Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ

23 hours 7 minutes ago
Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。 ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

すべて読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | インターネット | Chromium |

関連ストーリー:
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日

headless

Google Chrome、アドレスボックスにドメイン名のみを表示する計画を取りやめ

23 hours 7 minutes ago
Googleは昨年から一部のユーザーを対象に、ChromeのOmnibox(アドレス・検索ボックス)のURL表示をドメイン部分のみにするテストを行っていたが、本格導入は行わないことにしたそうだ(Issue 1090393、 Ghacksの記事、 Android Policeの記事、 9to5Googleの記事)。 ドメイン名のみの表示はURLにブランド名を含めてユーザーを混乱させる攻撃への対策の一つで、テストはユーザーに悪意あるサイトへのアクセスを気付かせることができるかどうかを確認することが目的だった。しかし、このような表示方法を取ってもセキュリティは向上しないことが確認されたという。なお、テスト対象にならなかったユーザーもchrome:flagsでフラグ設定すればドメイン部分のみの表示を試せたが、該当のフラグは既にChrome 90で削除されていた。

すべて読む | セキュリティセクション | Chrome | セキュリティ | スラッシュバック | インターネット | Chromium |

関連ストーリー:
Google、プロトコルを省略したURLがChromeに入力された場合のデフォルトをHTTPSにする計画 2021年01月08日
Chrome 86 Dev/Canary、アドレスボックスにドメイン名のみを表示するテストを実施 2020年08月15日
Google Chrome、Web検索時にアドレスバー内に検索キーワードを表示するテストを実施 2020年02月06日
Chrome Canary、Web検索時に検索語句だけをOmniboxに表示する機能をテスト中 2018年09月24日
Google Chrome、URLの表示されないアドレスバーが標準となるか 2014年05月06日

headless

Linuxでプロセスの権限を設定するpolkit、7年以上前から存在した特権昇格の脆弱性が見つかる

1 day 1 hour ago
多くのLinuxディストリビューションに標準でインストールされるシステムサービス「polkit」に7年以上前から存在していた特権昇格の脆弱性が修正された(The GitHub Blogの記事、 The Registerの記事、 Computingの記事、 CVE-2021-3560)。 polkitは非特権プロセスが特権プロセスと通信するためのポリシーを定義し、認証処理を行うツールキットだ。systemdがpolkitを使用するため、systemdを使用するLinuxディストリビューションはpolkitも使用することになる。今回発見された脆弱性は、polkitが認証処理を行っている最中にリクエスト元のプロセスを終了させることで、rootプロセスからのリクエストとして認証してしまうというものだ。 この脆弱性が導入されたのは2013年11月のコミット(バージョン0.113)だが、メジャーなLinuxディストリビューションの多くに脆弱性のあるpolkitが含まれるようになったのはずっと最近のことのようだ。 Fadoraの場合は2014年12月リリースのFedora 21に脆弱性のあるpolkitが含まれているが、Red Hat Enterprise Linux(RHEL)が脆弱性を含むFedora 28ベースになったのは2019年5月リリースのRHEL 8となる。Debianはpolkitのフォークを使用しているが、脆弱性のあるバージョンを含む安定版はリリースされておらず、現在テスト中の次期リリースDebian 11 「Bullseye」にのみ脆弱性のあるバージョンが含まれる。一方、DebianベースのUbuntuは昨年4月リリースのUbuntu 20.04以降に脆弱性が含まれるとのこと。いずれの場合も、脆弱性は最新版で修正されている。

