パスワードを忘れた? アカウント作成

最新から新しい日記やタレこみを確認できますよ。

13479964 story
政府

京都市のシステム開発トラブル、訴訟合戦へ 21

ストーリー by hylom
白黒はっきりつけましょう 部門より
あるAnonymous Coward 曰く、

京都市の基幹系システム刷新プロジェクトが遅延し、京都市がその原因とされたシステム開発業者のシステムズ社との契約を解除したことは以前報じられていたが、京都市が同社を提訴する方針を固めたようだ(日経ITpro)。

京都市は支払った金額の一部や損害賠償金など合計約8億円の支払い求めるという。いっぽうのシステムズ社はすでに京都市に対し未払い分の約2億円を支払うよう求め提訴しており、訴訟合戦となるようだ。

開発中のシステムについては別の業者に構築を委託するようだが、今回トラブルとなったバッチシステムのマイグレーション作業については難しい点が多く、作業をできるベンダーが少ないことも記事では指摘されている。

13479126 story
プログラミング

「Microsoft Quantum Development Kit」リリース 9

ストーリー by hylom
先駆けて 部門より
あるAnonymous Coward 曰く、

Mirosoftが「Microsoft Quantum Development Kit」を公開した。無償でダウンロードが可能。

量子コンピューティングを行うためのツール集で、専用言語「Q#」や作成したコードの実行やデバッグ、テストを行えるシミュレータ、コード集などあら構成されている。シミュレータはPC上で動作し、約30量子ビット程度までのシミュレートが可能だそうだ。また、Microsoft Azure上でより大規模なシミュレートも提供するという。

13478151 story
Android

正規アプリの署名を維持したまま内容を改変できるAndroidの脆弱性「Janus」 12

ストーリー by hylom
いろんなことができちゃいそう 部門より
headless曰く、

正規のAndroidアプリの署名を維持したまま内容を改変できるというAndroidの脆弱性「Janus」を発見者のGuardSquareが解説している(GuardSquareブログBetaNewsRegister)。

Androidのアプリケーションパッケージ(APK)ファイルはZIPファイルであり、ZIPエントリの外側に任意のデータを挿入できる。しかしJAR署名スキームではZIPエントリのみを使用して署名の整合性を確認するため、ZIPエントリの外にデータが挿入されても署名は有効のままとなる。一方、Dalvik実行可能ファイル(DEX)は末尾に任意のデータを追加できる。そのため、DEXファイルの末尾にAPKファイルをつなげて1つのファイルにすることでDEXファイルとしてもAPKファイルとしても有効なファイルとなり、署名も維持される。

AndroidランタイムはAPKファイルからDEXファイルを抽出して実行するが、ファイルの種類を識別する際にDEXヘッダーを見つけるとDEXファイルとして実行してしまうのだという。Androidでは署名が異なるAPKファイルでインストール済みアプリをアップデートすることはできないが、悪意あるDEXファイルを正規のAPKファイルと組み合わせることで、正規のアップデートとしてインストールさせることが可能となる。こういったAPKファイルがGoogle Playで配布されることはないものの、ユーザーをだましてインストールさせることで、高い権限を持つシステムアプリを置き換えたり、バンキングアプリを偽物に置き換えたりといった攻撃が可能だ。

Android 5.0以降がJanusの影響を受けるが、Android 7.0以降で利用可能なAPK署名スキームv2ではAPKファイル全体が署名の検証対象になるため、v2署名を使用したアプリは影響を受けない。GuardSquareではこの問題を7月31日にGoogleへ報告しており、12月のAndroidセキュリティアップデートCVE-2017-13156として修正されている。

13477358 story
プログラミング

難しくはないが大きな工数が予想される改元対応 208

ストーリー by hylom
昭和と平成しか想定していないテーブルとかあるんじゃないですか 部門より
argon曰く、

政府が天皇陛下の退位日を2019年4月30日とする政令を決定、5月1日より新元号となることが決まりました(朝日新聞毎日新聞NHK)。

これに対し、その対応について大手システムベンダーがコメントを出しました(日経ITproの記事1記事2)。

これによると、NTTデータは「元号改正による修正は限定的」、日立製作所は「平成から新元号への対応は比較的容易」としているいっぽう、富士通は「洗い出しとテストの負荷が大きい」としています。

NTTデータや日立製作所は作業工数が不要だと受け取られそうな不用意なコメントですが、富士通は調査やテストの工数について言及していてさすがだなと思いました。

13476519 story
Android

Google、Androidアプリでのユーザー補助サービス使用条件を緩和か 14

ストーリー by headless
緩和 部門より
1月ほど前、Googleは一般ユーザー向けのAndroidアプリでユーザー補助サービスの使用を一切認めない旨の通知をアプリ開発者に送り、30日以内の対処を求めていると報じられたが、この方針が緩和されるようだ(RedditのスレッドArs Technicaの記事)。

