた詳細情報、Threatpost、INTERNET Watch、TECH+)。 同氏は告知をしているツイートにPNG画像に偽装したZIPファイルを投稿している。GitHubに上げられた説明によると、投稿可能な条件としては、Twitterは3MB以下のファイルであれば再エンコード処理をしないことことから3MB以下に抑えること、最適化を防ぐために257以上の色数を使用していること、画像に不要なメタデータ・チャンクを含まないことなどとなっている。
Web会議サービスZoomに対しさまざまな懸念、使用禁止にする組織も登場 | スラド IT
昨今利用例の多いオンライン会議サービス「Zoom」に対しては以前よりセキュリティへの懸念が出ていたが、今度は暗号化キーがなぜか中国のサーバー経由で配信されたとの指摘が出ている(ITmedia)。もし中国政府がZoomの中国拠点に対しユーザー情報の開示を求めた場合、データが中国政府に渡る可能性があるという。 これに対しZoomのユアンCEOは、2月に需要拡大に対応するため緊急で中国のサーバ容量を追加した際の設定ミスで発生したと釈明している。 Zoomでは先日指摘されたセキュリティ問題などの懸念に加え、突然第三者がオンライン会議に乱入する行為も頻発しているという(piyolog)。Zoomではオンライン会議にアクセスするために使用される識別IDをランダムに生成して「総当たり」アクセスを試みることで、第三者の会議に乱入することが一定確率でできてしまうという。そのため、Zoomの利用時にはアクセス
Chrome OS用にCloud Printに代わる印刷システムが導入される? | スラド IT
Anonymous Coward曰く、 Chrome OSで印刷を行う方法は複数あるが、Google Cloud Printを使用していない場合はプリントキューを確認することができないという問題があり、ページ数の多い文書を印刷する際などに、キャンセルなどの操作で困ることがある。そして、プリントキューを確認できる手段であるGoogle Cloud Printも2020年12月31日でサービスが終了する予定だ。そこでGoogleはそれに変わる機能をChrome OSに追加するよう取り組んでいるようだ。 その証拠となるのが、Chrome OS固有の設定フラグ「chrome://flags」から、印刷管理アプリ(Print Management App)の項目が見つかったこと。現状ではまだ開発の初期段階だが、Chrome OSに足りていない印刷ジョブの管理を行う機能となっている。Cloud Pri
Google、ChromeでUser Agent文字列を凍結する計画 | スラド IT
GoogleがChromeブラウザーでUser Agent文字列(UA)の凍結を計画しているそうだ(Googleグループ、Chrome Platform Status、Windows Central)。 WebブラウザーのUAは「Mozilla/5.0」「KHTML」「like Gecko」といった現在では特に意味のない情報が含まれる一方、ブラウザーバージョンやOSバージョンなどフィンガープリンティングに使われる可能性のある情報も含まれる。モバイル版ChromeではOSビルド番号も含まれていたが、iOS版ではChrome 69、Android版ではChrome 70で削除されている。また、Googleのサービスを含めUAによってブロックされたり、正常に表示されなかったりすることもある。そのため、VivaldiはChromeと同じUAに切り替えており、Chromiumベースの新Microso
「 いいコーディング規約、悪いコーディング規約?」2019年版 | スラド IT
本格的なソフトウェア開発企業で働くとき、最初の頃にまずコーディング規則や慣習などのガイドラインに目を通したかと思う。基本的なガイドラインとして、gotoは原則使用禁止だとか、インデントにはスペースではなくタブを使用すべきであるとか、またはその逆などがあっただろう。ひょっとしたらcontinue禁止や、複数リターン値禁止など、ちょっと変わってるように思える慣習や、あまり直感的とは言えないルールといったものもあったかもしれない。 可読性を高めたり、メンテ性を向上させるには、どんな規約が有効だっただろうか? ドキュメント上では一見良さそうに見えたが、実際はイマイチだったものなどあるだろうか? SlashdotJ諸氏が実践してきたコーディング規約で特に有効だったのはどんなものだろうか? 逆に規約のせいで問題が起きてしまったケースなどあるだろうか? ほかにも、使える「自分ルール」などもあれば是非。
Microsoft Azure、DNSの設定変更に失敗して全世界的に一時サービス障害 | スラド IT
Microsoft AzureでDNSの設定ミスによるネットワーク障害が発生していたとのこと(Publickey、Azureの「状態の履歴」ページ)。 障害が発生していたのは5月2日19時29分(UTC)から22時35分まで。Azureを利用しているサービスに加えて、Office 365などMicrosoftのクラウドサービスも利用できない状況になっていたという。 この障害はDNSの設定関連の設定ミスが発端。Azureでは各ゾーンに4つのDNSサーバーを設置しているが、その1つのみに対しアップデートを行ったという。その際に設定ミスがあり、結果的に空のゾーンが生まれしまったためにDNSが不適切な応答を行うことになってしまったようだ。