すべて読む | セキュリティセクション | Linux | セキュリティ |

関連ストーリー:
リリース直後に深刻な脆弱性が見つかったLibgcrypt 1.9.0、バージョン1.9.1への更新が呼び掛けられる 2021年02月02日
Debian Project、次期リリース「Bullseye」で使用するアートワークの人気調査を実施 2020年10月29日
Windows Serverに17年前から存在していたバグが修正される 2020年07月18日
Linuxカーネルに11年以上前から存在する特権昇格の脆弱性「Dirty COW」が修正される 2016年10月22日
TLS/SSL実装に20年前からの脆弱性、影響範囲は広範 2015年03月11日
Microsoft、18年にわたってWindowsに存在した脆弱性を修正 2014年11月15日
FFmpegのLZO実装コードに脆弱性、20年前から存在 2014年07月02日

headless

Google、Android 12 Beta 2を提供開始

1 day 4 hours ago
Googleは9日、次期Androidの2番目のベータ版となるAndroid 12 Beta 2を提供開始した(Android Developers Blogの記事)。 Beta 2ではGoogle I/Oで発表されたプライバシー機能など新機能のいくつかが含まれており、位置情報やマイク、カメラにアクセスしたアプリのタイムラインを表示し、アクセス許可設定を管理できるプライバシーダッシュボードがシステム設定に追加された。マイクやカメラにアプリがアクセスしていることを示すインジケーター表示やクイック設定からのマイク・カメラのトグル、アプリがクリップボードのデータを読み取った時の通知機能も利用できる。また、ステータスバーやクイック設定、システムの設定画面にわたり、よりシンプルかつ直感的に操作できるコネクティビティエクスペリエンスが導入されているとのこと。 Beta 2はPixelのベータプログラムやデバイスメーカーのベータプログラムで入手できるほか、GSIイメージを利用することも可能だ。テストに使用可能な実機がない場合でもAndroid Emulatorが利用できる。また、Android TVでもBeta 2が利用可能だ。 Beta 2では8月のプラットフォーム安定版のマイルストーンに一歩近付き、より多くのユーザーが試用を開始することから、アプリ開発者にとってはAndroid 12との互換性を確認する時期でもある。現時点でtargetSdkVersionを変更する必要はなく、Google Playなどで一般公開されている自分のアプリをAndroid 12 Betaデバイスまたはエミュレーターにダウンロードして動作を確認し、機能やUIで問題が生じたら修正版を公開すればいい。

すべて読む | ITセクション | モバイル | アップグレード | OS | デベロッパー | Android |

関連ストーリー:
Google、Android 12 Beta 1を提供開始 2021年05月20日
Google、Android 12 Developer Preview 3を公開 2021年04月24日
Google、Android 12 Developer Preview 2を公開 2021年03月20日
Google、Android 12 Developer Preview 1を公開 2021年02月20日
Android 12、Google内部のコードネームは「Snow Cone」か? 2021年02月18日
Google、Android 12ではサードパーティーのアプリストアを利用しやすくする計画 2020年10月01日

headless

Vivaldi 4.0に搭載された翻訳機能、翻訳結果で一部の漢字が文字化け

1 day 6 hours ago
Vivaldi Technologiesは9日、WebブラウザーVivaldiの最新版となるVivaldi 4.0をリリースした(Vivaldi Blogの記事[1]、 [2]、 リリースノート、 Ghacksの記事)。 本バージョンではデスクトップ版・Android版ともに翻訳機能「Vivaldi翻訳」が内蔵され、拡張機能なしでWebページの翻訳ができるようになった。Vivaldiの翻訳機能はLingvanexによるプライバシーに配慮した翻訳サービスを使い、翻訳エンジンをVivaldiのサーバーにホストすることでGoogleやMicrosoftなどに内容を読み取られることはない。ローカルで翻訳処理が完結するFirefox Nightlyの翻訳機能とは異なり、翻訳時にはサーバーへの接続が必要になるが、ユーザーのプライベートな翻訳アクティビティはVivaldiにも読み取ることはできないとのこと。 なお、原因は不明だが、翻訳先の言語が日本語の場合は翻訳結果で一部の文字が文字化けする。化けている文字を正確に特定するのは難しいものの、翻訳元と照合した感じでは、たとえば「彗」「倣」「醒」「彙」「渦」「塵」「隕」「冥」「八」「鷹」「閃」「杉」といった文字が「??」のように表示されるようだ。そのため、「Comet」という単語を含む英文記事を日本語に翻訳すると、該当部分は「??星」と表示される。一方、同じ記事を中国語に翻訳する場合は簡体字・繁体字ともに「彗星」と正しく表示される。また、絵文字を翻訳しようとして失敗していたり、翻訳済みの部分をさらに翻訳しようとして壊れていったりという場面もみられる。 本バージョンにはこのほか、電子メールクライアント機能のVivaldi Mailやカレンダー機能、フィードリーダー機能のベータ版が搭載されている。

