Office 2010一年後就會終止延伸支援，請準備升級

微軟宣布，Office 2010的延伸支援將在2020年的10月13日終止，終止延伸支援之後，該產品依然可繼續運作，但微軟將不再釋出該產品的安全更新，因而呼籲用戶應在這一年間儘快升級。

Office 2010為目前唯一可支援Windows XP、Windows Server 2003、Windows Vista與Windows Server 2008等作業系統的Office版本，之後的Office產品都已不支援相關平臺。

一般使用者可選擇升級到Office 365個人版（Office 365 Personal）、Office 365家用版（Office 365 Home），或是Office 2019家用版（Office Home & Student 2019），而企業用戶的選項則有Office 365商務基本版（Office 365 Business Essentials）、Office 365商務版（Office 365 Business）與Office 365商務進階版（Office 365 Business Premium）。更多內容

戴夫寇爾剖析網頁郵件系統漏洞

專精於找尋系統漏洞的戴夫寇爾，在去年由網擎資訊主動提供的測試環境，發現Mail2000網頁郵件系統漏洞。網擎接獲通報後，已發布修補程式。

負責尋找Mail2000系統漏洞的資安研究員Meh，發現漏洞藏匿在libm2k與libm2kc兩個程式庫中，它們是由網擎自行開發，用來驗證連線的有效性，以及提供參數解析與檔案處理的模組。她發現的是記憶體越界寫入漏洞，在內容類型宣告為multipart的情況下，參數數量可超過陣列指定大小，攻擊者便能藉由使用參數的CGI程式觸發漏洞。更多內容

新版macOS災情連連，蘋果呼籲且慢更新

圖片來源_蘋果

蘋果近期釋出最新版macOS 10.15 Catalina。不過iTunes移除後，卻出現第三方音樂app無法使用iTunes資料庫，以及Catalina安裝耗時數小時的災情。

macOS Catalina最大變更之一，是iTunes將在20年後功成身退，由Apple Music、Apple Podcasts與Apple TV三個app取而代之。一般用戶可能沒受太大影響，但卻嚴重衝擊大量仰賴Mac電腦以及iTunes，來管理音樂檔案的DJ。

一直以來iTunes是DJ們工作必備工具，一來iTunes對XML的支援，讓DJ得以編輯歌單和管理音樂資料庫，二來其他第三方應用程式利用「iTunes資料庫XML」功能，存取iTunes資料庫，許多DJ常用的app像是Rekordbox、Traktor等，也都靠這項功能使用iTunes資料庫中的音樂。

但Mac Catalina移除iTunes的同時，也移除了XML支援，切斷第三方DJ app和iTunes資料庫的連結，使DJ利用這些app辛苦建立的歌單無法使用。蘋果呼籲大量使用XML的用戶繼續使用Mojave，不要升級到Catalina，以免過去的心血花為烏有。更多內容

蘋果釋出macOS Catalina補充更新，解決部分用戶安裝龜速問題

蘋果本周發布iOS 13.1.3 及iPadOS 13.1.3，以解決舊版iOS 13引發的各種問題。同時針對macOS Catalina釋出補充更新，解決部分用戶安裝時間過長的困擾。更多內容

電商訂單資訊與個資外洩不斷，警方呼籲民眾注意高風險網購平臺

圖片來源＿刑事警察局

在10月初，刑事警察局發出知名訂房網Booking.com疑似個資外洩的警訊，指出從今年5月起，165反詐騙就陸續接獲民眾通報，接到假冒Booking.com的詐騙電話，至今已連續21週警示於高風險賣場名單，並且遠高於所有訂房類型網站，根據目前統計，今年受騙上當者已有228人，財損金額達3,362萬元。

由於近年來，165反詐騙每週都會公布高風險網路賣場，因此，我們進一步詢問內政部刑事警察局，還有那些是近期值得注意的名單？該局預防科偵查員劉昭男表示，近半年來，自今年3月至9月底止，民眾通報解除訂單扣款詐騙案件最多的網路平臺，排行前五名是MKUP美珈、小三美日、讀冊生活、Booking.com與ANDEN HUD，總共通報件數破千。

