微軟於美國時間9月10日周二釋出本月Patch Tuesday安全更新，修補了80項漏洞，包括已經被開採的2個零時差攻擊漏洞。

本月修補的漏洞涵括瀏覽器、遠端程式碼用戶端軟體、SharePoint及Azure等產品。80項漏洞中，CVE-2019-1214 及 CVE-2019-1215 已經遭攻擊程式開採。兩者都屬於高度風險的權限升級漏洞，分別影響CLFS（Common Log File System，通用紀錄檔檔案系統）和ws2ifsl.sys（Winsock）服務，可讓駭客取得權限以執行惡意程式，進而接管系統。

80項漏洞中有17個被列為重大風險漏洞。其中4個存在遠端桌面用戶端程式，包括CVE-2019-0787、 CVE-2019-0788、CVE-2019-1290 和CVE-2019-1291，和之前的BlueKeep、類似BlueKeep又稱DejaBlue的RDS漏洞一樣，這4項漏洞也都是微軟內部研究人員發現，不過攻擊者必須誘使用戶連上惡意遠端桌面伺服器，才能完成攻擊。

3個重大漏洞發生在SharePoint，屬於遠端程式碼執行（RCE）漏洞，分別為2019-1257、 CVE-2019-1295及CVE-2019-1296。安全廠商Qualys將之列為需優先修補的漏洞。另有1個RCE漏洞CVE-2019-1306，同時影響Azure DevOps Server 及Team Foundations Server（TFS）。

此外，Qualys也提醒，瀏覽器、JavaScript引擎及LNK檔的重大漏洞，影響用以上網和收發電子郵件的系統，包括多使用者作為遠端桌面的伺服器，應該儘速更新。

除了微軟之外，Adobe和SAP也在今天發佈安全更新，各修補了10個和13個漏洞。 

蘋果的遊戲訂閱服務Apple Arcade將在9月19日隨著iOS 13的問世而登場，初期將提供超過100款的獨家遊戲，而蘋果的原創內容頻道Apple TV+則會在11月1日報到，不管是Apple Arcade或Apple TV+的每月訂閱費用都為4.99美元。

Apple Arcade號稱是全球第一個遊戲訂閱服務，且標榜所有的遊戲都是獨家的，不會出現在其它行動平台或訂閱服務中。Apple Arcade將率先跟著9月19日釋出的iOS 13出現在iPhone上，9月30日隨著iPadOS與tvOS 13的發表現身於iPad與Apple TV上，而10月則將伴隨macOS Catalina而進駐Mac電腦，讓玩家不管是透過手機、平板或個人電腦都能存取Apple Arcade服務。

Apple Arcade將內含從動作遊戲、冒險遊戲到解謎遊戲，目前已供應超過100款遊戲，且每個月都會發表新遊戲，其每月的訂閱費用為4.99美元，且所有遊戲都能離線進行。

首波的Apple Arcade遊戲涵蓋了由Gameloft所設計的Ballistic Baseball棒球遊戲，由Devolver所開發的逃獄遊戲Exit the Gungeon，Finji打造的後世界末日冒險遊戲Overland，或是Snowman的街頭滑板遊戲Skate City等。除了可以觸控或Siri Remote來控制遊戲的進行之外，有些遊戲亦支援其它的控制器，如Xbox的藍牙無線控制器、PlayStation DualShock 4及MFi的遊戲控制器等。

根據蘋果的規畫，Apple Arcade的訂閱用戶可擁有每個遊戲的完整版本，包含所有的更新與擴充，因此沒有遊戲中購買機制，亦無任何廣告。蘋果還在App Store中新建Arcade標籤，以讓訂閱用戶可下載及執行遊戲。

另一個受到外界矚目的蘋果服務為Apple TV+ ，這是蘋果的原創內容頻道，它將在今年11月1日現身於Apple TV程式中，除了支援iPhone、iPad、Apple TV、iPod touch與Mac等蘋果裝置之外，亦將支援三星的智慧電視，或是Amazon Fire TV、LG、Roku、Sony與VIZIO平台，蘋果用戶或其它裝置也能透過tv.apple.com存取該服務。Apple TV+預計在全球逾100個市場推出，每月訂閱費用為4.99美元

雖然Apple TV+的訂閱費用與Apple Arcade一致，但Apple TV+的單一訂閱可支援6名家人的使用，且即日起舉凡購買iPhone、iPad、Apple TV、iPod touch或Mac的消費者都能享受一年免費的Apple TV+服務。

Apple TV+首波出擊的原創影集包括《See》，它的背景是在600年後的世界，有一病毒摧毀了人類，倖存的人類則失去了視力，描述人類如何在這樣的狀態下適應並存活。另一部《The Morning Show》講的則是晨間新聞的世界，以及那些藏在晨起人們背後的野心或權力欲望。還有探討社會、性別與家庭的黑色喜劇《Dickinson》，也有討論全球太空競賽潛在後果的嚴肅專題《For All Mankind》等。

蘋果並未公布現有的Apple TV+原創內容數量，僅說每個月都會有新內容上場。

網站管理員除了可以使用連結屬性rel="nofollow"，以指導Google搜尋引擎的行為之外，Google現在還加入sponsored以及ugc兩種屬性，sponsored是專門用來標記廣告相關的連結，而ugc則代表內容由使用者產生。

Google在2005年推出了nofollow連結屬性，提供網站管理員一個方法，通知Google搜尋引擎不要追蹤帶有nofollow旗標的網頁連結，特別是針對廣告以及受贊助的連結，以改善搜尋的品質，阻止垃圾連結擴散。而Google提到，這個屬性推出已經將近15年，網路環境也有許多進展，因此他們現在要對連結屬性作出一些改變。

nofollow連結屬性仍然存在，可用於不希望為連結提供任何類型的背書（Endorsement），像是避免將排名信用分數（Ranking Credit）傳遞至其他頁面。新增的兩個屬性為sponsored與ugc，sponsored是用來標記網站上的廣告、贊助商以及補償協議的連結，ugc（User Generated Content）則是使用者產生的內容，包括評論或是論壇發文。

除此之外，另一大改變是，現在三種屬性的連結，包括nofollow，都會被當作Google搜尋分析的提示訊號，過去連結使用nofollow，Google搜尋便不會將其用作搜尋演算法的訊號，Google表示，現在之所以有這樣的改變，是因為這些連結都有助於改進搜尋的品質，像是連結中的文字描述連結內容的方式等資訊，而且查看更多的連結，將有助Google辨識不正常的連結模式。

現有使用nofollow作為阻擋贊助連結的方法，或是不為連結提供背書的頁面，可以繼續使用nofollow屬性，Google強調，目前所有使用nofollow的連結都不需要改變屬性。而對於那些將nofollow用於廣告或者贊助商連結，也不需要做出改變，網站管理員應繼續使用nofollow作為標記此類連結的方法，同樣的，所有既存的連結都不需要改變，以避免受到連結架構的懲罰，而新加入的連結也可以繼續使用nofollow屬性，或是改使用sponsored。

同一個連結可以使用多個rel值，像是rel="ugc sponsored"，這代表連結內容是由使用者產生，而且是受贊助的，而新舊屬性也能混用，例如使用rel="nofollow ugc"這樣的寫法，以向後相容不支援新屬性的服務。

這些新屬性可以讓Google搜尋更好地分析網頁連結，但是對網頁管理者來說，仍可以自己選擇採用與否，不過，Google提到，不少允許第三方貢獻內容的網站，都採用了各種工具阻擋垃圾訊息，而ugc和nofollow連結屬性，則可以進一步成為阻擋垃圾訊息的手段。

目前三種屬性都已可被用作排名的提示訊號，而針對爬蟲以及索引用途，nofollow會到2020年3月1日才成為提示訊號，而對於那些使用nofollow屬性，單純僅是為了阻擋Google搜尋引擎為頁面索引的網頁，應該使用Google所提供更強健的機制。

Google持續擴大對臺灣的投資! 去年啟動的智慧臺灣計畫，除了在臺灣建立亞洲最大的研發團隊、培育AI及數位行銷人才之外，Google還和經濟部合作共同推動產業合作，Google今天宣布在臺建置的第二座資料中心就是成果之一。

Google擴大在臺資料中心佈局，今早宣佈在臺將建置第二座資料中心，並在經濟部工業局牽線協助下，新資料中心將落腳在台南科技工業園區，但Google並沒有進一步說明土地、未來資料中心規模、投資金額，9月底Google將在臺灣舉行雲端相關活動，可望進一步說明更多訊息。

Google是在2011年首次宣布在臺建置首座資料中心，也是Googel在亞洲地區的首座資料中心，在彰濱工業區購買15公頃土地，該中心在2013年正式啟用，承襲了Google對資料中心的能源管理政策，彰濱工業區的資料中心PUE值達1.14（Power Usage Effectiveness），後續Google加碼投資從3億元一舉增加至6億美元，並先後擴建第二、三期工程。

