Firefox 82、複数の問題が報告されてロールアウトを制限 37
制限 部門より
22日のFirefox Channel Meetingによると、印刷関連の問題やセキュリティソフトウェアとの組み合わせでFirefoxがクラッシュする問題、実験的なプライバシー設定を有効にしている場合にWebサイトからログアウトしてしまう問題が報告されている。
手元の環境では既にFirefox 82に更新されており、特に問題もなさそうだが、スラドの皆さんは何か問題があっただろうか。
アナウンス:スラドとOSDNは受け入れ先を募集中です。
Googleは21日、Google Chrome 86における不正な通知許可リクエストをブロックする機能の強化を発表した(Chromium Blogの記事)。
Webサイトからの通知許可リクエストは必要としないユーザーにも表示されるため、苦情の多い機能の一つになっているという。中にはユーザーをだますようなメッセージで通知を許可させようとする不正な通知許可リクエストや、通知自体がユーザーをだますことを目的とした不正な通知を表示するWebサイトもある。
そのため、Chrome 80では「静かな方法で通知する」オプションが追加された。このオプションは設定画面の「プライバシーとセキュリティ→サイトの設定→通知」で有効化できる。有効にすると通知許可リクエストがポップアップ表示されなくなり、Omnibox(アドレス・検索ボックス)に斜線の入ったベルのアイコンが追加されるようになる。このアイコンをクリックすると通知がブロックされた旨表示され、通知を許可するかどうかを指定できる。
さらにChrome 84では不正な通知許可リクエストに自動で静かな方法の通知を適用し、Omniboxのアイコンをクリックすると侵襲的な通知を表示するためにだまそうとしているといった内容の説明が表示されるようになっていた。Chrome 86では対象を拡大し、不正な通知のパターンに一致する通知を表示するWebサイトからの通知許可リクエストに対しても静かな方法の通知が適用されるようになったとのこと。なお、Chrome 84での変更を発表するブログ記事では不正な通知を表示するWebサイトも対象となるような記述もみられるが、これはなかったことになっているようだ。
東京オリンピック・パラリンピックの関係者や関係団体に対して、ロシアのハッカーらがサイバー攻撃を仕掛けていたとイギリス外務省が発表した(詳細は非公表)。
日本ではサイバーセキュリティ専門家を国の支援で育てる代わりに、オリンピック・パラリンピック期間中はボランティアで警備させるという構想もあったそうですが、
大きな事故もなく実施できるのでしょうか。
新型コロナ対策として実施された「特別定額給付金」だが、「2回目の給付金」を騙るメールが送られているとして総務省が注意喚起をおこなっている。
メールの内容としては「二回目特別定額給付金の特設サイトを開設しました。」という内容でメール中に偽の特設サイトに誘導するリンクが含まれているそうだ・・・って、ウチにも2通来てました。参考までにウチに来てたものには二回目特別定額給付金(新型コロナウイルス感染症緊急経済対策関連)
二回目特別定額給付金の特設サイトを開設しました。(令和2年10月14日)と言った文言でサイトへのリンクが置かれており「特別定額給付金の概要」として「令和2年10月14日、「新型コロナウイルス感染症緊急経済対策」が閣議決定され~ 」と言った文章が続いているのだが、そもそも首相官邸ウェブサイトの閣議ページを見ると10月14日には閣議決定自体が行なわれておらず、その前後の閣議決定にも定額給付金に関するものが無い。それ以前の話として「二回目特別定額給付金」って書き方からして微妙におかしいんだが・・・多分、これ書いたのは日本語ネイティブじゃないんだろうなぁ。
なお、偽サイトでは住所や氏名、生年月日入力や本人確認書類などが求められる。個人情報の取得が目的とみられる(ITmedia)。
国際宇宙ステーション(ISS)の宇宙飛行士がティーバッグを用い、空気漏れの位置を特定したとTASSが報じている(TASSの記事[1]、 [2]、 [3]、 [4])。
ISSでは昨年9月から標準よりも若干高いレートでの空気漏れが確認されており、今年8月と9月に調査した結果、空気漏れはロシア側のズヴェズダサービスモジュールで発生していることが判明していた。
ロスコスモスのアナトーリ・イヴァニシン宇宙飛行士が15日にロシアの管制センターへ報告したところによると、ズヴェズダサービスモジュールにティーバッグを浮遊させ、ハッチを閉じてティーバッグの動きをカメラで記録したそうだ。その後、ティーバッグの動きから空気漏れの方向を特定し、小さな裂け目が存在することを確認したとロスコスモスのイヴァン・ヴァグナー宇宙飛行士が報告している。
管制センターの専門家からの指示を受けてウレタンフォームと粘着テープを用いて仮補修したところ、翌16日には空気漏れレートが大きく低下したという。それでも空気漏れは依然として標準よりも高い状態が続いているようだ。そのため、より効果的な補修が必要だと2人は考えており、パートナー(NASAの宇宙飛行士)がもっといい補修材を持っていないか相談してみるとのことだ。
なお、現在のところNASAやロスコスモスのWebサイトに公式発表は出ていない。
追記 by headless: ロスコスモスは19日、空気漏れの仮補修を実施したことと本格的な補修に向けて準備していることを発表した。NASAもISSのブログ記事でロスコスモスのツイートにリンクして補修の話題に触れている。両者とも補修の簡単な紹介にとどまり、具体的な発見方法や補修方法には触れていない。
