サングラスは紫外線をどの程度カットするのか

なにやら、テレビで以前、「サングラスによっては、かけることで視野内が暗くなる分だけ瞳孔が開き、紫外線が入りやすくなる」とかいう話が流れていたようですね。ネット上でも、類似の話が書いてあります。 一方、サングラスは紫外線もカットしている、とい…

Electronを5から6にアップデートしたら

electronとtypescriptを使ったプロジェクトで、electronをバージョン5から6にアップデートしたら、すごい数のエラーが……。 エラーメッセージを落ち着いて調べたら対応策も分かり、無事エラーがなくなりました。 今回食らったのは、次のものです。 IpcMessage…

Encodingインスタンスの比較

C#

.NETのEncodingはクラスです。 docs.microsoft.com しかし、Encodingのインスタンス同士が比較できているような気がします。 そこで、簡単なコードで調べてみました。

MultiByteToWideChar、WideCharToMultiByteとBOMの関係

C++

意外と記載がないのでメモ。 Windows APIで文字コード変換をする定番のAPIとしてMultiByteToWideCharとWideCharToMultiByteがあります(「ANSI」とUTF-16の変換だけならATL/MFCのCW2AやCA2Wが手軽ですが)。 しかし、これらのAPIは、公式ドキュメントにもBOM…

npm-check-updatesからupdatesに移行しました。

npmのコマンドを打っていると、「おまえが使ってるパッケージに脆弱性あり。npm auditで調べろ」という警告が出ていました。で、調べてみると、全部がnpm-check-updatesの関連でした。アップデートの目的の1つは脆弱性の解消なのに、そのチェッカーが脆弱っ…

WindowsからLinuxへの移行を試してみた

前提 2018年12月の試行の結果です。 Ubuntu Mate 18.04 LTSに、Windows 10の環境を可能な限り移行してみます。 PCは両OSのデュアルブートです。 個人的な都合で、Microsoft Officeの文書を受け取り、オフラインでも扱いたいので、完全な移行は考えていません…

Electronアプリケーションの翻訳(l10n)

Electronアプリケーションはクロスプラットフォームなのですから、可能なら世界各地で使えるようにしたいものです。そこで必要となるのが国際化(internationalization, i18n)と各言語対応(localization, l10n)。 文言からはじまってRTL(アラビア語など…

HTMLのカスタムデータ属性(data-*)へのアクセス

小ネタです。 HTML5でカスタムデータ属性(いわゆる「data-*」属性)が導入されましたが、JavaScript(やTypeScript)からのアクセスの際のキー命名規則については、MDNの記述がやや微妙です(ここでは原典として英語版を参照しています)。

TypeScript+ElectronでUDPポートで受信待ち受け

タイトルのまんまです。ただし、サンプルコードではなく実際的な話です。 Electronでsocketを使う時は、mainプロセスでNode.jsの機能を使うことになります。私の場合、UDPを扱いたかったので、 dgram を使います。 私が必要だった機能は、次のようなものです…

TypeScript最大のハマりポイント:this

TypeScriptは、全体としては整然として、素直に動作します。しかし、たまに意外な落とし穴があります(自分もはまったのですが、その時のコードが残ってませんでした。すみません)。 「なぜか型がundefinedになっている」などの問題が起きるようなら、次のT…

TypeScriptを使ってみて「使うべき」と思った話

最近、ずっとブログを休んでいましたが、そろそろ再開。ただ、以前のような話は少なくなる見込みです。 個人的にTypeScriptとElectronでアプリケーションを書いています(Eto.Formsもいいのですが、プラットフォームごとの挙動の違いの扱いがつらいところで…

RSAカンファレンス公式アプリ、再びデータ漏洩の指摘

セキュリティ・カンファレンスに参加すると、スマホアプリがあなたのデータを漏洩する arstechnica.com RSAセキュリティ・カンファレンスの公式アプリが、登録者の情報を漏洩しているという指摘がありました(ちなみに2014年にも、アプリのメーカーは違うも…

Telegram規制とDomain Frontingの終焉

もう1か月ほど前の話ですが、プライバシーをウリにするチャットアプリの1つTelegramがロシア(とイラン)で禁止された件は、それなりに(一部では)国内でも話題になったように思います。 「プライバシーを売り物にはしない」―Telegram創設者、ロシアでの禁…

米陸軍、サイバー防衛競技会を分析。対面コミュニケーションが成績と強い逆相関と確認される。

米陸軍の研究者達「最強のサイバーチームは非社交的なチーム」 arstechnica.com 米のサイバー防衛の学生競技 MACCDCでの、メンバー間のコミュニケーションと結果を、陸軍研究所が調べた結果、強い相関は次の2つの項目にみられたそうです。 リーダーシップ 対…

マイニング・マルウェアの標的は2018年からコンテナにも拡大

CoinMiner攻撃キャンペーン、DockerやKubernetes経由でクラウドへ www.bleepingcomputer.com 今やマルウェアの新たなスタンダードになった感のある暗号通貨マイニングですが、その標的はPCやサーバ、スマートフォンに加えて、仮想コンテナに向かっています。…

Chrome向けのゼロ幅文字チェッカー拡張が登場

「ゼロ幅文字」による追跡攻撃を検出する、Google Chrome拡張が登場 www.bleepingcomputer.com Marco Chiappetta氏は、Chrome向けに「Replace zero-width characters with emojis」という拡張を公開しました。ゼロ幅文字を絵文字に置き換える機能をもので、…

