iThome

行動程式資安業者Appthority上周指出，有3,046款使用Firebase服務的行動程式因不當配置而讓程式的用戶資訊曝光，總計有113GB、超過1億筆資料可供公開存取，包括明文的使用者帳號與密碼及GPS位置資訊等。

Firebase為一網路及行動程式的開發平台，它提供雲端傳訊、通知、資料庫、分析功能，還有許多後端API，在2014年被Google買下，除了受到許多Android開發者的青睞之外，也是最受歡迎的行動程式資料儲存平台之一。

Appthority在清查逾270萬個行動程式之後，發現有2.8萬個行動程式將資料存放在Firebase後端，當中有3,046個程式把資料置放於2,271個不當配置的Firebase資料庫中，而允許第三方公開檢視。它們大多數為Android程式，佔了2,446個，另有600個為iOS程式。

這些程式外洩的資料量高達113GB，包含了260萬筆的明文密碼與使用者帳號、400萬筆的健康紀錄與聊天訊息、2,500萬筆的GPS位置資訊、5萬筆的金融交易資訊，以及450萬筆的臉書/LinkedIn/Firebase用戶憑證等。

Appthority指出，2,446個Android程式在Google Play上的總下載量超過了6.2億次，它們分散在不同的類別，從工具、生產力、健身、通訊、金融到商用程式等，有62%的企業至少使用了其中一款程式。

儘管這主要是因為開發者沒有驗證存取權限，才讓任何人都能存取，屬於Firebase資料庫的配置疏失，然而Appthority卻把矛頭指向Google，指出Firebase在預設上並未善盡保護用戶資料的責任，同時也缺乏可加密用戶資料的第三方工具。

新聞

愈來愈多相片已不可信，因為許多都經過P圖美化或造假。不過Adobe正在實驗人工智慧（AI）技術，希望能辨識經過Photopshop修圖過的圖片。

由於修圖技術的進步及更多好用編輯軟體的出現，市面上出現各種低成本的修圖方法。最常見的是圖片捻接（splicing）、剪下貼上（copy-move）、完全移除（removal）。

由Adobe研究中心及馬里蘭大學學者組成的研究小組，使用一種雙流（two-stream）快速區域性卷積神經網路（FASTER region-based convolutional neural networks, FASTER R-CNN）訓練它來偵測特定相片中被變造的區域。其中一道是從圖片中的RGB stream偵測對比差異、邊界不自然等，另一道是利用隱寫分析模型（steganalysis rich model）找出真實與變造區域間「噪音」（noise）的不一致性，後者是因為當物件從A圖（來源）移除貼上B圖（目的地）時，來源和目的地圖片的「噪音」會不一致。兩種資訊再經由雙線型池化層（bilinear pooling layer）形成最後的數據。

實驗顯示，運用研究小組方法，可以辨別出圖像的確經過變造，還能顯示變造的手法，是經過拼貼、貼上複製，或是移除部分圖像，而且在辨識尺寸調整及JPEG壓縮，也比其他方法效果好。

這項研究是在本月電腦視覺模型辨識（Computer Vision and Pattern Recognition）大會上發表。Adobe對The Verge表示，本項技術還在研究初期，但未來Adobe希望在數位媒體真實性的辨識，像是協助警方辦案的技術開發上不會缺席。

AI是否能撥亂反正還不得而知，不過可以確定的是AI可以造假。去年一名為deepfakes的網友，運用AI技術移花接木，假造了神力女超女主角Gal Gadot的色情影片，還有研究人員用AI技術合成俄國總統普丁發表內容來自前美國總統歐巴馬的演說影片，都使人擔心假造新聞足以讓天下大亂。

新聞

Canonical自今年4月底出爐的Ubuntu 18.04長期支援版（Long Term Support，LTS) 開始蒐集桌面用戶的系統資料，並於本周公布首個遙測報告，可望協助Canonical了解用戶特性並改善Ubuntu使用經驗。

現身於Ubuntu 18.04 LTS中的Ubuntu報告工具（Ubuntu Report）會在用戶登入時詢問是否願意回傳系統資料予Canonical，總計有67%的用戶按下了同意。此一數據只來自於Ubuntu Desktop桌面版用戶，並未包含Ubuntu Server、Ubuntu Core、雲端映像，或是其它未含有報告工具的Ubuntu產品。

根據首份報告，安裝Ubuntu Desktop的平均時間為18分鐘，快過許多其它作業系統，而有些機器的安裝時間則不到8分鐘。此外，大多數的用戶都是直接安裝Ubuntu 18.04 LTS，只有1/4用戶是透過升級來安裝。

在安裝的選項上，高達9成的用戶會在安裝時下載軟體更新，有53%的用戶也安裝了未包含在系統中的外掛程式，另有28%選擇自動登人，以及15%選擇了新的最小化安裝。

大多數的Ubuntu桌面系統都只擁有單個CPU、單個GPU與一個螢幕，最常見的記憶體配置為4GB與8GB，但數據顯示也有系統配備了128GB的記憶體。

此外，有53.8%的用戶是在清除硬碟之後進行乾淨安裝，居次的是21.89%的手動安裝。

Canonical是以用戶所在的時區而非IP來判斷用戶位置，Ubuntu用戶數最多的地方依序是美國、巴西、印度、中國與俄羅斯，不過美國的數據可能失準，因為安裝Ubuntu時的預設國家即為美國。