Redditユーザーが公表したGoogleからの電子メールによれば、現在Googleではユーザー補助サービスの責任ある革新的な使用について評価を行っており、評価が完了するまで30日間の期限は一時停止するとのこと。また、ユーザー補助機能を必要とするユーザー向け以外の機能で「BIND_ACCESSIBILITY_SERVICE」パーミッションを使用する場合、ユーザーの行動を監視する理由や、ユーザー補助サービスの各機能を必要とするアプリの機能の説明をパーミッション宣言の「android:description」に追加するよう求めている。

さらに、ユーザー補助サービスの責任ある革新的な使用をしていると考えるアプリの開発者に対しては、それがどのようにユーザーの役に立つのかを返信してほしいとも述べている。このようなフィードバックは、Googleがユーザー補助サービスの評価を完了するうえで助けになるとのことだ。
13476324 story
ソフトウェア

SiriとAlexaがセクハラ質問に毅然とした態度をとるよう、プログラム変更を求める署名運動 152

ストーリー by headless
毅然 部門より
SiriとAlexaがユーザーからのセクハラ質問に毅然とした態度をとるよう、AppleとAmazonにプログラム変更を求めるオンライン署名運動をCare2が実施している(VentureBeatの記事)。

ほとんどのパーソナルデジタルアシスタントはデフォルトで女性の声が使われており、ユーザーのセクハラ質問に遭うことも多いようだ。Quartzの記事ではSiriとAlexa、Cortana、Google Homeを使い、各種セクハラ質問に対する応答内容を調査しているが、セクハラ質問にデジタルアシスタントが毅然とした態度で応答することは少なく、受け流した応答をすることが多かったという。時には喜んでいるかのような応答も聞かれたとのこと。

Care2では実際の人物ではないデジタルアシスタントが傷つくわけではないとしつつ、応答内容はセクハラを受けた現実の女性が仕事を続けるために見せる態度と同じようなものであり、セクハラが許容されている現状を変えるためにはデジタルアシスタントも毅然とした態度で応答すべきだと考えているようだ。目標の署名件数は1万件。9日夜の時点で9千件を超えている。
13475528 story
Android

Androidアプリ開発者の環境から任意ファイルを取得可能な脆弱性「ParseDroid」 5

ストーリー by headless
参照 部門より
Androidアプリの開発に使われるIDEやAPKファイルの分析などに使われるツールにおけるXMLパーサーの処理に関連した脆弱性「ParseDroid」について、発見したCheck Point Researchが解説している(Check Point Researchの記事The Registerの記事[1][2])。

Check Point Researchでは当初、Apktoolを調査していたという。ApktoolはAndroidのアプリケーションパッケージ(APKファイル)のデコンパイルとビルドが主な機能で、サードパーティアプリのリバースエンジニアリングによく使われるツールだ。ソースコードを調べたところ、XMLパーサーで外部実体参照(XXE)が無効化されておらず、細工したAndroidManifest.xmlを含むAPKファイルを処理させることで攻撃者が任意のファイルを取得できることが判明する。
13474993 story
Windows

WZ Programming Editor 2、プレビュー版が公開される 66

ストーリー by hylom
まだ開発が続いていたのか 部門より
insiderman 曰く、

MS-DOS時代に人気があったテキストエディタの1つに「VZエディタ」があった。その後Windows向けに「WZエディタ」という後継製品も出たが、いまいち流行らなかった記憶がある。しかしこのたび、このWZ Editorの後継版でありプログラミングに特化した「WZ Programming Editor 2」が発売されるようだ(窓の杜)。

現在はプレビュー版が無償公開されているが、今後4,800円(税抜)で一般販売される模様。

優秀な無料IDEが多数あるWindows環境において、どこまで利用者を増やせるのか注目したい。

13474990 story
Windows

Windows Insider Previewのリリース日を一覧できる「Flight Hub」

ストーリー by hylom
ニッチな需要 部門より
headless曰く、

Windows Insider Programのシニアプログラムマネージャー、Brandon LeBlanc氏がInsider Previewビルドのリリース日を一覧できる「Flight Hub」を公開した(LeBlanc氏のツイートOn MSFT)。

Insider Previewのリリース情報はWindows Experience BlogやフィードバックHubで確認できるが、各リングでのリリース情報やマイナービルドの情報が追記されていくため、少しわかりにくいこともある。Flight HubではWindows 10 Creators Update(RS2)のRTMビルド(ビルド15063)以降、すべてのPC向けビルドがリストアップされており、各リングでのリリース日を確認できる。RS4ビルドではServerやIoT、ISO、SDKのリリース日も確認できるようになっている。ただし、モバイル版に関してはまったく触れられていない。