不過，若以上榜週數來看，Booking.com以21次最多，小三美日是15次、讀冊生活是13次，雖然Booking.com通報件數並非近半年最多，但用戶遭詐騙的情況持續發生，詐騙高峰期已長達5個月，比起過去一般詐騙高峰期是2～3個月要長，引發警方關注，因此提醒民眾要特別注意。更多內容

英國政府選用OpenAPI 3規範描述RESTful API

近期英國政府開放標準委員會宣布將採用RFC 4180作為發布表格的標準，使得資料能夠更加便於發布以及重新使用，而在RESTful API描述上，則採用OpenAPI 3的規範。

協助英國政府進行數位轉型的GDS表示，無論以什麼程式語言開發的API，OpenAPI 3都能幫助使用者產生準確最新的API參照文件，且能夠驗證、版本化、維護和更新所產生的文件，而文件中使用相同的API描述，也能減少其他使用者理解API的時間，進而在政府中提升API的採用率。更多內容

衛福部揭露臺灣醫療聯防管理現況

以醫療資源結合資訊科技，所衍生出智慧健康、智慧醫療與智慧照護應用等，然而，相關的資安議題也是無法忽視的焦點，在最近一場智慧醫療研討會上，衛生福利部資訊處處長龐一鳴揭露，當前挑戰與執行狀況。

在智慧醫療發展上，醫療院所內的連網設備越來越多，若從整個智慧醫療的架構來看，龐一鳴指出，背後的基礎其實就是電子病例（EMR）。因此，智慧醫療的兩大關鍵就是網路與電子病例的管理。

對於智慧醫院的法遵議題，龐一鳴首先指出的是關於雲端、電子簽章法等法規的鬆綁，是國內目前正要解決的重點。像是在醫療機構電子病歷製作及管理辦法中，增加使用電子病歷之醫用軟體（AI、輔助診斷等），以及雲端運算服務規範，同時，針對一些子法規的修正與補充，也將因應醫療衛生環境變化與需求，進行函釋或推動修法等。更多內容

Amazon EKS現在正式支援Windows容器

日前AWS在其Kubernetes服務正式推出支援Windows容器功能，使用者現在可以在Windows伺服器上安裝應用程式，並且與其他Linux應用程式一同部署在Kubernetes上。

Kubernetes在今年3月底發布1.14版本時，開始支援Windows容器，讓使用者可以將Windows節點加入工作節點（Worker Node）或是進行Windows容器調度，使得Windows龐大生態系的應用程式，都可以部署到Kubernetes平臺上。

在Kubernetes釋出1.14版本之後，AWS也隨即發布在Amazon EKS上Windows容器支援預覽，而現在AWS搶先在其他雲端供應商之前，宣布開始在Kubernetes服務上正式支援Windows容器。

要在K8s上執行Windows容器，需要使用K8s 1.14或以上版本，AWS提到，目前在叢集中至少需要一個Linux節點來支援Windows節點和Pod網路，並建議使用兩個Linux節點，來實現高可用性。更多內容

Linux的sudo指令遭爆含有可取得最高權限的安全漏洞

Linux指令sudo的官網於本周提出警告，指出sudo指令含有一編號為CVE-2019-14287的安全漏洞，將允許無特權的使用者取得最高權限（Root），以執行任何命令。Sudo團隊已釋出sudo 1.8.28以修補該漏洞，先前的版本都受到波及，幸好該漏洞只會在非標準配置的狀況下被觸發。更多內容

10倍億級爆量發文也不怕！微博服務架構超高可用性的秘密

一則林志玲微博上的閃婚消息，震撼了娛樂圈，更在微博社群引起轟動。這則婚訊發布不到3小時，經過網友瘋狂轉貼、評論，相關的討論文章，在不到3小時內達到了45萬則，瀏覽量更超過6億次，立刻登上熱搜榜第1位，尖峰時間甚至一度造成微博服務短暫癱瘓，之後幾天，瀏覽人次更達到25億次、89萬則評論。就連原帖轉發、評論也都超過數十萬則以及數百萬個讚。這一則短短不到50字的貼文，成為了微博IT團隊維運的突發大挑戰。