新聞

印度的央行—印度儲備銀行（Reserve Bank of India，RBI）上周發出公告，要求境內所有基於Windows XP或其它不被支援的作業系統的自動櫃員機（ATM）都要在明年6月以前升級。

RBI表示，銀行ATM若採用不被支援的作業系統或未執行各種安全措施，可能會影響銀行客戶的利益與形象。

根據RBI的規定，境內銀行的ATM得在今年8月以前採用各種安全措施，包括啟用BIOS密碼、關閉USB傳輸埠，關閉自動執行設備，以及更新作業系統、終端安全解決方案與存取管理系統等。

在作業系統的更新上則要求在今年9月以前要升級至少25%的作業系統，年底前升級比例要達50%，明年3月前達75%，6月要全部升級到仍有技術支援的作業系統。

儘管微軟已於2014年終止對Windows XP的支援，但根據Bleeping Computer的報導，不只是印度，目前全球大多數的自動櫃員機仍然執行XP。

新聞

前些時日GitHub被微軟併購，GitLab順勢推出許多優惠方案，吸引了不少用戶。而現在釋出GitLab 11.0，新增了許多新功能，要來服務廣大的用戶，重點更新除了這次主打Auto DevOps正式可用外，還強化了安全性以及網頁IDE的功能，並持續強化對Kubernetes的整合。

GitLab把這次的更新重點放在簡化內建的持續交付流程，提供自動化的服務。這個稱為Auto DevOps的功能，在10.0測試版的時候開始提供，而在11.0已經正式可用，這是一個原本就建置在系統內服務，提供完整的持續整合與持續交付（CI/CD）功能，其涵蓋了整個端到端的程式碼生命週期，讓開發者只需要進行提交程式碼的動作，接下來的工作便由系統接手，包括建置、測試、程式碼品質掃描、安全性掃描、授權掃描、封裝、效能測試、部署，一直到了應用程式上線後，Auto DevOps也會監控執行狀態。

在GitLab 10.7就釋出的網頁版IDE，在11.0版本，主要新增了兩項功能，讓開發者可以直接在網頁處理更多工作。現在使用者可以直接在網頁IDE查看CI/CD工作管線，在介面的左下方有一個狀態欄顯示CI狀態，而且在右邊也能查看每項工作的狀態以及日誌，方便修復合併請求等CI錯誤。不同以往的是，過去想要修復錯誤，需要開啟多個標籤頁，並且互相切換，現在所有資訊都可以直接在網頁IDE開啟，未來還能在提交前進行預覽和測試。網頁版IDE的第二個重點更新，使用者現在能很方便的處理多個合併請求，只需要一次點擊就可以對管理的合併請求進行切換。

此外，GitLab 11.0新功能之一的授權管理（License Management），或是稱為軟體組合分析。由於應用程式通常包含多個函式庫和框架等外部組件，每個組件都擁有各自的授權與限制，開發者要確保這些外部組件與應用程式授權相容，以避免不需要的法律問題。而GitLab現在把授權管理整合進工作流程的一部分，系統會自動收集軟體中組件的相依關係，在新的改變進入主要分支前，會在合併請求的小工具中顯示新的授權供使用者確認。而使用Auto DevOps功能的使用者，系統會自動為專案啟用授權管理，不過這個新功能只提供給Ultimate與Gold級用戶使用。

在四月時，GitLab就與Google雲端整合，可自動部署應用程式到Kubernetes，現在更全面強化了整合功能，GitLab 11.0提供了幾項新功能，使用者可以用來管理與監控Kubernetes狀態外，需要除錯與檢查pod的時候，也能直接從GitLab部署儀表板中，瀏覽Kubernetes pod的日誌檔。過去當Auto DevOps用於私人或是內部專案的時候，部署作業完成後，Kubernetes便無法存取註冊表（Registry），現在已經能夠創建一個部署權杖，供註冊表後續存取，並且減少錯誤發生的可能性。

在提升使用者應用程式安全性上，GitLab透過整合靜態與動態應用程式安全性測試、相依性與容器掃描，讓使用者可以盡早發現軟體錯誤與漏洞。GitLab在10.7時提供了Go、C與C++靜態分析安全性測試（Static Analysis Security Testing，SAST），現在測試支援的語言擴增Scala與.Net。

新聞

上個月才傳出MacBook用戶集體控告蘋果，指稱蘋果MacBook與MacBook Pro筆電所採用的蝶式鍵盤（Butterfly Keyboard）含有設計瑕疵，上周蘋果即公布了MacBook與MacBook Pro鍵盤的免費維修方案。

蘋果表示，該公司已確定特定的MacBook與MacBook Pro機型的少數鍵盤可能會出現字母或字元重複出現、未出現，或是按鍵卡住的狀況，蘋果與蘋果授權維修中心將免費維修符合資格的MacBook與MacBook Pro鍵盤，維修內容將視嚴重程度而定，可能只是更換一個或數個按鍵，或是更換整個鍵盤。

符合鍵盤免費維修資格的機種包括在2015年~2017年所出廠的Retina版12吋MacBook，以及2016與2017年所出廠的13吋MacBook Pro，還有2016年與2017年的15吋MacBook Pro。