Windows Insider Programを率いるDona Sarkar氏のツイートによれば、LeBlanc氏はFlight Hubを作るためにコードを勉強したらしい。Flight Hubは現在のところプロトタイプの段階だが、いずれはWindows Insider ProgramのWebサイトやフィードバックHubに組み込むことも計画しているとのことだ。

13472847 story
Android

Google、ユーザーの合意なく個人情報を収集するAndroidアプリで警告を表示する計画 9

ストーリー by hylom
今更 部門より
headless曰く、

Googleは1日、「望ましくないソフトウェアのポリシー」の適用対象を拡大し、ユーザーの合意なく個人情報や端末情報を収集するAndroidアプリで警告を表示する計画を発表した(Google Security Blog9to5GoogleRegisterBetaNews)。

アプリがユーザーの個人情報や端末情報を扱う場合、アプリ内でのユーザーへの通知とプライバシーポリシーの提供が必要となる。さらに、アプリの機能と関連しないデータを収集・送信する場合は事前に使用目的を明示し、合意を得ることも必要だ。データ収集の要件はアプリの全機能に適用され、たとえばクラッシュリポート送信時にアプリと無関係なインストール済みパッケージのリストを含める、といった場合にも使用目的を明示して合意を得る必要があるとのこと。

これらの要件はGoogle Play以外で配布されるアプリにも適用され、違反アプリでは今後60日以内にGoogle Play Protectまたはアプリを配布するWebページで警告が表示されるようになる。違反アプリによる警告の問題を解決するための情報を得るには、Search Console(要ログイン)やSearch Consoleヘルプを参照するといいだろう。また、アプリ開発者は「アプリの確認と異議申し立て」により、Google Playで配布するアプリだけでなく、Google Play以外で配布するアプリの確認を要求することも可能だ。このほか、Google Playで配布するアプリのユーザーデータに関するポリシーはDeveloper Policy Centerで確認できる。

13472789 story
プログラミング

「IT業界クソ現場オブザイヤー」がすごい 136

ストーリー by hylom
どうしてこうなった 部門より
あるAnonymous Coward 曰く、

年末が近づいてきた最近、突如Twitterで「#IT業界クソ現場オブザイヤー」というハッシュタグがブームになっている。その名の通り、「IT業界におけるクソ現場」での体験談を投稿するためのタグだが、投稿されている内容が色々と酷くて興味深い(Togetterまとめ)。

投稿されているものはリアルでありそうな話ばかりだが、まとめられているもの以外にもTwitterには多くの投稿が寄せられている(Twitterでの検索結果)。個人的には大量にRTされている「昭和と平成をtrueとfalseで持ってる某省庁」というのがクソ現場オブザイヤーだと思うが、それ以外にも酷い話が満載である。

13470332 story
統計

Net Applicationsの測定方法変更により、Windows 10のシェアが30%を超える 15

ストーリー by headless
変更 部門より
Net Applicationsが公表しているブラウザーやOS、サーチエンジンなどのシェアデータ測定方法が変更され、過去のデータも含めて数字が変動した。その結果、デスクトップOSシェアの11月分でWindows 10が30%を超えている(Operating System Share by VersionOperating System Market Share)。

旧データでWindows 10のシェアが30%を超えたことは一度もないが、新データでは9月に初めて30%を超えており(30.52%)、10月には再び30%を割っていた(29.86%)。11月分では2.09ポイント増の31.95%となっている。旧データ前月分との比較では2.69ポイント増になる。Windows 7は前月から0.07ポイント増の43.12%だが、旧データ前月分と比較すると3.51ポイント減。3位はWindows 8.1(5.97%)、以下Windows XP(5.73%)とMac OS X 10.12(3.87%)が続く。Linuxのシェア(1.64%)は大幅に減少したようにみえるが、新データではUbuntu(0.51%)やFedora(0.05%)などが別バージョンとして分離されたためで、OS種別データでは2.21%。Chrome OS(0.29%)はOS種別でもLinuxと別集計になっている。このほか、OS種別ではWindows(88.39%)やMac(9.05%)に加え、BSD(0.04%)が集計対象になっている。

新データの測定方法はNet Applicationsの提携サイトに対するユーザーのアクセスについて、非アクティブ時間が30分以上続かないものを1セッションとし、セッションをカウントしていくというものだ。これまでの測定方法は1日単位で全提携サイトへのユニークビジターをカウントするもので、あるユーザーが複数の提携サイトに何度アクセスしても1ビジターとしてカウントされていた。そのため、新データではアクセス回数の多いほどシェアが高くなるStatCounterの数字に近づいたとみられる。2016年12月分以降のデータを比較すると、旧データのバージョン別シェアはWindows 7が常に高め、Windows XPとMac OS X 10.12が常に低めになっていた。OS種別ではWindowsが常に高め、Macが常に低めとなっていたようだ。
13470116 story
Chrome