新浪微博研發總監李慶豐點出技術關鍵，在於打造一套高可用的微服務（Microservices）架構體系，並且搭配容器（Container）技術、分散式儲存架構與混合雲，才能做到支撐上億用戶每天內容發布需求，甚至遇到突發尖峰流量也不怕。李慶豐在近日來臺參加Modern Web 2019大會時，也揭露了更多技術細節。更多內容

繼今年7月起提供臺灣AI雲（Taiwan Computing Cloud，TWCC）服務之後，國研院國網中心為了降低生醫領域跨足AI應用的門檻，也著手整合了各類生醫資料庫與過去開發的軟體技術，結合TWCC的運算資源推出「智慧醫療建模平臺」，預計在12月開放學研單位、產業界申請使用。

智慧醫療建模平臺整合了多項服務，其中在軟體技術的部份，整合了國網中心過去與各大醫院、學校合作的研究成果，包括與長庚醫院合作開發的睡眠呼吸中止症評估平臺、與臺大獸醫系合作的數位病理標記與分享系統，其他還有如骨材與醫材構型設計評估平臺、MiiL影像標記軟體與VVViewer虛擬實境互動顯示軟體、三維腦神經影像資料庫與神經元切分技術，以及基因體與蛋白質分析平臺等。

在資料庫整合的方面，國網中心運用數據共享平臺（Data Commons）的概念，建置國網生科雲LIONS，串接各類生醫研究常用資料庫的API，提供單一入口平臺，讓研究人員可以同時查詢多種資料庫。使用者運用資料時可以自定存儲權限，也能夠過人體透視圖更直覺化的操作介面，直接點選人體器官或組織來篩選資料集等。

LIONS除了提供生醫研究常用資料庫如TCGA腫瘤資料庫、Ensembl基因資料庫、Ref. Genome資料庫之外，近來也正在導入臺灣人體生物資料庫與微生物相資料庫。國網中心應用開發服務組組長王聿泰表示，臺灣人體生物資料庫是政府的重大投資，預計要蒐集30萬個檢體，其中20萬個為正常人的基因，10萬為遺傳性疾病基因，來建立特定基因與遺傳疾病的關聯性。

此外，由於智慧醫療建模平臺建立於AI超級電腦「臺灣杉一號」的雲服務上，使用者也能直接運用LIONS的資料庫來建模、執行AI運算，再下載模型、透過網頁或App來提供服務；而國網中心也會提供常用、基礎的模型給使用者勾選，並協助訓練模型、調整參數達到最佳化，目標要讓使用者一鍵自動鍵模，且能定期更新核心AI引擎。

在所有AI的應用中，王聿泰也特別提到次世代基因定序的服務。由於一個人的全部基因體資料量就有200G，在執行運算更會占用大約700G的暫存記憶體，但市面上少有能執行如此龐大運算的硬體資源，因此，國網中心也特別提供基因定序分析軟體、AI雲的大記憶體以及平行運算設備、用於儲存與傳輸大型檔案的高速平行化檔案系統、還有保存定序資料的異地備份設施。要透過軟硬體資源縮短定序時間，讓研究者更容易執行研究。

王聿泰表示，國網中心過去主要扮演研發中心的角色，與各單位合作發展尖端技術，待技術成熟後再進行技轉；不過隨著政策轉變，已經逐漸從研發者轉為輔助的角色，除了提供硬體運算資源來加快研究的進程，更重要的是投入技術專家來提供客製化的服務，降低生醫研究員要跨足AI應用的門檻。

也因此，研究單位申請向國網中心申請服務後，國網中心的技術專家會介入協助使用者建模、開發系統，提供再由用戶端的IT人員來接手維運。「我們要點一把火燒起各產業在AI上的應用熱潮，產學研各單位有任何想法，都可以先用TWCC的資源來試驗，成功後再投入經費來開發，讓AI應用落地。」王聿泰表示。

