Microsoft Excelには新たに「XLOOKUP」という関数が追加されたが、窓の杜の記事によると、「LibreOffice」でも拡張機能の追加で利用可能となるらしい。「LibreOffice」を提供するThe Document Foundation（TDF）が、公式ブログで告知しており、拡張機能の名前は「Lox365」となっている。ソースコードはGitHub上で公開されている（LibreOffice公式ブログ、窓の杜）。

インストール後に表計算ソフト「LibreOffice Calc」を起動すると、Excelと同じ要領で「XLOOKUP」が利用できるとのこと。ただし「match_mode」や「search_mode」には対応していないそうだ。

headless 曰く、

Vivaldi は 23 日、Chrome 拡張機能プラットフォームが Manifest V3 (MV3) に移行した後の内蔵広告ブロッカー維持計画を発表した (Vivaldi のブログ記事、 Ghacks の記事)。

Vivaldi の内蔵広告ブロッカーは Google のMV3 移行計画を受けて追加したもので、既存の広告ブロック拡張機能が動作しなくなるような API 変更があっても動作し続けるようにすることが目標だという。

MV3 では webRequest API 使用が制限され、ブロッキング用途では新たに追加される declarativeNetRequest API を使用する必要がある。declarativeNetRequest API では宣言型のルールを用い、Chrome 側で処理を行う。これによりプライバシーが強化され、効率の悪いルールを Chrome が無効化することもできるが、フィルタリングの自由度は低下する。

ただし、webRequest は引き続き存在し、現時点では declarativeNetRequest も webRequest 上に構築されている。また、当面 (2023 年 6 月まで) はエンタープライズポリシーで Manifest V2 (MV2) 拡張機能を利用可能に設定できることから、ブロッキング用途の webRequest を再び有効化することは難しくないという。

エンタープライズポリシーによる MV2 有効化は期限付きだが、Google が新たな制限を追加したら、Vivaldi はそれを解除する方法を探すとのこと。なお、広告ブロック拡張機能は MV3 で削除される他の API に依存することもある。そのため、webRequest だけを利用可能にしても既存の拡張機能がそのまま動作するとは限らないとのことだ。

エンジニアを募集したところ『絶対にバグを出しません、出したことありません』という応募者が来たので落としたという話がTwitterで話題になっていたようだ。採用側が「ある時点で完璧なコードでも、使っている外部API等の変更などでバグが入り込むことはない？」と問いただしたところ、「ありません!」との回答。この回答に不安になったことから応募者を落としたという流れだったらしい。Togetterの関連するコメントでも「免許取得以来一度も事故を起こしていません。と豪語するペーパードライバー」のようだと指摘されている（Togetter）。

nemui4 曰く、

そんな人と仕事したくは無いですね

Linux の NTFS3 ドライバーで大文字と小文字を区別しないマウントオプション「nocase」追加が提案され、Phoronix のフォーラムでは大文字と小文字を区別するファイルシステムの是非について議論が盛り上がっている (Phoronix の記事)。

Windows も「まともな」OS のように大文字小文字を区別すべきだといった意見や、大文字と小文字を区別しないファイルシステム上のファイルを Linux のツールで操作したらどうなるのか心配する意見も見られるが、Linux のネイティブファイルシステムでも ext4 や f2fs が大文字小文字を区別しない機能をサポートしている。逆に Windows 10 バージョン 1803 以降では NTFS にディレクトリ単位でファイル名の大文字と小文字を区別するフラグが追加されており、fsutil コマンドを使用して有効化が可能だ。

人間は大文字と小文字の違いだけであれば同じ名前だと認識するため、平均的なユーザーには大文字と小文字を区別するファイルシステムを理解しにくい、実用的に大文字と小文字の組み合わせのみが異なる同名のファイルを同じフォルダーに格納できることが役に立つ場面は少ない、といった意見も見られる。スラドの皆さんはどう思われるだろうか。

Chrome 拡張機能の Manifest V3 (MV3) 移行が迫る中、Google が約束していた MV3 API には未だに利用可能になっていないものがあるそうだ (Ghacks の記事)。