蘋果是在2015年將MacBook筆電的鍵盤從傳統的剪刀式鍵盤改為蝶式鍵盤，目的是為了減少鍵盤厚度，然而MacBook用戶卻發現，只要有一點點灰塵或碎片跑進鍵盤周圍或下方，鍵盤就會失去作用，蘋果使用者除了提出訴訟外，還有一名MacBook Pro用戶發動連署，要求蘋果全面召回MacBook Pro以更換鍵盤，迄今連署人數已超過3萬人。

新聞

近日結束的Hortonworks的Dataworks用戶大會，在高峰會中該公司發布了一些重要產品更新，像是自家資料平臺Hortonworks Data Platform（HDP）3.0版正式推出，除了鎖定容器化、支援深度學習工作負載外，也支援重要三大公有雲AWS、Azure及GCP。而該產品可以達成跨雲架構的背後重要工具，就是該公司的Hortonworks Cloudbreak。

此工具是該公司併購Hadoop快速部署工具供應商SequenceIQ的結晶，透過Docker容器技術，讓企業可以公有雲、私有雲或任意支援Docker的IT環境，自動化部署Hadoop叢集。而Cloudbreak在最近正式釋出2.7版了，同樣依循HDP的跨雲策略，讓使用者使用單一工具，就能統一設定三大公有雲的雲端儲存服務設定。現在可以支援的公有雲儲存服務，包含AWS S3、Azure Data Lake Store（ADLS）、Windows Azure Storage Blob (WASB) ，還有Google Cloud Storage（GCS）。在設定介面中，開發者利用既有Instance profile，就能從儲存實例存取雲端儲存服務。

為了加強資料平臺的安全性，Cloudbreak也結合Apache Knox專案，「將叢集打包在安全Gateway內」，Hortonworks表示，只有被使用者存取的叢集服務，才會與網路連線，藉此減少平臺與外部網路的接觸面。而這次Cloudbreak發布的新功能Dynamic Blueprints，讓使用者的資料叢集能整合外部資料庫或是LDAP。Hortonworks表示，只需單次操作，企業就可以設定外部儲存認證及資料庫。而這些設定，未來可以被匯出變成新設定模版，「減少使用一次性模版，讓組態設定可以重複使用。」

除了正式功能外，這次Hortonworks也推出一個技術預覽版功能，稱為共用資料池服務（Data Lake Shared Services）。Hortonworks表示，利用這個功能，開發者可以定義Schema、資安管理政策、審核機制，將這些設定打包成一組共用服務，並且套用至各雲端環境的工作負載。

Cloudbreak 2.7版現在可以支援的公有雲儲存服務，包含AWS S3、Azure Data Lake Store（ADLS）、Windows Azure Storage Blob (WASB) ，還有Google Cloud Storage（GCS）。在設定介面中，開發者利用既有Instance profile，就能從儲存實例存取雲端儲存服務。之後，使用者還要設定新資料的儲存位置。圖片來源：Hortonworks

為了加強資料平臺的安全性，Cloudbreak結合Apache Knox專案，「將叢集打包在安全Gateway內」，Hortonworks表示，只有被使用者存取的叢集服務，才會與網路連線，藉此減少平臺與外部網路的接觸面。Cloudbreak也會動態判讀Cluster blueprint，主動挑選出適合讓使用者存取的系統服務。而此功能，也能支援單一登入（Single Sign On，SSO）認證機制。圖片來源：Hortonworks

這一次Cloudbreak也推出了新功能Dynamic Blueprints，讓使用者的資料叢集能整合外部資料庫或是LDAP。Hortonworks表示，只需一次操作，企業就可以完整設定外部儲存認證及資料庫。而這些設定，未來可以被匯出變成新設定樣板，「減少一次性模版的出現，讓組態設定可以重複使用。」Hortonworks表示。圖片來源：Hortonworks

除了正式功能外，這次Hortonworks也推出一個技術預覽版功能，稱為共用資料池服務（Data Lake Shared Services）。Hortonworks表示，利用這個功能，開發者可以定義Schema、資安管理政策、審核機制，將這些設定打包成一組共用服務，並且套用至各雲端環境的工作負載，「當任務開始執行時，預先設定的Schema、管理政策等，都會自動套用至工作負載。」圖片來源：Hortonworks

新聞

以Ubuntu Linux聞名的作業系統廠商Canonical，近日與Intel宣布合作，讓Intel NUC系列的迷你電腦、主機板都可以執行Ubuntu 16.04長期支援版。Canonical表示，這一次的合作目的，要讓開發者與裝置供應商，更容易開發、部署IoT裝置。由於該設備大小僅占10公分見方，可以應用在家用娛樂、數位看板，或是與監視器組合成家用安全器材。

Canonical表示，經過認證的映像檔可直接部署在NUC平臺執行，讓開發者可以直接利用Ubuntu生態系的資源，例如社群支援或者現成函式庫，讓開發者不用從零開始建立客製化應用。現在該作業系統映像檔，已經開放讓使用者下載安裝。另一方面，Canonical的布局，是讓裝置製造商以Intel NUC系列硬體為標準，搭配Canonical推出Linux通用打包工具Snaps以及軟體市集Snap Store，提供使用者應用程式服務。透過如此整合硬體、軟體服務，Canonical表示，廠商不僅可以提供功能、資安更新，也能作為企業的新收入管道。