去年Google在智慧臺灣計畫中，宣布彰濱工業區的資料中心進行第四期擴建工程，顯示隨著亞洲地區上網人口增加，以及雲端業務擴張的需要，擴大彰濱工業區資料中心的規模。根據建照公開資料，今年彰濱縣西鄉宏濱段4、5號地號約12公頃土地。

而今早Google宣布在台南購地，準備興建在臺第二座資料中心，確定落腳在台南科技工業園區內。根據台南科技工業園區的公開資料，目前開放東區4-2期預登記租售，4-2期共有33公頃土地，劃分為8塊地並以臨時編號(臨1、臨2到臨8)供登記租售，國內有媒體報導，Google購置約20公頃土地，如果消息屬實，則從佔地來看可能為臨1到臨3。

對於資料中心選址，Google內部有一套嚴謹的程序，包括技術及其他因素，例如水電、通訊等基礎設施是否完備、該地政府的產業政策、商業法規及成本。

台南科技工業園區在園區供電部份，園區內台電設有兩個變電所組成雙迴路，避免其中一個變電所故障導致斷電，另外，按照園區對進駐廠商的合約規定，要求進駐廠商建物屋頂面積至少30%需設置太陽能板，產出再生能源，至園區內的用水，區設有專管供水，可蓄水25000噸。在網路通訊部份，中華電信也在園區內設置地下化光纖網路，台南科技工業區也鄰近屏東枋山海纜登陸站，這些可能都是台南科技工業區雀屏中選的原因。

台南科技工業園區現有進駐的產業中，以金屬製品製造業佔2成最多，其次是電子零組件製造業約佔16%，其他較多的還有汽車零件製造業、機械設備製造業等。國內知名廠商如可成、友達都進駐園區。

Google在臺第二座資料中心落腳台南或許有跡可尋。今年1月Google宣布和永鑫能源、臺鹽綠能等業者合作，在台南魚塭架設4萬個太陽能板，以漁電共生的方式種電，Google承諾採購10MW再生能源，此舉不僅符合Google採購再生能源的政策，種電地點位在彰濱工業區資料中心以南100公里，但距離南科技工業園區僅有30多公里，可能就是為了台南的新資料中心未來用電調度預先規劃。

臺灣網路認證公司旗下的TWID身分識別中心和中華郵政合作，未來中華郵政擁有的2500萬郵政儲金帳戶可望成為TWID身分識別的來源之一，未來可用於線上申請電信門號或是通過保險業既有保戶的網路實名認證。

TWID身分識別中心去年和中華電信、台灣大哥大、遠傳電信、亞太電信、台灣之星合作，將身分識別從金融擴大到電信業身分識別，推動Mobile ID行動身分識別，讓用戶以手機門號作為網路身分識別，申請電子化政府服務，或是銀行及證券業線上開戶之用。

今天臺灣網路認證公司宣布和中華郵政合作，中華郵政成為該中心的ID合作夥伴，未來2500萬郵政儲金帳戶將成為TWID身分識別中心的身分識別依據，雙方完成系統介接後，用戶將就能以既有的郵政儲金帳戶身分通過第三方服務商的身分驗證要求，線上申請電信門號、第2類電子支付開戶，或是通過保險業既有保戶網路實名認證、電商或遊戲帳戶的實名認證等。

金管會副主委黃天牧表示，金管會陸續以修法、開放法規，刺激國內金融市場創新，例如透過立法推動金融監理沙盒，現在已有7家業者參與，今年7月開放三家純網銀業者，還有推動開放銀行，鬆綁金融機構上雲、數位金融業務等等。推動金融創新之餘，如何提昇資訊安全，建立客戶的信任相當重要。臺灣網路認證公司和中華郵政的合作，不只提供民眾便利的身分識別服務，也象徵國內金融科技服務的新里程碑。

中華郵政現有約2850萬存簿儲金帳戶、150萬的劃撥儲金帳戶、600萬的定期儲金帳戶，合計超過3600萬帳戶，這些帳戶當初都通過嚴格的身分驗證程序。中華郵政表示，未來和TWID身分識別中心完成串接，超過3600萬的儲戶就能更快的連接到第三方服務商完成身分驗證，客戶不需臨櫃就能申請服務。

臺灣網路認證公司董事長李榮琳則表示，在FinTech趨勢下，若要透過網路服務更多人，必須通過實名制確認申請者的身分，臺灣網路認證公司在ISO 29115國際標準下建立TWID身分識別中心，並介接各個ID身分合作夥伴，將把TSP(Trust Service Provider)服務普及到民眾。

談到未來身分識別發展的目標，李榮琳認為首先是做到多元化的身分識別機制，根據民眾手邊的資料，提供各種身分識別服務，像是自然人憑證、晶片金融卡、下單使用的金融憑證或是電信門號，其次是做到方便，例如TWID身分識別中心去年和擁有合計2800萬門號數的五大電信合作，以當初用雙身分證件申請的手機門號通過第三方服務的身分識別要求，現在和中華郵政的合作，因為中華郵政的郵政儲存帳戶相當普及，能夠提供更全面性的身分識別機制。

今天雙方宣布合作後，接下來TWID身分識別中心將和中華郵政進行系統介接，預計明年第一季完成。

政府推動非現金支付，各種支付工具在國內逐漸普及，但是不論是學生、上班族或是老年人，出門搭乘大眾運輸工具，例如捷運、公車或是台鐵，或是在超商、量販店、百貨公司小額消費，不少人會使用電子票證，例如悠遊卡、一卡通、iCash及HappyCash代替現金支付，沒有特殊身分、經濟能力限制的電子票證已成為國人習慣使用的非現金支付工具之一。

不過，國內的電子票證產業即將迎來新的變革。今年8月金管會推動「電子支付機構管理條例」修法，並準備廢止「電子票證發行管理條例」，9月底將送行政院，再交由立法院審議，這次的修法將把電子票證和電子支付合併，將加速電票業者轉型至電子支付。

電票與電支合一，市場更複雜

面對電票、電支兩法合一帶來的衝擊，發行HappyCash且正在積極開發建置電子支付的遠鑫資訊服務部副總經理梁家榮表示，電子票證與電子支付合併，產業鏈會變得複雜，過去是電票與電票業者競爭，但市場匯流後，電票、網銀、信用卡等來自不同生態鏈背景的業者加入，各家業者需要找出自己的定位，市場也變得更錯綜複雜。

相較於電子票證市場只有4家專營電票業者及1家兼營銀行，國內電子支付市場有5家專營電子支付及21家兼營電子支付（含電票業者兼營、銀行及中華郵政），競爭者眾多。

梁家榮認為過去兩法並存、各自有不同的監管規則，未來兩法合一後，雖然降低了進入門檻及角色，但未來加上純網銀業者加入，還有監理的開放及整合，為市場投下許多變數，難以預料今後市場的發展變化。

電票與電子合一，不只是電票業者得以進入電子支付，電子支付也得以進入過去電票產業封閉支付場域的交通、軌道產業，將改變電票既有的生態系。

梁家榮坦言，過去電票業者花許多功夫申請兼營電子支付，但最終的結果和原來的設想不一樣。愈多的業者加入競爭，可能帶動低價競爭，增加獲利的難度，市場的優勝劣敗、適者生存也會更明顯。另方面，他認為政府未來的監理態度，也會大大影響市場是否能夠公平發展。

開發電子支付系統，加速轉型

目前遠鑫正積極開發建置電子支付系統，梁家榮指出，先前為了申請兼營電子支付，遠鑫對電支的研究、組織轉型下了一番功夫，加上早期結合TSM或NFC技術的行動支付服務興起時，將電子票證的支付功能帶到智慧型手機，讓電票從實體卡片的封閉支付工具，開始接觸到手機及網際網路，涉及線上交易、資安等問題，都成為遠鑫開發電子支付系統的基礎。

由於電子票證和電子支付兩者的交易性質不同，電子票證為離線或連線的智慧卡系統，電子支付為線上交易系統，電票與電支在運算模型也不同，電票和電支在核心系統是分開的。

但電票及電支系統的底層共用基礎架構，其他週邊的支援系統，像是消費者使用的App、特約商店端的系統、CRM管理等，還有人員的職能、基礎架構、SOP都可以整合。

遠鑫規劃以既有的底層基礎架構，以及人力支撐開發電子支付系統，包括在電子票證系統上原有金鑰、密碼學人力，再引導人員擴充電支線上交易相關的職能，開發電子支付系統。

目前電支系統已接近完工，正在進行測試，但和其他電票業者不同，遠鑫準備配合遠東集團整體的策略規劃，整合集團資源一起推出電子支付服務。

組織從垂直走向水平、強化資訊橫向分工

遠鑫電子票證公司資訊服務部副總經理梁家榮表示，「IT應成為資產，而不是阻礙，成功的IT要讓人察覺不到其存在」。攝影／洪政偉

在加入遠鑫之前，梁家榮曾在長榮海運、IBM、遠傳電信及鼎鼎聯合行銷工作過。在長榮海運期間擔任工程師，參與過全球提單系統及資料交換系統的開發，他在IBM學習到資訊架構等方法論。

