Quantcast
Viewing all 32552 articles
Browse latest View live

Google公布2019年資安趨勢,無密碼登入將成主流、駭客瞄準原生雲端架構

Google在2019年的開端,公布了幾項需要注意的資安趨勢,除了攻擊者將對較弱的的兩步驟驗證進行攻擊外,零信任架構與自我管理的雲端加密金鑰服務將會逐漸受歡迎,另外,Google也提醒,接下來駭客的攻擊能量會瞄準容器等原生雲端環境,針對架構漏洞進行更複雜的攻擊。

不少應用程式已經部署兩步驟驗證保護使用者帳戶,但是並非所有的兩步驟驗證的保護力都足夠強健,Google表示,現在攻擊者正在尋找能夠繞過較弱兩步驟驗證的方法,像是透過網路釣魚攻擊或是接管電話號碼以攔截SMS一次性驗證碼等,而這些攻擊瞄準的對象通常是高價值用戶,諸如高階主管、政治人物或是雲端管理員。

因此接下來,Google預測,更多的服務應該會陸續採用更能對抗釣魚攻擊的兩步驟驗證,並採用FIDO標準,透過安全金鑰進行身份驗證,讓使用者獲得更強大防範網路釣魚攻擊和帳戶接管的保護。Google進一步預測,在2019年,無密碼登入將會成為主流。由於作業系統與瀏覽器平臺對W3C和FIDO API的支援,網站也將開始提供重新登入的功能,使用者只需要使用指紋等生物識別就能執行登入動作。儘管無密碼首次登入需要比較多的手續,但是在之後,便能獲得簡單且高度安全的登入體驗。

另外,2019年零信任架構將會從創意階段進人實際應用階段。隨著不少企業逐漸將系統移往雲端,為了滿足員工隨時隨地存取業務資源的需求,零信任架構成了熱門的話題,Google自己的BeyondCorp模型就是這個概念的原始企業實作,Google預計,會有越來越多供應商,在2019年將提供套裝商業解決方案。

接下來,攻擊者會將攻擊能量轉向容器等原生雲端環境,進行更複雜的攻擊,Google提到,他們已經看到了針對容器部署的公開攻擊,雖然目前的攻擊都比較低階,僅是利用虛擬機器的公開程式碼洩漏錯誤配置、憑證或是機密資訊,但隨著容器採用率上升,Google認為,將會看到針對容器架構和容器漏洞的更高級攻擊。

自我管理的加密金鑰除了可以提供對資料存取的控制,也提供額外的審計透明度、滿足政策和法規的要求或是控制供應商存取能力,不過由於管理金鑰不易,可能導致資料丟失的問題,Google認為,自我管理的雲端加密金耀服務將逐漸受歡迎。

而在2018年實施的歐盟最嚴格個資法GDPR,要求組織企業應主動報告資料洩漏事件,光在英國,與2017年相比,2018年上半年自主報告的資料洩露率增加了30%。Google預測,第一筆GDPR的罰款應該會落在2019年。而開源軟體蓬勃發展的現在,從開放原始碼儲存庫下手植入漏洞,成為了一種有效的攻擊方法,Google也提醒,使用者應該對開源軟體進行更嚴格的測試。


Nextcloud創辦人Frank Karlitschek大膽預測:開源、聯合與自我託管技術將成2019年主流

自我託管(Self-hosted)的開源檔案分享與通訊平臺Nextcloud,其創辦人Frank Karlitschek在個人部落格說明Nextcloud的發展方向,並且大膽預測聯合(Federated)與分散式網際網路服務,將會在2019年突破成為主流,隱私、開源和分散式雲端軟體將會蓬勃發展。

Frank Karlitschek認為,集中式服務的主流觀點在2018年開始發生變化,而在2019年這種變化仍會持續,越來越多的人認知到集中式服務控制著私人生活、民主程序甚至是整體社會。從臉書資料外洩的事件,到Google Plus服務因存在資料外洩漏洞而關閉,甚至外國政府利用社交平臺干預選舉等,這類的事件一再發生。

歐盟個資法GDPR在2018年正式上路,規範個人資料被收集的方式,Frank Karlitschek表示,這是一個良好的開端,亞洲和美洲不少國家也都朝向類似GDPR的要求前進,美國加州甚至發布了加州消費者隱私法案跟上GDPR,他認為,這代表人們逐漸意識到,集中收集資料是一個問題,而這正是開源與分散式軟體的機會。

Nextcloud一直在個人資料保護上耕耘,持續強化系統的安全與隱私性,2018年開始提供端對端加密,支援完全加密的檔案同步與共享,而Nextcloud推出的自我託管、開源且分散的聊天和語音軟體Nextcloud Talk,現在也開始支援整合ActivityPub、Mastodon和Fediverse。為了方便使用者註冊使用,Nextcloud也推出簡易註冊服務,新用戶可以直接使用行動或是桌面應用程式,向Nextcloud任一供應商進行註冊,並且其獨特的影像驗證功能,進一步強化了文件共享的安全性。

在去年夏天,Nextcloud宣布在數百萬臺NEC路由器上預裝Nextcloud的計畫,Frank Karlitschek預告,將會在2019年正式推出。而去年開始的開源多元支助方案Nextcloud Include,透過業師、旅遊支助與實習,Nextcloud也會持續挹注資源,以培育出更多元的開源專案。Frank Karlitschek表示,Nextcloud在2018推出了許多整合專案,包括Rocket.Chat、Moodle、StorJ和Mastodon等,原因是Nextcloud不想獨自發展所有領域,在2019年Nextcloud會持續遵循該理念前進。

Frank Karlitschek大膽預測,2019年將會是開源、聯合(Federated)與自我託管技術成為主流的一年,取代專有大型的集中式資料孤島服務,社會對於資料收集的態度,將會是推動此發展的關鍵動力。

在2018年,Nextcloud受到了去Google化,強調用戶隱私優先的行動作業系統/e/採用,官方以Nextcloud建置電子郵件以及其他雲端服務。另外,德國政府也宣布採用Nextcloud私有雲平臺,作為聯邦政府檔案同步與線上協作解決方案。

2019企業IT必看關鍵新趨勢

Image may be NSFW.
Clik here to view.

一波又一波企業紛紛投入數位轉型,不只臺灣,全球皆如此。IT不只是企業推動變革的武器,未來,更將成為塑造企業品牌的關鍵,甚至可以說,IT就是企業的品牌。企業想要順利轉型,得償還舊有的IT債,擁抱現代化技術,AI和Cloud無疑是核心,如何掌握2019年IT發展方向,CIO一定要知道這些趨勢

智慧教室軟硬體都一手包,銘傳靠開發力實現智慧校園

2018年3月的劍潭山上,應當是漆黑一片的三更半夜,山頭某處卻還有幾盞燈亮著。一群人還在埋頭作業,有些興致高昂地討論,有些靜靜編寫程式,直到凌晨3點多才熄燈離去。因為,再過幾天,全臺首個智慧教室就要亮相了。這群努力趕工的團隊,就是銘傳大學資訊網路處的同仁,也是設計、打造這間智慧教室的幕後功臣。

走一趟銘傳智慧教室

銘傳大學臺北校區的H204教室,就是這間智慧教室的所在地,於2018年3月24日正式亮相,與師生相見。

教室外,銘傳大學資訊網路處處長蘇瑞元對著一塊小型資訊面板問道:「教務處在哪?」

「臺北校區:教務處位於行政大樓(A棟)。桃園校區:教務處位於應兆紀念圖書館(Q樓),自名園門口進入。」AI客服機器人邦妮,以文字如此回答。

邦妮是銘傳大學自行打造的AI文字客服機器人,快2歲的她,不只活躍於智慧教室門口的資訊面板,也常見於學校網頁首頁,讓師生不只能打字提問,還可以直接語音問話。

除了AI客服機器人,資訊面板還顯示了教室內各種環境感測器的數據,比如室內溫濕度、二氧化碳濃度、空氣品質,甚至還加入智慧化調控功能,比如教室內二氧化碳濃度一旦超過1,000ppm,教室排風扇就會自動開啟,以改善空氣品質。另外,要是有突發狀況,師生也能透過資訊面板螢幕,直接與校門口警衛室聯絡,平時也能用於設備報修,或是查看更新的課表資訊。

踏入教室後,電燈自動亮起,印入眼簾的是投影布幕、E化講桌、天花板上的攝影收音設備,以及教室側面2臺嵌牆式的65吋觸控電視。這2臺電視,除了能呈現老師上課內容,也能讓學生討論更便利。只要開啟手機無線藍牙,就能透過Miracast或Airplay投放簡報內容或其他資訊畫面,進行分組討論。

而天花板的攝影機與收音設備,則支援教學即時錄影,能直接上傳上課內容至教學平臺Moodle。除此之外,這個設計也支援直播,進行遠距教學或其他活動。像是2018年6月時,銘傳國際學院新聞與大眾傳播學程,就在這間教室舉辦畢業論文口試直播,海外家長可即時觀看,孩子在銘傳4年下來的學習成果。

不只如此,這間教室連管理也很智慧,「甚至還能與選修班級課表資訊結合,依不同上課時段來自動開關教室電源。」蘇瑞元解釋,因為該教室結合了校務系統,能根據教室是否借用,來自動控制教室電源,另外教師也可透過銘傳大學App,來控制教室電源,達到節能減碳。此外,人員進出皆有門禁管制,平時學生可憑學生證靠卡進入教室,而非上課期間,教職員也能刷職員證,來解除門禁使用教室。

撐起智慧教室的IT力

這間智慧教室設置E化講桌,讓老師可根據教學情境需求,來調整教室設置,比如需要投影教學時,教室投影布幕將自動下降,也會關閉特定幾排燈,將環境調整為老師教學所需。甚至還整合教學平臺Moodle、雲端桌面、自行建置的雲端教室和校務行政系統。

不像其他智慧教室,銘傳智慧教室軟硬體幾乎由資訊部門一手包辦,不只自行開發軟體系統,也參與軟、硬體的規畫與設計。6個月前,銘傳大學校長李銓提出了智慧校園這個概念,但具體細節,還得由資訊網路處同仁發想、規畫,「可說是當時最大的挑戰,」蘇瑞元回憶道。