目前Intel NUC產品往下細分，總共可以分為三個系列。分別是NUC迷你電腦、NUC套件以及NUC主機板。NUC套件產品線可讓使用者自行配置記憶體、作業系統，而10公分見方大NUC主機板，開發者可以自行安裝至各類應用情境。而此系列內建的處理器，分別有Intel Core、Pentium及Celeron系列等選擇。

新聞

LinkedIn對外發表並部分開源其異常注入測試框架LinkedOut，這個框架可以在不影響會員使用經驗下，透過兩種機制引發分散式系統異常，其中包括錯誤、延遲以及超時3種情況。LinkedIn認為，該框架對內除了可以幫助工程師產出高品質程式碼，對外也能展示其系統的強健性。

LinkedIn網站可靠性資深工程師Logan Rosen提到，他們的工作總是一再的驗證墨菲定律，任何可能發生錯誤的地方都會出錯，對於複雜的分散式堆疊，了解系統可能發生問題的地方，以及知道當用戶遇到這些錯誤時，出現的畫面以及情況是非常重要的工作。在2017年LinkedIn可靠性工程團隊建立了Waterbear專案，透過複製系統故障以及調整框架，以透明簡潔的方式處理錯誤，幫助開發人員維持網站彈性，而請求及失敗注入框架LinkedOut則被開發用來測試錯誤、逾時以及超時3種情況。

對分散式系統注入錯誤有很多種方法，Logan Rosen表示，請求層級（Request Level）是最好的方法，因為使用者透過LinkedIn尋找就業機會，他們不希望在測試時，中斷會員使用服務的過程。而這個受控制的實驗過程需求，正是他們開發LinkedOut的原因，LinkedOut的核心是Rest.li堆疊中的請求篩選器，其中部分已經開源。

LinkedOut現在可以製造出3種類型的服務異常，分別是錯誤、延遲以及逾時。Rest.li框架當請求的資源發生通訊或是資料請求異常時，會引發幾種預設的例外情況，像是能以DisruptException來模擬資源不可用，則該資源便會以RestliResponseException的形式出現，使用者同時也可以設定例外出現的時機。在製造延遲情況方面，使用者可以給予大量延遲請求，篩選器則會依要求延遲往下傳遞請求。想要測試服務逾時的情況，只要為終端在D2 Zookeeper配置裡設定逾時，就能讓篩選器等到超過時間，丟出TimeoutException。

在避免影響會員使用經驗的前提下，LinkedOut現在有兩個主要機制來觸發干擾器（Disruptor），其中一個是使用LiX，而這個本身是LinkedIn上進行A/B測試以及功能限制的框架，LiX可瞄準多個層級引發錯誤，測試範圍可從單一用戶進行個別請求，到下游叢集對一定比例的會員發出範圍請求。這個觸發機制，可以提供工程師設定針對特定流量區段的彈性測試。

第二種觸發機制是最近LinkedIn才加入的，透過調用上下文（Invocation Context，IC）對請求注入失敗，這個IC是LinkedIn專屬的Rest.li框架內部組件，用來傳遞鍵（Key）與值到請求中，並傳播到所有參與處理的服務中。LinkedIn為中斷架構建立新的模式，可以透過IC傳遞來讓該請求立即發生異常。

Logan Rosen表示，在開發功能的過程進行這些測試，能夠確保工程師產出高品質的程式碼，而在產品階段進行這些功能，則能向外部組織提供信心以及系統強健的證據。

新聞

提供容器監控、資安服務的新創公司Sysdig，除了推出資安工具Sysdig Secure 2.0版，加強漏洞及法遵管理外，現在該公司旗下的監控平臺Sysdig Monitor也釋出了夏季大更新，一口氣推出許多新功能，加強支援Kubernetes、Prometheus外，現在微服務平臺Istio也是Sysdig Monitor原生支援的應用程平臺。這一次Sysdig推出的大更新，總共可以分成四大方向，分別依序是整合Kubernetes、支援Promethues、提高易用性，並且讓Metrics有更多加值應用。

首先Sysdig Monitor加強支援Kubernetes，讓該平臺內建Kubernetes警告功能，當Kubernetes節點準備工作尚未完成時，系統會自動驅動警報。該功能預設開啟，而使用者可以根據節點的運作狀況，定義系統發布警示的標準。

再者Sysdig Monitor開始支援Promethues的Histogram metric類型，使用者可以將資料視覺化，觀察數據的分布情性。而根據數據類別，使用者可以選擇適合的呈現方式，例如折線圖、長條圖、橫條圖，而在原生支援Prometheus後，現在Sysdig Monitor的用戶，也可以直接拿來監控微服務平臺Istio了，在儀表板內可以觀察整個微服務平臺的執行狀況。

而易用性方面，Sysdig增加了一個重要新功能「焦點（Spolight）」，使用者可以快速偵測、觀察現在基礎架構中，應用程式、服務的執行狀況，而該功能會按使用者需求，列出相對應項目的健康度等資訊。而新版本的UI、登入介面也都有重新設計，讓使用者可以更快解讀儀表板內的重要資訊。

最後，則是Metrics整合方面功能，首先是Golden Signals儀表板介面，這個內建功能可以用於監控服務、應用程式，即時顯示服務延遲性、錯誤率，或者最被頻繁存取的應用等訊息。此外Sysdig也開放開發者，可以使用JSON、CSV等機器可讀格式將數據匯出，可以在離線環境進行瀏覽、分析，增加系統資料的再利用性。