Pwn2Ownに表れる新たなリスク

もう1か月ほど前の件ですが、意外に報じられてない感じなので。 FirefoxやEdge、Safariが、有名なPwn2Ownで陥落 www.bleepingcomputer.com Pwn2Ownは毎年恒例のハッキングコンテストで、主催側が定めたターゲットをハックできた人に賞金が支払われます。 し…

Hajimeの活動が再び活発化。相変わらず悪行はなし。

Hajimeボットネット再来。今回はMicroTikルータを大規模にスキャン https://www.bleepingcomputer.com/news/security/hajime-botnet-makes-a-comeback-with-massive-scan-for-mikrotik-routers/ Mirai派生ボットネットの1つてあるHajimeが、再び活発化してい…

米国、令状なしでクラウド上のデータを取得可能とするCLOUD法を可決

米連邦議会、予算案に隠してCLOUD法を可決 www.bleepingcomputer.com 米連邦議会は、連邦政府のシャットダウン期限が迫る中、ギリギリで予算案を可決しましたが、これにはCLOUD(Clarifying Lawful Overseas Use of Data Act)法という別の法案が組み込まれて…

有力IT企業で相次いでセキュリティ担当者が退職へ

Google、Facebook、Twitterのセキュリティ関係役員、退職を発表 www.bleepingcomputer.com FacebookのCSO、Alex Stamos氏(8月末で退職との報道、今後の予定は不明) Googleの情報セキュリティ部門のdirector、Michal Zalewski氏(3月末で退職、今後の予定は不…

インターネットに露出したetcd、ただのHTTPアクセスで膨大なデータを露呈

「etcdの、セキュリティ自爆スイッチ」 elweb.co CoreOSの分散KVS、etcdは、後方互換性のために管理機能の認証がデフォルト無効です。しかもRESTful APIで利用できます。 この結果、デフォルト設定のetcdがインターネットに露出していると、中のデータは外か…

暗号通貨のハードウェアウォレットLedgerの脆弱性

Ledgerのセキュリティモデルを破る saleemrashid.com 耐タンパ性を謳う暗号通貨ウォレット、15歳のハッカーにより裏口を開けられる arstechnica.com PCに接続して暗号通貨を安全に保管する、と謳うLedgerのハードウェアウォレットの脆弱性についての記事です…

Slingshot APTに関し「米国の対テロ作戦」との証言

次の件の続報です。 mokake.hatenablog.com Kasperskyの「Slingshot」報告が、ISISに焦点を当てた諜報活動にダメージ www.cyberscoop.com 米関係者「Kasperskyの"Slingshot"報告が反テロ作戦にダメージを与えた」 arstechnica.com Slingshotは、Kasperskyが…

わずか数時間で40万台以上のPCにマルウェアが拡散

「汚染されたP2Pアプリ、Dofoilコインマイナーの急増を起爆」 cloudblogs.microsoft.com 「トロイの木馬化したBitTorrentソフト更新、先週40万台のPCを乗っ取る」 thehackernews.com BitTorrentクライアントツールMediaGetのアップデートに介入して、マルウ…

AMDの多数のCPU、APUに脆弱性。公開方法へは批判多数

「AMDのチップに多数の欠陥、悪意あるハックの影響が格段に悪化」 arstechnica.com 「13件のクリティカルな欠陥がAMDのRyzen、EPYCプロセッサで見つかる」 thehackernews.com AMDのEPYCやRyzenシリーズのプロセッサ(AMD Platform Security Processor)には…

StackOverflowの開発者アンケート(2018年版)

ソフトウェア開発者なら、ほぼ確実にお世話になっているサイトStack Overflowの2018年アンケート結果が公開されました。 insights.stackoverflow.com 個人的にはSOのアンケート結果をちゃんと見たのが初めてで興味深かったので、取り上げてみたいと思います…

中国CNNVD、脆弱性情報データベースを書き換えていることが判明

「中国、公的脆弱性データを改変。国家安全部による影響の隠蔽のため」 www.recordedfuture.com 以前からCNNVD(中国の脆弱性情報データベース)については、脆弱性によって公開タイミングが違うことが指摘されていました。 internet.watch.impress.co.jp こ…

きわめて高レベルなAPT「Slingshot」が報告される

Slingshot APTのFAQ(よくある質問) securelist.com Kasperskyは、高度なマルウェア群による攻撃(APT)を「Slingshot」と名付け、その詳細を発表しました(冒頭記事の末尾に25ページの報告書へのリンクがあります)。 Slingshotは、少なくとも2012年から活…

多くのメールサーバで使われるEximにまた脆弱性

「Eximの1つずれに基づく遠隔コード実行脆弱性:CVE-2018-6789を緩和要素をかわしつつ攻略」 devco.re SendmailやPostfixなどと同じカテゴリMTAの著名ソフトの1つeximに脆弱性が見つかりました。対応版(4.90.1)への更新が必要です。 この脆弱性は、記事タ…

Ciscoの遠隔管理ツールにハードコードパスワード

「Ciscoのソフトにハードコードされたパスワードが見つかる」 www.bleepingcomputer.com CiscoのPCP(Prime Collaboration Provisioning)という遠隔管理ツールに、ハードコードされたSSHパスワードがあることが判明しました。 この脆弱性はLAN内からのみ攻略…