2008年進入遠東集團旗下的鼎鼎聯合行銷擔任資訊部門主管，當時鼎鼎的底下有兩大業務，電商平臺的GoHappy（現在Friday購物的前身）及會員忠誠（現在的Happy Go），他負責優化電商平臺效能，因應當時電商資料外洩、詐騙事件頻傳，以及個資法上路，引起企業對資安的重視，他以VDI虛擬桌面，結合Smart Card身分驗證，強化內部的資訊安全。

遠東集團在2014年成立遠鑫，進軍電子票證市場，背後的股東包括遠傳電信、SOGO百貨、遠東百貨、遠東商銀、遠鼎、鼎鼎聯合行銷，梁家榮也在2016年以顧問身分進入遠鑫，後來因資訊部門主管離職，他轉而接掌資訊服務部門。

當時國內支付產業快速變動，除了手機上的行動支付，可綁定信用卡或電子票證，各種非現金支付工具也推出市場，在多元支付的趨勢下，商家為能接受各種支付方式，讀卡機及EDC刷卡機的併機需求因此增加。

梁家榮剛接掌遠鑫的資訊部門就發現其組織偏向垂直，由於電子票證屬於金融業務，為符合主關機構的監理，遠鑫網羅了其他銀行的人才，使得其內部資訊組織結構偏向銀行的組織結構。

當時遠鑫的資訊部門分為三個團隊，前檯、後檯及基礎設施維運組。其中前檯團隊負責面向客戶端系統，例如卡片、超商的POS機及程式，以及讀卡機、EDC；後檯團隊主要負責像是發卡主機、交易主機、帳務主機等；基礎設施維運組則負責系統、網路、主機及資料庫等。

三個團隊各自獨立規劃、作業，當有服務工單時，依性質交由不同的團隊負責，沒有服務流的概念，若有一個故障服務單，同時涉及到前、後檯或是維運組，難以劃分該交由哪個團隊負責，內部缺乏資訊橫向溝通、整合度不夠，效率也變差。

例如服務據點的網頁系統，因為和前端客戶有關，可能由前檯團隊負責規劃、維運建置，但實際上卻是使用後檯Java、.Net等技術開發，技能和思維存在落差。

前後檯的垂直結構，導致橫向的資訊溝通不夠，當發生問題時便難以找出原因，梁家榮希望打破這樣的組織型態，「IT應成為資產，而不是阻礙，成功的IT要讓人察覺不到其存在」。

他參考ISO20000標準，以服務流的分工方式打破垂直結構，分為TPM、前檯的核心、後檯的維運、MIS、Trouble Ticket等不同團隊，並強化橫向的資訊溝通，當有服務工單，較容易追蹤問題的發生點在哪，並從結構性去改進。從原來偏營運維護的組織架構，轉為以服務導向的組織。

另外，他鼓勵員工擴大職能，學習其他工作技能，讓他們能支援其他人的工作，並透過增加職務的橫向流動，例如調整前後檯員工，讓員工也能學習到不同領域的工作思維及技能。

原本遠鑫的資訊部門人數將近50人，經過水平的組織改革後，每位員工的生產力增加，在員工自然汰換下，現在資訊部門員工數已降到近30人。

開發多元支付EDC併機方案擴大通路生態

國內各種支付工具快速推出，除了常見的電子票證外，各種行動支付、電子支付的推出，雖為消費者帶來多元的支付工具選擇，但也對商家帶來困擾，結帳櫃檯上擺滿各式讀卡機，例如悠遊卡讀卡機、某家銀行信用卡讀卡機，大幅降低店家接受其他支付的意願，也是遠鑫推廣HappyCash消費合作商家所碰到的挑戰之一。

為了擴大HappyCash的支付通路生態，遠鑫扮演各種異質系統的中介系統整合的角色，例如當A支付業者和B通路業者，雙方均不願意變動規格時，遠鑫和各家業者溝通，透過分析各家規格差異，開發出可相容於多種支付工具的EDC併機方案，提高商家接受HappyCash支付的意願。

梁家榮表示，從學習各家的規格，去克服異質系統的相容問題，這麼做雖然辛苦，但是能為團隊累積自己的資產，以後再遇到相似的問題，就能馬上點出痛點。

目前HappyCash已可在遠東百貨、愛買、SOGO百貨、遠東巨城購物中心，以及臺北捷運、高雄捷運、桃園捷運、台鐵、高雄輕軌等交通運輸，還有全家、OK、萊爾富便利商店、中油、台亞加油站等，約有15,000個據點可使用HappyCash。

和遠傳合作評估上雲

未來電票、電支市場合一，銀行、純網銀、電票等業者同臺競爭，市場匯流後變得更為複雜，電票業者勢必得提升營運效率，降低成本，以因應更多業者、高度競爭的電支市場。

為了提升營運效率、降低成本的目的，遠鑫也看好雲端服務。

日前金管會已鬆綁金融機構上雲，以有條件的方式允許金融機構使用雲端服務，看準上雲可能帶來營運效率、成本節省等好處，遠鑫和同集團的遠傳電信合作，開始評估如何滿足主管機關的監理條件，瞭解需通過哪些程序及要件才能使用雲端服務。

目前遠鑫的資訊系統已採用軟體定義架構，全部採用虛擬化，以VMware搭配NetApp的儲存系統，並考慮採用vSAN虛擬化技術，採用軟體定義的基礎架構，有助於日後上雲，彈性資源的調度管理。

梁家榮認為軟體定義的技術已相當成熟，未來透過雲端服務，可以將IT從重資產的固定維護成本，改為按使用量付費的方式，成本可變動的輕資產。遠鑫近期評估結果，認為上雲可能節省超過3成的設備維護及堆疊成本。

遠鑫評估哪些系統未來可能適合上雲？他以電子支付系統為例，由於為線上交易，若短時間內忽然有大量交易發生，就適合以雲端服務進行彈性的資源調度，遠鑫規劃未來可能將電支系統架構在雲端服務上，如此當行銷活動吸引爆量的線上交易，就可利用雲端服務彈性擴充資源。

雲端服務對企業資源的彈性運用帶來不小的助益，梁家榮以電商為例，行銷活動吸引大量流量，可以區分為瀏覽流量及下單流量，大量的瀏覽流量可利用雲端服務，而重要的下單流量可以回到內部的核心系統處理。

他建議上雲可回歸到營運面考量，是否能提高生產力、效率、使成本降低，或是讓資產使用合理化。

  CIO小檔案  

遠鑫電子票證資訊服務部副總經理梁家榮

學歷：東吳大學電子計算機科學系

經歷：1995年加入長榮海運擔任工程師，2000年在遠傳電信負責加值服務開發，2006年在IBM擔任電信業務的技術顧問，2008年進入鼎鼎聯合行銷，帶領技術管理部，負責優化電商平臺效能及資安，2016年先以顧問身分進入遠鑫電子票證公司，後續帶領資訊部門。

  公司檔案  

遠鑫電子票證

● 地址：新北市板橋區遠東路一號5樓A室

● 成立時間：2014年6月27日

● 主要業務：核心業務為「晶片智慧卡」的銷售，此張晶片卡可取代消費者現有的零錢包，成為一張可隨處、隨時使用且便利性高的電子錢包。

● 員工數：65人

● 資本額：15億元

● 董事長：梁錦琳

● 總經理：蔡淑華

  資訊部門檔案  

● 資訊部門主管職稱：資訊服務部副總經理

● 資訊部門主管姓名：梁家榮

● 資訊部門人數：29人

● IT預算：1.3億元

  IT大事記  

● 2015年：電子票證服務於遠東集團零售通路

● 2016年：開通交通服務及發行第二代卡片

● 2017年：提供行動支付與端末多元支付併機

● 2018年：取得電子支付執照及政府專案服務

● 2019年：電子支付平台建置與大型通路多元支付服務

Google在其雲端平臺推出Shielded GKE節點Beta測試版，提供強健且可驗證的節點完整性（Integrity），增加GKE節點的安全防護。而Shielded GKE節點則是建立於去年7月所發布的Shielded虛擬機器之上。

Google提到，隨著越來越多企業採用容器，使用Kubernetes部署工作負載，新的容器介面需要有特別的防護措施，否則存在漏洞的Kubernetes節點，給駭客廣泛的攻擊機會，可能以此取得有價值的使用者資料。而這個風險也不僅止於推論階段，因為在去年就已經有安全研究人員，成功透過Google上的工作節點憑證，取得整個叢集的存取權限。