在專案發想過程中,不只應用程式開發人員參與,還找來了上課老師、設計師、教室硬體工程師和設備廠商等,一起腦力激盪,討論智慧教室該如何呈現。「每次開會,至少都1個小時以上,」蘇瑞元強調,當時還不只在會議室中討論,大家還到教室現場模擬,規畫出多種版本。

就這樣歷經近30次會議討論,後來放棄超出預算的完美版本,改用符合預算但功能盡可能完善的方案,接著展開系統開發和施工,花了將近4個月的時間,打造出全臺首間智慧教室。至於智慧教室核心系統,蘇瑞元驕傲地說,當時資訊網路處只用了1個月時間,就開發完所有程式了。

不過,智慧教室還有很多優化空間,而串接軟、硬體就是其中之一。例如,蘇瑞元計畫透過分析各感測器資料,整合溫度、天氣、體感指數與電力耗用數據,來自動調整教室的溫度,達到最佳化。不只如此,他也計畫透過AI偵測和分析人員活動狀況,來彈性延長電力開啟的時間,而不像現在,智慧教室只能按固定時間啟用電源。

蘇瑞元也希望,未來透過收集智慧教室各設備的使用數據,搭配調補課、教室借用系統、大數據分析和AI,以一個後臺面板來監控,盡可能達到教室自動控管。

不只是智慧教室,銘傳許多資訊系統也都是由IT人員自行開發,如這套校務行政系統,涵蓋了258個主要系統,銘傳自行開發的程式將近4萬支,他也舉其中的決策管理系統MIS來說明,全都是自行開發完成。

該服務自2015年前推出上線後,至今已能整合校務5大面向的數據,包括人力管控、空間管控、招生管控、畢業管控和校務管控,甚至還開發出40項的分析功能。

舉例來說,在人力管控部分,有人力現況分析,分別根據年度和單位,來比較校務人力變化;此外,還有退休人力分析、教師彈性薪資分析等。在空間管控裡,除了有校園空間使用率分析、設備成本和報修次數與原因分析外,還有空間使用建議,讓教室借用或辦活動流程更順暢。

而對學校來說非常關鍵的招生,在銘傳MIS系統裡也有詳細分析,像是入學管道錄取率和註冊率分析、學生來源分析等,另也針對畢業生發展進行研究,比如就業分析、畢業薪資推估,再與校務管控中的各項分析對比,觀察哪些課程或技能的習得,可以讓畢業生發展更好,進而調整招生政策。

除了自行開發新系統,銘傳資訊部門在IT架構改造上也不假手他人。他表示,銘傳資訊部門在2008年針對資訊系統服務開始導入虛擬化,先從桌面虛擬化開始推起,並導入雲端電腦教室,未來所有教學用的軟體全部都集中到機房伺服器上管理,而不會裝在PC端,再提供給各系學生使用,來提高電腦教室的安全管理和使用效率。老師也有免費個人空間存放檔案,上課時可開啟自己在遠端的電腦桌面、使用存放於遠端的檔案來教學。

讓不同專長的同仁共同參與專案,來激發IT人才潛力

Image may be NSFW.
Clik here to view.
銘傳大學資訊網路處處長蘇瑞元表示,IT是與時俱進的工作,唯有結合不同專長的人才、互補專長,才能打造未來智慧化大學。攝影/洪政偉

除了對軟、硬體有獨到見解,蘇瑞元對於管理IT人員,也有一套方法,來改善各領域互不過問的狀況。他表示,2年前資訊網路處的工作模式,就是各做各的,從不打交道。

而透過這次高難度的智慧教室專案,蘇瑞元讓不同專長的同仁,共同參與這個專案,藉由彼此合作、互補彼此專長,來完成任務。在這次智慧教室專案中,不同領域的小組,還得選出一位負責人,來領導該組同仁。這個做法,就是在培養領導能力。

他也強調,只有結合不同專長的人才,「才有可能做出以前想像得到、卻做不到的事,」進而打造未來智慧大學。

不只從IT人員管理下手,為管理任務進度,資訊網路處還以開源的Redmine,架設一套任務管理系統。在這個系統上,參與者能對專案進度一目了然,比如專案開始時間、進度、參與人員和討論細節。如果有任何新討論,系統也會透過Email來通知,使用者也就不會錯過重要訊息。

這套系統,不只用在資訊網路處的任務管理,還包括讓學生發表建議的「校長信箱」。蘇瑞元指出,這套任務管理系統從去年12月,試用到今年4月,「大部分的工作都搬上去了,同仁現在也都習慣使用這套系統。」他繼續說,校長也希望這個任務管理系統,可以推廣到全校來使用。

不只要以AI 客服機器人來提升辦事效率,也要分析師改善開發流程和成果

蘇瑞元指出,學校許多單位辦事時,很容易被電話打斷。而這些電話,多半是詢問重複性高的問題,也因此,他認為建立一個全方位的AI客服機器人,可以提高辦事效率,也能了解師生提問的方向。

要打造這樣全功能的AI Chatbot,資訊網路處以現有的邦妮客服機器人系統為基礎,持續蒐集新問題。目前邦妮已累積數千條正確回答,蘇瑞元表示,未來目標是要做到擁有3萬至5萬條回答,進一步建立起校園對話大數據庫,再透過AI來分析資料,包括提供業務相關的知識和決策建議;分析近期話題趨勢,事先通知相關單位提前宣導或因應;分析學生情緒,及早輔導和處理。

在他看來,資訊系統的建置,就是要減少人力,「把知識變成流程一部分,」透過系統來自動處理特定事項,將人力轉移到其他重要事務上 。

這套理念,也運用在系統開發上。有別於以往業務單位直接提需求、資訊單位來執行,面對平均每年有206件系統開發案的資訊網路處,將開發流程改為約談制,搭配自家3名分析師,當業務單位提出需求時,先約談、了解業務單位的目的與期待,再來分析是否可行、如何獲得資料、是否需要串接不同系統等,再請業務單位同仁進行內部深度討論,最後再提出需求。「這個過程可能2到3次,但業務單位後來提的需求,就會比之前更完整。」

未來,銘傳資訊網路處要用這個方式,開發出更強大的系統,來深耕智慧校園。

 

CIO小檔案

蘇瑞元

銘傳大學資訊網路處處長

學歷:海洋大學資訊工程學系畢業

經歷:1997年進入銘傳大學,擔任資訊網路處科技整合組組長,之後陸續擔任資管系講師、傳播工程系、電腦與通訊工程學系講師。到了2016年時,代任資訊網路處處長,同年也接任網路電視臺管理處處長,2017年正式升任資訊網路處處長。

 

學校檔案

銘傳大學

● 地址:臺北市中山北路五段250號

● 成立時間:1957年

● 校長:李銓

● 董事長:陳耀生

● 員工數:1,809人

資訊部門檔案

● 資訊部門主管職稱:資訊網路處處長

● 資訊部門主管姓名:蘇瑞元

● 資訊部門分工:系統發展組、臺北資訊服務組、桃園資訊服務組

● 資訊部門人數:33人

IT大事記

● 1975年:導入大型主機,處理校務行政資料

● 1996年:轉換為以區域網路型的Client/ Server架構系統

● 2000年:系統架構改為以Windows 及 Web介面為主的基礎應用系統

● 2006年:建構Moodle數位教學平臺

● 2007年:導入電子公文與電子表單系統;建置教師與學生e-portfolio系統

● 2008年:建構全校308間E化教室

● 2010年:建構雲端學習中心;建置網路入侵偵測防禦系統(IPS)

● 2011年:建構無線E化教室

● 2013年:推動行政流程電腦化

● 2015年:導入校園MIS 1.0隔年導入

● 2016年:智慧校園計畫Meeting Place落成;導入MIS 2.0

● 2017年:導入MIS 3.0

● 2018年:智慧教室落成

Image may be NSFW.
Clik here to view.

Python直譯器PyPy新特色,讓開發者自己控制垃圾回收時機以打造低延遲系統

講求速度的Python的替代實作PyPy,最近合併了gc-disable分支,加入了支援低延遲回應特定事件的功能。不過,PyPy團隊提到,這是非常專業的功能,一般PyPy的開發者可能用不到。

PyPy虛擬機器管理記憶體所使用的垃圾回收器(Garbage Collector),會定期掃描整個堆(Heap)找尋無法存取的物件,並釋放相對應的記憶體空間。雖然這樣的方式聽起來成本高昂,但事實上,其管理記憶體的總成本卻遠遠低於使用參照計數的CPython。官方提到,儘管違反直覺,但是非參照策略的主要優點是記憶體分配速度很快,特別是與基於malloc的分配器相比,而且解除分配年輕物件的成本趨近於零。

PyPy管理記憶體的總成本低於CPython,便是PyPy執行速度飛快的原因,但是這樣的方式卻存在很大的缺點,在CPython,記憶體管理的成本分散於程式執行之間,但是在PyPy中,記憶體管理成本卻集中於垃圾回收器上,而這個成本造成可察覺的程式停頓,足以中斷使用者程式的執行。

為了解決這個問題,從2013年開始,官方將垃圾回收器的工作拆分成一系列的步驟,使用者程式可以穿插在步驟間執行,但是偶發回應延遲高的問題依然嚴重,在實際執行應用程式的過程,應用程式回應時間高峰甚至長達350到450毫秒,而新加入的gc-disable就是要來解決這個問題。

gc-disable由主要由兩個功能組成,gc.disable()與gc.collect_step()。gc.disable()會禁用垃圾回收器主要收集動作,但使用後記憶體使用量會無限成長,而gc.collect_step()是一個新函式,可用於手動執行單個增量式垃圾收集步驟。官方提到,gc.disable()僅禁用主要收集,而次要收集工作仍然會執行。 

由於JIT的虛擬化,許多具有短暫且可預測生命周期的物件不會被分配(Allocate),最終大多數壽命較短的物件仍然會像往常一樣被回收,因此實際上gc.disable()的影響並不如想像的糟糕。開發者應用這兩項功能,可以控制應用程式在可接受的情況下執行。

官方提醒,使用gc.disable()並不會讓應用程式神奇的加速,而是把垃圾收集的工作移動到別的時間點執行,但在特定的使用情境中,這項功能非常有用。現在gc-disable已在PyPy的Nightly版本中提供。