臉書創辦人祖克柏（Mark Zuckerberg）本周在被譽有「政治家搖籃」的美國喬治城大學發表演說，他說臉書創立的宗旨就是聚集所有的人，以及讓他們享有發聲的管道，強調言論自由是臉書所要捍衛的民主價值，即使他想進入中國市場，但可能永遠無法與中國政府在經營條件上取得共識，而這也是他不在中國經營臉書、Instagram或其它服務的原因之一。

祖克柏表示，臉書所做的每件事，都是要賦予人們權力，而不是為了強化現有的組織或權力結構，然而，現在全球有愈來愈多的法令及規定，破壞了人權與言論自由，更嚴重的是，有些國家試圖將對言論的限制強加到其它國家，而突顯出全球網路所面臨的更大問題。

例如中國正在建造專注於其它價值觀的網路，也把自己對網路的願景輸出到其它國家，雖然一直到最近，中國以外的網路價值觀多半是由美國平台所定義：推崇言論自由的價值，然而，這並不保證這類的價值能夠勝出，因為現在，全球前十大網路平台中，有6個來自中國。

2017年時，中國政府曾在一場國際會議上表示，歡迎Google或臉書等網路巨頭重回中國市場，前提是它們必須遵守中國的法律與規範。其中的Google曾因不願遵從中國的言論審查政策，在2010年選擇退出中國市場。2018年則傳出臉書在中國成立子公司，接著又傳出已被中國政府撤銷。

本周祖克柏即開誠佈公地說明了他對中國市場的看法。他說，想在中國提供服務是因為他相信連結全世界將會帶來更開放的社會，而且他很努力，但他們與中國政府可能永遠無法在經營條件上達到共識，同時中國也永遠不會讓他們進駐。因此，他們不會在中國市場經營臉書、Instagram或其它服務。

言論自由的核心在於人們可以在具體的問題上意見分歧，也至少能夠表達不同意的觀點，這是臉書所相信與捍衛的價值觀，假設另一個國家的平台重新設定了規則，那麼人們的溝通方式將由另一套完全不同的價值觀所定義。

除了國家的控制之外，祖克柏認為言論自由亦面臨另一項危機，有些人企圖因某些言論會造成不可接受的政治結果，而將這些言論定義成危險言論，由於風險太高，使得他們不再信任同胞具有溝通，或者是決定自己相信什麼的能力。他說，他個人覺得這樣的態度長期來看，將比任何言論對民主的傷害更大。

其實臉書在捍衛言論自由與避免散播錯誤資訊之間作了不少努力，包括透過AI確保假資訊不會透過該平台傳播，特別是那些可能造成人體傷害的資訊，例如錯誤的健康資訊，也從中理解到與其攔截大量的誤導內容，不如從辨識發布者的身分真實性下手，這使得臉書積極打擊假帳號。

既然推崇言論自由，在對內容的評估上也有一個既定的原則：「你可以表達別人不喜歡的東西，但你不該說出會讓他人陷入危險的言論。」不管是暴力的煽動，或是對兒童的剝削等20個類別的內容，都會遭到臉書下架。

不過，祖克柏也承認臉書的觀點或審核不會永遠是對的，因此設立了獨立的監督委員會讓使用者針對被移除的內容提出上訴。

「財金長期以來都是扮演中立的角色，在金融業界擔任後臺的共通平臺。」這是財金資訊公司董事長給財金的最佳註解。這也是為何臺灣推動開放銀行（Open Banking）技術面的關鍵要角，會是由財金公司作為制定三階段Open API技術與資安共通標準的單位。

由財政部與公營、民營金融機構，共同出資籌設的財金公司，主要的業務是金融機構跨行資訊系統的規畫、建置與營運，並提供跨行交易轉接與清算服務。林國良提到，財金存在的目的，是讓整個資源共享、資訊溝通，透過資訊系統的建置，讓金融機構進入門檻較低，避免重複投資的問題。