而Shielded GKE節點強化了底層，增加抵抗各種Rootkit和Bootkit的攻擊，確保使用者的節點不被任意竄改，同時也能保護工作負載免於遠端攻擊或是特權提升等威脅。在Shielded GKE節點中，會對節點作業系統的出處進行確認，透過加密驗證檢查，確保節點作業系統正在Google資料中心的虛擬機器上運作。

也還會使用進階平臺上的安全功能，像是安全與測量啟動（Secure and Measured Boot）、虛擬可信平臺模組（vTPM）、可信UEFI韌體以及全面性監控等技術，提供進階Rootkit和Bootkit保護。Shielded GKE節點還使用了可信計算的標準規範，以驗證節點啟動的完整性並強化節點啟動程序。

Shielded GKE節點建構在Google Compute Engine的Shielded虛擬機器上，與Shielded虛擬機器相同的計價方式相同，用戶可以免費使用Shielded GKE節點，並能選擇Ubuntu或是Container Optimized OS（COS） 節點映像檔，執行GKE v1.13.6或更新版本。目前Shielded GKE節點服務已經在所有區域提供。

繼Mozilla之後，Google也在本周宣布，將與DNS服務供應商合作，開始於Chrome 78中實驗DoH（DNS-over-HTTPS）。

顧名思義，DoH就是在傳遞網域名稱系統（DNS）解析請求時採用HTTPS加密協定，而非使用標準的明文請求，因而可以避免使用者的請求受到審查、監控或遭到竄改。

初期該服務的合作對象除了Google自家的Google Public DNS之外，還有其它5家支援DoH的DNS服務供應商，包括Cleanbrowsing、Cloudflare、DNS.SB、OpenDNS與Quad9。

只要Chrome 78用戶所使用的DNS服務供應商在名單中，執行DNS請求時就會自動升級到DoH服務，若無則會採用原本的DNS服務。Google表示，此一實驗是要為了驗證Chrome導入DoH的成效及評估DoH對效能的影響，將支援Linux與iOS以外的所有平台。

Google強調，該實驗只用來升級到DoH服務而不會影響其它的使用者服務，例如由DNS服務供應商所提供的惡意程式保護或家長控制功能都能運作如常。且Chrome 78用戶也能透過chrome://flags/#dns-over-https退出此一實驗。

相較之下，Firefox導入DoH的作法則引起部份用戶的反彈，因為Firefox強迫用戶變更其原本的DNS供應商，把它們都改為Mozilla唯一合作的Cloudflare。OpenBSD開發人員Peter Hessler即說，把所有的DNS流量都導至Cloudflare並不是個好主意，應用程式應該要尊重作業系統的配置設定，因此他決定關閉Firefox上的DoH。亦有開發人員擔心，這等於是讓Cloudflare取得所有Firefox用戶所造訪的網站資料。

除此之外，也有人直接反對DoH，指出DoH的目的是讓DNS的運作無法被干預，等於是剝奪了網路管理員的自主權。

Chrome 78的Beta版預計會在9月19日釋出，穩定版則會在10月22日上線。

Google宣布用戶可在Kubernetes上執行Cloud Dataproc，也就是說，現在使用者可以利用GKE叢集執行Apache Spark工作負載，而這項更新將為企業簡化管理基礎設施的複雜性。

Cloud Dataproc是Google雲端上全託管的Apache Hadoop與Spark服務，Google提到，資料科學家可以使用Cloud Dataproc大規模地分析資料或是訓練模型，不過隨著企業基礎架構變得複雜，許多問題慢慢產生，像是部分機器可能處於閒置，但是某個工作負載叢集可能持續擴大，而開源軟體與函式庫也隨著時間過時且與堆疊不相容。

為了解決這些問題，Google現在讓Cloud Dataproc得以在K8s上運作，並為其提供了一個控制平臺，讓企業可以同時在公有雲和企業內環境，部署與管理在GKE上的Apache Spark工作負載。使用Cloud Dataproc的新功能，用戶就能以統一的集中檢視工具，跨K8s和YARN兩個叢集管理系統，操作混合工作負載。

而且新功能還隔離了開源軟體，消除傳統大資料技術對版本以及函式庫的相依性，讓使用者可以將模型和新的ETL工作管線，從開發階段直接轉移到生產階段，而不需要考量相容性，Google提到，使用K8s這樣的敏捷基礎架構，讓開源軟體升級更簡單。

Apache Spark是第一個放到K8s上Cloud Dataproc的開源資料處理引擎，而這項工作還會繼續擴及更多的開源專案，Google提到，Cloud Dataproc搬遷到K8s上，改變了他們將Cloud Dataproc和開源軟體作為託管服務的方式，他們會持續與其他開源社群合作，並為更多的開源專案啟用K8s上執行Cloud Dataproc功能。

Mozilla才在今年1月宣布關閉專門用來測試Firefox新功能的Test Pilot專案，然而本周就宣布該專案起死回生了，準備再次部署以測試新的私有網路（Firefox Private Network）功能，Mozilla自我調侃說「就像貓，Test Pilot也有很多條生命」，而且事實上這已是Test Pilot專案第三次的新生。

Mozilla第一次發表Test Pilot是在2009年的8月，號召Firefox用戶安裝Test Pilot外掛程式以參與各項新功能的測試，但似乎沒幾個月就放棄了；Mozilla在2016年5月重新再推出Test Pilot專案，同樣是用來測試Firefox的新功能，卻又在今年初終止該專案，表示將重新思考該組織的實驗性文化。

現在，Mozilla三度發表了Test Pilot專案，並以「第三次是個魔咒」（凡事都要三次才會成功）來鼓勵自己。

不過，新的Test Pilot專案與過去有些不同，所測試的產品或服務將不侷限在Firefox，而且在品質上也會更精雕細琢，離正式發表可能只有一步之遙，只是需要再微調。

Test Pilot專案重出江湖的第一個測試功能Firefox Private Network，它是一個擴充程式，可加密使用者的網路活動，並由Cloudflare提供代理服務。

Firefox Private Network的功能包括，可在使用公共Wi-Fi網路時提供流量的保護，也能夠隱藏使用者的IP位址以防被追蹤，而且可隨時根據使用者的需求切換開關。

另一方面，Firefox Private Network很可能會發展成為Firefox的付費服務。Mozilla執行長Chris Beard日前曾對外透露，打算推出付費版的Firefox瀏覽器，且預計會在今年10月發表第一個版本。

而Mozilla也明白指出，Firefox Private Network的測試會有各種樣貌，包括針對不同需求所必須發展的技術及付費服務解決方案。

不過，目前Firefox Private Network的測試，僅限美國市場及桌面版的Firefox用戶參與。

「推行MyData服務，一定要跨產業來治理資料，才能發揮MyData生態系的潛能，」政大電子治理中心副主任蕭乃沂強調。國發會今年5月開始委託政大規畫未來MyData政策的可行模式，蕭乃沂是參與規畫的教授之一。目前正在規畫政府MyData與資料治理的建議方案，預計年底或明年初發表，作為國發會訂定MyData政策的參考。最近一場活動中，蕭乃沂揭露了初步的規畫進展。

借鏡芬蘭政府MyData架構，要塑造多元生態系

蕭乃沂指出，MyData服務可分為兩種，一是按照個人（也就是個別自然人或法人）需求，來提供平臺讓個人下載自己的資料；二是透過線上服務授權，由民眾授權政府或民間業者取得個人資料，比如醫療資料、戶政資料、教育資料、金融資料、勞健保或水電資料等，再由這些單位或業者，提供民眾所需的整合式個人化服務。也因為MyData跨組織的特性，可形成多元生態系（如下圖），有潛力發展產業數位經濟。

另一方面，由於MyData涉及多種個人資料，這些資料又多分散於不同機構，「因此得先定義MyData服務架構、打好資料治理基礎，才能釋放資料價值。」蕭乃沂就建議臺灣政府參考芬蘭的MyData模型（如下圖），來界定MyData功能角色和營運模式。

這個模型是5年前由芬蘭政府發表，其中有4個關鍵角色，分別是個資擁有者公民（Individual/data subject/account owner）、資料管理者（Operator）、資料提供者（Data source）、MyData服務提供者（Data using services）。由個資擁有者提供個資，再由資料管理者授權給資料提供者或MyData服務提供者，來傳遞MyData服務。

以臺灣來說，「健康存摺是最早、最成熟的MyData應用案例，但運作模式也相對單純。」蕭乃沂指出，民眾透過驗證登入健康存摺網站或App，來授權健保署釋出特定個人醫療資料，並提供資料查詢或下載的服務。

在這個App中，健保署扮演了3個角色，資料管理者、資料提供者和MyData服務提供者，「並未發揮MyData多元生態系的潛能。」他認為，若有第三方服務提供者，也許能促成數位健康產業的發展。

「MyData應該要跨組織、跨產業著手，才能發揮生態系優勢。」蕭乃沂舉例，最近金管會正與銀行試辦一項MyData服務，來串聯金管會與財政機關資料，來提供銀行申辦業務所需的基本金融訊息和徵信資料，省去紙本或電子申請流程。