未來可望免開口就能說話,人工智慧現可以將腦神經訊號轉成語音

最近有幾項研究,致力於讓癱瘓無法說話的人也能再次說話,方法是倚靠人工智慧解讀大腦神經訊號,重建出人們可以理解的單詞與句子。

現在中風與其他原因失去說話能力的患者,可以使用眼睛或是其他部位的小動作來操作游標,在螢幕上點選字母進行語句表達,不過,大腦如果能透過連接電腦介面產生語音的話,那原本無法說話的人,將能用更加直覺的方式與其他人互動,甚至是與他人順暢的交叉談話。儘管難度很高,但近期的研究說明了這樣的可能性。

加州大學舊金山分校的神經外科醫生Edward Chang與其帶領的團隊,根據3名癲癇患者大聲說話時的大腦說話規畫區域與運動區域的訊號,已經能重建出完整的語句。研究團隊邀了166個人聽取電腦重建的聲音,並在10個句子選項選出正確的配對,發現電腦合成語句可辨識度超過80%。

Edward Chang的研究甚至可以辨識出,人類大腦用來控制語音與歌聲高低的區域,喉嚨用發聲與控制音調的肌肉,由不同的神經群體編碼,他們透過刺激大腦皮層,證明了喉部肌肉控制的因果關係。

而哥倫比亞大學的電腦科學家Nima Mesgarani帶領的團隊,則是研究5名癲癇患者的腦部資料,他們讓病患聽錄音並且給予0到9的數字編號,並在同時錄製這些病患大腦聽覺皮層的訊號,透過神經網路分析這些訊號,電腦將能根據神經訊號重建口說的的數字,人們辨識這些電腦合成出來的數字語音的正確率能達75%。

該研究團隊根據神經元不同時間點開啟與關閉的模式推斷語音,Nima Mesgarani表示,要找到將神經訊號轉換成實際語音之間的映射關係很困難,他們需要對每個人進行特別的訓練,而且這個過程需要用到非常精確的資料,需要打開人類大腦頭骨以進一步獲得大腦神經元的訊號。

另一個研究是來自德國不萊梅大學神經克學家Miguel Angrick,與馬斯垂克大學Christian Herff帶領的研究團隊的合作成果,他們透過收集6位進行腦腫瘤手術患者的資料,以麥克風捕捉他們朗讀單音節單字的聲音,並同時以電極從大腦的說話規畫區域與運動區域紀錄訊號,這些區域在人們要說話時,會透過神經向聲道發送命令,類神經網路將電極收到的訊號,映射到患者的語音上,由系統重建的語音,約有40%的單字可供辨識。

不過,研究人員很少能進行這類侵入性的研究,因此除非是在切除腦部腫瘤,大腦暴露的時候,另一個時機則是癲癇患者在手術治療之前,需要植入電極數天以獲取準確癲癇發作來源時,但研究團隊仍最多只有20到30分鐘收集資料。

不是祕密的祕密

如果使用的網站服務需要以密碼登入,而且有忘記密碼的功能,試著使用看看,如果它發送給你的郵件或簡訊通知上,確實地寫著當初你設定的密碼,就可以寫信去罵人了!

加密雜湊演算

若使用明碼儲存密碼,就意謂著,若是資料庫被駭入,或者是被SQL Injection撈出了使用者資料,那在使用者察覺之前,攻擊者就可以登入系統通行無阻了!別以為這應該是FAQ等級的常識,不久前國內就有網路銀行,還將明文的密碼寫到JavaScript裏,發送至使用者的瀏覽器。

例如,有個「我的密碼沒加密」(https://plainpass.com/)網站,就收錄了不少在密碼處理上有問題的網站服務。此外,在2018年5月,也發生過家長監控軟體TeenSafe在AWS上的伺服器,存放用戶資料並未設定密碼防護,而且以明碼儲存密碼;有時,甚至是系統漏洞問題,導致密碼沒加密就直接儲存,像是Twitter,在2018年5月所發生的加密漏洞問題。

在密碼防護方面,不儲存明碼的最基本方式是,將密碼進行加密雜湊(Cryptographic hash)演算,過去常見的做法,是使用MD5產生訊息摘要(Message digest)並儲存,而不是儲存原始密碼;在使用者登入時,輸入的密碼會經由相同的加密雜湊演算,再與儲存的摘要進行比對,若相同表示密碼正確。

不過,MD5生成速度快,這意謂著在今日高速的處理器運算下,就算是暴力攻擊或字典攻擊,也可能能迅速被破解;MD5並沒有避免碰撞,這意味不同密碼有可能生成相同的雜湊值,令查表法攻擊的可能性提高,網路上甚至有許多的彩虹表(Rainbow Tables),為有心人士做出的密碼與雜湊比對表,網路上搜尋「md5 crack」,也可以找到許多破解MD5的服務。

在過去,黑客曾經在暗網出售Yahoo的使用者資料,雖然密碼經MD5處理,不過,在當時就被認為與明碼儲存無異;就算是SHA-1也不見得安全,同樣可使用彩虹表來破解。

雖然SHA的碰撞機率比MD5來得小,然而Google曾於2017年達成了SHA-1碰撞,雖然運算成本高昂,但隨著處理器運算能力等的增加,這樣的運算成本在未來將會越來越低。

加鹽雜湊演算

彩虹表破解密碼的概念就是查表,如果能讓相同的密碼經過雜湊演算時,產生不同的結果,就可以避免彩虹表方式來破解密碼,因此有人想出了,在儲存密碼時產生一個隨機鹽值(Salt),將鹽值混入密碼後進行雜湊,因為每次的鹽值都是隨機的,產生的摘要就會不同。

為了能在使用者登入時,確認密碼是否正確,鹽值也必須儲存下來,而在使用者登入時,取得各自的鹽值,混入使用者輸入的密碼,並進行雜湊,接著,再將結果與儲存下來的摘要進行比對,以便確認密碼是否正確。

事實上,加鹽雜湊時使用的鹽值,不應該重複使用,更不要以使用者名稱、ID或者是手機號碼等,來作為鹽值,因為若有使用者具備相同的密碼,那麼,加鹽雜湊後的結果也會是相同的。

換言之。倘若攻擊者試著事先製作出具有相同摘要的密碼,然後反向查詢,即可找出具有相同摘要的使用者。之所以會出現如此狀況,是因為許多使用者往往使用相同的密碼,而使得這類攻擊手法得以生效。

應該在每次儲存新的密碼時產生新的鹽值,加鹽雜湊時使用的鹽值也不能太短,若是太短,攻擊者就可以事先做出全部鹽值的列表;不要使用普通的隨機數演算來產生鹽值,建議使用和雜湊演算輸出的摘要等長的鹽值,並使用安全偽隨機數生成器(Cryptographically Secure Pseudo-Random Number Generator),像是Java的SecureRandom。

慢得剛好的雜湊演算

有人會對密碼進行多次的雜湊演算,甚至是多次混合不同的雜湊演算組合,試圖讓攻擊者不知道系統使用了哪種雜湊組合,就是他們採取這個動作的目的之一。

然而,在〈Salted Password Hashing - Doing it Right〉(https://goo.gl/xUsuom)就提到,如果攻擊者取得了原始碼(像是透過應用程式開放原始碼的管道),就有可能找出密碼與摘要間的對應關係,進而反向推出演算的過程。

同時,我們採用雜湊演算組合,還有另一個理由,那就是,可以讓破解過程變慢,希望慢到令攻擊者會想放棄。

加密雜湊演算本身可以很快地產生摘要,而由於現代的運算設備速度越來越快,使得攻擊者就算是採用字典攻擊或暴力破解密碼,也成為可能,為此,增加運算的成本,讓破解過程變慢也確實是防禦的一種策略。不過相較於自行使用多重雜湊演算組合來試圖變慢,有些演算就是為了讓加密運算的速度變慢而設計出來的,像是BCrypt、PBKDF2、SCRYPT等。

這類演算通常會有個參數,決定如何減緩摘要的產生過程,然而犧牲的就是效能,若能找出相對適合的參數,也就是不會對使用者造成差異。然而,能在暴力破解時,可極度增大對方的成本,就是這類演算的目的。

以目前廣為被使用的BCrypt為例,我們可以透過cost參數來決定,而且也使用一個隨機加鹽的流程以防禦彩虹表攻擊,就算是相同的密碼,因為每次產生的鹽值不同,編碼後的結果也就不會相同。

此時,試圖讓攻擊者不知道系統使用哪種雜湊組合,其實,是沒有必要的。例如,BCrypt編碼之後,特徵是相當明確的,就像是下列字串:$2a$10$yh5WJetawp2KloUtEoVzRuT4/WEeR5BhPdfRZGoAvnCtKAbFBP8Sa。

而上述內容,一看就知道是BCrypt產生的編碼,其中的$,是分隔符號,2a表示BCrypt版本,10是成本參數(建議採更高的值),實際上,當中還包括了編碼時所產生的鹽值。

像這類BCrypt演算都是公開的祕密,因為這類演算在設計上,目的就是在知道演算過程下也難以破解,像Spring Security甚至還建議在儲存密碼時,加上{bcrypt}、{pbkdf2}之類的前置,以便於資料庫表格間的轉換遷移。

非專家也要有的基本認識

密碼處理上的重要性,從Spring Security 5之後,強制須選用某個密碼編碼器來處理,而在儲存密碼上,也可見一斑。不過,就算是這樣,還是有人試圖用自定的PasswordEncoder,完全不處理編碼來矇混過去,足見許多人對密碼處理的基本認知不足。

實際上,在觀察一些新聞時,也可以察覺密碼相關的問題。例如國內曾有新聞報導,有婦人在半年內,於購物網站購買225次不取貨,而該購物網站清查之後,發現當事人雖申請的帳號不同,使用的密碼卻都一樣,你覺得這代表著什麼呢?

