近兩年，因為火紅的容器（Container）技術掀起雲端應用新浪潮，不只是AWS、Google、Azure等雲端巨頭紛紛押寶，就連儲存廠商也都看好容器應用市場，要讓自家儲存產品可以支援容器應用。儲存廠商NetApp也是其中一家。NetApp亞太區系統工程部副總裁暨技術長Matthew Hurford近日來臺也提出了他對於火紅的容器與K8s的出現，將會如何影響未來儲存架構發展與技術演進。

由於容器先天獨厚的特性， Matthew Hurford表示，現在有越來越多企業，開始走向容器架構，來逐步取代以VMware虛擬化技術為主力的傳統VM架構，甚至很多企業都希望透過建立以容器為主的微服務架構，來加快應用開發和服務更新。

Matthew Hurford也大方分享自己訪查經驗，就他觀察有採用容器的NetApp企業用戶，直到1年前比例還不到1/4，僅有25%有用，但是如今，他說，幾乎所有接觸到的企業用戶，不是已經將容器部署到生產環境，就是考慮未來要用，他說，容器已經成為企業翻新IT架構的新主流。

當容器進到正式環境之後，大量容器管理也成為新挑戰，他表示，在容器叢集調度和管理工具Kubernetes加入之後，很快就解決了這個棘手問題，更進一步加速企業應用容器化的腳步，甚至就他觀察，距今一年前，企業採用Kubernetes管理容器叢集的比例，只有2到3成，如今一舉爆增提高到6成以上，很多用於大規模部署和管理容器化應用程式，「K8s儼然已是企業容器管理平臺的首選。」他說。

Matthew Hurford直言： 多雲容器（multi-cloud container）儲存將會是新常態，如何透過簡化底層儲存到上層容器應用的一系列過程，來達到不同雲端環境的資料儲存管理的一致性，將是一大挑戰。

只不過，現在容器仍以應用端為主，就儲存廠商來說，Matthew Hurford指出，他們更關注的是在應用層之下的儲存層，如何讓底層的儲存架構能夠支援上層應用的容器是關鍵。

尤其，容器化應用雖然爆紅，他坦言，目前還是很難用在需要處理Key-Value類型資料庫為主的有態（Stateful）應用上，而是比較適合用於無關資料儲存的無態（Stateless）應用，也就是將持續性資料儲存於容器外部，但他強調，目前面向企業用戶的應用或後臺應用，多半是有態應用，由於容器本身並不保存資料，等於是說，一出生就注定死亡（They were born.They died），所以，如何打造支援容器化環境的持續性儲存環境，成為儲存廠商切入的一大重點。

而在雲端發展進入到了多雲（Multi Cloud）競爭時代，Matthew Hurford也直言：「 多雲容器（multi-cloud container）儲存將會是新常態，」他認為，不同於過去的容器應用，多部署在企業自己資料中心或單一朵雲，未來，企業不會只把所有應用都放在同一朵雲，而是會有很多朵，連帶也將衝擊到現有的儲存架構的發展，這也意謂著，以後越來越多儲存設計，將搭建在混合雲或多雲架構，在這樣個前提下，如何在不同多雲、跨雲環境來管理數據，將成為一個棘手難題。

面對多雲、混合雲的趨勢，他認為，未來儲存層將會與容器應用層更加緊密的整合，而不會只單獨看儲存發展本身，勢必也得考慮到搭建在容器上的應用程式與微服務，「如何透過簡化底層儲存到上層容器應用的一系列過程，來達到不同雲端環境的資料儲存管理的一致性，將是一大挑戰。」他說，這也為何NetApp開始整合各種雲端開發、部署與自動化管理工具，包含容器Docker、K8s、Ansible與 Jenkins等，目的就是要通過API串接這些平臺以建立一個解耦合（Decouple）的IT架構，提供可以橫跨多雲環境的單一管理方式。

以NetApp為例，他表示，近幾年，也逐步將許多現行儲存服務中提供的儲存功能，緊密整合到容器中，甚至還進一步引進開源Kubernetes容器叢集管理平臺，推出自己的K8s版本，稱為NetApp Kubernetes Service（NKS），可以讓企業用更簡易的方式來管理雲端上的容器，只要幾個步驟，就能在不同雲端環境完成叢集的容器部署，並在同一個環境來管理，還可以透過它來管理這些容器叢集中的不同應用程式。例如透過NKS建立一個更高效率的數據層，可以自動配置內容，以通過API對其進行寫入，來提供有更效率的雲端環境管理方式。

Matthew Hurford指出，NKS已經是一個相當成熟平臺，迄今已有多達6千個K8s叢集部署的NKS環境，他也提到，該平臺最大特色就是延展性（scalability），即使可以採用他們的K8s版本，但仍保留自由選擇的彈性，讓企業用戶能自行決定要將K8s叢集放在哪一個雲端環境，使用上也更容易；再者，因為NKS的核心是基於開源K8s，對於企業用戶來說，只要一有新版釋出，很快可以獲得升級來取得新版的功能。並可以支撐超大規模雲端或其他Kubernetes平臺架構，但目前還未支援紅帽OpenShift容器平臺。

在多雲、混合雲儲存方面，NetApp現階段也有不少支援的雲端儲存產品推出，他說明，目前企業資料在公有雲上運作有兩種方式，前者是以在公有雲硬體上執行NetApp儲存軟體的Cloud Volumes ONTAP，後者則是能在合作的公有雲平臺提供資料儲存方案的Cloud Volumes Services，來提供企業級原生雲端儲存服務，使用上也更具靈活彈性，可以依使用量來部署，他舉例，若想要在雲端配置100TB以上的儲存容量，3秒內就能完成。

該服務除了支援AWS外，NetApp也與Azure合作推出Azure NetApp Files服務，使用NetApp的ONTAP儲存OS，來提供雲端檔案儲存服務，目前已在新加坡推出上線。另外，與GCP也有合推Cloud Volumes Services試用版。另外，他也預告，Cloud Volumes ONTAP服務很快也將在臺上線。除此之外，他說，現在也跟微軟合作要把SAP的資料相關服務搬上雲端。