「財金做得是鋪橋蓋路的工作，而不是要出來跟市場競爭。」林國良強調，在這次的Open API共通標準制定，財金的理念也是一樣。

他進一步指出，本國銀行有37家（含中華郵政），金融機構有300多家，若科技業者或新創業者要與這麼多金融機構個別串接API，會非常沒有效率。所以，財金的角色就浮上檯面了，讓不同機構可以互相串連在金融領域之中，他說。而金管會賦予財金公司的首要任務就是，訂定出Open API技術與資安共通標準。第二個任務是建立起「開放API開發者平臺」，讓大家透過這平臺串接互通。

「總得有人走出第一步，將整個環境帶動起來，而財金就是扮演拋磚引玉、活絡市場的角色。」林國良表示，財金建立的Open API平臺，重點還是要將業者的創意在此落地實現應用。他也相信，一旦激盪出許多新的金融服務，應用科技的金融服務就會多元且蓬勃發展，從銀行、科技業、消費者的角度而言，就可以回歸市場良性競爭。

身分認證將是第二階段關鍵挑戰，將配套消費者授權機制

對於開放銀行政策三階段的推動，財金早在今年9月中，就揭露下階段Open API技術與資安標準完成的時程。第二階段的「消費者資訊查詢」的技術與資安標準制定，財金預計今年12月完成。

而第三階段「交易面資訊」的自律規範、技術與資安標準訂定等配套措施，財金則估計於第二階段實施後的6個月完成。不過，這是財金在技術面的時程表，林國良表示，要依循業務面的時程，也就是銀行公會訂定的自律規範，所以下階段正式上路的時間，仍要依自律規範及技術與資安標準報請主管機關核准的時間點而定。

由於第二階段是「消費者資訊查詢」，林國良認為，銀行如何確認是客戶本人授權TSP業者，來銀行取得資料，這樣身分驗證環節的設計，將會是第二階段的關鍵。客戶授權是一段，此外，當銀行把客戶的資料，交到客戶授權的單位後，資料能否被好好保管，以及萬一掉資料，責任歸屬又該如何認定，也都是這階段待需解決的問題。

他也指出，在第二階段，隨著身分驗證環節的設計，消費者授權機制也會有所配套措施。只是說，目前各家銀行的授權機制不一，最後會採取統一授權或個別授權？林國良認為，初步傾向個別授權，因為，臺灣並沒有所謂的數位身分認證或識別中心，可以證明是客戶本人，只能依據客戶與銀行先談好的授權機制如金融卡、憑證、密碼等來確認是客戶本人。

此外，對於銀行普遍認為，在與TSP業者合作，希望有第三方公正單位代銀行稽核TSP業者，同時也免去TSP面對多家銀行各自稽核的成本。林國良表示，隨著市場的變化，可能會需要有第三方公正單位出現，但不適合由財金來作為TSP認證者，他認為，財金的專業不在稽核，但會扮演好標準制定者的角色。

財金轉變IT體質迎Open API，已開始研究新資訊架構與資安布局

在財金建置與營運的「開放API開發者平臺」，林國良坦言，因為第一階段是開放公開資訊查詢，主要目的是讓新創或新商業模式，能夠在此平臺驗證、發展，所以不會以API使用量為目標。但，到了第二、第三階段，財金認為得考慮平臺如何滿足API使用量的問題。

林國良也透露，為了因應Open API與金融區塊鏈函證未來的發展，財金內部目前已經開始研究兩大面向。一是，重新檢討財金的資訊架構，包括基礎設施與應用系統。比如說，Open API它有較開放的框架，財金的資訊架構就要調整。他也表示，財金不排除採用微服務、容器架構來設計新的資訊架構。二則是，財金要重新思考資安布局，林國良提到，包括如何檢視布建新的資安防護及資安聯防架構，都是財金的下一步。