在這個模式中，「金管會就是MyData服務提供者，個資提供者則是民眾，個資保管者是各個相關單位，比如戶籍、財政機關等，這就是一個多方的MyData生態系，」蕭乃沂說。

為因應跨產業的MyData，還自行開發一套成本效益分析方法

由於MyData服務涉及了許多握有不同個資的組織，如何串聯、授權和利用這些散落於各組織的資料來發展MyData服務，蕭乃沂給了4項建議：首先是在單一組織中落實資料治理，接著再建置產業級資料銀行（Data bank）和資料治理機制。蕭乃沂解釋，此處「產業」指的是特定機關，比如在政府中，產業就是指中央和地方政府，而在企業中，就有如金控的銀行、人壽和證券事業群等。

完成產業級的規畫後，再來就是在產業中推動資料治理、發展MyData服務的生態圈，而且還要跨政府單位。最後一步，則是要連結不同部門的資料銀行，來發展MyData服務。

蕭乃沂也設計了一張表格，可用來評估MyData服務的成本效益（如下圖）。他參照芬蘭政府的模型，將利害關係人分為內、外部，包括了個資擁有者、個資管理者、個資授權管理者、MyData服務提供者，以及MyData所需的資料提供者等；再根據這些角色，來探討效益和風險，以及推動MyData服務所需的門檻（比如資料類型、去識別化的程度等），來作為推動MyData服務的成本分析。文◎王若樸

使用者介面設計（User Interface, UI）的開源框架Vue.js，其核心團隊成員趙錦江，日前在一場活動中提出實驗性的UI設計方法「Atomic Design+」，是基於目前主流的方法論Atomic Design，重新詮釋前端開發中，由小元件到整體頁面呈現的分層設計架構，目的要讓UI設計師與前端工程師能更緊密的協同合作，而非現今常見的作業流程中，由設計師先畫好整體UI，再交由工程師來開發的情景。

Atomic Design是現今主流的方法論，將網頁設計架構，由小到大分層為原子（Atoms）、分子（molecules）、有機體（organisms）、樣板（templates）與頁面（pages）。若要更具體對應到設計流程，不可拆分的原子等同於基本的HTML元素，如表單標籤、輸入框、按鈕等；分子則是由多個原子組成，如前述元素組合成搜尋欄位；而多個分子能合成有機體，如網頁最上方的header，通常包括品牌logo、主導覽列表和搜索欄位等；多個有機體又能構成網頁的樣板，最後再加入網站內容、動畫進行微調，來完成整個網站的開發。

不過，趙錦江認為，設計網站的最小單位應該改為欄位（field）更恰當，「既然UI就是為了展示信息，那我們不妨從提供訊息的角度，以網頁中的每個功能作為原子的概念。」由於欄位是能體現功能的最小單位，所以在新的Atomic Design+架構中，設計流程架構改為從欄位開始，一層層往上組合成群組（groups）、卡片（cards）、區塊（sections）、頁面（pages），以及App應用程式。

趙錦江提到，新架構是將基本元素融合到每一層中，如顏色與行距（color & spacing）、字型樣式（typography）、動畫（animations）、導航（navigations）、裝飾（decorations），在設計最小單位時就要納入考量，並在往後的每一層中體現連貫的風格。比如說，在設計搜尋欄位時就要考量到區塊顏色、字型、圖樣風格等，在設計主導覽列表時也要一併考慮下拉式頁面的動畫風格等。

因此，趙錦江認為理想的開發情境，是由設計師與工程師協同合作，從底層開始就相互討論，一層開發完再到下一層，來減少UI設計與最終網頁呈現的落差，以及工程師開發完成後必須不斷修改的問題。「如果這種方法能實現，不僅每一層的協作方式，甚至每個人需要具備的能力、整個團隊結構都會產生改變。」

尤其，現在設計師與工程師大多為分開獨立作業，未來若能具體推廣這個開發方法，「也許設計團隊跟前端團隊可能重新回到一個大團隊。」目前，趙錦江的團隊也嘗試用此方法用來開發網頁。

除了新興設計工具走向線上協作與雲端管理，UI開發也更重視設計師與工程師的雙向溝通

趙錦江在網路上暱稱「勾三股四」，是一名網頁前端開發工程師，從2007年畢業於中國西安西北工業大學軟體工程學系，就從事前端工作至今，先後曾在傲遊瀏覽器（Maxthon）、手機淘寶和阿里雲工作，同時也是前端設計框架Vue.js核心團隊成員；而他在網路上也不吝於分享網頁開發技術與經驗，其GitHub帳號有上千人追蹤，微博也累積上萬名粉絲。

「身為前端工程師，很重要的職責之一，就是把設計師的想法變成現實。」趙錦江在活動中表示，現行UI設計工具實際應用在開發過程中，會遇到一些無法克服的問題，這也是現今有越來越多UI設計軟體興起的原因，除了常見的Photoshop之外，也出現了如Sketch、InVision、Marvel、Axure、Adobe XD、Zeplin等軟體，能讓設計師依據不同設計需求去挑選適合的軟體來作業。

對此，趙錦江也整理出開發UI設計圖檔最常碰到的幾個問題。比如說，設計工具的自動化丈量，理論上已經標註非常詳細，但是，卻不一定會符合前端工程師的需求，尤其圖片與文字都有外框，是應該採用文字高度與邊框的距離，還是採用文字框與邊框的距離？就是在開發過程需要釐清的。

又或者，許多設計師喜歡用色塊加上透明圖層來顯示顏色，但工程師卻不一定能運用工具，直接量測到圖層疊加後的顏色，反而需要透過截圖才能測量，這就是UI設計工具不夠友善的地方。

還有，在Bootstrap的資料庫中具備所有文字標題的大小（heading level），但圖片本身卻有很多種理解方式，除了字號固定之外，每種heading level的排距，是要算上方heading level的下邊距，還是下方heading level的上邊距？還是各占一半，或以某種比例分配？那分配好之後，又是屬於內邊距還是外邊距？這些看似微不足道的細節，決定了開發過程是否能順暢進行，如果資訊不能透過設計稿傳遞楚，就需要額外花時間理解。

此外，現在的設計幾乎都走向響應式網站，在瀏覽器中，用戶可以根據喜好來來調整頁面呈現的高、寬度，使用者介面也可以動態滑動，但設計過程使用的畫布卻是固定尺寸，這也讓網頁開發的過程，需要更多的溝通來調整頁面。趙錦江也特別指出，近來手機螢幕尺寸也越來越多元，這也對軟體啟動畫面的設計，帶來一定程度的挑戰。

要克服現有設計工具的侷限，設計師與工程師的雙向溝通很重要，趙錦江表示，現今普遍協作方式，通常是由設計師先完成設計稿，再交由工程師開發，部分較複雜的設計，會多增加「設計還原評審」的流程，也就是工程師開發完程式、尚未與後端串接之前，先提供給設計師回饋意見並修正。不過，多數設計師與工程師仍多為分開作業，沒有達到充分溝通。

這種單向協作方式，可能無形中限縮的創新的可能。比如說，設計師因為擔心想法難以實現，可能在沒和工程師溝通的情況下，直接去找其他網站已經做到的設計作為參考。當設計師逐漸習慣這種設計思維之後，就可能侷限了原本的創意，也減少了工程師技術創新與突破的機會。

趙錦江表示，上述這些普遍存在於設計工具與工作流程的問題，未來可能出現更多新興的設計工具與方法論來改善。比如說，內部團隊正在嘗試的Atomic Design+方法論；或是目前新興的設計工具，大多已經能在瀏覽器中執行，部分也與雲端結合，提供雲計算或儲存的功能，來更快的線上協作與交付演示，還能輕鬆管理版本，這是傳統設計工具不具備的場景。「不過，工具是一方面，也要鼓勵設計師真正擁抱真實的環境，不然有了工具，設計師還是按照舊有思維來思考，問題就沒有真正解決。」

微軟趕工，提前修好了Cortana造成CPU使用率飆高的問題

一些用戶安裝了八月底Windows 10 1903的更新版本時，發現Cortana行程下的SearchUI.exe，引發CPU使用率飆高到4成至9成，另外桌機搜尋也無法搜尋網頁。微軟原本預計要到9月中才能釋出解決問題的更新程式，不過實際進度有提前，趕上了本周Patch Tuesday一併釋出，在其中KB4515384（OS Build 18362.356）版本，解決SearchUI.exe造成CPU高使用率的功能問題。更多內容

DEVCORE揭露SSL VPN漏洞遭鎖定，全球近1.5萬個Pulse Secure VPN端點曝險

圖片來源_Bad Packets

今年7月中旬，臺灣資安業者戴夫寇爾（DEVCORE）研究人員揭露的SSL VPN漏洞，在8月初黑帽大會上，展示相關研究。值得注意的是，8月底便傳出瞄準該漏洞的攻擊活動，資安業者提醒這些SSL VPN用戶，儘速修補更新。