甚至NetApp在公有雲提供的儲存服務，現在也更進一步延伸到了HCI（超融合架構產品），不論是K8s或CVS服務都可以在公有雲版的HCI環境來使用。並且可以用同一套管理工具來管不同雲上的資料。在雲端分析也有推出如Cloud insights、Active IQ，以及雲端控制的Cloud Manager等產品。

但是如何確保不同朵雲的儲存資料是可以互通移轉？Matthew Hurford點出背後關鍵，靠的正是整合API，「對我們來說，就是在做數據服務層操作，」他表示，透過建立更靈活的API，除了可以簡化管理，也能幫助我們整合不同家雲端廠商的K8s引擎，如Amazon EKS、Google GKE或Azure AKS等，讓不論是本地端部署，或是採用其他公有雲，都可以在同一容器管理平臺下進行管理K8s叢集，橫跨不同雲端環境。

他表示，目前有提供4種Rest API，還可搭配Ansible自動化管理工具，來提供協助整個雲端環境運作的簡化，除了加快應用與容器的部署，也可以自動化的方式來部署這些key-value store 的NoSQL 資料庫。除此之外，在資料管理上，NetApp也新推出Fabric Orchestrator資料管理與調度產品，可以自動偵測資料，並根據資料類型自動設計保護規則，裡面也結合AI技術用於自動化監測，可以隨時掌握資料使用狀態，也能通過它來迅速刪除不必要的資料，如因應GDPR施行對使用者個資的要求等。

本周有匿名人士在網路社群Full Disclosure中公佈，知名網路論壇平台軟體vBulletin 的一個尚未修補的零時差攻擊漏洞，使網路上數百萬論壇陷於遭劫持的風險中。

vBulletin是最受歡迎的網路論壇軟體之一，根據W3CTech統計，全球有0.1%的網站跑在vBulletin上，超過同類型軟體，如phpBB、XenForo、Simple Machines Forum、MyBB等。vBulletin列出的知名客戶包括 Steam、EA、 Zynga、NASA、Sony及丹佛野馬美式足球隊等。

媒體分析神祕人士張貼的攻擊程式碼，這項漏洞為「驗證前遠端程式碼執行」（pre-auth RCE）漏洞，這是影響Web 平台最嚴重的類型。攻擊者無需具備帳號，只要發出一個HTTP POST呼叫，就可以在vBulletin伺服器上執行指令，即可劫持跑論壇的網頁伺服器、竊取或刪改資料，或是對其他系統發動攻擊等。The Register指出，這可能只需要20行的Python程式即可。

張貼的文件並列出概念驗證攻擊程式，表示可在vBulletin 5.0.0 到 5.5.4執行。有人測試後發現證實此事。

不過這名神祕人士究竟是惡搞vBulletin，還是因為vBulletin團隊先前接獲研究人員通報卻沒有回應，使研究人員憤而公布則不得而知。vBulletin團隊也尚未對媒體說明此事。

2015年也曾有人公佈vBulletin 5.1.x版的Pre-Auth RCE漏洞及概念驗證攻擊程式，並以此竄改vBulletin官網。當時的漏洞被派發編號CVE-2015-7808，vBulletin於11月修補完成。

由於最新公佈的漏洞目前還未修補完成，使用vBulletin的網站管理員要是無法暫時把網站下線，唯一能做的就是留心是否有程式開採漏洞。

周三在Amazon產品發表大會上，Amazon展示第一款支援語音的自有智慧眼鏡Echo Frames，讓使用者可聲控查詢資訊或控制智慧家庭產品。

Echo Frames最大的特色是支援Alexa、並在鏡腳整合麥克風和小型喇叭。使用者可直接口頭下令Alexa查詢天氣、聽取當天行程、或控制空調燈光等，並由Echo Frames的喇叭聽取它的回覆。結合Alexa的VIP過濾功能，可設定app或聯絡人優先名單，當有名單上的app和訊息傳來，Alexa即會發出通知，用戶可滑一下鏡框上的按鍵由Alexa讀取內容。

這個智慧眼鏡沒有相機和顯示螢幕，看上去和一般眼鏡沒什麼太大差別，最重要的是不會像Google Glass一樣引發偷拍爭議。此外，用戶也可按下鏡腳上的按鍵關閉麥克風以確保隱私。當麥克風開啟時，在鏡框上會顯示小型紅色指示燈。

Amazon並未提供詳細的規格，僅稱這幅眼鏡的電量可用一整天。

Echo Frames可搭配平光或有度數的鏡片出貨。定價180美元，並已開放美國用戶預購。不過目前僅採邀請制，供參加Day One Edition試用計畫的用戶購買測試。Amazon也未說明正式上市時程。

不過這並非Alexa第一次被用在眼鏡上。新創公司Vuzix和Bose先後推出整合Alexa的智慧眼鏡和太陽眼鏡。

Echo Frames能否帶動智慧眼鏡風潮值得觀察。雖然Google早在2013年推出Google Glass，但隱私爭議、高價及缺乏實用性，讓Google一度暫停智慧眼鏡的業務，直到2017年才重新以商用定位推出企業版Google Glass。

Mandrake Linux發明人Gaël Duval最近發表了一個強調絕不追蹤用戶上網行蹤、不蒐集用戶資料、Google-free的開源智慧型手機作業系統/e/，現已開放下載及銷售手機。

/e/網頁強調，/e/作業系統是專門提供隱私保護而設計，不掃瞄用戶在手機及雲端上的資料，不追蹤用戶所在位置、不蒐集用戶app的使用資訊，而且最重要的是，不會像Google一樣把資料賣給廣告最高出價者。

/e/是由LineageOS分支出來，後者及其前身CyanogenMod則是Android發行版之一，因此/e/基本上也是源自Android，但是將所有Google app全部剔除，再以MicroG專案app取而代之。MicroG專案是Google核心函式庫和app的免費版複製（clone）軟體，一般Android 用戶需要的app包括電子郵件、通訊軟體、地圖、瀏覽器、行事曆、記事簿在此一應俱全。ZDNet報導，/e/也提供自有服務，分別由歐洲隱私搜尋引擎Qwant及NextCloud雲端硬碟服務開發而成。