GoogleアカウントでのWindows 10ログイン、実現なるか | スラド IT
GoogleのChromiumチームが「Google Credential Provider for Windows」という機能を開発しているようだ(BleepingComputerの記事、 Android Policeの記事、 BetaNewsの記事、 Chrome Storyの記事)。 Windows Vistaで導入されたCredential Providerは、Windows XPまでのGINAに代わってログオンなどのユーザー認証を実行する仕組み。Windows 10ではローカルアカウントやMicrosoftアカウントのほか、Windows Helloなどによる認証を可能にするCredential Providerが追加されている。OEMや企業が独自のCredential Providerを追加することも可能だ。 Google Credential ProviderについてGoog
CSSの機能を使用してクロスオリジンのiframeから表示内容を読み取るサイドチャネル攻撃 | スラド IT
CSSの「mix-blend-mode」プロパティを使い、クロスオリジンのiframeに表示されている内容を読み取ることが可能なサイドチャネル攻撃について、発見者の一人が解説している(Evonideの記事、 Ars Technicaの記事、 SlashGearの記事)。 Webページがクロスオリジンのiframe内のDOM要素にアクセスすることはデフォルトで禁じられているが、iframeに別の要素をオーバーレイし、mix-blend-modeプロパティを使用すると色のブレンドが可能となる。「multiply」のように単純なブレンドモードでは処理時間に違いはみられないが、カラーチャネルを分離せずに処理する「saturation」のようなブレンドモードでは下のレイヤーの色によって処理時間が変動するのだという。 これを利用してピクセル単位でレンダリングを実行させ、処理時間を測定すれば、ifram
5ちゃんねる、GDPRに対応するためEUからのアクセスを遮断 | スラド IT
GDPR は個人情報を保護するための規則なので、問題になるのは氏名やクレジットカード情報を入力しなければならない有料会員かな。(場合によっては広告主の情報もあるかも) 個人情報を収集しない完全に匿名な掲示板ならば規則の対象外なので問題ないはず。 国籍ではなくてEU圏内在住かどうかで判別されるので、氏名やクレジットカード情報とかでは住所を特定できないし、ユーザに住所を入力させてもどこまで信用して良いかという問題がある。 結局 EU からのアクセスを遮断することで、EU圏内から申し込む有料会員はいないというロジックを採用したんだろう。 GDPR第4条では、「識別された、または識別され得る自然人に関するすべての情報」が個人データとされており、 氏名・識別番号・技術的な情報(GPS、IPアドレス、クッキー識別子など)・その他身体的、生理学的、遺伝子的、精神的、経済的、文化的、社会的固有性に関する要
スマホでタップしようとしたところに出てくる「オーバーレイ広告」が禁止される方向に | スラド IT
ストーリー by hylom 2018年04月04日 14時39分 脳内でブロックしていたからそんなものがあるなんて気付かなかった 部門より Twitter上で複数のユーザーが報告しているところによると、ユーザーから非常にうざがられていると思われる、画面上に浮かび上がってくるように表示される広告(オーバーレイ広告)について、広告ネットワーク各社から一斉に禁止の通達メールが飛んでいるようだ(Togetterまとめ)。 報告によると、今回禁止されたのは「広告の位置を移動させる」「クリック領域を改変する」「広告を透過させた状態から浮き上がらせる」といった手法だという。適用は5月10日からとのこと。複数の会社がほぼ同じ文面のメールを出しているということで、業界団体で取り決めがあったか、Appleが規約で禁止したのではないか、などと推測されている。 あのような誤タップを狙っているとしか思えない広告が
IIJがデジタル通貨サービスを行う新会社を設立、19社が出資 | スラド IT
インターネットイニシアティブ(IIJ)などがデジタル通貨を手がける新会社「ディーカレット」を設立した。IIJに加えて伊藤忠テクノソリューションズ、QTnet、ケイ・オプティコム、三菱東京UFJ銀行、三井住友銀行、大和証券グループ本社、野村ホールディングス、第一生命、日本生命、SOMPOホールディングス、東京海上日動、三井住友海上、伊藤忠商事、JR東日本、ヤマトホールディングス、ビックカメラ、三井不動産、電通の計19社が出資し、デジタル通貨の取引所の運営や決済サービスを提供するという(NHK、ITmedia)。 サービスの開始は今年10~11月を目標としているという。仮想通貨取引所やデジタル通貨口座の運営だけでなく、APIを提供し積極的に外部からの連携を行えるようにしていくようだ。
ビットコイン長者の悲劇、「パスワード忘れ」 | スラド IT