現在Kubernetes市場是各家軟體服務商兵家必爭之地，而Sysdig Monitor推出的功能，是讓該平臺內建Kubernetes警告功能，當Kubernetes節點準備工作尚未完成時，系統會自動驅動警報。該功能預設開啟，而使用者可以根據節點的運作狀況，定義系統發布警示的標準，例如，規定監控範圍，或者滿足觸發條件多久後發布通知。藉此，系統管理員可以確保，時時都有足夠資源執行Kubernetes應用程式。圖片來源：Sysdig

現在Sysdig Monitor開始支援Promethues的Hisogram metric類型，使用者可以將資料視覺化，觀察數據的分布情性。而根據數據類別，使用者可以選擇適合的呈現方式，例如折線圖、長條圖、橫條圖等，「搭配Sysdig Monitor，可以提供Promethues一個可視度更高的選擇。」Sysdig表示。圖片來源：Sysdig

在原生支援Prometheus後，現在Sysdig Monitor的用戶，也可以直接拿來監控微服務平臺Istio了。使用者可以觀察整個微服務平臺的執行狀況，包含服務回應請求成功的機率等數據。圖片來源：Sysdig

而易用性方面，Sysdig增加了一個重要新功能「焦點（Spolight）」，使用者可以快速偵測、觀察現在基礎架構中，應用程式、服務的執行狀況，而該功能會按使用者需求，列出相對應項目的健康度等資訊。圖片來源：Sysdig

與Metrics整合方面功能，首先是Golden Signals儀表板介面，這個內建功能可以用於監控服務、應用程式，即時顯示服務延遲性、錯誤率，或者最被頻繁存取的應用等訊息。圖片來源：Sysdig

現在Sysdig也開放使用者，可以使用JSON、CSV等機器可讀格式將數據匯出，可以在離線環境進行瀏覽、分析，增加系統資料的再利用性。圖片來源：Sysdig

想要比較系統跟過去的執行狀況是否有進步、退步，現在使用者可以選擇要進行比較的數據、與過去哪段時間的數據比較，還有兩者數據的呈現，使用折線圖、橫條圖還是直方圖。圖片來源：Sysdig

新聞

版本控制系統Git 2.18現在已經正式發布，在使用介面、工作流程、效能以及內部實作皆有多項更新，但對用戶最有感應該就屬Google在5月公布的Git協定第二版，現在已經正式可用。

Git協定第二版主要更新的是線路協定（Wire protocol），這是點到點用來獲取資料的方法，主要規範客戶端到伺服器端資料複製與上傳等動作，而Google表示，Git協定中的線路協定存在不少效能不佳的元件，簡化HTTP客戶端傳輸處理，並增加其可擴充性。先前的版本，伺服器端會回應所有客戶端的Fetch指令，羅列程式碼儲存庫所有參照，儘管客戶端只需要少部分的資訊。Git協定第二版最佳化了這個動作，No-op Fetch操作可讓即使存在有50萬個參照的程式碼儲存庫，效能照樣增進3倍。

在Git官方更新說明文件提到，從一個存在極大量參照的程式碼儲存庫中使用Git fetch指令，到另一個更新到最新版本的程式碼儲存庫仍然花費太多週期，造因於使用許多lstat(2)呼叫以檢查這些提示中的物件是否存在本機的鬆散物件，即便這些lstat(2)呼叫已經事先藉由列舉所有鬆散物件來最佳化。官方表示，現在使用了新策略，從存在少數參照的程式碼儲存庫中獲取許多鬆散物件到另一個儲存庫中，但不太確定新方法是否會對存在的使用案例造成負面影響。

另外，重新命名偵測邏輯也得到改善，系統已經會猜測將x資料夾下的x/a、x/b和x/c檔案，一次移至z/a、z/b和z/c的動作，使用者也可以透過提示目錄由x移動到z，在過程中把新增的x/d也移動到z/d。而這項更新同時也修正了之前在合併的時候，由於重新命名造成檔案被覆寫的臭蟲，並且避免在合併後更新工作目錄裡與最初匹配相符的檔案。

新聞

如果你的電腦跑的還是Pentium III處理器，那你已無法安裝Windows 7的每月安全更新了。或許基於安全因素，對於不支援SIMD Extension 2 (SSE2)的舊款PC CPU，Windows 7已經悄悄不再支援。

這項消息是由ComputerWorld首先報導。微軟三月間釋出代號為KB4088875的安全更新，提出數項警告中，其中包含更新版安裝不支援SIMD (Streaming Single Instructions Multiple Data) Extension 2 (SSE2)技術的電腦，會出現「暫停」的錯誤訊息。微軟要求使用者升級電腦，使CPU支援SSE2，否則就得虛擬執行這些電腦。

安裝這些更新版會導致網路驅動程式被移除而無法連網。當時微軟曾對媒體指出正在研究解決，會再下一次釋出版本中提供更新版軟體。隨後在四月、五月的更新公告中，仍然出現相同的訊息。直到上周有使用者反映微軟對於同樣的問題還是擺出官方回答，表示「正在研究解決方案，會在下次釋出後提供更新。」