すべて読む | ITセクション | ニュース | インターネット | IT | プライバシ |

関連ストーリー:
Firefox Nightlyにクライアントサイドの機械翻訳機能が実装される 2021年05月31日
Vivaldi 3.8リリース、cookieダイアログやバナーの非表示化が可能に 2021年05月04日
Vivaldi 3.6、グループ化したタブを2段目のタブバーに表示する機能を追加 2021年01月30日
Vivaldiの最新Snapshotにメールクライアント機能が搭載される 2020年11月27日
Vivaldi 3.4、オフラインでプレイ可能なゲーム「Vivaldia」を搭載 2020年10月17日
Apple、利用規約の翻訳にDeepL翻訳無料版を活用 2020年09月29日
デスクトップ版Vivaldi 3.3、休憩モードが利用可能に 2020年09月10日
Microsoft、インストールできない新Microsoft Edge拡張機能を公開 2020年07月10日
ドイツ・DeepLによる「DeepL翻訳」、日本語に対応 2020年03月25日
Facebook、ビルマ語で書かれた中国の習近平氏の名前を「Mr. Shithole」と英訳するトラブル 2020年01月21日
WebブラウザVivaldi、関西弁ネイティブスピーカー・ボランティア翻訳者を募集 2019年11月21日
Mozilla、クライアントサイドの機械翻訳機能をFirefoxに搭載する計画 2019年10月22日
Vivaidiのシェア、IE6に迫る 2018年11月09日
Vivaldi 1.14、リーダービューで縦書き表示をサポート 2018年02月03日
WebブラウザーVivaldi、月間500万人のユーザーを獲得すれば利益を上げられる 2016年04月19日
Webブラウザ Vivaldi、正式版となる 1.0 がリリースされる 2016年04月08日
ウェブブラウザ「Vivaldi」のベータ版が公開される 2015年11月04日
Operaの開発者、新Webブラウザ「Vivaldi」のプレビュー版を公開 2015年01月29日

headless

ドナルド・トランプ前米大統領曰く、大統領だった時にFacebookを禁止しておくべきだった

1 day 10 hours ago
headless 曰く、ドナルド・トランプ前米大統領が8日、ナイジェリアでのTwitter禁止に関連して、自身も大統領だった時にFacebookを禁止しておくべきだったと述べている(トランプ氏の公式サイトに掲載された声明文、 The Next Webの記事)。 ナイジェリアではTwitterがムハンマド・ブハリ大統領の投稿を削除したことで、政府が国内でのTwitterの運営を禁じている。ただし、ブロッキングなどの措置は取られていないようで、野党の人民民主党がTwitterの使用継続を呼びかける一方、アブバカル・マラミ法務大臣兼司法長官は違反者を訴追するよう指示している。 トランプ氏はTwitterを禁じたナイジェリアを祝福したうえで、言論の自由を認めないTwitterとFacebookをより多くの国が禁ずるべきだと述べている。自身も大統領の職にある間に禁じておくべきだったかもしれないが、マーク・ザッカーバーグ氏はトランプ氏に何度も電話してきてホワイトハウスで食事をし、トランプ氏がどれほど偉大か言い続けていたとのことだ。

