パスワードを忘れた? アカウント作成
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30
2020年11月30日のIT記事一覧(全4件)
14999478 story
マイクロソフト

Microsoft 365の生産性スコア機能に批判。社員の労働監視とデータの共有化などで 32

ストーリー by nagazou
メールやチャットをたくさんした人が勝ちってのはなんか違うのでは 部門より
Microsoft365に搭載された機能に、プライバシーと誤用のリスクがあるとして批判が出ている。大元はThe Guardianによるもので、この機能は「生産性スコア(productivity score)」とよばれ、マネージャーが個々の従業員を監視する用途で利用可能だとしている(The Guardian9to5MaciPhone Mania)。

この機能は2019年に導入されており、マネージャーはメールやチャット、ネットワークへの接続時間などのデータをチェックできるのだという。この機能を活用すれば、グループチャットの会話への参加が少ない、メールの送信が少ない、または共有ドキュメントでの共同作業に失敗している従業員などを発見できる。従業員側からOFFな設定するとはできるが標準設定ではONとなっており、研究者によると、Microsoftは他社との社員の働き具合の比較のため、この機能で得られたデータをMicrosoftなどと共有することを推奨しているとしている。その結果、Microsoftは膨大な従業員データにアクセスできるとしている。

tamaco 曰く、

なんというかネットワーク管理者がアラート(たいがいはウイルスメールや裏系サイトアクセスでアラート。たまにやばいアダルト系のファイルを社用PCに展開とかどうしようもないやつも・・)で使用者に忠告メール出すときのような感じを想像した。 監視する方はめんどくさいので、そこまで個々人の生産性までは見たりはしないけど、経営層には受けがよさそうで嫌な機能だな。

情報元へのリンク

14999458 story
アナウンス

今年も「本番環境でやらかしちゃった人 Advent Calendar 2020」実施 33

ストーリー by nagazou
本当にあった怖い話-2020 部門より
昨年もあった「本番環境でやらかしちゃった人」の2020年版が始まっているようだ。昨年も11月中旬の段階で12月1日から25日まですべて埋まっていたようだが、今年も同じく12月25日まで埋まっている(本番環境でやらかしちゃった人 Advent Calendar 2020本番環境でやらかしちゃった人 Advent Calendar 2019)。

今年も「本番でTableを1つDeleteしてしまいON DELETE」「本番環境で動作している(はずの)クエリを叩」「Webサービスのデータをふっとばす管理者用初」「コントローラーが故障したraid5ディスク上のDB」「開発中プログラムを半年早く本番環境に上げち」「/etc/passwdが消えてサーバにログイン出来なく」「AWSでやらかして3桁万円請求された話」と相変わらずタイトルだけで胃が痛くなるような内容が予定されている模様。
14999705 story
バグ

NURO光のHuawei製ONU「HG8045Q」に権限昇格の脆弱性、修正予定はなし 61

ストーリー by nagazou
うーむ 部門より
あるAnonymous Coward 曰く、

IT系ニュースサイトのGIGAZINEによると、NURO光加入者に貸与されるHuawei製のONU兼無線LANルータ「EchoLife HG8045Q」には権限昇格が可能な脆弱性が存在するという(NURO光で使用する管理者アカウントが特定される、見えてはいけない画面がまる見え&root権限も奪取可能 — GIGAZINE)。

GIGAZINEの公開した再現手順では2つの脆弱性が利用されている。1つ目は今年9月に博士研究者であるAlex Orsholits氏が発見したマスターアカウントの資格情報がハードコードされている問題(meh301/HG8045Q: Pwning the Nuro issued Huawei HG8045Q)、2つ目はGIGAZINE編集部(log1n_yi氏)が独自に発見した入力値検証の不備に起因する権限昇格の問題だ。

マスターアカウントというのは、ISPが加入者に貸与しているONUの設定を変更するために利用する特権アカウントのことで、ウェブ管理画面からマスターアカウントを用いてログインすると、通常は制限されている様々な機能が利用できる。NURO光のONUでは一体不可分のルータ機能を無効化するためこの手のハックに需要があり、Alex氏はNANDから吸い出したダンプから、マスターアカウントのIDが「admin_iksyomuac13」であること、そしてパスワードがハードコードされた文字列「iksyomuac13_admin_」に機器固有のMACアドレスのサフィックス4文字を付け足したものであることを発見していた。

更にこれを用いてSSHログインすると、Huawei製のネットワーク機器特有の「WAP」というシェルで特定のコマンドを実行できる。マスターアカウントであっても通常はごく限られたコマンドしか実行できないが、log1n_yi氏がシェルスクリプトを調査した結果、pingコマンドの後ろに「大量の文字列」「"」「> |」「実行したいBusyBoxコマンド」を入力することで、BusyBoxに実装されたコマンドをroot権限で実行できることを発見したという。

NURO光提供側にこの脆弱性を報告したところ、1か月ほど放置された挙句、修正予定が「あり」から「なし」に変わったという。問題の機器ではWAN側のSSHポートは閉じられているため、直ちに外部から不正なアクセスをされるわけではないというのが理由のようだ。逆に言えば、内部からアクセス可能な場所――例えば公共施設や商業施設などでネットワークを訪問者に開放している場合は注意が必要になりそうだ。

GIGAZINEではNURO光がバグ報奨金プログラムを用意していない点にも触れ、「脆弱性に対する窓口対応の弱さが目立ちました」と結んでいる。

情報元へのリンク

14999519 story
ゲーム

スペックでは上のはずのXbox Series X、同タイトルのパフォーマンスでPS5が上になる事例も 129

ストーリー by nagazou
最適化する時間が…… 部門より
Xbox Series Xの公称値は12TFLOPS、PlayStation 5(以下PS5)では最大10.3TFLOPSと公称値ではPS5よりも上であるはずのXbox Series X。ところが、ゲームのハードウェアとソフトウェアのテクニカル分析を専門としているDigital Foundryの調査によれば、PS5とXboxの両者で同時に展開しているタイトルでは、PS5版の方が一貫してパフォーマンスが上回っていたという調査結果が出ていたそうだ(EngadgetThe Verge)。

例えばデビルメイクライ5では、高フレームレートモードで両者のフレームレートギャップが40fpsほどあったようだ(Digital Foundryの検証動画)。原因は開発環境などにある指摘も出ている。Microsoft側も問題が起きていることを認めており、開発者と協力して対応するとしている。

実際に一部のゲームではパフォーマンスの改善が行われているようだ。アサシンクリードヴァルハラでは、11月26日に1.0.4パッチが提供されており、Xbox系列でも高フレームレートに対応するなどパフォーマンスの改善が図られている模様(EUROGAMER.NET)。

あるAnonymous Coward 曰く、

Xbox Series XはPS5よりもTFLOPSが余裕で上回っているだけに、仕様が公開された時点ではこのような事態になるとは想像もできなかった。
Xbox Series Xの開発環境の提供が遅れ、最適化する時間が十分に取れなかった可能性が指摘されているが他にどんな要因が考えられるだろうか?

情報元へのリンク

typodupeerror

弘法筆を選ばず、アレゲはキーボードを選ぶ -- アレゲ研究家

読み込み中...