雖然並非密碼學專家,然而,開發者對於密碼也要有基本的認識,特別是這陣子以來密碼處理的歷史演化過程,上列的〈Salted Password Hashing - Doing it Right〉值得一看,另一方面〈用戶密碼加密存儲十問十答〉(https://goo.gl/D39VsN)也值得參考。

一周大事:Linux 4.20來了。智慧政府新計畫出爐,2020全面換發數位身分證。

智慧政府新計畫出爐,不只全面換發數位身分證,還要用區塊鏈建立跨機關資料交換

行政院在院會3632次會議中,通過了國發會提出的智慧政府規畫報告,要推動兩大基礎建設,包括全面發行數位身分證來串連政府服務,還要利用區塊鏈技術,來介接不同政府機關的資料庫。資料交換骨幹網路稱為T-Road,並優先聚焦三大目標以及七大策略。行政院通過規畫後,後續將由國發會接手訂定行動方案,目前計畫在2020年達成的項目,包括了全面發行數位身分證(New eID)、全方位智慧化服務、縮短行政流程、各項核銷免檢據、民眾申辦服務80%改為線上,以及推動公投電子投票(非網路投票)等。

行政院希望用數位身分證,作為使用各項政府服務的鑰匙,而非用來儲存個人資料的資料庫。行政院也透露,預估2020年下半年就會展開全面換發。而第二項基礎建設則是要進一步打通各級政府機關的資料庫,希望利用政府骨幹網路,用區塊鏈技術來建立一個安全、可信賴的資料介接機制。不過,國發會報告中,沒有透露區塊鏈應用上線的具體時程,只提到智慧政府規畫完成時間是2025年。更多內容

 

Linux 4.20來了,大增35萬多行程式碼

Image may be NSFW.
Clik here to view.

作業系統Linux 4.20版在2018年聖誕節發布了。Linux之父Linus Torvalds在信件內表示:「既然大家都已經準備在放假,也沒有任何理由延後發布4.20版。」不過Linus Torvalds表示,他的信箱內已經收到幾個合併請求(Pull Request),「我建議大家趕快把它們搞定,才能好好在年底的假期放鬆。」

先前也有媒體Phoronix統計,Linux 4.20核心的更新比以往版本都更多,新增超過35.4萬行程式碼。而根據Linux官方釋出的資料,這次Linux 4.20有許多新功能。例如,此版本開始支援中國海光的x86架構Dhyana系列CPU。此外,Linux 4.20版對AMD的處理器、顯示卡也有相當多新支援,如AMD Picasso APU、AMD Vega 20。至於外接硬體的支援,Linux 4.20版則開始支援Xbox One S搖桿、 Cirque觸控板,以及27吋的Apple Cinema Display。更多內容

 

報告:Spotify、Trip Advisor等20款Android app偷偷將用戶資料傳給臉書

Image may be NSFW.
Clik here to view.

圖片來源_ Privacy International

一個名為隱私國際(Privacy International)的組織在2018年8月及12月分別針對34款下載次數從1千萬到5億不等的知名Android App進行分析,發現其中20款App透過臉書的SDK,將資料傳送給了臉書,像是Spotify、MyFitnessPal、Skyscanner、TripAdvisor、Kayak、Shazam等知名App,不論這些用戶本身有無臉書帳號,或是否登入臉書。上述App會在用戶開啟時就傳送App使用事件資訊,包括用戶用了哪個App、使用時間和用多久等資料到臉書SDK。如果用戶擁有多個App,便可讓臉書得以掌握上千萬用戶使用行為。更多內容

 

歐盟2019年1月將針對14個開源專案提供抓漏獎勵

Image may be NSFW.
Clik here to view.

日前歐洲議會議員Julia Reda宣布,歐盟將在2019年1月針對14個重要的開源專案提供抓漏獎勵,多為大家耳熟能詳的專案,包括Notepad++、7-zip、Drupal及PuTTY等,而歐盟亦針對不同的專案提供各異的抓漏獎勵金額,從2.8萬歐元(約100萬元新臺幣)到9萬歐元(約320萬新臺幣)不等。更多內容

 

美多家媒體遭感染惡意程式影響發行,紐時、華爾街日報也受害

Image may be NSFW.
Clik here to view.

近期美國報業集團Tribune Publishing網路遭惡意程式感染,導致旗下包括洛杉磯時報等紙本報導周末版的發行及出刊延宕。

洛杉磯時報報導,事件起於Tribune Publishing一臺伺服器遭感染惡意程式,雖然該公司IT部門力圖將之隔離,但惡意程式已經蔓延到整個網路,並再度感染導致發行及印刷業務相關伺服器無法運作。這次事件也波及洛杉磯時報承攬的紐約時報及華爾街日報的美西版發行。更多內容

 

積極海外布局,NEC斥資12億美元,併購丹麥資訊公司KMD

Image may be NSFW.
Clik here to view.

就在2018年將要結束之際,NEC宣布了一場重大併購案,該公司預計斥資80億丹麥克朗(約12.2億美元),併購位於丹麥的IT公司KMD。NEC表示,這次併購案是為期三年的中期計畫,隸屬該公司的「NEC安全城市」專案的一部分,目標是結合人工智慧、生物辨識技術,瞄準數位政府、智慧交通,以及公共安全市場。

NEC總裁暨執行長新野隆表示,透過此樁併購案,一來是擴大事業版圖是北歐,二來則是加強數位政府市場的布局。

而這家位於丹麥的KMD公司,其起家業務是提供關鍵任務解決方案給公部門,包含工資、採購、成本分析、資訊安全等解決方案。該廠商在丹麥公部門的市占相當不錯,在中央部門總共有17%的占比,而地方政府則更是高達43%。近年也開始將事業版圖擴大至瑞典、挪威。去年1月,NEC也砸超過6億美元,併購英屬IT公司NPS。而這一次的併購案,則讓NEC能更加深入歐洲政府單位市場。更多內容

 

Ruby 2.6正式版釋出主打JIT,卻會影響Rails效能

Image may be NSFW.
Clik here to view.

程式語言Ruby團隊發布Ruby 2.6正式版,釋出了主打的功能JIT(Just-In-Time)編譯器,而這是Ruby團隊歷經一年的努力結晶。

JIT允許像是Ruby這樣的直譯語言,最佳化頻繁執行的方法(Method),以便在未來呼叫時,可以運作的更加快速。雖然實作方法在每個語言中都不相同,但一般來說,JIT的目標是跳過方法部分或是全部的直譯步驟。

由於Ruby之父松本行弘為團隊設定了一個目標,希望Ruby 3的應用程式執行速度可以是現在Ruby的3倍,這個計畫被稱為Ruby 3x3。在這個目標設定之後,Ruby已經在諸多地方改善效能,但仍然遠遠不夠,而將JIT加入Ruby則是一個最可能達成目標的做法。

從11月RubyConf的演講中,釋出的資料顯示,Ruby使用新的jit選項,在熱門的optcarrot基準測試中的表現,Ruby 2.6與Ruby 2.5相比,執行效率的確獲得大幅提升達1.8倍。不過,JIT目前看來似乎是一個雙面刃。

Heroku開發者推廣工程師Jonan Scheffler表示,由於Rails具有大量頻繁呼叫的方法,在使用MJIT(Method-based JIT)時將會遭遇效能降低的情況,因為最佳化單一方法的過程,比實際直譯該方法還要慢,而理想情況,這種效能降低的情況,將會因呼叫經過編譯的方法漸增的效能吸收,但對大量方法來說,效能降低的影響太過巨大。更多內容

 

國內首個跨院所醫療影像標註資料庫上線,加速醫療影像的AI應用

Image may be NSFW.
Clik here to view.

圖片來源_科技部

人工智慧(AI)的應用遍地開花,在醫療產業也是如此,例如Google運用電腦視覺技術和深度神經網路演算法,從患者的視網膜眼底醫療圖像中,辨識出糖尿病的視網膜病變,而在臺灣也有相關的應用,科技部啟用臺灣第一個跨院所的醫療影像標註資料庫,未來將提升重大疾病的醫療影像AI辨識準確度,造福更多的病人。

科技部與臺灣大學、臺北榮總和臺北醫學大學醫療團隊,宣布正式啟動跨院所的醫療影像資料庫,集結三大團隊的醫療人員以人工標註醫療影像資料,涵蓋腦、心、肺的重大疾病的醫療影像標註資料,未來可供其他研究、醫療團隊運用,加速醫療AI應用。

主導這項計畫的科技部長陳良基表示,醫療影像產生大量的數據,醫護人員往往花費許多時間在分析這些數據,而人工智慧在數據分析上可以扮演關鍵的角色,讓幾百張的CT掃描影像,重覆性的工作,由人工智慧來幫忙,有助於加快醫療人員對重大疾病的判斷,例如從大量醫療影像中快速瞭解病灶的所在的位置,讓醫生專注在治療上。更多內容

 

美國國會通過《開放政府資料法案》,要求聯邦機構在網路上出版所有資訊

Image may be NSFW.
Clik here to view.

CC 2.0 by Kimberly Vardeman

近期美國國會通過了《開放政府資料法案》(OPEN Government Data Act),將要求美國聯邦機構以開放及機器可讀取的格式,在網路上分門別類地出版公開資訊,讓其它政府單位、組織或個人都能使用這些資訊,同時兼顧了隱私與國家安全議題,該法案已送交給美國總統川普(Donald Turmp)等待簽署。

該法案同時獲得美國兩黨的認可,認為它們既是利用人民所繳納的稅收所建立的資訊,就應該允許人民免費存取,不論是天氣、交通、人口調查或預算,但這些公開資訊將去除個人隱私或國家安全的部份。更多內容

 

Unity更新跨平臺AR Foundation套件,支援輕量級渲染工作管線

Image may be NSFW.
Clik here to view.

圖片來源_Unity

最近Unity對跨平臺解決方案AR Foundation進行重大更新,最新版本增加支援ARKit中可提供多重使用者AR體驗的ARWorldMap功能,另外,新的輕量級渲染工作管線,讓開發者能更簡單的自定義渲染工作。

AR Foundation在第一個版本中,提供了基本的AR功能,而新版本開始支援輕量級渲染工作管線(LWRP),開發者可以於ARCore和ARKit應用程式建置時,在新的著色器圖(Shader Graph)中創建新的著色器。由於Unity加入了ARFoundationRendererAsset概念,開發者現可以控制自定義的ARFoundationRenderer,更加良好的控制渲染工作。也由於新加入的著色器圖,編輯器現能提供以視覺化節點編輯特效的功能。更多內容

 

印度更新電子商務規定,恐大幅衝擊Amazon及Flipkart

Image may be NSFW.
Clik here to view.