它還提供App 軟體商店以便用戶自行下載擴充。而為確保app的隱私，/e/可分析app程式碼，讓用戶可清楚看到app內建的感測器和數量、app需要的存取權限（即它分享的裝置資訊）有哪些，並提供簡單明瞭的評分，讓用戶知道哪些app是安全、哪些不安全。

有技術能力的用戶可下載/e/在Android手機刷機安裝。目前/e/可跑在將近90款手機上，包括Pixel、Pixel XL或Nexus系列、HTC及多款Samsung Galaxy及Galaxy Note。在歐盟地區還銷售搭載/e/的Samsung S7、S7+、S9、S9+整新機，售價249到479歐元不等。

/e/團隊還計畫推出安裝服務，讓不擅長刷機的用戶將手機郵寄給他們代為安裝。

當然，想挑戰Google Android並不容易。之前的Unbuntu OS、FirefoxOS、Android創始人Andy Rubin推出的Essential Phone都失敗了。華為開發HarmonyOS，但也未用在手機上。受限美國禁令，華為最新高規格旗艦機Mate 30沒有了Android及Google apps，是否能獲得市場青睞都還是個問題。

繼電池後，iPhone 11、11 Pro及11 Pro Max起，蘋果也將驗證iPhone螢幕是否為原廠產品，如果它認為不是就會顯示警告。

蘋果本周發佈的一則文件指出，在用戶iPhone維修後，系統若偵測到不是原廠螢幕，就會發出「重要顯示器訊息」通知，顯示無法驗證這隻iPhone的螢幕為蘋果正貨。一開始這則通知會出現在iPhone鎖定螢幕上4天，之後就會移到「設定」app選單中。之後，這則通知會出現在iPhone「設定」、「一般」、「關於」頁面中。本訊息只會出現在iPhone 11、11 Pro及11 Pro Max中。

蘋果希望藉此勸阻用戶不要到非授權的維修商更換iPhone零組件。蘋果指出，iPhone應只由通過蘋果服務訓練的授權技師，包含來自蘋果、授權服務商及獨立維修中心的維修人員，以原廠蘋果零組件和工具維修。

蘋果指出，iPhone顯示器必須和裝置精準接合，不當更換螺絲或外殼，可能造成零組件接合不緊密，造成電池毁損、過熱甚至傷害用戶。而非原廠顯示器，則可能發生和iOS不相容或效能問題，未來若有顯示器功能相關的iOS更新，就會產生種種問題，像是多點觸控、顯示器亮度和色彩不正常。

這是蘋果發佈的最新維修政策。今年8月蘋果針對iPhone XS、iPhone XS Max或iPhone XR實施的電池維修新規定，只要不是到蘋果門市或取得授權的蘋果經銷門市置換iPhone的電池，iPhone就會顯示電池需要維修的警告，也無法再查看電池的健康狀態。

所幸一個月前蘋果也公佈「獨立維修中心計畫」（Independent Repair Provider Program），允許獨立的第三方維修中心存取iPhone的官方元件、工具、訓練、維修手冊，使iPhone維修更為方便。

Amazon在本周三（9/25）舉行的年度裝置活動上發表了一籮筐與Alexa有關的新硬體，包括聲控喇叭Echo品牌的各種新產品，以及結合烤箱、微波爐與氣炸鍋功能的智慧烤箱Amazon Smart Oven，不管是Echo裝置或智慧烤箱都能透過Alexa聲控。

在Echo品牌上，Amazon升級了基本款Echo喇叭的音質，在具備觸控螢幕的Echo Show系列上增添了8吋螢幕的Echo Show 8成員，而新的Echo裝置則有Echo Flex、可顯示時間的Echo Dot with clock、強調聲音表現的Echo Studio、無線藍牙耳機Echo Buds，以及被列為Day 1 Editions創新產品的Echo Frames眼鏡與智慧戒指Echo Loop。

其中的Echo Flex將取代Echo Dot成為Echo家族中最低階的產品，它能夠直接插在電源插座上，可聽取Alexa命令，以用來控制家中的智慧裝置，或是宣布事項，聽取球賽成績，還內建USB傳輸埠，可用來替手機或其它裝置充電，售價為24.99美元。

Echo Dot with clock則會有一個專門用來顯示時間與溫度的LED螢幕，也可以計時或設定鬧鐘，售價為59.99美元，比標準版的Echo Dot貴了10美元。

Echo Studio為Echo家族中音質最好的產品，標榜有豐富的低音、動態的中音與清脆的高音，能支援高分辨率的音樂播放與立體聲，也能依照家中環境自動調整以遞送最佳化的聲音，售價為199.99美元。

至於藍牙耳機Echo Buds，則能藉由行動裝置上的Alexa程式來執行Alexa功能，像是播放音樂、導航、打電話等，若未安裝Alexa程式，長按按鍵即可存取手機上內建的Siri或Google Assistant語音助理服務。

Amazon在本周也發表了Day 1 Editions專案，這是一個用來替創新產品測試市場水溫的專案，生產數量有限，也鼓勵用戶提供回饋意見，該專案在本周釋出的首波新產品為智慧眼鏡Echo Frames與智慧戒指Echo Loop。

Echo Frames目前只能搭配Android手機使用，讓使用者戴著眼鏡就能向Alexa發號施令，它內建了麥克風與喇叭，但並無攝影機或螢幕設計，看起來像是尋常眼鏡，可搭配處方鏡片，也相容於Google Assistant，售價為179.99美元。

而智慧戒指Echo Loop，則可形容為「戴在手上的微型Echo裝置」，內建麥克風及喇叭，它能搭配Siri、Google Assistant或Alexa使用，收到訊息或電話時會振動，但通話方式比較麻煩一些，講完話之後要把戒指移到耳朵旁邊才能聽到對方說話。售價為129.99美元。

新的Echo裝置都在本周起開放預購，預計會在今年出貨，本周也開始接受消費者申請參與Day 1 Editions專案，但出貨日期未定。

除了Echo家族系列之外，Amazon本周還發表了四合一的智慧烤箱Amazon Smart Oven，它結合烤箱、微波爐、氣炸鍋及加熱功能，可透過Echo Dot進行聲控，要求它預熱、啟動或結束等，因此249.99美元的售價中也包含了一台Echo Dot。