不過在6月12日釋出的KB4284826版更新公告中，這個議題忽然消失，也不在微軟列出的修復清單中。

ComputerWorld指出搞了半天，微軟最後食言而肥，並沒有修復這個問題。這意謂著原本微軟保證要支援到2020年1月14日的Windows 7 PC，現在就無法獲得更新。

不過ZDNet指出，早在6年前SSE2就被微軟列為跑動其Windows的必要CPU功能，在2018年的今天，如果電腦不支援SSE2，比較應該送進古董博物館中。

根據微軟作業系統政策網頁也說明，老舊產品可能無法滿足現今的安全需求，微軟可能無法對舊產品提供安全更新。

新聞

蘋果本月中更新了官網上的支援文件，並公開譴責破解iOS的越獄行為（jailbreaking），指稱它將帶來安全漏洞、讓裝置變得不穩定、縮短電池壽命，還可能破壞既有的蘋果服務。

越獄通常是利用軟體工具入侵iOS，突破蘋果對iOS的保護，取得iOS的最高權限，之後使用者就能安裝App Store之外的程式、變更介面，或是解開電信營運商對手機網路的限制。

蘋果指出，擅自竄改iOS必須繞過許多安全功能，也會對採用iOS的iPhone、iPad或iPod touch的裝置造成問題，例如在移除iOS的安全機制後，駭客即更容易竊取裝置上的個人資訊或展開攻擊，並讓裝置變得更不穩定，破解軟體亦可能縮短裝置的電池壽命。

此外，遭到破解的iOS裝置可能會出現變慢、網路不穩或掉話的情況，或是破壞蘋果的iCloud、iMessage、FaceTime、Apple Pay等服務。有些破解軟體還會讓iOS無法復原，導致裝置無法再接受未來的iOS更新。

因此，蘋果強烈建議用戶不要安裝任何可破解iOS的軟體，還警告擅自變更iOS違反了蘋果的軟體授權協議，也許會讓蘋果拒絕服務這些遭到破解的裝置。

儘管蘋果的措辭強烈，但有不少科技愛好者認為這只是蘋果嚇唬一般使用者的手段，儘管越獄裝置有機會出現上述問題，但多數越獄軟體都可回復原本的iOS，而且美國在2015年編修的千禧年著作權法案（Digital Millennium Copyright Act，DMCA）中，已將使用者破解3C裝置視為合理使用。

迄今仍有許多開發團隊積極打造iOS的越獄工具，近日就傳出蘋果還在測試中的iOS 12已被破解。

新聞

微軟上周宣布，Azure AD管理帳號的基準安全政策已進入公開預覽階段，未來該政策將成為所有Azure AD租戶的預設值，強制要求Azure AD的特權（privileged）帳號採用多因素身分驗證（Multi-Factor Authentication，MFA），以強化相關帳號的保護。

Azure AD的全名為Azure Active Directory，是Microsoft Azure平台上的身分驗證與存取管理服務，該平台的產品經理Alex Simons表示，去年的身分攻擊行動激增了300%，促使微軟著手展開基準保護，首個基準政策即率先保護萬一被入侵即可能造成重大傷害的Azure AD特權帳號。

微軟指出，特權帳號能夠無限制地存取Azure用戶的環境，因此需要小心對待，最常見的方法便是在登入時要求更堅固的帳號驗證。

被微軟歸類為特權帳號的包括全球管理員（Global administrator）、SharePoint管理員（SharePoint administrator）、Exchange管理員（Exchange administrator）、條件式存取管理員（Conditional access administrator）與安全管理員（Security administrator）。

在此一公開預覽階段，Azure AD用戶可自行選擇是否啟用基準政策，等到正式上線時，它就會成為預設值，但微軟仍允許用戶隨時退出該配置。

新聞

近年ICO（首次代幣發行）蔚為風潮，但專門提供ICO安全稽核的業者Positive.com指出，去年推出的加密貨幣ICO專案中，從智慧合約、加密貨幣錢包和行動、Web app、基礎架構，平均存在5項安全瑕疵，而高達71%的智慧合約有漏洞。

Positive.com指出，該公司分析的ICO專案，經由智慧合約、加密貨幣錢包和Web app出現的安全漏洞，至少導致這些專案一年損失1.5億美金的資金，大約等於9.5%的以太幣（Ethereum）被人偷光。

Bleeping Computer引述這家安全業者的研究結果，表示在所有測試的專案中，71%的智慧合約有漏洞，這會造成駭客可以讀取、甚至修改原本不容許變更的合約內容。業者指出，問題可能包括專案的開發不遵守加密貨幣交易介面相關ERC20標準、隨機數生成不正確等因，而究其原因出在他們缺乏程式開發專業及原始碼測試不良。

研究還顯示，去年ICO專案的行動app都有安全漏洞。被發現的手機app漏洞包括資料傳輸不安全、用戶資料儲存在手機中有備份，以及連線（session）ID曝光可能遭駭客濫用等。

研究人員指出，行動版app問題較小，因為不是每個ICO都有發佈行動app，但是他們也在ICO的Web app中發現漏洞，而且不乏一般Web app都可見的重大漏洞，包括程式碼注入、儲存敏感資訊的Web伺服器曝險、資料傳輸方式不安全，以及重要檔案可被任意讀取等。他們稽核結果發現，1/3的ICO安全漏洞與Web app有關。