圖片來源_Flipkart

日前印度政府針對境內的電子商務業者祭出一項新規定,要求電子商務業者不得銷售來自於關係企業的商品,也禁止電子商務業者與賣家簽署獨家銷售協議,此舉將嚴重衝擊Amazon與Flipkart在印度的業務。

印度最大的兩大電子商務平臺為Flipkart及Amazon,其中,Walmart在2018年以160億美元買下77%的Flipkart股份,意謂著印度電子商務市場或線上零售業都是由美國業者所掌控。更多內容

 

臉書也開始試驗加密DNS,測試結果顯示加密不會增加整體延遲

Image may be NSFW.
Clik here to view.

在Mozilla與Cloudflare合作提供DNS over HTTPS服務後,臉書也要對網路流量的最後一哩路DNS,提供加密服務,並宣布與Cloudflare合作,進行DNS over TLS的試驗。

臉書與Cloudflare DNS合作實驗計畫,該計畫以傳輸層安全性(TLS)這個廣泛使用的協定,在不安全的通道上提供DNS雙方受驗證與機密的通訊。DNS over TLS解決方案,能為剩餘還未完全加密的網頁流量,提供加密和驗證服務。

透過這個實驗計畫,臉書使用者可以使用Cloudflare DNS,獲得更進一步的安全體驗,不只是以HTTPS連接臉書,更在DNS層級,保護裝置連接到Cloudflare DNS,以及從Cloudflare DNS到臉書域名伺服器的流量。更多內容

 

政府應為雲端服務建立相關規範!雲端安全聯盟促使新加坡當局制訂COIR指南

隨著雲端應用越來越普及,企業的依賴程度也隨之增高,一旦服務出現故障,就會產生重大影響,因此,雲端安全聯盟(Cloud Security Alliance)亞太區副總裁Hing-Yan LEE認為,政府應該規範相關服務的緊急應變措施,讓CSP業者有一套能夠遵循的處理原則,他在HITCON Pacific 2018大會上,談到在新加坡的資訊通信媒體發展局(IDA)任職時,自己如何向政府提議,促使當局訂立雲端服務中斷事故因應指導原則(Cloud Outage Incident Response Guidelines,COIR)。更多內容

 

讓用戶自然而然操作才是正道,GNOME資安團隊從軟體開發強化作業系統安全

在資訊安全與使用者執行的便利性之間,往往兩者難以兼顧,然而,GNOME資安團隊組長Tobias Mueller卻有不同看法,他在HITCON Pacific大會表示,無謂的系統對話框非但不能增加安全性,反而造成使用者執行應用程式的麻煩,因此,他認為開發者設計軟體操作流程時,應該從使用者角度衡量。

軟體的開發者原先是美意,以彈出式視窗提醒,要使用者留意再加以確認放行。其中最常見的情況,可能是由於企業採用了自己派發的憑證,導致網路連線的憑證錯誤,或是像是軟體沒有開發者的署名,這個時候,作業系統出現了彈出式視窗警示,Tobias說,使用者可能才剛下載安裝檔案正要執行,但這樣的警告,讓大多數用戶難以理解。當然,普遍來說,使用者大多想盡辦法按下確定,消除這些視窗,讓軟體繼續執行。所以,這些警示視窗,實際上並沒有如開發者的預期,達到保護的效果。更多內容


用AI與數據打造電商創業神器

Image may be NSFW.
Clik here to view.
天下文化

2007年,當時31歲的郭書齊和太太吳佩雯、28歲的郭家齊及27歲的女朋友廖家欣,僅以50萬元資本成立渥奇數位資訊,打造了百萬粉絲的地圖日記網站,當時憑著一股對網路的熱忱及創意,即步上創業之路。和許多創業家一樣,創業的甘苦、冷暖唯有他們自知。

在三年半的時間裡辛苦經營社群網站後,累積了上百萬名網友,在因緣際會下仿效美國Groupon的團購商業模式,2010年成立百萬網友團購網,上線後,出乎意外地團購業務一炮而紅,兩個月後就引起美國Groupon總部的注意,開站四個月後,地圖日記和百萬網友團購網即高價被Groupon併購,變成Groupon台灣分站,四位創辦人也被網羅為Groupon台灣的高階專業經理人。

創下電商最快上櫃傳奇

2012年初,站在人生的高峰,他們卻毅然決然地辭掉Groupon台灣專業經理人的職務,一切歸零。

兩個月後,四人再出發,將第一次創業賺到的第一桶金,投注兩千萬元資本,於2012年5月4日,四位創辦人再度邁向創業之路,設立旗下擁有生活市集、好吃市集及松果購物的創業家兄弟公司,企圖攀越人生另一座高峰。

從帝王蟹引爆海鮮熱賣潮,創業家兄弟的業績意外翻紅,開始飛越一座座山峰。檢視成立以來的財務報表,創業第一年,公司全年營業收入是3,500萬元,第二年,也就是2013年創業家兄弟的引擎升速,業績十倍速成長,爆增到3億元,2014年更衝破10億元,達到14億元,為成長最迅速的電商,並在成立1年9個月後轉虧為盈,開始賺錢。

2015年正式提出IPO(首次公開發行募股),在成立四年半後,創業家兄弟股票在2016年10月正式上櫃掛牌,創下台灣電商業最快速上櫃的傳奇紀錄。

2016年,四人再度成立了人生中第三家公司,100%持股的轉投資子公司──松果購物(原名創宇行動),推出「松果購物」購物平台,以行動原生電商再跨入B2B2C的電商領域。有了創業家兄弟的成功經驗加持,松果購物轉虧為盈速度更快,1年7個月就開始獲利,網站月成交金額已達9,000萬元,目前正籌畫申請IPO,朝上櫃之路邁進,目標成為唯一有兩個上櫃公司的電商集團。

運用大數據與AI,打造個人化電商、加速網站營運規模化

2018年,創業家兄弟公司慶祝成立6週年,8月旗下2個垂直電商平台的App下載量已衝破了360萬次。轉投資的松果購物網站,上線甫滿2年,App下載數量也在7月突破了100萬次,兩家公司同步邁向新的里程碑!

若以三大電商平台總計480萬App下載數來看,等於台灣人平均每4.8個人之中,就有1人使用創業家兄弟旗下的行動購物App,顯見創業家兄弟已充分掌握台灣消費者日常生活的指尖滑行商機。

電商是非常數字導向的產業,經過2017年市場的補貼割喉流血戰之後,不少電商獲利大減,讓電商業者紛紛開始思考轉型,尋找突圍方法。

向來以數據為本的創業家兄弟,從2017年下半年開始,就大規模地導入大數據分析,以及AI人工智慧的相關應用,陸續透過對數據資料庫的挖掘演算,開發出各式個人化推薦功能,包括客製化的商品排序、商品推薦、個人化App訊息推播、搜尋框推薦商品等等,導引消費行為。

系統會根據每位消費者的瀏覽紀錄和使用行為,預測未來的購買決策,推薦不同商品。這項布局已獲得相當成果,從2018年開始,創業家兄弟的平台就變聰明了,打造出個人化的電商平台。

現在不論是生活市集或好吃市集,每個用戶看到的網頁都不一樣,商品排序也不同,猶如客製化、個人化的App和網站,讓購物體驗更貼近消費者的需求。例如,男性消費者的首頁,就不會出現推薦媽媽包或女性用品的訊息。

過去的行銷猶如亂槍打鳥,散發出去的廣告、內容訊息或推薦商品,無法精準地掌握客戶,但透過大數據的力量,分析用戶過去瀏覽過的紀錄、搜尋過的商品,在推出個人化推薦功能之後,透過App推播個人化的訊息,將相關的特價商品或新上架同類型品項推薦給用戶,加深消費者的購物體驗,大大提升了快速交易的機率。

此外,推播時機也可以透過大數據,了解消費者使用的社群工具或App的時間,再鎖定推播時機,讓訊息能夠更即時有效地傳遞到消費者眼前,增加行銷威力。

2016年之前,創業家兄弟平台各網站的首頁排序,就只是推薦最熱門的、CP值最高的好商品給消費者。

但什麼是好商品?要符合哪些條件,才能列為好商品?可能是銷售數量大、金額高的、消費者滿意的等等,那時創業家兄弟研發團隊會依各種不同條件來判斷消費者會喜歡或需要的好商品,所以商品的排序就是一連串人為規則(rule-based)演算的流程,透過程式將這些排序流程自動化,讓系統去執行挑選商品。

多年前創業家兄弟團隊就知道,網站首頁不應該都是一樣的。

郭家齊表示,消費者有男生、女生、不同年紀、不同職業,不同的人喜歡的東西就不一樣,應該看到不同的東西。因此,研發團隊幾年前就開始做了很多個人化的嘗試,希望讓每個人看到不同的商品,光是在區隔男生、女生的頁面上,他們就做了很多嘗試。

過去一年以來,創業家兄弟一方面透過大數據優化系統,一方面搭配影音內容、深化社群操作等多元的行銷方式,強化消費者的黏著度,這些策略在2018年都一一發酵。

「用戶的點擊率多出一倍、回購率增加20%,」創業家兄弟創辦人之一的廖家欣說,在分眾化、個人化的行銷助攻下,讓用戶點擊訊息和商品的頻率大增,大大提升了回購意願,成功地讓營收、獲利雙雙攀上高峰,締造亮眼佳績。

創業家兄弟自創立以來整體業績呈現十倍速成長,月平均交易額已從5年前的2500萬元,至今單月已突破4億元,成長了15倍,畫出一條跳躍式的高成長曲線。

「這個成長數字,再一次說明網路產業在技術加乘之下,可以產生的規模經濟是多麼巨大!」創辦人郭書齊興奮地說。

創業家兄弟創辦人之一的吳佩雯則舉實際數字說明。2013年創業家兄弟的團隊規模是69人,到了2018年8月已增加為168人,成長了143%;但若以每位員工平均月營收貢獻度來說更是在2018年達到了267萬元,和2013年比足足成長了17倍。