Amazon替各種支援Alexa的產品設計了「人類認證」（Certified for Humans）專案，取得該認證的產品代表很容易就能執行Alexa設定，估計現階段市場上已有超過8.5萬項相容於Alexa的產品。

Amazon亦不斷改善Alexa的能力，本周發表的其中一項是能夠藉由Alexa控制家中的Wi-Fi存取，例如在晚餐的時候中斷Wi-Fi連線，而且還可選擇是中斷所有裝置或特定裝置的Wi-Fi連線，該功能預計於今年秋天上線，相容於各種支援Alexa的路由器品牌，包括eero、ASUS、Linksys與TP-Link等。

全球社交網站龍頭臉書正準備要把人們帶到全新的社交虛擬實境世界（Virtual Reality，VR），計畫在明年推出Facebook Horizon，在這個VR世界中，人們可以玩遊戲、從事各樣的活動，能夠交朋友，也可以建立屬於自己的活動與世界。

根據臉書的規畫，Facebook Horizon將基於Rift平台，並支援可獨立運作的Oculus Quest頭戴式VR裝置。

臉書旗下的VR團隊Oculus表示，VR是個與朋友一起閒晃、玩遊戲及看電影的好去處，但它同時也是一個可以學習新技巧及探索世界的奇妙方式，在進入Facebook Horizon世界之前，每個人都將先設計自己在VR世界裡的化身，從風格到身體的特徵等，以充份表達自己的個性。

Facebook Horizon的入口是個繁華的城鎮，讓人們能夠彼此認識，以此為中心並擴張到一個相互連結的世界，以進一步探索新的地方、玩遊戲、打造社群，或是建立自己的新體驗。

因此，除了Oculus原本設計的VR遊戲及體驗外，該平台會提供方便操作的World Builder，讓使用者自行建立新世界與活動。為了確保Facebook Horizon是個友善的世界，將會有安全工具及人類導遊（Horizon Locals）的設計，以在VR世界中回答問題並提供協助。

其實Oculus團隊在2016年就推出了基於VR的遊戲與交友園地Oculus Rooms，而臉書也曾於2017年推出VR社交平台Facebook Spaces，但在規畫了Facebook Horizon之後，這兩項服務都會在10月25日關閉，而Facebook Horizon測試版則會在明年初問世。

在歐盟理事會（Council of the European Union）於今年4月通過了《著作權指令》（Copyright Directive）之後，法國準備成為全歐第一個採用該指令的歐盟國家，當地的新著作權法案將於10月下旬實施，而Google則在本周宣布，不會付費給法國的新聞媒體，而是選擇移除搜尋結果中的新聞內容摘錄。

根據《著作權指令》，出版商有權要求嵌入新聞摘錄的平台付費，首當其衝的就是Google。負責Google News的Google副總裁Richard Gingras表示，有鑑於該規定，Google將會變更法國搜尋服務所出現的新聞結果。

目前在Google搜尋結果中所看到的新聞，通常是由標題、連結、摘錄，或是縮圖所組成，但之後為了避免觸犯法國的著作權法，決定刪除內容摘錄的部份，這代表在Google搜尋結果中所看到的新聞，只會有標題與連結，或者是縮圖／標題與連結，而不會再有新聞預覽內容，除非新聞媒體主動同意Google使用。

Gingras說，Google一向允許出版商或新聞媒體透過設定，來決定Google搜尋所能呈現的內容長短，但Google既不要求媒體付錢給Google，也不會付錢給媒體。

Gingras闡述了Google的理念，表示人們信賴Google協助他們找到有用且權威的資訊，為了維護人們的信任，Google的搜尋結果必須是基於關聯性，而非商業關係，因此Google不接受企業付款以求出現在搜尋結果中，Google賣的是廣告，並非搜尋結果，同樣的，Google也不會因為人們點選搜尋結果中的連結，而付費給業者。

此外，過去媒體必須付費給書報攤請它們銷售報紙或雜誌，但現在Google並沒有向這些媒體收費，以歐洲為例，使用者透過Google連結而點選新聞內容的次數平均每月超過800萬次，等於Google每秒替新聞網站傳遞了3,000次的點閱，若真要計費，每個點擊的費用應介於4到6歐元。

總之，Gingras認為Google不但替媒體傳遞流量，也打造了供媒體使用的廣告平台，還藉由Google新聞倡議計畫（Google News Initiatives）以贊助全球媒體的數位化專案，整體贊助金額已達3億美元。

Gingras表示，消費者的行為已跟著網路的成長而改變，很多人上網會到特定的網站與市集尋找所需的資訊，網路上的大量資訊已對新聞媒體造成衝擊，媒體的商業模式應該要隨之調整，Google將會持續與新聞媒體持續合作，以協助它們在數位時代取得進展。

紅帽與CentOS專案領導階層達成共識，有鑒於社群驅動型創新快速發展，因此他們決定為CentOS Linux社群加入新的CentOS Stream模型，CentOS Stream是一個為開發人員提供的CentOS發布版，會與現有的CentOS Linux版本並存。

紅帽提到，他們目前的Linux生態系統從Fedora專案開始驅動核心開發，當新技術成熟，便會被整合到下游的RHEL中，RHEL會強化這些元件，同時提供額外的安全性更新，並且將其整合到更廣泛的RHEL生態系中。之後，RHEL的程式碼會被帶到CentOS專案中，以便開發人員在主幹上建構額外的整合。

另外，其紅帽通用基礎映像檔以及RHEL開發者訂閱，讓開發者可以在Linux平臺上建構應用程式，但紅帽表示，現有的模型可以良好的為IT管理員和運營團隊提供服務，但是開發人員可能需要更早地存取程式碼，並與更廣泛的社群合作，而CentOS Stream提供了這樣的機會。

CentOS Stream作為紅帽生態系開發人員的上游開發平臺，會在一天內更新數次以達到內容連續串流的目的，其同時包含了RHEL程式碼庫中最新的內容，呈現了下一個RHEL版本的樣貌，像是提供給社群的Beta或是預覽發布版。CentOS Stream專案提供滾動式的預覽，使得開發人員能以比RHEL版本快上幾步的時間，取得新功能。