ビットコイン管理ツールのパスワードを忘れてしまったために、自身の所有するビットコインを利用できないというトラブルは少なくないそうだ(ウォール・ストリート・ジャーナル)。 銀行などの口座であれば、暗証番号などを忘れたとしても一定の手続きを行えば自身の口座にアクセスが可能だ。しかし、ビットコインの場合はパスワードを忘れた場合、それを復旧するのは非常に困難だ。 ウォール・ストリート・ジャーナルの記事では、2013年に260ドルで15ビットコイン(現在の価格で約2500万円)を購入した人がパスワードを忘れてしまったため、総当たり攻撃でパスワードの特定を試みているという話が出ている(FORTUNE)。 また、CNBCによると、所有するビットコイン(7500ビットコイン、現在の価値で約120億円)へのアクセスに必要なデータが含まれたストレージを誤って捨ててしまった人や、パスワードをメモしておいた紙片を
メールの送信者を偽装できる問題が見つかる、多数のメールクライアントが影響を受ける | スラド IT
非アスキー文字をメールのメッセージヘッダーに入れることで、メールの送信者を偽装できるという問題が見つかった。多くのメールクライアントがこの問題の影響を受け、本来の送信者でないメールアドレスなどを送信者として表示させることができるという(JPCERT/CC、INTERNET Watch、Security NEXT)。この問題はMailsploitなどと呼ばれているようだ。 電子メールのメッセージヘッダー内で非ASCII文字を利用したい場合、RFC1342で規定された方法でその文字をエンコードする。しかし、意図的に改行や制御文字などをエンコード後の文字列に挿入することでメールクライアントでのデコード処理に問題を発生させ、クライアント上でのメールアドレスの表示を別のものに差し替えることができるという。 JPERT/CCによると、Mac OS XのApple MailやWindowsのMail f
ローソン、深夜帯に客が自ら決済を行う「無人決済」店舗を来春より実験的に導入へ | スラド IT
ローソンが来春より首都圏の一部店舗で深夜帯での「無人決済」システムを導入するという(朝日新聞)。 利用者は事前にスマートフォンアプリを導入しておき、入り口でアプリを起動したスマートフォンをセンサにかざすと入店できるという。また、購入する商品が決まったらそのバーコードをこのアプリに読み取らせて決済を行う。最後にレジに設置されたタブレットにスマートフォンをかざすとチェックアウトとなり、購入が完了するというシステムのようだ。 なお、店内は完全に無人というわけではなく、在庫管理などを行う従業員が1人は常駐する模様。
意図的に不具合を仕込むことでHTMLやCSS、JavaScriptの無断流用を防ぐテクニック | スラド IT
昨今ではサイトのHTMLやCSS、JavaScriptなどを権利者に無断でコピーして使用するような業者があるという。そのため、勝手にコピーしてそのまま使用すると発生する不具合を仕込むことでこういった不正利用を防ぐというテクニックがQiitaで紹介されている(INTERNET Watch)。 紹介されている「不具合」は「ランダムで無限ループを起こす」というもの。これをソースコード上で複数の位置に分散して仕込んだり、独自に難読化したり、たとえばURLやmetaタグで指定したauthorの値をチェックして無限ループを発生させるといったトリガーを工夫するといった手法が提案されている。 また、記事のコメントでは「土日にのみ不具合を発生させる」「一定時間が経過したら不具合が発生」「一部だけの挙動がおかしくなる」といったアイデアが提案されている。
Dell、PCのリカバリ用に使われていたドメイン更新を忘れて乗っ取られる | スラド IT
Dellのアフターサポート用Webサイトが1か月ほど乗っ取られていた可能性があるという。これを報じたKrebs On Securityによれば、Dellは2017年6月にドメイン更新を忘れたため、第三者によって乗っ取られたとしている。Krebs On Securityは、このアドレスを入力するとマルウェアをホスティングしているサイトにリダイレクトされたとしている(Krebs On Security、Register、Slashdot)。 このアフターサポート用Webサイトは、Dell製PCのほぼすべてにインストールされているバックアップソフト「Dell Backup and Recovery Application」に利用されるほか、PCを工場出荷状態に戻すときにも使われている。Dellは該当ドメイン失効を認めたものの、一時的なもので問題の期間中にマルウェアがユーザーデバイスに転送されたと
さくらのクラウドのオブジェクトストレージ障害、発生から1ヶ月以上が過ぎても継続中 | スラド IT
先月9日よりさくらインターネットのクラウドサービス「さくらのクラウド」のオブジェクトストレージで障害が発生している模様(さくらインターネットによる発表)。9月29日にはオブジェクトの取得、10月3日はアップロードおよび削除について受付を再開しているが、まだ完全復旧には至っていない様子。 故障機器交換に伴うリビルドが原因で内部負荷が上昇したのが原因だという。オブジェクトストレージでは7月にも障害が発生しており、7月末には新規バケットの申込みを停止していた(7月31日の告知)。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ネット炎上を疑似体験できる「炎上訓練」サービスが登場 | スラド IT
ロシアが政府公認の独自仮想通貨「クリプトルーブル」を導入 | スラド IT