如此高度成長的亮眼數字,不僅驗證「網站規模成長一倍,人力並不需要成長一倍」的網路產業優勢,更證明了電子商務比實體零售更能快速規模化,尤其是在運用AI技術後,更可以加速規模化的發展。

快速規模化的能力是虛擬零售面對實體零售時,最重要的關鍵優勢。由於大量運用自動化程式,用機器取代人力,導入AI 之後,更讓創業家兄弟的營運快速規模化。

「要僱用一個永遠以數據為本、以數據思維為出發點的人才,」創業家兄弟衷心地建議,在大數據、資訊化的時代,AI 的技術成本已經很低,在研發成本漸趨合理下,擁有數據的公司都應該嘗試發展AI。

行動化趨勢改變了消費者探索、尋找商品的購買歷程,創業家兄弟大膽順應變革,透過大數據的運用,讓個人化、客製化概念延伸運用更多平台功能,以行動商務的先行者之姿,緊抓趨勢浪潮,朝向個人化電商之路挺進。(摘錄自天下文化出版《成功,就是要快速砍掉重練》)

 

成功,就是要快速砍掉重練:電商黒馬創業家兄弟屢創驚人營收的55個商業智慧

傅瑋瓊/著

天下文化出版

售價:420元

 

作者簡介

傅瑋瓊

自由作家、文字工作者、資深媒體人。崇尚自然慢活的SOHO族,享受簡單純真的幸福生活。著有《誠義:侯貞雄與台灣鋼鐵產業七十年》、《黑松百年之道:堅持夢想的腳步》等十餘本著作。

現代汽車加入Linux基金會及車載資訊系統專案AGL,加強布局開源及車聯網技術

2019年才過幾天,韓國汽車大廠現代汽車就已經揭露未來一年的大布局,不僅宣布加入Linux基金會外,還要投入車載資訊系統專案AGL(Automotive Grade Linux),與AGL開源社群加強互動,加強自家公司開放創新的動能。

目前由Linux基金會管理的AGL專案,是一個跨產業共同協作開發的車聯網平臺,以Linux作業系統為核心,讓連網汽車可以導入Linux相關的開源專案,讓廠商可以依循此平臺的標準,加速車載系統功能的更新、開發工作。此聯盟的成員數已超過140家廠商,除了汽車產業內的大頭豐田、馬自達、鈴木、賓士、本田等公司外,Amazon、高通、英特爾等公司也在內。

任職Linux基金會的AGL專案執行總監Dan Cauchy表示,現代汽車的加入不僅是個里程碑,AGL專案快速的成長,也點出車用廠商開始了解開源專案、軟體協作開發所帶來的商業價值。現代汽車副總裁暨資訊技術中心總監Paul Choo也表示:「開放協作對於實現車聯網至關重要」,他認為,廠商借助AGL平臺的彈性,能更快速於車載資訊系統上交付新功能。

微軟正申請「無聲」語音輸入專利,喃喃耳語也能辨識

世界智慧財產權組織(World Intellectual Property Organization,WIPO)在去年12月公布了一項由微軟所申請的專利,該專利名稱為「無聲語音輸入」(Silent Voice Input),可以在吸氣時輕聲地執行語音命令,而不會打擾周遭的人。

微軟表示,儘管語音輸入的性能持續被改善,但大家依然顯少在咖啡廳等公共場所進行語音輸入,有時是因為這些語音命令可能會打擾其他人,有時則是因為所要輸入的語音涉及隱私,迄今這樣的顧慮仍然缺乏妥善的解決辦法。

一般的語音輸入解決方案都必須以尋常的音量或至少是耳語的音量才能讓裝置接收到語音命令,然而,有別於傳統的說話是在吐氣中進行,微軟的解決方案則是在吸氣時說話,要求使用者在吸氣時執行語音輸入,因此除了自己之外,應該沒有人聽得見或聽得懂使用者在說什麼,因而稱為無聲語音。

根據該專利的說明,只要讓麥克風或其它裝置非常靠近使用者的嘴巴,該語音輸入解決方案就能捕捉以極低的音量所發出的話語訊號,除了說話時的氣流方式可能需要練習之外,其它的說話方式就如同耳語一般。

而支援無聲語音輸入的裝置可以是耳麥、手機、戒指、手錶、筆,或是遠端控制器,目前並不確定這項技術是否會落實,也不確定使用者能否接受此一另類的語音輸入方法。

資安威脅朝側面、源頭進逼

在2019年一開始,我們發表的專題報導是今年的資安趨勢10大預測,技術編輯羅正漢和周峻佑針對資料外洩、物聯網、工業控制系統、身分識別、網路基礎設施、網站安全等重大議題,發表相關的事件回顧與未來展望,資安主筆黃彥棻針對法規遵循與資安認證的部份,提出精闢的分析,而我負責的主題,主要是軟體供應鏈與硬體安全。每一位作者都花了不少時間,耙梳2018年發生的資安新聞,因為2019年可能會面臨到的各種威脅,絕大多數應該都會基於過去出現的事件,而繼續蔓延、惡化,或是改頭換面再重新上陣、記取失敗教訓而演化成更隱匿、分散的狀態,當然也有可能徹底捨棄舊技倆,而採用顛覆的手法,從眾人意想不到的層面攻入。

當正面交鋒卻無法取得優勢時,旁敲側擊的確是許多駭客採取的手段。除了許多IT人員熟知的橫向移動(Lateral Movement),從攻佔合法使用者的電腦或網路、系統登入,逐漸靠近重要主機,針對進行線上交易的電子商務網站,也能進行「側面」攻擊,而非採取硬碰硬的方式破解。

例如,我們看到有惡意程式從網站信用卡交易的過程當中,側錄消費者的信用卡交易資訊,接著就能透過這些偷來的身分、帳號密碼、卡號,購買更多資料與惡意程式技術,獲得豐富的「裝備」,之後,再繼續發動攻擊、持續自我壯大。

這樣間接侵入的策略,讓我想到日本漫畫《Hunter X Hunter獵人》有一集劇情當中,兩位主角就以「從旁掉包」的方式,從側面突圍,順利從能力高強的敵人手中逃脫,因此,對駭客來說,這也是不正面衝突卻能奏效的作法。

而面對側面攻擊日益盛行的態勢,針對軟體供應鏈的攻擊事件近年來也不斷增加,簡單來說,在應用程式開發流程的「上下游」,都有可能面臨惡意程式的植入。這像是以前在地理課本讀到的河流侵蝕現象,除了側面侵蝕,也有向源侵蝕和向下侵蝕等兩種情況。就軟體安全而言,駭客朝向源頭與深層的方式進逼,也成為大勢所趨。

舉例來說,就漏洞濫用的威脅而言,防守方和攻擊方過往都從「成品」本身,也就是針對已經上線、發布出去的應用程式,予以審視,然而,現今的程式開發環境十分開放,駭客現在也開始盯上這個相對較不設防的脆弱環節,伺機動手,而這種從軟體開發過程就滲透進去的攻擊,的確也會增加整體防守的難度,因為戰線已不再只是正面衝突的最前緣,而是老早就埋伏在內部了,能在你毫不知情、毫無防備的狀態下,偷偷進行各種控制,例如,複製機密或個資、盜轉網路銀行存款,或是綁架個人電腦、伺服器,轉而攻擊他人網路服務。

而這種往源頭、底層深入的攻擊態勢,也讓我想到好萊塢電影駭客任務(The Matrix)三部曲當中,主角Neo努力回到所謂的萬物之源(The Source)的情節,當中暗喻了攻擊者除了針對末端的種種防禦機制與漏洞之餘,若能設法潛入原始程式碼(Source Code),也是顛覆現有防線界限的重大關鍵(反之亦然,但要確保這方面的安全,防守方須付出的代價也不少)。

整體而言,2019年的資安態勢仍是治絲益棼的局面,想要做好相關防護,對於治標和治本的手段都必須靈活運用,積極掌握各種突發狀況,隨時準備應變之餘,也要持續提升基本控制的能力,畢竟每一個環節都有出錯的可能性,而且,每一個接觸的使用者、設備,都有可能是他人冒名頂替,或是本身就懷抱著不良居心,在每個組織、機構都在面臨數位轉型的挑戰之際,該有的安全措施必不可少,該時時監控的功夫也不能省略。

Tags: 

【2019資安十大趨勢1】資料外洩危機吹向社群網站、觀光產業,以及雲端儲存

最近幾年的資料外洩事件頻傳,在2018年裡,不僅這類攻擊的次數極為頻繁,幾乎每個星期都會出現,而且,許多事件遭竊的資料數量都非常龐大,例如,萬豪國際旗下的子集團喜達屋酒店,下半年驚傳5億房客資料被駭,僅次於2013年雅虎30億筆規模。

在維基百科上所列出資料外洩事件,2018年列於規模前20大者就有4件,而且前3大攻擊所洩露的資料數量,都在1億筆以上,比起過往都要來得多。而這種現象,代表駭客想要將攻擊的效益最大化,在2019年應該會更加明顯。

再者,則是攻擊者鎖定的目標變化,朝向社群網站與觀光相關產業下手,而這些業者,通常手上擁有大量用戶個資,駭客一旦得手,就有機會一口氣取得以千萬或是億為筆數單位的資料。

不光是歐美出現災情,就連亞洲的國泰航空也在調查超過半年之後,對外公告有940萬旅客資料遭到未授權存取,於引起香港引進了不小的風波,許多客戶向媒體表示,曾向該航空用來購買機票的信用卡,遭到重覆盜刷。因此,不只是前述會出現規模更為嚴重的事件,攻擊目標也不再局限於資訊化程度較高的地區與產業類型。

事實上,2018年規模最大的2起攻擊,受害的分別是飯店業者與運動用品公司(Under Armour),其次才是社群網站Quora和MyHeritage,所以,2019年駭客下手的產業類別,應該也會延續這樣的趨勢。

不只駭客動手偷取資料的情況相當嚴重,同時,值得留意的是,由於企業對雲端服務的接受度,較以往增加,連帶因存取權限設置不當,導致儲存在雲端機敏資料,在無意中遭到公開,使得任意人士只要能找到路徑,就能取得上述檔案,這類事件在2018年出現也相當頻繁,而且,其中不乏大型的IT公司。