在這個漏洞研究當中，研究人員在Palo Alto Networks、Fortinet，以及Pulse Secure所提供的SSL VPN服務中，找出了可以被攻破的漏洞，同時通報了這些業者。

其中，Pulse Secure與Fortinet在4月及5月分別提供修補程式，並發布資安公告。

研究人員也發現另一個存在於Palo Alto Networks的SSL VPN漏洞。Palo Alto Networks已對此申請CVE，並發出公告要用戶更新。

然而目前還是有不少企業沒有重視這些漏洞的嚴重性，而持續曝險。資安業者Bad Packets在8月底於網路上部署的蜜罐誘捕系統，偵測到大規模的掃描活動，來源是西班牙的一臺主機，目標則是受CVE-2019-11510此漏洞，所影響的Pulse Secure企業SSL VPN服務端點。

在Bad Packets的統計中，這些受漏洞影響的Pulse Secure VPN端點，遍及全球121個國家，其中美國以5,010臺最多，日本有1,511臺居次，英國830臺排第三，而臺灣也有217臺。更多內容

星展銀行聘用信義集團CIO蔡祈岩統領臺灣IT

攝影_洪政偉

在信義房屋擔任集團CIO近10年的蔡祈岩，最近公開透露，從9月開始加入臺灣星展銀行（DBS）擔任執行董事和IT部門主管。他期許自己，要幫助星展銀行不只成為臺灣第一名的外商銀行，更能夠成為臺灣第一名的金融科技公司。

蔡祈岩擔任過吉立通電訊執行副總兼發言人、科橋電子執行副總、臺灣花旗銀行資金管理部協理、中國匯豐銀行高級副總裁等職，2010年加入信義房屋擔任集團資訊長。2014年更負責創立信義集團轉投資的新創「有無科技」，推出「有無快送」App，來進軍社區經濟，不到一年就站穩台灣前三大美食外送APP。

蔡祈岩在兼任新創公司總經理時，開始留意到微型企業遭遇的資金難題，他以「小b」形容這些微型企業或個人自營的網路賣場店主，每逢類似雙11的大型購物節，得到處張羅一筆貨款才能大量備貨，他認為，滿足小b短期資金需求，將是企金市場的新機會。更多內容

不必打開外包裝，結合AI的鮮度感測器能隔袋分析食物是否新鮮

攝影_翁芊儒

工研院生醫所與臺灣科技大學研究團隊合作，開發用來量測食物腐敗狀態的「鮮度感測器」，其技術原理，是將感測器放置在食物包裝上，透過電磁波感應物質電磁共振的狀態，來取得食品的介電係數值；接著，將量測的結果無線傳回雲端資料庫，透過演算法比對分析，取得食品腐敗程度，再由系統就會回傳資訊給使用者。

工研院生醫所蕭宗益表示，這款鮮度感測器與百萬等級的網路分析儀（VNA）所測得的值相比，測試誤差小於5%，也就是說，未來鮮度感測器商品化後，就能用更低成本與可攜性高的裝置來測量介電係數，包括製造業的品管、物流業的監控、零售業的庫存、消費者的家電等，都是適合應用的場域。

目前，臺灣尚未有透過介電係數測食品腐敗程度的應用，蕭宗益也指出，這種測量方式的好處，是能在不需破壞食品包裝的情況下測量，且能重複使用。更多內容

Google正式釋出Android 10

圖片來源_Google

谷歌對Pixel 手機釋出代號Android Q的Android 10作業系統，預料也會很快釋出給其他品牌的Android手機。Google表示也正和製造夥伴合作，以便今年內推出Android 10新機，或發布給終端用戶。

Android 10主要新增功能包括暗黑主題、手勢導覽及即時字幕。用戶可將整支手機或特定app如Google相片、行事曆等換成暗黑主題，可降低眼睛傷害、節省耗電。手勢導覽功能提供滑動方式回前頁、拉回主頁或在不同應用間切換，這項功能為選項功能，用戶仍然可設定使用實體或觸控按鍵操控。

Android 10最大改進是安全和隱私，包括可設定僅允許使用中的app分享地點資料，如果某個沒在用的app正在存取地點資訊，Android將發出提醒。更多內容

玉山金控揭百項金融AI新進展，靠ML評估顧客3年倒帳風險比人還要準

攝影_王若樸

玉山金控科技長暨臺灣人工智慧學校執行長陳昇瑋揭露了玉山金控運用AI的新進展，範圍包括了銀行風險控管、金融商品推銷、投顧服務，以及內部流程自動化，不只精準度高於傳統人工作業，也節省不少人力成本。

陳昇瑋表示，玉山金控內部目前有近百項AI專案在進行，而實際應用的層面，涵蓋了對外的風險控管、商品行銷、投顧推薦，還包括內部的作業流程精進。在銀行風險控管方面，當銀行面對法人和個人申請新金融業務時，必須考量客戶的倒帳風險。過去，玉山銀行皆以人工方式查閱申請戶資料，再用統計模型來推估未來1至3年內的償還風險，人工推估準確度約為8成。更多內容

LINE Bank揭露將導入總部五大資安資源，並強調資料會落地臺灣機房

攝影_李靜宜

金管會7月底公布純網銀名單後，包括將來銀行、樂天國際銀行，都在第一時間亮相，相較起LINE Bank，則是低調許多。不過，LINE Bank籌備處專案管理辦公室負責人徐文玲，近期對外進一步揭露自家未來作法，包括將導入總部五大資安資源。此外，也要利用LINE在做資料傳輸管理的一套全球API授權保護機制，打造LINE Bank安全的數據環境。更多內容

將來銀行揭露資安布局以及4項AI應用

攝影_李靜宜

三家純網銀團隊中，一切從零開始的將來銀行，不像LINE Bank、樂天國際銀行有來自集團強大的生態圈，他們要如何走出自己的路？將來銀行資訊長兼技術長周旺暾公開了他們的策略。

周旺暾表示，即便將來銀行最大股東中華電信擁有超過1千萬的電信用戶，全臺中華電信門市加上神腦門市也共有1千多家，股東之一的全聯也有近1千多間實體據點。但，他坦言，中華電信、全聯的門市在臺市占率仍然沒有過半，對臺灣市場撼動力就非常有限。

「將來銀行決定不自帶生態系，而是必須加入任何生態系。」周旺暾指出，既然，將來銀行在第一時間不會有強大的會員系統，但是可以參與任何電商、實體通路、旅行業等各種業態，不浪費時間構築堅強的城堡，就能更快地走進消費場景中。更多內容

中研院開源中文斷詞工具，採GPL 3.0釋出

圖片來源_ GitHub

從事中文自然語言處理（NLP）研究的中研院CKIP Lab中文詞知識庫小組，正式開源釋出研發多年的中文斷詞程式，提供給在臺灣從事中文NLP研究的學術圈或開發者來使用，這也意謂著，臺灣終於有了一套國產的自動化中文斷詞工具可以拿來用，而且完全開源，目前已放上GitHub給大家試用。更多內容

豐田子公司遭變臉詐騙攻擊損失40億日圓

圖片來源_美國洛杉磯郡檢察署

日本汽車大廠豐田子公司豐田紡織（Toyota Boshoku）遭到假冒商業郵件詐騙的變臉攻擊（BEC），損失將近40億日圓（約合新臺幣11.7億元）。

該公司並未公布事件細節，但估計財務損失最高可達近40億日圓，同時可能影響截至2020年3月的營收報告。

冒充公司主管、合作夥伴的商業電郵詐騙又稱變臉攻擊，由於手法簡單、成功率高，近年日愈猖獗，成為企業首要資安威脅之一，連國際大廠也受害。例如曾有一名立陶宛男子冒充廣達，向臉書、Google發送此類詐騙郵件要求對方匯款，在2013到2015年間成功騙得超過1.2億美元。

另一方面，騙徒手法也精進到採用人工智慧（AI），今年一家英國能源公司執行長，在接到歹徒以AI模擬總部長官聲音的電話要求匯款給供應商後，不疑有他直接照辦，讓該公司損失22萬歐元。更多內容

對抗惡意變臉影片，臉書和微軟懸賞千萬美元

以人工智慧（AI）技術，將名人臉部和色情片主角或其他人的嘴形或身體移花接木，製作成的造假影片為害日益氾濫，微軟和臉書發起名為Deepfake Detection Challenge大賽，以重金鼓勵辨識Deepfake影片的技術開發。

這項大賽預計從2019年10月舉行到2020年3月。臉書會和外部廠商合作以AI技術將一些真實影片加工製作出一批Deepfake影片，供參賽AI模型偵測。參賽者上傳的模型最後由大會的測試團隊評選出最優秀的模型。更多內容

