PETA、反動物的な慣用表現の置き換えを主張 135
慣用 部門より
PETAは人種差別や同性愛差別、障害者差別を含む表現が許容されなくなっているのと同様、種差別的な表現も排除する必要があると主張。「Kill two birds with one stone (1つの石で2羽の鳥を殺す: 一石二鳥)」ではなく「Feed two birds with one scone (1つのスコーンで2羽の鳥を満腹にする)」のように表現するといった例を挙げている。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
興和と農研機構が、ミノムシの糸の製品化に向けた研究開発を行っているという(興和のプレスリリース)。
昆虫由来の糸としては蜘蛛の糸の強度が強いという話が有名だが、ミノムシの吐く糸は蜘蛛の糸を凌駕する性能を持っており、今回両社はミノムシから1本の長い糸を採糸する技術を考案、特許出願したという。
ミノムシの糸はタンパク質から構成されている「シルク繊維」とのことで、さまざまな用途で活用が期待できるという。さらにミノムシの繁殖や採糸に関する技術も開発しており、今後の産業化に向けた生産体制の構築を予定しているそうだ。
パスワードを強化するために「大文字/小文字/数字/記号を含めてください」といったサイトはよく見られるが、文字種を制限してしまうとすべて小文字/すべて大文字といった組み合わせが無くなるため、結果的に総当たり攻撃に弱くなるという(Webroot、lifehacker)。
特に文字数が8文字のように短い場合、上記全ての文字種を含めるようにすると、組み合わせ数が41%も減ってしまうという。対策としては文字種を増やすのではなく、パスワードをより長くすべきとしている。
メッセージングアプリのLINEが11月15日、「サービス向上のための位置情報利用に関するご案内」なるものを出している。位置情報の利用に同意すると、LINEが利用者の位置情報を収集するようになる、という案内だ。これに対し危険性があるとして位置情報の提供拒否を勧める意見が出ている(Togetterまとめ)。
この同意画面はLINEアプリのアップデート後に表示されるとのことで、拒否してもLINEの利用に支障はないが、デフォルトで「同意」にチェックが入っていることへの批判もある。
なお、ASCII.npの解説記事によると、LINEは収集した位置情報を使って関連する情報をユーザーに送信するほか、「LINE Beacon」を有効にすると近くの店舗から広告などの情報が送信されるという。
米国財務省・外国資産管理室(OFAC)が、犯罪で使われていたビットコインアドレスを特定し、経済制裁の対象として公表した(COINPOST、COINTELEGRAPH)。
ビットコインアドレスはビットコインの送付先を指定するために使われる情報。米当局が犯罪に利用されたアドレスを公表したのは初めてだという。合わせて、このアドレスを所有しているとされる2名の氏名なども公開された。彼らはさまざまな組織に対しサイバー攻撃を行い、身代金としてビットコインを脅し取っていたという。
今回ビットコインアドレスが経済制裁対象として指定されたことで、この口座を対象とした取引が米国において禁じられたことになる。
JavaScript/Node.js向けパッケージリポジトリのnpmで公開されていた「event-strem」というJavaScriptパッケージにマルウェアが仕込まれる事件が発生した(Qiitaに投稿された解説記事、event-stremパッケージに対するチケット、Register、ZDNet)。
このパッケージでは最近メンテナの交代があったのだが、新メンテナが意図的に暗号通貨を盗むマルウェアをパッケージに仕込んでリリースを行っていたという。
問題のevent-streamパッケージはビットコインウォレットの「Copay」で利用されており、これを狙ってビットコインウォレットの情報を盗む攻撃を行うマルウェアが含まれていたようだ。
先日「Wizard Bible」管理人、ウイルス公開の疑いで略式起訴。問題のプログラムは一般的なサンプルコードという話題があったが、はてな村定点観測所の齊藤氏が、起訴されたIPUSIRON氏から直接聞いたという「検察と争わなかった理由」を明らかにしている。
理由の1つとしてPCが押収されて仕事に支障が出ているというものが報じられていたが、それ以外にも氏の母親が病気療養中であり起訴前に亡くなられていたこと、氏が住む地域のコミュニティにこの話が広まって自身や家族が孤立することを恐れたこと、の2つの理由があったという。
さくらインターネットが、セキュリティ対策なしにサーバーを放置しているユーザーに対して「お願い」として対策を求めている(INTERNET Watch)。
挙げられている対策は下記のとおり。
- パスワードはすべて適切な強度を満たすように設定してほしい
- なるべく自動アップデートを利用してほしい
- ファイアウォールを設定すること、ウェブアプリケーションファイアーウォール(WAF)を活用すること
- 持続的な運用または終了方法を考えてほしい
背景には、管理者がいなくなってしまったサーバーや、管理者がやる気をなくしてしまったサーバーが運用状態のまま放置されているという問題があるという。こういったサーバーで利用されているソフトウェアで脆弱性が見つかった場合、管理権限が奪われて攻撃の踏み台にされるおそれもある。
Instagramにて、ユーザーデータをダウンロードするためのURLとしてそのユーザーアカウントのパスワードが含まれるURLを生成して提示してしまうというトラブルが発生していたそうだ(GIGAZINE、ギズモード・ジャパン、iPhone Mania)。
ここまでくるとわざとやってるとしか思えない。POSTとか経由でパスワード平文を受け渡してたのかな、雑すぎ。っていうかパスワード平文で保存して利用してるってことは、そのファイルアクセスできる人全員で覗き放題か。
問題が発生していたのは、Instagramに登録している自身のユーザー情報をJSON形式でダウンロードする機能。WebやiOS/Androidアプリからデータダウンロードを申し込むと、ダウンロードのためのURLが生成される。このURLにアクセスするにはログインパスワードが必要なのだが、一部のユーザーにはこのログインパスワードが平文で含まれたURLが生成されていたという。
このURLは基本的には一般公開されるようなものではないが、共有端末などで利用していた場合、URLがブラウザの履歴として残される可能性がある。また、Webブラウザの履歴を外部に送信するようなツールが実行されていた場合、パスワードが外部に流出することになる。
あと、僕は馬鹿なことをするのは嫌いですよ (わざとやるとき以外は)。-- Larry Wall