プロキシ拡張機能に必要な MV3 API の問題は 2 年近く前に報告され、700 人以上が ☆ を付けているものの、すぐには解決しそうもない。この問題のブロッカーに指定されている「サービスワーカー停止後に webRequest リスナーが呼び出されない」という問題も 3 年近く前から解決されずにいる。また、Google は Tampermonkey のようにユーザースクリプトを実行する拡張機能を MV3 でも利用可能にする意向を示しているが、まだ実装はされていないようだ。

拡張機能開発者は API が利用可能になるまで MV3 対応作業を進められないため、Google が計画通り 2023 年 1 月に MV2 を無効化した場合、一部の拡張機能は利用できなくなる可能性が高い。

人気の高いブラウザー拡張機能「I don't care about cookies」の作者が素晴らしいニュースとして Avast によるプロジェクト買収を発表したのだが、買収先が Avast であることを嫌うユーザーも多いようだ (Ars Technica の記事、 Ghacks の記事、 Android Police の記事)。

I don't care about cookies は GDPR で表示が義務付けられた cookie 確認画面を非表示化するブラウザー拡張機能で、Firefox や Chrome、Edge など主要なブラウザーで利用できる。Avast による買収後も作者の Daniel Kladnik 氏はこれまで通りプロジェクトでの仕事を続け、拡張機能は引き続き無料で提供されるほか、寄付をしてもらう必要もなくなるという。

Avastは 2019 年、ブラウザー拡張機能で必要以上のデータを収集していると指摘され、各社拡張機能ストアから一時削除された。拡張機能やセキュリティソフトウェアで収集したデータは子会社のアナリティック企業 Jumpshot を通じて販売していたが、2020 年には Jumpshot によるデータ収集の即時終了と段階的な廃業を決めている。

公式サイトのコメント欄や、拡張機能ストアのレビュー欄(Firefox、 Chrome)ではこの件を念頭に置いた投稿が数多く見られ、買収が開発者にとっては素晴らしいことであるが、ユーザーにとっては残念なことであるなどと指摘されている。

Microsoft Teams のデスクトップアプリが認証トークンを平文で保存していることが Vectra の調べにより判明したのだが、報告を受けた Microsoft では修正の必要な問題ではないと回答しているそうだ (Vectra のブログ記事、 Ars Technica の記事、 Dark Reading の記事、 VentureBeat の記事)。

Microsoft Teams のデスクトップアプリ (Windows / Mac / Linux) は Electron ベースのウェブアプリケーションだ。しかし、標準状態のElectronでは、通常のウェブブラウザーで利用可能なファイルをセキュアに保持する仕組みなどが利用できない。Microsoft Teams アプリでは認証トークンが特別な権限なく読み取り可能な場所に平文で保存されているため、ローカルやリモートの攻撃者は容易に認証トークンを入手できる。認証トークンは Microsoft Teams 以外の Microsoft 365 アプリケーション等への攻撃も可能にし、多要素認証もバイパス可能だ。

しかし、Microsoft では攻撃者が初めにターゲットのネットワークへのアクセスを可能にする必要があることから、至急サービスの必要な問題の要件を満たさないなどと回答したという。ただし、Dark Reading に提供した声明では将来の製品リリースでの対応を検討するとも述べているとのこと。このような回答について、Vectra の Connor Peoples 氏は Progressive Web App への移行を進める Microsoft が Electron アプリの修正に力を割きたくないのだとの見方を示す。そのため、Vectra では Microsoft Teams アプリの利用中止と、ブラウザー上での利用を推奨している。

Electronic Arts (EA) は 13 日、自社開発したカーネルモードのチート対策ソリューション EA anticheat (EAAC) を発表した (EAセキュリティニュースの記事、 The Verge の記事、 Neowin の記事)。