因此紅帽Linux生態系從Fedora專案開始，讓社群在作業系統創新的前線進行貢獻，而CentOS Stream則為需要了解RHEL功能，以調整軟硬體的開發者，提供早期獲取RHEL更新的機會，而開發者可利用紅帽通用基礎映像檔開發經認證的應用程式，RHEL開發者訂閱則是為開發人員提供一個穩定的應用程式開發與測試環境。

新創公司QC Ware在其Forge雲端服務中推出了量子運算即服務，讓沒有量子運算專業的企業用戶，也可以利用模擬器以及量子運算平臺。

Forge雲端服務使用者可以存取專有的端到端實作、二進位最佳化的開源演算法、化學模擬和機器學習功能。QC Ware提到，Forge雲端提供的量子運算即服務，與市場現有的服務差異在於，用戶可以直接使用量子運算硬體供應商開發套件中，所提供的高階的演算法，而且Forge雲端整合了多種量子運算晶片以及軟體模擬器，用戶可以多元地選擇這些後端來處理工作負載。

QC Ware提供針對特定行業的端到端解決方案，用戶可以使用專有工具，加速解決方案的應用，並更容易地處理擴展的資料集，目前Forge雲端的量子運算服務，使用來自同樣也是量子服務供應商D-Wave的量子退火電腦，而軟體則提供Google和IBM的開源模擬器。

現在用戶只要註冊QC Ware Forge公開Beta版，就能在30天內免費存取Forge平臺，以及一分鐘的實際量子運算時間。官方提到，未來還會整合IBM的硬體，以及Rigetti晶片和模擬器，同時也會整合微軟的模擬器，為二進位最佳化和機器學習提供額外高階的演算法，接下來也會擴展化學模擬提供端到端的解決方案。

前端若要與伺服端互動，現今的標準方案，有XMLHttpRequest（XHR）、Fetch、Server-Sent Event（SSE）與WebSocket，該採用哪個技術？

其實，這並不是方案的新舊或誰取代誰的問題，因為，使用XHR不見得是過時，使用WebSocket也不見得符合現代潮流。

基於請求回應

HTTP本身是個基於請求回應的模型，自然地，最為開發者熟悉的前端網路請求技術XHR，也是基於請求回應，雖說是古老技術，卻也是令JavaScript重生、前端技術開始蓬勃發展的要素之一，然而XHR的起源，卻是來自開發者眼中萬惡的IE──2000年左右，微軟為了處理與Exchange Server的互動，以ActiveX控制項的形式出現在IE5。

在IE5中，指定'Microsoft.XMLHTTP'建立的ActiveXObject物件，實現了IXMLHTTPRequest介面，而Mozilla在2002年的Gecko引擎中，仿造了類似的介面nsIXMLHttpRequest，並實現為XMLHttpRequest。

從歷史來看，XMLHttpRequest其實是仿造品，然而使用Gecko的瀏覽器，像是Firefox等，帶動XMLHttpRequest成為產業標準；後來，IE7也提供了XMLHttpRequest作為包裹器，同年W3C開始為XMLHttpRequest進行標準化；而到了2011年，才有了 XMLHttpRequest Level 1的正式規範。

不過，2014年HTML5標準正式釋出，其中包含了Fetch API，從而令XHR在不少開發者眼中，成了過時的技術之一。

有些開發者單純就真的只是因為XHR歷史悠久而覺得過時，偶而會有開發者在Ajax最後一個字母XML上作文章（相對於JSON），更常見的是在事件模型、API上探討，認為XHR撰寫麻煩而Fetch簡單易懂。其實兩者並非可以直接比較的東西，這部份可以參考先前專欄〈從XHR到Fetch〉。

無論是XHR或是Fetch，都是基於請求回應模型，沒有請求，伺服端就不能發送資訊給客戶端。為了基於XHR、Fetch模擬伺服端推送，最基本的方式是輪詢（polling），客戶端週期性地發送請求以取得伺服端的回應，這種方式的好處是伺服端不用特別的支援，然而在伺服端真正狀態更新之前，這些發送的請求徒然耗費網路流量。

後來有了長輪詢（long polling），客戶端週期性地發送請求，伺服端接收請求後會先保留，在狀態有更新時，才予以回應，也就是說，客戶端可能發了第五次請求，伺服端才回應第一個請求，於是，就省去了不必要的回應。然而，若要這麼做，伺服端必須保持長時間連線，要有非同步伺服端技術的支援，否則光靠執行緒來持有連線，將會造成伺服端極大的負擔。

單向的Server-Sent Event

如果客戶端在發出一次請求後，伺服端保持不斷線，在每次狀態更新時都利用此一連線回應，也就是說，回應是個不中斷的資料流，客戶端在伺服端回應後，若能識別並取出當次的資料，就可以省去週期性地發出請求的負擔。

HTML5規範了Server-sent Events，主要由兩個部份組成：一個是客戶端與伺服端之間的協定，另一個是EventSource介面。在協定的基本部份，伺服端在不中斷的連線中要回應時，須包含ContentType: text/event-stream標頭，而每次的回應訊息，須以data:作為前置，並以\n\n結尾。

若瀏覽器支援SSE協定，使用XHR也能處理持續連線時回應的資料。由於連線不中斷，因此，要在XHR實例readyState為XMLHttpRequest.LOADING（常數3）處理，並且要自行記錄已接收的資料，從中切割出當次回應，例如，

if (xhr.readyState === XMLHttpRequest.
LOADING) {
let r = xhr.responseText.substring(received);
console.log(r);
received += r.length;
}

使用XHR必須自行處理這類細節，而且斷線後，必須自新重新建立XHR實例發出請求；若是使用SSE規範的EventSource介面，只要註冊EventSource實例的message事件，從Event實例的data特性就可以取得每次的回應，而且EventSource介面支援斷線重連，使用上方便許多；同樣地，由於必須保持長時間連線，想支援SSE的伺服端必須要有非同步伺服端技術的支援，才不會有效能的問題。

雙向的WebSocket協定

SSE基本上還是基於HTTP，脫離不了請求回應模型，連線建立之後，只能單向地從伺服端推送資料，客戶端、伺服端間無法雙向溝通。

為了解決這個問題，WebSocket於2011年標準化，在連線建立之後，客戶端與伺服端可以雙向互動，就算客戶端沒有請求，伺服端也可以主動發送訊息，能脫離請求回應模型的原因在於，WebSocket並非基於HTTP，是基於TCP的協定。