Chrome拡張機能のNano DefenderとNano Adblockerが悪意ある者に売却され、マルウェア化してしまったようだ(元の開発者によるプロジェクト譲渡に関するアナウンス、 280blockerの記事[1]、 [2]、 gHacksの記事)。
Firefox用Nano DefenderとNano Adblockerは大丈夫みたい。
有名拡張が買収で…といえばStylishを思い出した。uBlockも委譲されたかと思ったら結局元の開発者がuBlock Originを立ち上げていたな。
元の開発者はNanoプロジェクトに割り当てる時間がなくなってバックログがたまり続けたためメインテナーを探しており、新しい開発者から申し出がなければ開発停止をアナウンスする計画だったという。金銭的なやりとりはあったようだが、新しい開発者がいい仕事をすれば寄付の形で大半を返金することも考えていたそうだ。
Nanoプロジェクトのフォーク元であるuBlock Origin開発者のRaymond Hill(gorhill)が更新後の拡張機能を分析した結果、拡張機能読み込み時にhttps://def.dev-nano.com/からリストを取得し、リストで指定された条件に一致するネットワークリクエストがあると情報をhttps://def.dev-nano.com/に送信するコードなどが追加されていたという。
なお、新しい開発者のGitHubアカウントは既に削除されており、Nano DefenderおよびNano AdblockerはChromeウェブストアから削除されている。Microsoft Edgeのアドオンストアに関しては元の開発者がアカウントを維持しており、ストアで表示されないようにしたと説明しているが、現在のところ削除はされていないようだ。
Microsoftは13日、10月の月例更新でInternet Explorer(IE) 11のJscript(jscript.dll)実行をブロックするオプションをWindowsおよびWindows Serverに追加したことを発表した(Windows IT Pro Blogの記事、 KB4586060)。
jscript.dllはECMA-262のMicrosoftによるレガシーな実装であり、IE11ではレガシードキュメントモード(IE9以前のバージョン)を使用するサイトでのみ使われる。jscript.dllの脆弱性はたびたび見つかっているが、パッチが提供されるまでの緩和策としてはファイルのアクセス許可を変更するしか方法がなく、Windows Scripting HostのJavaScriptエンジンが使用できなくなるなどの問題があった。ただし、オプションが追加されたといっても「インターネットオプション」からは設定できず、レジストリの編集が必要であり、インターネットゾーンと制限付きサイトゾーンでの無効化が推奨されている。
KB4586060には2017年にリリースされたIEの累積的なセキュリティ更新プログラムが必要と書かれているが、該当のレジストリ値は10月の更新プログラムをインストールした環境にしか存在しなかった。また、「MSXMLのスクリプト」で解説されているレジストリキーは10月の更新プログラムインストールしても追加されなかった。なお、64ビット環境で実行される32ビットアプリケーションに関する手順は間違っているが、その上で解説されている手順のレジストリキーを読みかえて設定すればよさそうだ。
海賊版アニメサイト9AnimeがすべてのページにDDoS攻撃用コードを追加し、閲覧者にライバルサイトAniMixPlayへのDDoS攻撃を実行させていたそうだ(TorrentFreakの記事、 r/9animeのスレッド、 r/animepiracyのスレッド)。
9Animeは月間ビジター数が3,900万人を超えるメジャーな海賊版アニメサイト。一方、夏にオープンしたAniMixPlayは急速にトラフィックを増やし、月間アクティブユーザーは140万人程度だという。DDoS攻撃らしい挙動はRedditのr/9animeでユーザーから報告され、9Anime側が事実関係を認めた。ここでは「やり返しただけ」だと説明するにとどまったが、r/animepiracyで立ち上がった別のスレッドで詳細を説明している。
9Animeの説明によると、AniMixPlayは当初から9Animeのコンテンツを大量にスクレイピングし、DDoS攻撃のように9Animeの速度を低下させていたのだという。AniMixPlayからのリクエストに中止を呼びかけるメッセージを表示するようにしたところ、メッセージが表示されないよう別の方法で大量スクレイピングを継続したため、DDoS攻撃用のコードを追加したとのこと。数か月にわたるスクレイピングに対し、数時間のDDoS攻撃は正当だと主張しているが、同意するコメントは少ない。
ORICON NEWSの記事によると、休憩室に置かれていた『鬼滅の刃』の単行本が盗まれたとツイートした温泉施設に、全国から単行本が送られているそうだ。
山口県山口市にある日帰り温泉施設の「おんせんの森」では休憩室に2000冊ほどの漫画単行本を置いていたのだが、さる9月25日に『鬼滅の刃』1巻から20巻の20冊が盗難被害に遭った。温泉側では「間違えて持って帰ってしまったのかも」と言うことで警察には届けなかったが、ツイッターでこの件についてつぶやいたところ、全国から単行本が送られてくる事態になった。その数なんと10月8日時点で9セット180冊に達したという。
普通のやつらの下を行け -- バッドノウハウ専門家