Windows版Chrome、サードパーティソフトウェアによるコードインジェクションをブロックへ 25

ストーリー by headless
計画 部門より
Windows版のGoogle Chromeでサードパーティソフトウェアによるコードインジェクションをブロックする計画が発表された(Chromium Blogの記事VentureBeatの記事9to5Googleの記事The Registerの記事)。

Windows版Chromeではユーザー補助ソフトウェアやアンチウイルスソフトウェアなど、Chromeと一緒に動作するソフトウェアをおよそ3分の2のユーザーが使用しており、中には機能を実現するためにコードをChromeにインジェクトするソフトウェアも存在する。しかし、このようなソフトウェアを使用しているユーザーでは、Chromeのクラッシュが15%多く発生するという。現在ではChrome拡張Native Messagingで同様の機能を実現可能になっており、コードインジェクションをブロックしても問題ないと判断したようだ。

変更は3段階で行われ、2018年4月にはChrome 66でクラッシュの発生したユーザーに対し、Chromeにコードをインジェクトするソフトウェアの存在を通知して更新や削除を促す。7月にはChrome 68でサードパーティソフトウェアによるコードインジェクションのブロックが開始される。ブロックによりChromeの起動が妨げられる場合、インジェクションを有効にしてChromeを再起動する一方、ユーザーにはソフトウェアを削除するように求める。2019年1月のChrome 72ではこのような暫定処置を終了し、コードインジェクションが常にブロックされるようになるとのこと。

なお、Microsoftが署名したコードやユーザー補助ソフトウェア、IMEについてはブロッキング対象から除外される。これらの変更に対応するため、開発者に対してはChrome Betaを使用した早めのテストが推奨されている。ただし、現在のDev ChannelはChrome 64Beta ChannelはChrome 63なので、もう少し先の話のようだ。
13469773 story
Windows

Windows 10 Insider Preview、新機能でA/Bテスト実施へ 41

ストーリー by headless
実施 部門より
Microsoftは11月28日、Windows 10 Insider Previewの今後のビルドで新機能の一部にA/Bテストを導入する計画を明らかにした(Windows Experience Blogの記事BetaNewsの記事On MSFTの記事)。

A/Bテストの導入は、新機能の有無によるユーザーの満足度の違いを調べるのが目的だ。そのため、各ビルドの提供開始からしばらくの間はInsider Program参加者の一部のみが特定の新機能を利用でき、その後全員が利用できるようになるという流れで実施される。これまでもMicrosoft Edgeの「ハブ」アイコンで複数のバリエーションを提供するなど小規模なテストは実施していたが、今後は機能全体に拡大されることになる。

A/Bテストの最初の対象となるのは、テリー・マイヤーソン氏が28日にInsider Program参加者あてのメールで告知した機能の一つ。作業に関連するドキュメントやWebページなどを1ウィンドウにまとめて使用できるようにする機能だ。この機能は現在のところ名前がなく、暫定的に「Sets」と呼ばれている。
13469529 story
Android

Android Burger 8.1はチーズがパティの上に 27

ストーリー by headless
差替 部門より
Googleが27日にロールアウトしたAndroid 8.1 Developer Preview 2では、ハンバーガーの絵文字でチーズの位置がパティの上に変更されているそうだ(Emojipediaの記事The Vergeの記事The Next Webの記事Neowinの記事)。

Androidの絵文字ではAndroid 8.0で初めてハンバーガーにチーズが追加されたが、バン(下半分)→チーズ→パティ→トマト→レタス→バン(上半分)の順で重ねられていたため、チーズの位置がおかしいと議論になっていた。Google CEOのサンダー・ピチャイ氏は全力でこの問題に対応すると述べていたが、Googleのシアトルオフィスがランチメニューで絵文字通りの真のAndroid Burgerを提供した後は音沙汰なかった。

Emojipediaの記事によれば、Android 8.1の絵文字ではバン(下半分)→パティ→チーズ→トマト→レタス→バン(上半分)の順に変更されている。パティの厚みも少し増しているようだ。また、ジョッキの中ほどにビールの水面が見えていると話題になっていたビールの絵文字と、ジョッキを打ち合わせて乾杯する絵文字では、泡とビールの隙間が解消された。さらにチーズの絵文字では穴の一部が水玉模様のようだったが、ちゃんと穴に見えるように修正されている。
typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...