而較為值得慶幸的是,截至目前為止,被資安專家揭露的問題,大部分曝光的資料尚未遭到濫用,但這也代表駭客在未來的一年,可能會朝向找尋沒有妥善設置權限的機敏內容,做為日後犯案的工具。例如,得手後的使用者個人資料,駭客可以用在銀行帳戶或是電信門號的詐騙上。其中後者已經出現了冒充手機用戶(SIM-Swapping)的手法,透過向電信業者的客服要求補發新的SIM卡,或是修改使用者的個人資料,然後控制被害人的門號,再進一步發動攻擊,像是洗劫受害者的加密貨幣帳戶等。

臉書上半年累計洩露22億筆資料

以往駭客的攻擊目標,可能會優先朝政府單位與醫療機構下手,不過,近年來臉書的個資外洩事件,可說是不斷發生,像是2018年3月,劍橋(Cambridge Analytica)分析公司不當取得臉書5,000萬名用戶的資料,並暗中濫用來投放廣告等,隨後,這起事件陸續延燒,臉書執行長祖克柏更是親上火線,到美國國會進行說明。

另一起重大攻擊事件,則是在9月份,臉書網站出現網站功能的漏洞,這是結合了供使用者確認個人首頁的檢視角度(View)功能、祝賀朋友生日的影片上傳工具,以及維持用戶登入狀態的Token派送機制等。總計約有9,000萬名使用者受到影響。

就單一事件而言,臉書洩露的資料數量並非最多,但是2018一整年下來,外洩事件接連不斷發生,根據在Gemalto推出的2018上半年報告裡,社群網路洩露的個資數量就超過一半,達到25億筆,而光是臉書占了22億筆之多。這樣的情況,也導致整體遭駭資料筆數,較去年同期大幅增加為2.3倍。

至於其他類型的社群網站,在2018年也出現大規模的資料外洩事件,像是美國知識問答社群網站Quora,12月表示1億用戶個資遭駭,成為前述2018年洩露資料第3多的事件。其次是以色列的家譜網站MyHeritage,也在6月時外洩超過9,200萬名使用者個資。

觀光產業成駭客下手重要標的

在社群網站之外,與觀光產業有關的公司,像是飯店業者、航空公司、訂房與訂機票的網站等,2018年受到攻擊的情形也層出不窮,而且不乏洩露筆數相當龐大的事件,包含了近期才揭露的萬豪(Marriott)酒店集團資料外洩事件,約有5億筆資料受到未經許可的存取。

這起事件中,受害單位是萬豪酒店集團旗下的喜達屋(Starwood)飯店,他們美國地區的預約客戶資料庫於9月時,資料遭到未經授權存取,範圍遍及2014年至今的訂房客戶資料。這樣的資料外洩規模可說是第2大,僅次於雅虎遭駭30億筆資料的事件。

企業在雲端配置權限錯誤事件頻傳

除了上述2種攻擊事件頻傳,另一種型態的資安風險,那就是企業將資料放上雲端之後,因為沒有將權限設置正確,導致公司的機敏內容,任何人都能取得。雖然這種事件多半在資安公司通知之後,資料的所有者就關閉相關存取權限,並未造成災情,不過,這樣的現象,也突顯企業潛藏了許多機密,可能因此曝光而不知情。而且,就連專門開發虛擬備份平臺的IT業界龍頭Veeam,也照樣中招。

資安研究員在2018年9月,無意間透過物聯網搜尋引擎Shodan,發現Veeam公開的MongoDB資料庫,而且,不需密碼就能存取。這套搜尋引擎在8月底時,把上述的資料庫納入索引,並於9日9日才關閉。這個資料庫總共存放4.45億筆的客戶資料,對於想要發送大量垃圾郵件的人,或是利用網路釣魚發動攻擊的駭客而言,簡直就是寶庫。

【2019資安十大趨勢2】大規模攻擊橫跨多廠牌物聯網裝置,受害範圍持續擴張

針對路由器、網路監視器、印表機、網路儲存系統(NAS)等,這些需要仰賴網路連線運作的物聯網設備,近年來的攻擊事件也時有所聞。即使是小至物聯網插座開關,也不能掉以輕心,例如,McAfee於8月時,揭露Belkin生產的Wemo Insight Smart Plug漏洞(CVE-2018-6692),並表示這款插座一旦連接了家裡的無線網路,就能讓駭客對其他連線的裝置動手。

根據9月底時Kaspersky公布的2018上半年度報告,他們從物聯網裝置裡發現的惡意軟體共121,588種,比起前一年的32,614種要多出將近3倍。雖然物聯網裝置使用量的增長,每年都以數十億的規模增加,以Cisco分析的報告來看,從2018年的348億臺,到2019年估計會成長到421億臺。而針對這些裝置的惡意軟體,在2016年時僅有3,219種,短短2年的時間就成長了近38倍,可見駭客認為,對物聯網裝置下手有利可圖,紛紛投入開發相關的惡意軟體,而這樣的態勢,也會因物聯網裝置數量持續增長的情況下,在2019年延續下去。

其中,2018年裡最知名的Mirai變種──VPNFilter,Cisco Talos首度於5月揭露時,受害範圍遍及54個國家,約有50萬臺裝置遇害,次月受害裝置的數量,更是達到100萬臺。這起事件也受到美國聯邦調查局(FBI)重視,介入調查。

這類裝置受到攻擊後,極為容易如滾雪球般傳播。以鎖定MikroTik路由器,並植入CoinHive挖礦腳本的攻擊事件為例,駭客利用該廠牌路由器專屬作業系統RouterOS的漏洞(CVE-2018-14847),在4月時約感染了7.2萬臺裝置,而在8月時,估計有20萬臺MikroTik路由器受害,截至12月,災情更大幅蔓延到40萬臺以上。儘管MikroTik早於4月提供新版韌體,然而這半年多來,遭到感染的路由器數量還在持續攀升。

多廠牌路由器與工控設備受影響

論及2018年最具代表性的物聯網裝置惡意軟體,應該就屬Mirai變種的VPNFilter莫屬。最早由俄羅期駭客集團Fancy Bear(或稱APT28)所採用,這個惡意軟體能夠感染的網路設備,包含了華碩、D-Link、華為、Linksys、MikroTik、Netgear,以及TP-Link等廠牌的路由器,還有QNAP的網路儲存設備。除了家用裝置,VPNFilter也能感染SCADA系統,並且滲透工業控制系統裡常見的Modbus協定。接著,Symantec也推出專屬的檢測工具,供使用者下載。

前述遭到VPNfilter鎖定裝置的共通點,就是韌體都由Busybox編譯而成,而這款惡意軟體便是透過韌體裡的Busybox,控制設備能定時啟動作案用的工具。

後來,Cisco發現VPNFilter的攻擊模組,在6月和9月時都有所增加,9月時更一口氣加入了7項功能,不光能監聽網路流量,還能控制SSH連線等。而趨勢科技6月時也指出,上述遭到VPNFilter鎖定的裝置,他們另外找到了19個漏洞,導致同時會面臨Mirai、Reaper,以及WannaCry攻擊的風險。

為表達特定訴求的攻擊隨之出現

值得留意的是,攻擊者雖然普遍集結大量的物聯網裝置,再進一步控制這些設備,執行DDoS攻擊、濫發垃圾信件,或是用來挖礦等,但是在2018年出現了新型態的手法。在11月底,一個推特帳號為TheHackerGiraffe的駭客,透過印表機的漏洞,從80萬臺設備裡挑選了其中5萬臺列印特定訊息,只為了要求大家,支持人氣面臨威脅的YouTuber榜首,也就是目前擁有最多訂閱者的PewDiePie,並取消訂閱後來居上的印度寶萊塢歌唱團體T-Series。

幾天之後,資安業者Grey Noise再度偵測到另一起印表機攻擊,攻擊者由受駭印表機印出Printeradvertising.com的服務廣告,標榜只要250美元,就能夠將廣告主的訊息,傳送到全球所有的印表機,上述網站在當日便收到了600封詢問信件。

優化關鍵字廣告有新作法,微軟Bing廣告用機器學習來擴大搜尋廣告的曝光範圍

不用下大量關鍵字廣告,也能讓廣告曝光給更多相關用戶,微軟的Bing廣告最近推出了一項擴大關鍵字廣告曝光範圍的新作法,可以連不在關鍵字廣告清單上的相關搜尋用詞,都能自動納入廣告曝光範圍,連廣告主沒下的關鍵字也能曝光,微軟目前將此技術提給給一家時尚零售商試用,微軟宣稱,經過實驗結果證實,能有效提高點擊率5.9%,不過微軟沒有透露實驗細節或實驗者公司名稱。

另外,這項技術也不只可以用於搜尋結果的廣告上,還能用於網站內部搜尋中,透過結合個人購買行為或是搜尋歷史,客製化購物者的個人品味搜尋,提高整體搜尋結果的相關性。

在傳統搜尋廣告中,廣告商會指定關鍵字,系統則會配對查詢和產品描述,以排名相關的產品廣告,但這種方式在時尚產業卻行不通,微軟提到,如果廣告商要指定並競價所有可能的時尚關鍵字,那成本將會非常昂貴,而且選擇關鍵字的同時,也就決定了產品廣告排名方式,關鍵字影響了最大化相關性的機制運作,因而限制了用戶點擊這些廣告的次數。

使用者在搜尋引擎下的關鍵字可能為<brand name> dresses on sale,而廣告商下的關鍵字為,為<brand name>與 dresses,而這些產品的描述為<brand name> bodycon midi dress和<brand name> jacquard midi dress等,傳統做法,廣告僅以搜尋查詢與廣告關鍵字配對進行排名,將會損失bodycon midi以及jacquard midi這些有價值的資訊,而使結果不夠精準。

Image may be NSFW.
Clik here to view.