然而，WebSocket在建立連線時，確實仍基於HTTP，正確來說，是基於協定升級機制（https://mzl.la/2ZzD0yG），協定識別符號是ws、wss（相對於http、https），建立連線最初是透過HTTP發送Connection: Upgrade以及Upgrade: websocket標頭，以及一些特定於WebSocket的擴充標頭，若伺服端支援WebSocket，也會回應Connection、Upgrade，以及相對的WebSocket擴充標頭。

在經過協定升級機制、連線建立之後，客戶端和伺服器之間可以進行雙向的資料傳送，這是透過連接埠80或443完成。雖然WebSocket協定與HTTP無關，不過在客戶端，API與XHR、Fetch、SSE等類似，也是採用基於事件的模型，使用上並不困難；後來常見一種說法「WebSocket是為了取代SSE等伺服端推送的模擬而提出」有此一說的原因之一可能在於，IE與Edge不支援SSE，然而IE10之後的版本及Edge支援WebSocket。

如果不考慮IE與Edge，WebSocket用來取代SSE的說法也不完全正確，SSE基本上仍是基於HTTP，對於僅需要單向接受伺服端訊息的應用程式來說，使用SSE就足夠了。如果客戶端與伺服端需要雙向互動，而不單只是伺服端推送訊息，例如網路遊戲，才適合使用WebSocket。

如前所述，WebSocket要解決的是雙向溝通的問題，而不是單純地要取代SSE，當然，開發者確實也可以單純地將WebSocket用於伺服端推送訊息，儘管這並不能發揮WebSocket真正的優點。

不是取代的問題

在簡單的網路請求時，使用Fetch API需要的程式碼，比XHR來得簡潔；然而，Fetch也不是用來取代XHR，正如〈從XHR到Fetch〉中談過的，兩者並不衝突，開發者也可以將兩者互補的部份做進一步封裝，以符合應用程式需求。

方案的提出，總會有時間點上的差異，面對同一需求，也經常可以使用不同方案來解決，然而並非因新舊或可解決的需求重疊，而可斷言方案之間是取代的關係。

我們應該關注的是，哪個需求是某方案可簡單解決，而哪一方案得大費周章，忘了「取代」這兩個字，真正重要的是哪個方案可以解決需求！

微軟周四公佈，將把Outlook for the Web（原名Outlook Web Access，OWA）封鎖的檔案副檔名類別增加為38類，包含Java、Python、PowerShell等檔案類型，使142類副檔名的檔案無法下載。

微軟表示，為了確保客戶安全，Exchange團隊近日對現有封鎖檔案名單做了一番檢視，以確保能涵括現今有風險的檔案類型。經過調整，OwaMailboxPolicy物件中的BlockedFiletypes屬性所封鎖的對象，將由現有104類增加38類，成為142類。

微軟指出，新增的檔案類型很少見，所以大部份企業並不受影響，但是收、發這些附檔名的用戶將會無法下載這些檔案。不過微軟只說「即將」封鎖，並未說明確切的時間點。

新增的封鎖副檔名類型包括：Java（jar、jnlp）、Python（py、pyc、pyo、pyw、pyz、pyzw）、PowerShell（ps1、ps1xml、ps2、ps2xml、psc1、psc2、psd1、psdm1、psd1）、數位憑證（cer、crt、der）及曾被用來攻擊第三方軟體漏洞（appcontent-ms、settingcontent-ms、cnt、hpj、website、webpnp、mcf、printerexport、pl、theme、vbp、xbap、xll、xnk、msu、diagcab、grp）。

受影響的產品包括Office 365、Exchange Online或Exchange Server。

微軟提醒，如果企業仍需要下載上述類型檔案，IT部門需確保Windows、OWA在最新版本，且用戶了解相關風險。IT管理員也可以將需要的副檔名修改OwaMailboxPolicy將之加入白名單。早已被加入白名單的副檔名，微軟也會自動將之從封鎖名單中剔除。

類似Uber Eats與Food Panda的美國食物外送服務DoorDash本周揭露，該公司在本月初察覺有未經授權的第三方存取該公司的使用者資料，波及490萬名在去年4月5日及以前加入該平台的會員、外送員及商家。

2013年成立的DoorDash主要在北美市場提供食物外送服務，該公司將資料外洩事件歸咎於第三方的服務供應商，但並未公布該供應商的角色或名稱，只說駭客是在5月4日入侵。

外洩的消費者資料包括姓名、電子郵件位址、食物遞送地址、訂單歷史紀錄、電話號碼，以及加鹽的雜湊密碼等，有些消費者支付卡的最後4個號碼，也遭到駭客存取。DoorDash強調，完整的支付卡號碼與安全碼並未被存取，僅靠4個號碼是無法利用支付卡進行詐騙的。

當中約有10萬名外送員的駕照號碼也外洩了。

DoorDash除了封鎖第三方的存取能力，並全面改善平台的安全性之外，亦逐一通知受影響的用戶，儘管不認為使用者密碼遭到危害，但為了安全起見，仍然建議所有遭波及的用戶重設密碼。

美國聯邦交易委員會（FTC）在本周，遞狀控告旗下擁有match.com、Tinder、OKCupid及PlentyOfFish等多個交友平台或程式的Match集團，指控Match放任假帳號傳訊給使用者，使得使用者為了回應這些假帳號而訂閱Match.com服務，也沒有說清楚「提供6個月免費服務」的條件，違反了《聯邦交易委員會法》（FTC Act）與《恢復線上購物消費者信任法》（Restore Online Shoppers’ Confidence Act，ROSCA），要求法院頒布永久禁令，命令Match集團撤銷或重訂與使用者的合約並退還不法所得。

Match.com為知名的交友網站，使用者可免費註冊帳號並建立個人檔案，但必須要升級到訂閱服務，才能回應所收到的訊息。當有人對該站用戶有興趣或表達愛意時，Match.com就會寄送電子郵件通知使用者，並鼓勵免費用戶升級到付費服務。