研究：成功的新創CEO通常是中年創業

紐約時報引用美國經濟期刊《American Economic Review: Insights》所刊登的一篇研究報告，指出成功的新創公司創辦人通常是中年創業，顛覆了外界的想像。這是因為有不少知名科技公司的創辦人，都是在年紀很輕的時候就決定開創事業。紐約時報則說，上述企業的起源形塑了神話，讓外界以為美國整體的創新是由神童推動的，但其實他們只是特例，並非規則。

經濟學家以美國270萬名企業創辦人進行研究，發現這些創辦人在創業時的平均年齡為42歲。而在其中最快速成長的0.1%企業中，執行長創業時的平均年齡則是45歲。更多內容

YouTube違反兒童隱私遭罰1.7億美元，創歷史紀錄

圖片來源_ Hal Gatewood on Unsplash

美國聯邦貿易委員會（FTC）宣布，Google與旗下的YouTube因涉及在未經家長同意下，非法蒐集兒童個資，而將分別支付1.36億美元與3,400萬美元的罰款予FTC及紐約州，創下當地兒童網路隱私保護法的最高罰款紀錄。

在遭到FTC的調查之後，YouTube改變了該站對待兒童內容的政策，只要使用者觀賞的是兒童內容，就會被視為兒童，藉此限制資料的自動蒐集；也完全不對這類的內容提供個人化廣告；同時要求兒童內容的創作者明確提供分類；也利用機器學習來分析站上針對兒童所創造的內容。更多內容

在前端開發中，總會探討到Cookie與Web Storage API的差別，這兩者的使用都是為了在客戶端儲存狀態──Cookie是因應HTTP無狀態（Stateless）的特性而生，而Storage API是HTML5規範的標準API。

HTTP與Cookie

談Cookie其實必須從後端開始，實作Web應用程式的開發者都應該知道，HTTP是個無狀態協定，這就有了一個問題：應用程式會有狀態，那麼，狀態應該儲存在哪？

由於早期的瀏覽器不能儲存狀態，使得這類型的任務落到了HTTP伺服器的後端程式。因此，1994年Netscape公司的Lou Montulli，為了解決客戶不想在網站儲存交易的部份狀態，所以，他提出了Cookie初始規格，並在Netscape 0.9beta實現Cookie的支援，而到了1995年，Internet Explorer 2也開始支援Cookie。

目前，Cookie的最新規範是2011年發布的RFC 6265，運作原理是透過HTTP標頭（Header），伺服端要設置Cookie的話，是透過「Set-Cookie」回應標頭，例如Set-Cookie: k1=v1，若有多個Cookie要設置，則使用多個Set-Cookie標頭；待瀏覽器收到標頭，接著會將鍵值儲存在檔案，在後續的請求中，使用請求標頭「Cookie」送出同一來源網站的Cookie；若有多個Cookie必須送出，會以分號串接，例如Cookie: k1=v1; k2=v2的形式。

由於等號、分號等是HTTP的保留字元，就如同請求參數，若Cookie要儲存的鍵值資料，包含這類符號或中文等字元，也必須進行URI編碼，再透過Set-Cookie或Cookie發送。

沒有設置屬性的Cookie會在關閉瀏覽器後失效，亦即所謂的Session Cookie，儲存Session ID的Cookie就是此類；而在JavaScript走紅之後，XSS攻擊也跟著多了起來，為了避免Session ID之類的重要資料被竊取，Cookie本身可以附加HttpOnly屬性，令Cookie僅被用於HTTP傳輸，而不被JavaScript讀取；若附加Secure屬性，客戶端只能在加密連線的情況下發送Cookie，而面對這類型的Cookie，JavaScript也無法讀取。

另外，還有Expires屬性，能指定Cookie過期時間，這可以用來實作自動登入，或者儲存客戶端本身經常使用的資訊；但是，沒有標頭或屬性可以直接刪除Cookie，如果想刪除Cookie，方式是在Expires指定一個過往的時間，例如：Thu, 01 Jan 1970 00:00:00 GMT，直接令Cookie過期，瀏覽器就會刪除Cookie；如果想知道更多屬性設置，可以察看MDN的〈HTTP cookies〉（https://mzl.la/2ZYwzCo）。

後端與前端Cookie

Cookie是為了在客戶端儲存狀態而生，狀態的設置與發送是基於HTTP標頭，在JavaScript未興起的年代，主要是由後端設置Cookie，不同的後端平臺會有不同的API，從最簡單的標頭發送與接收，到封裝HTTP標頭細節的Cookie API，不一而足。另一個Session API，基本上也是封裝了Cookie標頭，有的平臺甚至提供Flash之類的API，讓請求作用的週期為兩次請求之間，基本上也是透過Cookie操作實現。

等到瀏覽器可儲存Cookie後，運行於客戶端的JavaScript，若要儲存狀態，直接將資料儲存為Cookie不就得了？這就是document.cookie的作用，其設置與Set-Cookie標頭無關，只要對document.cookie設定'k1=v1'形式的字串，就會直接在瀏覽器儲存Cookie，若對相同來源伺服端發出請求，document.cookie設置的Cookie也會發送給伺服端。

若需要透過document.cookie設置Cookie屬性，格式與Set-Cookie時的要求相同，必要時，也可以覆寫伺服端設置的Cookie屬性；不過，原本就是為了避免被JavaScript讀取的HttpOnly屬性，不能透過document.cookie設置，類似地，Secure屬性的設置是無效的；想刪除某個Cookie，也是在設定document.cookie時指定一個過往的時間。

事實上，document.cookie很有趣，每設定一次就會產生新的Cookie，然而，若對document.cookie取值，並非取得最後設定的Cookie，而是個'k1=v1;k2=v2'格式的字串，其中包含了全部有效的Cookie（不包含伺服端設置了HttpOnly或Secure屬性的Cookie）。

然而，document.cookie是原生操作Cookie的唯一管道，使用起來並不方便，還要考慮URI編碼特定URI保留字元的問題，因此，最好的方式是將細節封裝起來，在MDN的〈Document.cookie〉就提供一個實作參考，我們可以透過函式，來進行Cookie的寫入、走訪、讀取、刪除等任務，如果懶得自己寫，也可以使用js-cookie這類現成的程式庫。

Web Storage API

在早期的Web應用程式開發中，Cookie是唯一可在客戶端儲存狀態的通用方案，但它有兩大問題。

首先，單一Cookie的容量不大（主要是由於HTTP標頭的字串長度有限），每個來源可設置的Cookie總數不多，雖說因各瀏覽器而不同，然而保險的假設通常是4KB的容量，約可設定50個Cookie。

另一個問題是，Cookie是因應HTTP無狀態特性而生，用於每次對伺服端請求時主動告知客戶端的狀態；然而，就算儲存的狀態只會在客戶端使用，與伺服端的處理無關，只要來源相同，每次HTTP請求時，其實都會附上Cookie。即便請求對象只是網頁引用的外部圖片、CSS、JavaScript檔案等，也都會附上Cookie。所以，若網頁引用的外部資源很多，因重複發送的Cookie而耗費的流量，就很可觀了。

到了HTML5，當中規範了Web Storage API，我們可以透過sessionStorage或localStorage，管理瀏覽器提供的儲存空間，大小約5MB（因瀏覽器而異）。前者儲存的資料，在同一會話階段期間有效，後者可以長期保留。而且，Storage API與HTTP沒有關係，純粹用來儲存客戶端的狀態，因此，若不用在每次請求中發送給伺服端的狀態，就可以使用Storage API來儲存。

在API的便利性上，sessionStorage或localStorage都是Storage的實例，當中提供了setItem、getItem、removeItem、clear等方法，也可以透過[]運算子來設置或取得資料，因此，也能夠透過Object.keys來取得鍵清單等，Storage實例也支援storage事件，可用來監聽鍵值的變化，相對於使用document.cookie來說，操作上便利許多；原生的localStorage不提供過期時間的設定，不過，我們可以自行實現，在儲存時加上時間戳記，並在存取資料時，與當前時間戳記相比，看看是否逾時，從而決定是否刪除資料。

HTTP特性與安全性

不少開發者喜歡用容量差異來區別Cookie與Storage API，不過，HTTP的特性才是重點之一。

舉例來說，對於不用每次對伺服端請求時，都要主動告知的客戶端狀態，當下若使用Storage API，會比較適合；相對地，需要伺服端控制相關的情境，像Session ID、自動登入的控管、加密傳送的資訊等，此時，就該考量Cookie。

同時，安全性會是最重要的考量。因為Storage API沒有Cookie的HttpOnly屬性之類的設定，JavaScript可以任意讀取，所以，最常引發的疑慮就是對XSS抵擋能力脆弱。當然，就算使用Cookie，也不建議儲存敏感資料就是了。關於這部份的作法，W3C有份〈Web Storage〉（https://bit.ly/2KzIZvf）的使用建議，其中也有針對安全的探討，建議參考看看！

Google更新Chrome Enterprise釋出77版本，除了翻新管理控制臺，讓管理員能更快的操作裝置與管理應用程式之外，還加入了密碼提示政策，提升用戶的密碼安全性，另外，還增加對第三方列印解決方案的支援。