EA ではカーネルモード採用の理由として、チート開発者のカーネルモード移行を挙げている。カーネルモードで実行されるチートプログラムはユーザーモードのチート対策ソリューションからチートの機能を検出できないようにすることが可能だ。このようなチートを検出するにはチート対策もカーネルモードで実行する必要がある。また、自社開発することでサードパーティ製では困難だったカスタマイズや、迅速なバグ修正が可能になるという。

他社では既にカーネルモードのチート対策を導入しているところもあるが、高い権限で実行されることからプライバシーやセキュリティへの懸念も強い。EAAC はゲーム実行時のみ実行され、ゲームが終了するとシャットダウンする。チート対策に直接関係しない情報を収集することはなく、収集した情報についてもハッシュによる一意の識別子を用いて元の情報は破棄するとのこと。また、セキュリティ評価とプライバシー評価を行うサードパーティ企業により、PC のセキュリティを低下させることなく、厳格なプライバシー境界を保つとの評価を得ているそうだ。

EAAC は今秋リリースの「FIFA 23」で導入されるが、今後すべての EA ゲームに導入されるわけではなく、必要に応じて選択されるとのことだ。

headless 曰く、

Meta は 12 日、PyTorch プロジェクトを Linux Foundation 傘下の新設財団 PyTorch Foundation に移管すると発表した (Meta のブログ記事、 マーク・ザッカーバーグ氏の Facebook 投稿、 VentureBeat の記事、 Ars Technica の記事)。

PyTorch は Meta の研究者が中心となって開発されたオープンソースの AI フレームワーク。GitHub では 15 万以上のプロジェクトが PyTorch 上に構築されており、最も広く用いられる AI プラットフォームの一つになっている。

オープンソースでコミュニティ重視という PyTorch の考え方は財団に移行しても変わることはなく、Meta もこれまで通り PyTorch への投資と主要 AI フレームワークとしての利用を続ける。財団の理事会は Meta のほか、AMD や Amazon、Google、Microsoft、NVIDIA の代表者で構成されるとのことだ。

uBlock Origin を開発する Raymond Hill (gorhill) 氏が 7 日、試験的バージョン「uBO Minus (MV3)」のソースコードを GitHub の uBlock リポジトリに追加した (コミットメッセージ、 The Register の記事)。

uBO Minus は Chrome 拡張機能プラットフォームの Manifest V3 (MV3) に従い、ブロッキングに declarativeNetRequest (DNR) API のみを使用するバージョンだ。これにより、幅広いデータの読み取り / 変更パーミッションが不要になるためインストール時の警告は表示されなくなるが、コスメティックフィルターやスクリプトレットの挿入、リダイレクトルールなどが使用できなくなる。これにより、「Minus」の名前の通り機能低下する結果となる。

Google はコンテンツブロッカーの動作を制限するとの批判を受けながら Manifest V2 (MV2) の終息計画を進めており、2023 年 1 月にはエンタープライズポリシーで有効化しない限り MV2 拡張機能は使用できなくなる。Hill 氏は MV2 バージョンの代わりに MV3 バージョンを使用するべき理由は少ないと主張するものの、MV2 バージョンを選択できるのはあと数か月だ。現在のところ Chrome ウェブストアで MV3 使用をうたう広告ブロッカーは AdGuard の試験的バージョン「AdGuard Browser Extension v3」が公開されているのみだが、どうなるだろうか。

一方、Mozilla は Firefox で DNR を実装しつつ従来の webRequest によるブロッキングサポートも開発者のニーズを満たすソリューションが見つかるまで継続する計画を示している。Brave も引き続き MV2 拡張機能をサポートする計画だが、引き続き MV2 拡張機能を入手可能にするためには Chrome ウェブストアを使い続けることはできず、独自の拡張機能ストア開設が必要となる可能性もある。

Lightbend は 7 日、同時実行・分散アプリケーション開発向けツールキット Akka のライセンスを Business Source License(BSL)1.1 に変更すると発表した (Lightbend のブログ記事、 ライセンス FAQ、 The Register の記事)。