而微軟對此的解決辦法就是反其道而行,讓用於時尚零售搜尋排名不受關鍵字配對影響,反而是根據不符合查詢關鍵字的產品描述未配對字詞(Unmatched Words),對廣告進行排名。而在產品描述中,未配對字詞的重要性,可以從過去相同的查詢,使用者對其他產品的點擊中習得。

同樣以<brand name> dresses on sale查詢為例,如果產品<brand name> jacquard midi dress的點擊率高於<brand name> bodycon midi dress,則可以推斷未配對產品描述字詞jacquard的重要性比bodycon還要高。而重要性在部分情況下,可以推論為受歡迎的程度,也就可以得到jacquard比bodycon更受歡迎的結論。

Image may be NSFW.
Clik here to view.

而且為了方便相似的查詢,微軟將搜尋關鍵字dresses會與未配對產品描述字詞綁在一起,成為查詢-產品單詞對(Query-Product Word Pairs),產生dresses-jacquard與dresses-bodycon這樣的資料,用以訓練資料訓練機器學習模型,以學習查詢-產品與點擊率的模式。

Image may be NSFW.
Clik here to view.

當使用者輸入一個前所未見的查詢時,該模型則會為查詢和產品描述,產生相對應查詢-產品的字詞,並用來預測每種產品的點擊率,預測點擊率最高的產品將獲最高排名,而產品的廣告就能依照預測點擊率降冪排列,以最大化廣告相關性與查詢使用者的點擊次數。

將未配對字詞加入排名考量,不只免去了時尚產業廣告商必須要手動指定所有關鍵字的麻煩,其點擊率預測技術,還能幫助時尚零售商評估,最初用於競價的查詢廣告關鍵字的重要性。

同時,這項技術不只能用在搜尋引擎的基本廣告排名,時尚零售商網站內搜尋也能應用。微軟提到,由於個人品味非常主觀,零售商可以使用該技術為每位客戶量身訂做搜尋推薦,甚至可以加入歷史購買清單作為推薦參考依據。這項技術可以滿足時尚零售獨特的消費者行為,根據使用者過去點擊的產品,結合季節性時尚趨勢,甚至是不停變化的審美觀,提供更好的預測。


IBM旗下天氣預報App被控騙取千萬用戶分享資訊給廣告主

IBM旗下廣受歡迎的天氣預報頻道(Weather Channel)App 遭加州洛杉磯市政府控告多年來利用不實的許可要求,將鉅細靡遺的用戶精準地點資訊分享給廣告用戶。

根據加州政府的控告文件,天氣頻道背後的天氣公司(TWC)公司多年來「欺騙性」地使用天氣頻道App,夜以繼日追蹤並累積用戶詳細的隱私個人地點資料,卻誤導用戶相信這些資料僅供提供個人化的本地位置資訊、通知及預報。

但之後TWC卻將這些資訊傳送給IBM關係企業及其他單位,作為和天氣預報無關的廣告及商業用途,像按其地點發送精準廣告,或依據消費行為推銷避險基金。用戶必須要找到App中「隱私設定」及「隱私政策」才會看到說明,可是這些資料用途分別藏在近萬字的隱私政策不同章節中,根本很難發現。

2015年被IBM收購的天氣頻道是全球下載量最大的天氣預報App,洛杉磯市政府相信TWC 蒐集的資料不僅是用戶所在地的州、城市、郵遞區號,也包括用戶app的使用習慣。加州政府引用紐約時報報導,該App還會追蹤用戶居住及工作地點,以及從早到晚到了哪些地方,這些資料可被用來分析用戶的日常生活習慣、消費喜好甚至其人口特徵(性別、年齡等)。

許多用戶多年來一直被矇在鼓裏,使天氣頻道得以將其資料傳送給第三方單位以獲利。加州政府指控,事實上,將用戶地點資料量最大化是TWC的核心商業模式。洛杉磯市政府引述TWC一名高層的話說,這些資料是IBM收購TWC的原因之一。

紐約時報引述IBM發言人的說法,天氣公司向來清楚向用戶說明地點資料的使用,其資訊揭露也無不當,IBM將奮力捍衛。 

蘋果和三星合作,三星Smart TV可以觀看iTunes內容了!

為拼服務營收,宿敵也可以合作。就在CES 2019前夕,蘋果和三星宣佈簽訂合作,三星智慧電視Smart TV將可支援訂閱iTunes的電影及電視節目內容。此外新款Smart TV 未來也會支援Apple AirPlay 2。

在這項合作下,蘋果將針對三星Smart TV開發獨家的全新iTunes Movies及TV Shows app,並在100多個國家發佈,讓Smart TV得以從iTunes上訂閱電視及電影內容包括4K HDR高畫質電影。這二款app也將可和Smart TV內建服務,包括電視選單、語音助理Bixby及搜尋服務整合使用。

三星的2018年款Smart TV將會透過升級韌體來支援最新服務。

此外三星也宣佈從今年春天在全球190多國開賣的2019年款Smart TV也將首度支援Apple AirPlay 2介面,這意謂著未來用戶可以將音樂、影片及podcast從iPhone或iPad上傳送到Smart TV上使用。支援的電視平台包括4K、8K、UHD、HD以及具設計感的產品線如Serif、The Frame 系列。

蘋果網際網路軟體及服務部門資深副總裁Eddy Cue指出,很期待將iTunes及Air Play 2透過三星Smart TV帶給更多用戶,使iPhone、iPad和Mac可在家中面積最大的螢幕上享受他們最愛的內容。

蘋果和三星這兩個在智慧型手機上的死對頭合作,固然震驚業界,卻也非全然令人吃驚。智慧型手機市場飽和,以及中國業者如華為、小米、Oppo的擠壓下,去年以來三星和蘋果紛紛感受到成長壓力。蘋果於第4季首度出現iPhone出貨零成長,蘋果甚至罕見發佈下修2019年第1季的財務預測。相較之下,包括Apple Store、Apple Music及iTunes等服務類別已經接連數季呈現高成長,可望成為蘋果最新成長火車頭。

同樣的,三星雖然去年第三季勉強維持住智慧型手機龍頭地位,但市佔持續萎縮。在中國業者的競爭下,三星和蘋果在手機市場的敵對態勢已經大不如以往,不如化干戈為玉帛。

Cloudera與Hortonworks正式完成合併,搶攻AI、邊緣資料應用市場

在2018年10月時,Hadoop生態系內的兩大重要廠商Cloudera、Hortonworks,聯合宣布合併計畫,而這一樁併購案,在近日宣告完成。Cloudera表示,未來該公司的目標,是要提供企業等級的資料雲服務,「解放資料蘊含的潛力」,支援AI、邊緣運算等部署情境。

Cloudera產品長Arun Murthy表示,雙方合併不只是資源、人力的整合,財務狀況也變得更為穩定。不僅無負債,目前Cloudera手上也握有5億美元的現金,根據目前雙方的營收狀況,未來預計年收入可達7.6億美元。

Cloudera與Hortonworks合併後預計釋出的資料平臺產品,除了主打是100%開源外,當然也要跟上近期雲端技術趨勢,能夠同時相容混合雲、多雲部署應用情境,提供企業用戶足夠的搬遷、部署彈性,避免被特定廠商綁定。

Cloudera執行長Tom Reilly表示,未來預計推出整合式套裝解決方案,讓企業用戶可以選用任意環境,執行資料分析的工作負載。目前Cloudera的產品,皆可以在主流公有雲平臺上執行,囊括AWS、Azure、Google、IBM及甲骨文。

面對次世代的開源專案如Kubernetes、容器技術,或者雲端原生架構的浪潮,Arun Murthy表示,這些市場都是未來Cloudera所瞄準的目標,同時,必須借力雙方既有產品的功能,像是Hortonworks Data Platform、Cloudera CDH,讓企業用戶的資料平臺能同步部署在多雲環境運作。

Linux 4.21候選版預計開始支援樹莓派觸控顯示器

在樹莓派上開發物聯網、嵌入式應用的開發者,近期又有好消息傳出,Linux Kernel開始要正式支援樹莓派觸控顯示器。Linux核心維護者暨Google工程師Dmitry Torokhov近日在Linux Kernel開發信件群組中,發布了一個新的合併請求,除了修復不同輸入裝置驅動程式的問題,同時也新增樹莓派觸控顯示器的驅動程式。

根據樹莓派基金會釋出的資料,原先想要整合此觸控裝置的使用者,必須安裝Raspbian OS,而現在Linux 4.21開發預覽版正式支援後,未來使用者能選用的作業系統又更為豐富。

日前搶在聖誕節前發布的Linux 4.20版本,新增超過35.4萬行程式碼。除了新增對中國海光的x86架構Dhyana系列CPU,以及多款AMD的處理器、顯示卡的支援外,外接設備也相當豐富,囊括Xbox One S搖桿、 Cirque觸控板,以及27吋的Apple Cinema Display 。

Image may be NSFW.
Clik here to view.

樹莓派官方的觸控顯示器產品大小為7吋,像素為800 x 480,讓使用者可以結合樹莓派,開發觸控應用,該設備最高可支援十點觸控。圖片來源:樹莓派基金會

Image may be NSFW.
Clik here to view.

除了Raspberry Pi Zero and Zero W這兩款產品外,其他系列的樹莓派皆可以相容此設備。此觸控顯示器透過樹莓派的GPIO接點供電,同時利用內建的排線,與樹莓派裝置進行連結。圖片來源:樹莓派基金會

Amazon市值超越微軟,晉升為全球最有價值企業

微軟才在去年11月底取回了睽違16年的「全球最有價值企業」頭銜,但僅維繫一個多月的時間,在本周一(1/7)就被Amazon超越,把該稱號讓給了Amazon。

Amazon本周一的股價上漲了3.44%,以1,629.51美元作收,市值達到7,967.80億美元,而微軟當天只上漲了0.13%,以102.06美元作收,市值為7,835.67億美元,雙方的差距並不大。

市場預期Amazon與微軟之間的身價消長將會持續進行,因為這兩家都是目前最為投資人所看好的企業。

至於第三名的企業則是Alphabet,Alphabet周一股價下滑0.22%,收盤價為1,068.39美元,市值為7452.24億美元;而去年11月還身為全球最有價值企業的蘋果,則在財報失利、調降財報預測的陰影下,在短短一個多月的時間,股價即從180美元左右下滑到148美元,下滑幅度超過17%。昨天蘋果的收盤價為147.93美元,市值則是7,019.87億美元。

Viewing all 32552 articles
Browse latest View live