すべて読む | ITセクション | Twitter | 政治 | Facebook | IT | SNS | アメリカ合衆国 |

関連ストーリー:
Facebook、ドナルド・トランプ米前大統領のアカウント停止を2年間に 2021年06月06日
ドナルド・トランプ前米大統領のコミュニケーションプラットフォーム、開設1か月で終了 2021年06月05日
ドナルド・トランプ前米大統領、新しいコミュニケーションプラットフォームを公式サイトにオープン 2021年05月07日
Facebook監督委員会、ドナルド・トランプ前米大統領のアカウント停止を適切と判断する一方、無期限のアカウント停止は不適切と判断 2021年05月06日
国立公文書記録管理局、Twitteに凍結されたトランプ前大統領のツイートを保存するよう求める 2021年04月13日
Parler、米連邦議会襲撃を計画する投稿50件以上をFBIに通報していたと米下院監査政府改革委員会に説明 2021年04月01日

nagazou

緊急事態宣言中のチャギントン電車、SNS撮影用に使って。岡山で20日まで貸し出し

1 day 11 hours ago
LARTH 曰く、岡山電気軌道は2日から、英国の人気鉄道アニメ・チャギントンをモチーフにした路面電車やミュージアムを撮影場所として貸し出しを始めている。新型コロナウイルスの緊急事態宣言期間の20日までの予定。(おかでんチャギントン電車・ミュージアム貸出について)電車、ミュージアムとも各1時間3,300円、館長代理の三毛猫「SUNたまたま」の出演も可能。岡山電気軌道は、英国のテレビアニメ「チャギントン」を模したおかでんチャギントンの時間貸しを開始した。岡山は緊急事態宣言中であるため、現在は、電車は運休、ミュージアムは休館中となっている。このため空いている設備をYouTuberやインスタグラマーなどに撮影スポットとしてに活用してもらうという企画が立てられたそうだ。緊急事態宣言の予定期間である6月20日まで貸し出しされるとのこと(マイナビニュース、まいどなニュース 山陽新聞)。

すべて読む | ITセクション | 映画 | 娯楽 | SNS |

関連ストーリー:
1枚の写真から特定の実在人物を見つける高難易度ゲーム、14年後に本人が発見されクリアへ 2021年02月02日
ディズニーの新作映画『ムーラン』、スタッフロールで撮影場所が新疆ウイグル自治区と判明し炎上 2020年09月11日
Google、写真から撮影された場所を特定するAI「PlaNet」を開発 2016年03月01日
Ingressの公式イベントで掲示された「映像撮影中のお知らせ」、エリアに入ったら撮影されても文句は言えない? 2015年03月31日
死の触手「ブライニクル」が南極の海中で撮影される 2011年11月27日

nagazou

The ACCESS ACT Takes a Step Towards a More Interoperable Future

1 day 11 hours ago

When it comes to online services, there are a few very large companies whose gravitational effects can alter the entire tech universe. Their size, power, and diverse levers of control mean that there is no single solution that will put right that which they’ve thrown out of balance. One thing is clear—having such large companies with control over so much of our data is not working for users, not working for privacy or freedom of expression, and it’s blocking the normal flow of competition. These giants need to be prevented from using their tremendous power to just buy up competitors, so that they have to actually compete, and so that new competitors are not incentivized to just be be acquired. Above all, these giants need to be pushed to make it easy for users to leave, or to use other tools to interact with their data without leaving entirely.

In recognition of this reality, the House Judiciary Committee has released a number of proposed laws which would reign in the largest players in the tech space in order to make a healthier, more competitive internet ecosystem. We’ll have more in-depth analysis of all of them in the coming weeks, but our initial thoughts focus on the proposal which would make using a service on your own terms, or moving between services, much easier: the ACCESS Act.

The “Augmenting Compatibility and Competition by Enabling Service Switching Act”—or ACCESS Act—helps accomplish a goal we’ve long promoted as central to breaking the hold large tech companies have on our data and our business: interoperability.

Today too many tech companies are “roach motels” where our data enters but can never leave, or be back under our control. They run services where we only get the features that serve their shareholders’ interests, not our needs. This stymies other innovators, especially those who could move beyond today's surveillance business models. The ACCESS Act creates a solid framework for change.