MariaDB が策定した BSL は時限付きオープンソースライセンスで、設定した期間内はソースコードを提供しつつ商用利用を制限し、その後はオープンソースライセンスに移行する。Akka の場合はリリースから 3 年間は自由に非プロダクション利用を認める一方で限定的にプロダクション利用を認め、4 年目以降は Apache License Version 2.0 で利用可能になる。

Lightbend ではライセンス変更の理由として、多数がオープンソースに貢献することなく利用するオープンソースにおける「コモンズの悲劇」を避け、Akka を持続可能なオープンソースにすることを挙げている。Akka を最初に開発したときに選んだ Apache 2.0 ライセンスは小規模なプロジェクトに適しているが、大規模で世界的なプロジェクトに成長した現在はそぐわないものになっているという。

今後は Akka をプロダクション利用する場合に商用ライセンスが必要となるが、年間売上高 2,500 万ドル未満の企業には無料で商用ライセンスを提供する。スタートアップでの Akka 導入を容易にすることで、引き続きイノベーションを促進できると考えているとのことだ。

headless 曰く、

RMS こと Richard M. Stallman 氏が 6 日、「GNU C Language Intro and Reference Manual」のリリースをアナウンスした (メーリングリストでのアナウンス、 Phoronix の記事、 Git リポジトリ)。

マニュアルは GNU Compiler Collection (GCC) とともに使用する C 言語を解説したもので、この C 言語の方言を GNU C と呼ぶ。既に C 言語を知っている場合は GNU C のリファレンスマニュアルとなり、プログラミングの基本を理解しているが C 言語を知らない場合は C 言語の学習に使用できるとのこと。

一方、プログラミング初心者に対しては C 言語から始めるのではなく、自動ガーベージコレクションを備え、明示的なポインターをサポートしない Lisp や Scheme、Python、Java などの言語から始めることを推奨している。

WebKit プロジェクトは 8 月 31 日、ソースコード管理の GitHub への移行を発表した (WebKit のブログ記事、 The Register の記事、 GitHub — WebKit/WebKit)。

プロジェクトではこれまで使用していた Subversion (svn) ツリーを 6 月 23 日に凍結し、GitHub への移行を進めていたという。svn から git への変更理由として、git が複数の開発者だけでなく複数の組織による共同作業に向いていることや、ブランチ間の移動やリバートが容易なことのほか、新しい貢献者の多くが git-svn ミラーを通じた作業を好むことなどを挙げている。また、プロジェクトでは全世界の開発者から貢献やフィードバックを受けることを希望しており、非常に大きな開発者コミュニティを持つ GitHub が最適とのことだ。

Google Play では 9 月 1 日から、アプリ内でユーザーが支払いを行う際に Google Play 以外の課金システムを選択可能にするパイロットプログラム対象地域を日本などに拡大した (Play Console ヘルプの記事、 9to5Google の記事、 Ars Technica の記事、 The Verge の記事)。

Google Play 以外の課金システムは日本のほか、欧州経済域 (EEA) とオーストラリア、インド、インドネシアの非ゲームアプリユーザーのみが選択可能で、利用には開発者による申告が必要となる。パイロットプログラムに参加した開発者は引き続き Google Play の手数料を支払う必要があり、Google Play 以外の課金システムをユーザーが選択した場合は 4 % 引きになる。たとえば Google Play の課金システム利用時の手数料率が 15 % の場合、他の課金システムを使用しても 11 % の手数料を Google に支払うことになる。

JPCERTコーディネーションセンター（JPCERT/CC）は31日、2019年1月から2022年6月までの間に確認したフィッシングサイトのURLデータを公開した（JPCERT/CCリリース、Security NEXT、TECH+、GitHub）。

同センターによれば、2021年度の「フィッシングサイトの傾向と利用されたドメインについて」の記事を公開した後にフィッシングサイト情報を提供して欲しいという要望が多く出たことから具体的なフィッシングサイトのURLデータを公開することになったとしている。データはGitHubレポジトリを通じて公開される。月ごとにCSVデータにまとめられており、確認された日付、フィッシングサイトURL、騙られているブランド名で構成されている。内容に関しては随時更新する予定だとしている。