根據消費者的投訴與FTC的調查，Match.com放任已在內部被列為詐騙帳號的用戶，傳送訊息予這些尚未訂閱服務的使用者，另一方面卻會避免訂閱用戶收到這些詐騙帳號的訊息。造成許多使用者受到這些詐騙帳號的引誘而付費訂閱了Match.com服務，最後才發現被騙了。

FTC表示，有許多詐騙份子在交友網站上建立虛假的個人檔案，以尋找戀愛詐騙的受害者，他們先與這些受害者建立關係，然後再向受害者騙錢。2018年FTC收到了2.1萬個與戀愛詐騙有關的投訴案，總計損失金額為1.43億美元，高居FTC各類投訴案的首位。

此外，Match.com還向用戶保證，若在半年內沒有遇見心上人，將會提供6個月的免費訂閱服務，不過卻沒有清楚揭露符合此一資格的條件，而造成不少消費糾紛。

FTC亦提醒社會大眾，每天註冊Match.com的會員中，有高達25~30%為詐騙帳號，以用來執行戀愛詐騙、網釣詐騙、詐騙廣告或進行勒索，而且在2013年到2016年之間的某些月份，用戶所收到的訊息或愛意，有超過一半都是來自詐騙帳號。

隨著中國帶來的資安威脅日益加劇，相關的防範措施變得更為重要。於9月17日舉辦的「好好駭：AI與資訊安全論壇」的活動上，美國在臺協會（AIT）處長酈英傑致詞時，提到與臺灣面臨嚴重的資安威脅情勢，正在急速加劇，再加上5G時代的來臨，因此，美國和臺灣在網路防禦上，開始有多項積極合作的業務。

酈英傑指出，時下臺灣所面臨的最大威脅，並非是搶灘的軍隊，而是濫用民主社會與網際網路的開放性，來進行網路攻擊或是擾亂視聽。根據資料顯示，光是在2018年，針對臺灣科技產業為目標，由中國政府支持的網路攻擊，較2017年成長了7倍，預估今年將會增加至20倍。再者，中國攻擊者的主要目標，向來集中於半導體產業，但是近期也擴大範圍，也鎖定智慧機械和電子元件等類型的產業。

臺灣所面臨的另一種領域的威脅，是有人試圖運用網路來散布不實或是錯誤消息，進而插手左右社會，讓人們對政府與民主體制失去信心。近期外來的影響力履履干預臺灣選舉，我們很難忽視其造成的殺傷力。

上述兩種類型的威脅，背後都與關鍵基礎設施有關，特別是資訊與電信網路的部分，尤其是5G網路基礎建設正在如火如荼進行部署，這些關鍵基礎設施的安全也應該受到重視。酈英傑表示，中國出品的服務或是設備，潛在的供應鏈攻擊，近年來美國與許多國家相當憂慮，決定在5G的環境中棄用中國電信設備，而臺灣早於5年前就禁止在關鍵基礎設施裡使用，可說是明智的決策。

從意識培養到攻防演練，美國與臺灣共同強化網路安全

對於防範上述的威脅，酈英傑說，美國已與臺灣有多項合作，包含了情資共享、社會資安意識的培養，並且打算於11月舉辦大規模網路攻防演練（Cyber Offensive and Defensive Exercises）。未來他們也將成立臺灣的國際網路安全卓越中心（International Cybersecurity Center of Excellence，INCS-CoE），集結學術單位的力量，推動全球5G網路的有關標準。

情資共享促進美國與臺灣能夠更進一步聯合防守，其具體的做法，是打算讓臺灣加入美國國土安全部的自動指標分享系統（Automated Indicator Sharing，AIS），藉此自動化的即時互通網路威脅的情資；而在民眾的資安意識養成，則是透過「停．想．連結（Stop. Think. Connect）」運動的平臺，與我國政府進行合作。

針對即將開始的網路攻防演練，酈英傑指出，這場演練中，他們將會匯集15國代表，共同模擬北韓的網路攻擊、社交工程攻擊、關鍵基礎建設弱點，以及金融犯罪等情境，進行演練。

隨後，行政院副院長兼政府資安長陳其邁也對紅隊演練一事，做出回應。他說，這場演練是仿效美國國土安全部的Cyber Storm，演練項目包含社交工程攻擊，以及網路攻防實兵演練，預計為期5天，由臺灣資安團隊防守，15國資安團隊扮演紅隊角色（Red Team），參與國家的部分，陳其邁表示，他們來自亞洲、歐洲，以及美洲，實際名單則不便透露。

對於美國在臺協會（AIT）處長酈英傑提到的大規模網路攻防演練一事，行政院副院長兼政府資安長陳其邁也做出說明，屆時將由來自15國的資安團隊模擬發動攻擊，臺灣資安團隊防守，進行紅隊演練。（圖片來源：翻攝自中央社網站）

本周有匿名人士在網路公布了商業論壇軟體vBulletin的零時差漏洞，以及只有18行的概念性驗證攻擊程式，且傳出已有駭客針對該漏洞展開攻擊，vBulletin團隊則在周四（9/26）緊急修補了該漏洞。

vBulletin為一提供討論區、內容管理系統及部落格等功能的付費軟體，宣稱全球已有超過10萬個網站採用。

本周被公布的安全漏洞編號為CVE-2019-16759，駭客無需具備論壇帳號，只要傳送一個特製的HTTP POST請求至vBulletin就能執行命令，可執行的命令型態則視vBulletin服務所使用的用戶帳號權限而定，可能允許駭客掌控整個系統。

資安專家認為這是個既嚴重又容易開採的高危險漏洞，預期它很快就會吸引眾多駭客，而來自於Bad Packets的Troy Mursch已經察覺首波的攻擊，駭客不但藉由公開的攻擊程式開採了該漏洞，還變更了系統配置，以讓未來要傳送命令都得輸入密碼，防堵其它駭客的開採行動，收編這些vBulletin伺服器成為自己的殭屍網路。大多數的攻擊流量來自巴西、越南與印度。

CVE-2019-16759影響vBulletin 5.0.0到5.5.4的版本，漏洞的嚴重性也讓vBulletin團隊緊急釋出安全更新，修補了vBulletin 5.5.2、5.5.3及5.5.4，並建議5.5.2以前版本的用戶儘快升級。