Privacy and Agency: Making Interoperability Work for Users

These services have vast troves of information about our lives. The ACCESS Act checks abuse of that data by enforcing transparency and consent. The bill mandates that platforms of a certain size and type make it possible for a user to leave that service and go to a new one, taking some or even all their data with them, while still maintaining the ability to socialize with the friends, customers, colleagues and communities who are still using the service. Under the bill, a user can request the data for themselves or, with affirmative consent, have it moved for them.

Interoperability means more data sharing, which can create new risks: we don't want more companies competing to exploit our data. But as we’ve written, careful safeguards on new data flows can ensure that users have the first and final word on what happens to their information. The guiding principle should be knowing and clear consent.

First, sensitive data should only be moved at the direction of the users it pertains to, and companies shouldn’t be able to use interoperability to expand their nonconsensual surveillance. That’s why the bill includes a requirement for affirmative consent before a user’s data can be ported. It also forbids any secondary use or sharing of the data that does get shared—a crucial corollary that will ensure data can’t be collected for one purpose, then sold or used for something else.

Furthermore, the bill requires covered platforms to not make changes to their interoperability interfaces without approval from the Federal Trade Commission (FTC), except in emergencies. That’s designed to prevent Facebook or other large platforms from making sudden changes that pull the rug out from under competitors. But there are times that the FTC cannot act quickly enough to approve changes. In the event of a security vulnerability or similar privacy or security emergency, the ACCESS act would allow platforms to address the problem without prior FTC approval.

We Need Multiple Possible Consequences for Platforms, Not Just Those Levied by the FTC

The bill is not perfect. It lacks some clarity about how much control users will have over ongoing data flows between platforms and their competitors, and it should make it 100% clear that “interoperability” can’t be construed to mean “surveillance advertising.” It also depends on an FTC that has enough staff to promote, rather than stymie, innovation in interoperable interfaces. To make sure the bill’s text turns into action, it should also have a private right of action. Private rights of action allow users themselves to sue a company that fails to abide by the law. This means that users themselves can hold companies accountable in the courts, instead of relying on the often overstretched, under-resourced FTC. It’s not that the FTC should not have oversight power, but that the bill would be strengthened by adding another form of oversight.

Put simply: the ACCESS Act needs a private right of action so that those of us stuck inside dominant platforms, or pounding on the door to innovate alongside or in competition with them, are empowered to protect ourselves.

The bill introduced today is a huge step in bringing much-needed competition to online services. While we believe there are things missing, we are glad to see so many problems being addressed.

Katharine Trendacosta

接触確認アプリCOCOAから得た教訓。政府CIO補佐官

1 day 13 hours ago
内閣官房・政府CIO補佐官の楠正憲氏は、note上で「接触確認アプリCOCOAからの教訓」と題する記事を掲載している。記事ではタイトルにもあるように、接触確認アプリCOCOAから得られた経験や教訓が記事としてまとめられている(note)。 話としては接触確認アプリ導入の経緯から始まり、国内のiPhoneユーザーの多さから、GoogleとAppleが開発したExposure Notification API(接触通知API)を採用したといった流れ、プライバシーについて懸念からの制約などについても触れられている。また縦割り行政ゆえの問題やExposure Notification APIで起きたiOSとAndroidの実装の違いの問題、Android版でのトラブルを生んだ実機テストの実施を阻んだ要因などについても触れられている。