由於當企業成員將公司密碼，重複使用於外部網站時，會使得企業資料面臨洩漏的風險，因此Chrome Enterprise 77讓管理員可以阻止使用者在白名單之外的網站，重複使用企業內部的密碼，以減少帳戶因濫用密碼或是釣魚攻擊，增加受入侵的可能性。

Google提到，過去密碼提示政策只能透過群組政策物件（Group Policy Objects，GPO）應用，但從Chrome Enterprise 77開始，管理員可以在所有作業系統的Chrome瀏覽器雲端管理中，啟用密碼提示政策，甚至在微軟環境也能透過GPO啟用密碼提示。

對於不少企業要求的進階印表機支援，希望透過第三方列印功能，進行追蹤列印任務、設定配合與審核等工作，從Chrome Enterprise 77開始，管理員可以啟用原生列印任務資訊（Native Print Job Information）以使用第三方列印功能，在管理控制臺也增加了選項，幫助管理員管理列印功能，不過Google表示，第三方列印支援的功能必須視企業採用的解決方案而定。

另外，不少熱門電影或是電視節目，都會使用高畫質數位內容保護HDCP來防止內容在外部顯示器播放，過去使用HDCP的Android應用程式，無法在這些顯示器正常顯示。而從這個版本開始，企業使用HDCP 1.4的Android應用程式內容，將可以順利的在高解析度電視等外部顯示器上播放。

在無障礙輔助上，Chrome Enterprise 77增加了自動點擊功能，讓助肢體不便者只要將鼠標懸停在項目上，系統就會自動點擊該項目。Google提到，這個功能在Chrome OS已經存在一些時日，但是他們改進了這項功能，放到Chrome Enterprise 77中，使用者可以在進階選單中的輔助功能設置啟用。

專門提供網釣防護服務的Cofense在本周揭露了駭客的新招術：先利用Captcha圖靈測試來阻擋安全電子郵件閘道機制（Secure Email Gateway，SEG），再將已被證實為人類的受害者，導至真正的網釣頁面上。

Cofense所發現的案例之一，是在一個電子郵件中夾帶一個語音檔案，當使用者按下播放鍵時，會先被導至一個只呈現圖靈測試以驗證是否為人類的頁面，由於該頁面只具備了Captcha程式，SEG掃描後發現它未含任何惡意元件，即會將它歸類為安全。

不過，SEG在這裡就被擋住了，只有人類才能通過Captcha圖靈測試，繼之受害者就會被導至一個要求輸入微軟憑證的網釣頁面。

研究人員表示，不管是Captcha頁面或是網釣頁面都是由微軟架構代管，且兩個網頁也都使用合法的微軟頂級網域名稱，因此在與網域黑名單進行比對時，得到的都是「安全」的回覆。

根據Cofense的統計，在所有的網釣活動中，有75%都是為了竊取受害者的憑證，而在這些捕獲憑證的攻擊中，又有超過91%是想方設法地繞過SEG。總之，使用者在開啟來路不明的郵件，或是透過連結造訪各式網站，並被要求輸入憑證時都應特別小心。

開源API管理平臺Kong服務供應商釋出新的開源專案Kuma，Kuma是能用於管理服務網路（Service Mesh）的通用控制平臺，透過無縫管理第四層與第七層網路流量、微服務與API，以解決第一代服務網路的技術限制。

Kuma強調其易用性，能確保底層網路的安全性與可觀察性，而且即便其提供高階簡單的控制介面，但是使用者仍然可以進行進階配置，Kuma集合快速資料平臺與進階控制平臺，讓使用者以簡單的指令，就能設置權限、公開指標以及配置路由規則。

另外，Kuma採用軟體定義安全性，為所有第四層流量啟用mTLS，並提供高精細度的流量控制功能，強化第四層路由功能，而Kuma也能夠快速實作追蹤與日誌記錄功能，讓用戶分析指標進行除錯。Kuma可在任意的平臺上執行，包括Kubernetes、虛擬機器、容器、裸機和傳統環境，使整個企業組織都能實踐原生雲端應用。

Kuma利用開源專案Envoy開發而成，而Envoy則是為原生雲端應用程式設計的代理，官方提到，Envoy目前已經是邊車代理的標準，與服務網路一起，成為原生雲端系統的重要實作方法，因為對於越大規模的微服務應用來說，監控、安全性和可靠性就更顯得重要。

Security Discovery本周揭露一起大規模的資料外洩事件，該公司的安全研究人員Jeremiah Fowler今年8月中，在網路上發現了一個完全沒有密碼保護的ElasticSearch資料庫，當中存放了413GB的資料，涉及大量網站與1.98億名使用者的資料，追查之下才知道它的主人是汽車產業行銷業者Dealer Leads。

Fowler說，他在過去幾周已經看到這個資料庫好幾次，只是無法確認資料庫的主人，只知道它是個潛在車主名單的彙整資料庫，因為他們想了解車貸或待售車輛等資訊，而且來自眾多的汽車網站。

幾經追查之下才發現資料庫屬於Dealer Leads，2015年成立的Dealer Leads購買了眾多與汽車相關的網域名稱，可能多達數千個，並提供與汽車產業相關的內容，主要客戶則是汽車品牌或經銷商，Dealer Leads宣稱可替客戶帶進有效流量，並提高它們在Google搜尋結果的能見度。

該資料庫所存放的個人資訊包括姓名、電子郵件位址、電話、地址及IP位址等。

Fowler表示，他並不確定此一資料庫曝光的時間點，不過當他聯繫到Dealer Leads時，對方很快就保全該資料庫了。

微軟宣布其整合開發環境Visual Studio 2019 16.3的第三預覽版，加入了全新的終端機功能預覽，目前開發者必須要自行啟用。這個終端機是奠基於微軟在今年5月，所發布的Windows終端機上，微軟提到，Visual Studio終端機與Windows終端機共用了大部分核心，能為開發者提供更強大的終端機功能。

由於新的Visual Studio終端機仍在預覽階段，因此開發者必須在工具選單下的預覽功能頁面，手動啟用實驗性Visual Studio終端機選項，接著在重新啟動Visual Studio後就能開始使用，開發者可以點選工具列檢視下的終端視窗選項，或是透過搜尋啟動終端機功能。

啟動終端機之後，終端機會自動開啟一個整合式的PowerShell實例，開發者可以透過創建殼層配置檔案，來自定義啟動的設定。開發者能在殼層配置檔案中，透過應用不同的參數，設定為不同類型的殼層，以符合自己的需求。

微軟提到，在未來更新他們會使用一些基礎的配置檔案，來預產生終端機以最佳化使用體驗，不過在這之前，開發者可以先在終端機選項中手動添加配置檔案。另外，未來微軟還會針對渲染、可存取性和主題方面改進，將會允許同時啟用多個終端機實例，並與Visual Studio進行更深度的整合。

阿里巴巴創辦人馬雲在9月10日正式卸下阿里巴巴的董事局主席（Executive Chairman）一職，交棒給執行長張勇，當天不僅是馬雲的55歲生日，阿里巴巴也在當天舉辦20周年派對，馬雲與張勇還上台獻唱《You Raise Me Up》（你鼓舞了我），以示傳承。

原本是英文老師的馬雲是在1999年，當他35歲的時候創辦了阿里巴巴集團，提供B2C與B2B服務，並在2004年推出支付寶，開創中國行動支付的先河，於2009年發表阿里雲雲端服務平台，時至今日，阿里巴巴在紐約股市的市值已超過4,680億美元。在Forbes今年3月公布的全球富豪排行榜上，馬雲以373億美元的身價位居第二十一名，落後騰訊創辦人馬化騰一名，當時馬化騰的身價是388億美元。

有趣的是，阿里巴巴集團的中文官網都是以慶祝該集團20周年為主題，並未特別提及馬雲的退位，但英文官網則有比較清楚的說明，指出20周年的慶祝大會是馬雲最後一次以董事局主席的身分現身，之後將由張勇接任，而馬雲一直到明年都會擔任阿里巴巴集團的董事，也會是Alibaba Partnership的終身會員。

Alibaba Partnership名義上為阿里巴巴集團的治理機構，負責維護阿里巴巴的文化與精神，多由當初創辦阿里巴巴的先鋒組成，目前有38名會員，但不確定實質的權力範圍。

在迎接20周年之際，阿里巴巴也列出了對未來的願景，包括希望能夠成為可存活102年的好公司，以及到2036年能服務20億消費者、創造1億就業機會，以及幫助1,000萬家中小企業獲利。

至於馬雲其實在去年就公開發表了退休宣言，表示想要回歸教育，從事讓他感到興奮與幸福的事務。這一年來馬雲主要是為了與張勇交接才留任，本周馬雲亦說，這個20周年派對不是為了他的退休所舉辦，而是為了慶祝傳承的開始。