這家安全廠商還發現，ICO除了軟體問題外，組織者本身安全意識也有待加強。像是他們許多沒有註冊社交網站帳號，或是ICO網域註冊太少，使其用戶遭到網釣詐騙。而他們自己對敏感帳號也未啟用雙因素驗證，讓自己中社交工程及網釣攻擊圈套，而導致官網被綁架或ICO數位錢包遭駭客控制。

從基礎架構、智慧合約到app，所有研究的專案平均有5個漏洞，而1/4的漏洞會害到投資者，1/3讓組織者自己遭殃。其中，所有稽核到的銀行業ICO之中僅一個沒有發現重大瑕疵。

Positive.com並未說明其研究的ICO專案樣本總數。

這項研究也呼應了去年以來ICO的安全風險。光是去年年中，就已經有Veritaseum、CoinDash及Enigma Project專案接連被駭而蒙受慘重損失。

新聞

匿名的職場程式Blind在今年5月針對逾1.1萬名的科技業員工展開調查，發現有57.16%的科技業從業人員說他們自己有職業倦怠（burntout）。

Blind是個通訊程式，將使用者依照產業別與公司分類，並讓用戶以匿名的方式互動，讓用戶之間根據興趣或主題產生連結，而非階級或頭銜，以創造一個可以公平發聲的環境。接受調查的這1.1萬名員工來自30家科技公司，包括微軟、蘋果、思科、Yahoo、VMware、PayPal、eBay、Amazon、Google及Facebook等。

在接受調查的30家科技公司中，有25家的員工職業倦怠比例超過50%，16家超過平均的57.16%，而職業倦怠最嚴重的是Credit Karma的70.73%，最低的則是Netflix的38.89%。

Credit Karma是家跨國的個人金融服務公司，提供免費的信用與金融管理平台，主要的營收來自於廣告。除了Credit Karma之外，入榜前五大員工職業倦怠比例最高的科技公司還有遊戲轉播平台Twitch（68.75%）、Nvidia（65.38%）、Expedia（65%）與Oath（63.93%）。

至於Amazon則是59.53%，微軟為57.61%，蘋果是57.46%，Google為53.83%。

而員工職業倦怠比例最低的前五名則是Netflix的38.89%、PayPal的41.82%、Twitter的43.9%、Facebook的48.97%與Uber的49.52%。

Blind指出，上述調查結果真實地反應了Blind用戶在該平台上的討論，Netflix因為薪資高、工作與生活能夠維持平衡，再加上同事之間的相互支持，讓它成為最理想的工作環境，也能降低員工的職業倦怠感，反之，Credit Karma則經常被指責是個具備歧視、騷擾與職場政治的工作環境。

職業倦怠不但會影響員工的身心健康，也是員工離職的主因之一，例如有46%的人資主管說有20%~50%的員工是因為職業倦怠而走人。

新聞

Mozilla於本周一（6/25）揭露了新的Firefox Monitor安全服務，與Have I Been Pwned（HIBP）合作，在Firefox Monitor上供用戶檢查自己的帳號是否被駭，亦考慮要推出被駭通知服務。

Mozilla產品經理Peter Dolanjski指出，每個網路使用者平均有數百個需要密碼的網路服務帳號，但資料外洩意外的數量也年年升高，使得現在的人們更擔心個資遭竊的犯罪事件，促使他們打造了Firefox Monitor。

Firefox Monitor目前以網站形式提供，並供所有網路用戶使用，造訪該站並輸入電子郵件帳號之後，就能檢查自己的郵件帳號是否在資料外洩的名單中，也會顯示該帳號是來自哪個服務，以及所外洩的資料內容。

Dolanjski說，Firefox Monitor計畫提供額外的功能予Firefox用戶，也正在考慮是否在察覺使用者資料外洩時主動送出通知。

Firefox Monitor的合作對象包括HIBP服務與Cloudflare，建立了匿名的資料分享途徑，亦強調不會將使用者的電子郵件帳號與第三方分享。

Mozilla預計於下周邀請25萬名Firefox用戶協助測試Firefox Monitor，也建議使用者下載最新的Firefox Quantum桌面版，以在Firefox Monitor上線時就能使用。

新聞

The Verge於本周報導，微軟正在測試的新版Microsoft Edge行動瀏覽器中整合了Adblock Plus廣告封鎖工具，且Adblock Plus將同時出現在Android與iOS版的Microsoft Edge中。

Adblock Plus是個開源的瀏覽器擴充程式，可封鎖擾人的廣告與散布惡意程式的網站，還能阻絕網頁的追蹤，而微軟則是直接將Adblock Plus嵌進行動版的Microsoft Edge中。

根據報導，Microsoft Edge用戶可直接於設定中啟用Adblock Plus，不必再額外下載或安裝。

不管是Google或Mozilla針對Android平台所開發的Chrome與Firefox瀏覽器也都內建了廣告封鎖功能，只是功能皆有限，前者無法封鎖多數網站的廣告，後者則只有在隱私瀏覽模式時才能發揮效用。

不過，Microsoft Edge在行動平台上的市佔率極低，根據NetApplications的調查，Chrome現為行動裝置上最受歡迎的瀏覽器，市佔率高達62.65%，居次的是Safari的27.29%，Firefox佔了0.77%，而Edge則僅佔0.14%。