すべて読む | ITセクション | 日本 | ソフトウェア | 医療 | 政府 |

関連ストーリー:
行政の公共調達システムが「アジャイル開発」阻むとする指摘。日経新聞 2021年05月12日
GMS非対応のHuawei製スマホにCOCOAは対応するべきか? 2021年04月28日
Android版COCOA、1日1回再起動が必要な不具合を修正。アップデート適用後に一度再起動を 2021年04月22日
厚労省がCOCOA不具合の調査結果を公表、認識不足や業者任せと指摘 2021年04月19日
厚労省、接触通知アプリCOCOAの業務体制を見直した結果、委託先を1社増加へ 2021年04月08日
接触追跡アプリCOCOA、APIへの対応がバージョン1に留まる。運用委託先は新年度から変更へ 2021年03月18日
接触確認アプリCOCOA、地域ごとの日付フォーマットの違いで利用日数が狂う新たな不具合 2021年03月15日
接触確認アプリ「COCOA」、修正版が配布されるも1日に1回アプリの再起動が必要に 2021年02月19日
接触通知アプリCOCOAの不具合、Xamarinを使用したことが一因か? 2021年02月16日
COCOAの開発・運営、厚生労働省からから内閣官房に移管を検討されるも…… 2021年02月13日
COCOAのAndroid版に接触通知が送られない不具合。4か月間気がつかず 2021年02月04日

nagazou

[B] 明治大学大学院文学研究科仏文学専攻 特別講義 /オンライン講演会 人間の臨界へ Elisabeth de Fontenayを中心に

1 day 14 hours ago
「Elisabeth de Fontenayは、知的障害によって沈黙しつづける弟という謎をめぐって、動物性を研究してき た哲学者である。著書『夜のガスパール』(2018年)では、人間と動物との境界を意識しながら、デカ ルトの動物機械論やシンガーの功利主義から、アウシュヴィッツの子供フルビネク、ドゴールの障害を 抱えた娘や映画『レインマン』までを検討する。同書は著者の家族史でもあるが、情緒に溺れることな く分析的な考察を繰り広げながらも、きわめて親密で温かい作品となっている。とりわけ、著者が対象 とのあいだで、いかにして──「注意・関心」と「配慮・思いやり」という二つの意味での──attentif な距離を保っているかを注視してみたい。」
日刊ベリタ

1000 Californians Have Asked Their Representatives To Fix Our Broken Broadband System. Have You?

1 day 15 hours ago

The California legislature has been handed what might be their easiest job this year, and they are refusing to do it.

Californians far and wide have spent the pandemic either tethered to their high-speed broadband connections (if they’re lucky), or desperately trying to find ways to make their internet ends meet. School children are using the wifi in parking lots, shared from fast food restaurants. Mobile broadband isn’t cutting it, as anyone who’s been outside of a major city and tried to make a video call on their phone can tell you. Experts everywhere insist we need a bold plan that gives communities, organizations, and nonprofits the ability and the funds to build fiber infrastructure that will serve those individuals who aren’t on the radar of the big telecommunications companies. 

Demand Better Broadband

Take 60 Seconds to Call Your RepRESENTATIVES Today

Luckily, the California legislature has, sitting on their desks, $7 billion to spend on this public broadband infrastructure. This includes $4 billion to construct a statewide, open-access middle-mile network using California’s highway and utility rights of way. It's a plan that would give California—the world’s fifth largest economy, which is heavily dependent on high-speed internet—one of the largest public broadband fiber networks in the country. 

This plan needs only a simple majority to pass. But while Californians are mostly captive to the big telecom and cable companies for whatever high-speed investment they’ve decided will be most profitable, the legislature is captive in a different way: Comcast, AT&T, and other telcos are traditionally some of the biggest lobbyists in the country, and their influence is particularly strong in California. We must convince the legislature to pass Governor Newsom’s plan for a long-term, future-proof investment in our communities. One-thousand Californians have already reached out to their representatives to demand that they take action. We need everyone—you, your friends, your family, and anyone else you know in California—to double that number. Speak up today before the legislature decides to sit this one out. Inaction could force California to lose federal dollars for the project. Every day we don’t move forward is another day lost. The state should be breaking ground as soon as possible for what will undoubtedly be a years-long infrastructure project. 

DEMAND BETTER BROADBAND

TAKE 60 SECONDS TO CALL YOUR REPRESENTATIVES TODAY

If you're unable to call, please send an email. If you can, do both — the future of California's high-speed internet depend on it.

Jason Kelley