不過，專門收購零時差漏洞與攻擊程式的Zerodium執行長Chaouki Bekrar指出，先前就有許多研究人員對外銷售CVE-2019-16759的攻擊程式，Zerodium客戶至少在3年前便知道此一漏洞的存在。

電動汽車大廠特斯拉（Tesla）本周釋出了汽車軟體Tesla 10.0，宣稱是史上最大的軟體更新，讓新一代的汽車可具備更多的娛樂、音樂與便利性，當中最受囑目的，無疑是曾出現在老牌影集《霹靂遊俠》（Knight Rider）中，主角李麥克呼叫霹靂車的汽車召喚功能。

只要是購買全自駕系統（Full Self-Driving）或自動輔助駕駛（Enhanced Autopilot ）的特斯拉車主，在升級到Tesla 10.0之後，就能召喚自己的汽車從停車場駛出到車主身邊或其它車主指定的地方，前提是汽車必須要在車主的視線之內。

這在某些時刻是非常方便的功能，像是推著滿載商品的購物車時、在處理麻煩的小孩時，也可能只是不想在下雨的時候走過去開車。

其它Tesla 10.0更新的部份，還讓Model S、Model X與Model 3的車主可以連結Netflix、YouTube、Hulu或Hulu + Live TV，以觀賞喜愛的電影或節目，在音樂上則擴大連結Spotify付費帳號，未來在中國市場則會支援愛奇藝與騰訊視頻，以及喜馬拉雅有聲書電台。

此外，Tesla 10.0配備了卡拉OK（Karaoke）功能，提供音樂與歌詞，讓車主或友人在車上也能盡情歡唱。

Tesla 10.0亦內建新的「我餓了」（I'm Feeling Hungry）及「今天很幸運」（I'm Feeling Lucky）的導航功能，引導車主探索附近的餐廳或景點。

Tesla會陸續部署10.0到各個市場，只要當時汽車連結了Wi-Fi網路，就會自動收到最新的版本。

Cloudflare與瀏覽器Google Chrome以及Mozilla Firefox緊密的合作，共同在伺服器端以及客戶端實作最新的HTTP協定HTTP/3，Cloudflare的用戶會逐漸收到HTTP/3可啟用通知，而用戶現在就可以使用Chrome透過HTTP/3與啟用HTTP/3的網站連結，Firefox也將會在之後釋出支援HTTP/3的版本。

HTTP/3在去年9月被稱為HTTP over QUIC，而到了11月時，正式被IETF成員接受，稱為HTTP/3。HTTP/3的特點在於不再使用TCP協定作為對話（Session）的傳輸層，而是使用新的網際網路傳輸協定QUIC，QUIC在傳輸層提供串流的功能，QUIC串流共享相同的QUIC連結，因此不需要額外的握手或是經歷慢啟動，來重新創建QUIC串流，而且因為每個QUIC串流都獨立交付，大部分的封包丟失只會影響一個串流，並不會對其他串流產生影響，之所以QUIC能擁有這樣的特性，是因為QUIC基於UDP協定實作。

與過去使用TCP的HTTP協定相比，HTTP/3使用UDP獲得更大的靈活性，而且QUIC的實作是在用戶空間層級，協定實作的更新不需要依賴作業系統更新，透過QUIC，HTTP層級的串流可以簡單地被映射到QUIC串流上，進而也能獲得HTTP/2主打的好處之一，沒有隊頭阻塞（Head-Of-Line Blocking）的問題。

Cloudflare解釋，之所以不在HTTP/2使用QUIC，而是要另外創建一個協定，是因為HTTP/2部分的功能無法簡單地被帶到QUIC上，像是HTTP/2標頭壓縮HPACK，由於HPACK很大程度仰賴不同HTTP請求和回應傳遞到端點的順序。

而HTTP/3中，QUIC雖保證單個串流位元組交付的順序，但不保證不同串流之間的順序，因此在HTTP/3中需要重新建立了標頭壓縮結構QPACK，另外，部分HTTP/2的功能像是預串流控制，QUIC本身就已經提供，因此也需要從HTTP/3中移除，降低協定不必要的複雜度。

網際網路新標準採用的困境，在於究竟應該是伺服器先支援還是瀏覽器先支援，而這次Cloudflare與兩大瀏覽器Mozilla Firefox和Google Chrome合作，加速了HTTP/3的發展以及採用，Chrome Canary版本現在已經可透過HTTP/3，連結Cloudflare上啟用HTTP/3的服務，而Mozilla也驗證了HTTP/3的可行性，在稍晚時候也會推出支援HTTP/3的Firefox版本。

繼今年7月公布的Astaroth無檔案（fileless）攻擊行動之後，微軟本周再公布新一波的Nodersok無檔案攻擊，駭客同樣利用合法工具展開攻擊，目的是將受害系統變成代理人以執行點擊詐騙，估計已有數千台Windows電腦被纏上。

狡猾的無檔案攻擊使用各種離地攻擊（living-off-the-land）技術，藉由合法工具展開一連串的感染行動。

Nodersok的開端始於使用者藉由點選或瀏覽惡意廣告，而下載與執行一個HTML程式（HTA），藏匿在該HTA檔案的JavaScript程式碼，就會自C&C伺服器下載另一個JavaScript檔案，接著下載內含PowerShell指令但被加密的MP4檔案，解密後利用PowerShell指令，來下載可關閉Windows Defender Antivirus的模組與其它模組，最後留下的是能把受害電腦變成代理人、基於Node.JS框架的JavaScript模組。

微軟表示，Nodersok與Astaroth一樣，感染鏈的每個步驟都只在合法的工具上執行，不管是機器內建的mshta.exe與powershell.exe，或者是自第三方網站下載的node.exe及Windivert.dll/sys，而伴隨這些腳本程式或Shellcodes出現的功能，都是以加密的形式出現，之後再行解密，並只於記憶體內執行，並沒有任何惡意的執行程式被寫入硬碟。

假使去除Nodersok所借道的合法工具，那麼真正的惡意檔案只有一開始的HTA檔案、最後的JavaScript模組，以及大量的加密檔案。

微軟是在今年7月中發現Nodersok攻擊行動，因偵測到mshta.exe的使用出現異常而展開調查。Nodersok主要鎖定美國及歐洲的一般消費者，只有3%的受害者為特定組織內的成員。