新聞

Google本周更新了Google Earth，讓使用者可測量地球上任兩地的距離，或是計算某個區域的面積，新版將率先部署於Chrome及Android平台上，很快也會更新iOS平台的Google Earth。

Google Earth為一虛擬地球儀，它在一個3D的地球模型上嵌入衛星照片、航拍照片與地理資訊系統，除了能夠一窺地球的景象之外，還能觀察星空、火星、月球、海底世界，以及歷史衛星圖片，另有一模擬飛行器，讓使用者享受在地球上空的飛行體驗。

Google Earth產品經理Gopal Shah表示，距離與面積的測量（Measure）為Google Earth用戶最想要的功能之一，也讓Google決定添增此一功能。

使用者只要進入Google Earth的測量功能，點選欲測量的兩個位置，它就會直接秀出兩點間的距離，或者是框住某個區域，它就能計算出該區域的周長與面積（下圖，來源：Google），例如想知道台北到東京的距離，或是俄羅斯足球場的周長與面積，教師也可利用Google Earth出題，讓學生比較兩個城市的大小。

Google提醒，Google Earth的測量結果未必完全準確，特別是在該區域含有3D地形或建築物時，而且在測量時並不會考量海拔高度的變化。

新聞

無障礙設計是可以讓更多人存取網站的實際作為，從Firefox 61開始內建無障礙網頁檢測工具（Accessibility Inspector），幫助開發者製作出視覺障礙人士友善的網頁，這項功能在開發工具DevTools中是預設關閉的，開發者需要手動啟用，啟用後在DevTools的上下文選單也將會出現更多選項等其他額外功能。

無障礙目的在於盡可能避免因為使用者因為生理上的障礙，或是裝置、網路速度以及地理位置等外在情況，而被排除在存取網站之外。無障礙網頁檢測工具最主要的功能，便是協助開發向視障人士公開網頁資訊的功能。網頁瀏覽器的無障礙API可以揭示頁面上各種元素的功能資訊，像是文字、按鈕、連結或是表格等元素。而語意DOM元素的角色（Role）則預設暗示了這些元素的功能，但例如<div>等非語意標籤並沒有預設角色，則需要進行額外設定。

瀏覽器無障礙API會將這些角色與資訊以階層式的架構表現，這個結構被稱為無障礙樹（Accessibility Tree），形式跟DOM樹很像，只是有許多元素的限制以及紀錄不同的資訊，螢幕閱讀器輔助技術需要使用這項資訊，來告訴用戶頁面上的內容，並且使他們能與頁面互動。而Firefox的無障礙網頁檢測工具也同樣使用這個資訊，在DevTools上提供無障礙除錯的功能。

DevTools上的無障礙面板介面很簡單，主要分為兩部分，一半會以樹狀圖顯示現在網頁上的無障礙樹，開發者可以透過點擊箭頭來展開所有的子項目，以檢視這些元素是否存在正確的值。每個項目都有兩個屬性，分別是角色與名稱，角色通常指的是頁面上的元素的功能，諸如按鈕或是頁腳等，可以是瀏覽器預設也可以是使用者自訂的。而名稱則是該元素在頁面上的名字。面板的另一部分則是當前所選項目的更多詳細資訊，除了角色與名稱外，還會顯示值、DOMNode、描述或是屬性等。

Mozilla提到，從Firefox 61開始預設內建無障礙網頁檢測工具，但由於對於瀏覽器效能有負面影響，因此功能預設關閉，開發者需要自行到DevTools中啟用。而在啟用無障礙網頁檢測工具之後，Firefox中的上下文選單的選項會增加，開發者可以直接在網頁上點選右鍵檢視無障礙屬性，而且在無障礙頁籤中，當滑鼠游標停在無障礙物件上，將會在頁面上對應的物件上高亮度提示。

不當配置的Firebase資料庫讓逾3,000行動程式的用戶資料外洩

P圖真假難分!? Adobe開發AI辨識技術

Ubuntu桌面版首個遙測報告出爐，用戶平均安裝時間為18分鐘

印度要求境內ATM要在明年中以前淘汰Windows XP

GitLab 11.0來了！主打高度自動化DevOps、強化網頁IDE功能

蘋果將免費維修MacBook與MacBook Pro的蝶式鍵盤

Hortonworks Cloudbreak 2.7版正式推出，通吃三大公雲儲存服務設定

Ubuntu開始支援Intel NUC迷你電腦

LinkedIn公開混亂工程經驗，並開源部分異常注入框架LinkedOut

Sysdig Monitor夏季大更新，加強支援Kubernetes、Prometheus

Git 2.18正式釋出，Git協定第二版可用了!

微軟悄悄移除Windows 7對老舊CPU的支援

蘋果：iOS越獄不僅帶來安全風險、縮短電池壽命，還可能無法使用蘋果服務

多因素身分驗證將成為微軟Azure AD特權帳號的預設值

報告：ICO專案平均有5項漏洞，約7成智慧合約有安全風險

調查：近6成科技業員工說自己職業倦怠，Credit Karma最高，Netflix最低

Mozilla測試Firefox Monitor服務，讓用戶檢查個人帳號是否被駭

傳微軟在Edge行動瀏覽器整合廣告封鎖工具Adblock Plus

台北到北極有多遠？新版Google Earth告訴你

Mozilla在Firefox內建無障礙網頁檢測工具