他坦言，光開放銀行是不夠的，得從更大的範疇像是Open Finance，甚至是Open Data的概念發展。他認為，如果要讓臺灣Open API發展得好，不只銀行單面的資訊要拿出來，如何跟產業的資訊結合起來，得有銀行的資料，加上市場的資料，才能夠創造一加一大於二的產值。文⊙李靜宜

Google甫於近日發表新一代的Google Pixel 4與Pixel 4 XL手機，並嵌入了人臉辨識功能，允許使用者利用該功能來解鎖手機、確認付款，或登入某些行動程式，然而，BBC News記者Chris Fox測試卻發現，Google Pixel 4的人臉解鎖功能，就算是在使用者閉上了眼睛依然能運作，帶來安全上的隱憂。

此一設計上的缺陷代表倘若使用者在睡覺，旁人將可透過他正在睡覺的臉龐替手機解鎖。

其實Google在Pixel 4的人臉辨識功能說明中已經指出了這一點。

根據Google文件的描述，在啟動人臉解鎖功能之後，只要使用者注視著自己的手機，就算沒有想要解鎖，手機也會自動解鎖；看起來相像的兄弟姐妹都有可能解鎖使用者的手機；其他人只要把手機對準使用者的臉，就算使用者的眼睛是閉著的，也可以解鎖。

相較之下，蘋果iPhone的Face ID功能似乎安全一些，因為Face ID的預設值，是不會在使用者閉上眼睛時解鎖手機。

在被媒體披露之後，Google表示，目前並無法明確宣布該功能未來可能會有的能力，但就像大多數的Google產品一樣，此一功能可望隨著之後的軟體更新而改善。

不管是蘋果或Google都強調人臉資料只會存放在手機上，而不會傳送到業者的伺服器上，可確保人臉辨識資訊的安全性。

臺灣開放銀行（Open Banking）的推動，除了金管會、銀行公會、財金公司，政治大學國際產學聯盟也是不可或缺的推動者之一。作為學術機構，政大站在一個既獨立又專業的角度，負責審閱財金公司訂定的技術與資安標準文件，也作為測試Open API驗證與測試平臺的角色，並蒐集TSP業者意見給財金參考。

「Open Banking是臺灣金融數位轉型非常重要的里程碑。」這是政大國際產學聯盟營運長王儷玲，對臺灣這波開放銀行風潮的看法。在臺灣開放銀行推動的大大小小場合中，都能看到政大國際產學聯盟的身影，王儷玲更在一場又一場活動地親自跑，不斷來向各界說明開放銀行的重要性和發展建議，她尤其關注TSP將面臨的法遵與風險監管議題。

未來，開放銀行政策進入第二階段「消費者資料查詢」後，因涉及消費者個資，讓對於客戶個資極為重視的銀行業者，不得不繃緊神經看待與TSP業者的合作。如何釐清銀行與TSP業者之間的權利義務，以及TSP業者的資安能力得做到何種程度，乃至銀行如何去審核TSP的資訊安全，都是開放銀行要跨進第二階段前，最棘手的問題。

TSP業者三大挑戰：法遵、風控與資安

王儷玲指出，開放銀行的資安標準與風險問題，對TSP業者將會有很大挑戰。相較於銀行，多數TSP業者對法律遵循、風險控管與資訊安全管理的認知有限，較缺乏完善、嚴格的法規與管理機制。在有限的預算與人力下，TSP業者在資安控管與防護上，與金融業者有很大的落差。

目前開放銀行剛啟動第一階段開放商品資訊，當推展到第二階段開放客戶資訊及第三階段開放交易資訊後，TSP業者可透過API介接銀行，獲取消費者個資訊息，若TSP業者對個資之處理程序、資安控管與稽核措施不足，可能成了金融資安鏈上的脆弱點，這正是許多銀行資訊安全控管部門對Open Banking的疑慮，也是TSP業者在尋求合作時銀行的痛處，王儷玲提到。

特別是，臺灣開放銀行政策是以不修法，由銀行與TSP合作方式推動，並由銀行公會研議開放範圍以及自律規範，因此在制訂規範時，會以銀行委外的模式對TSP業者訂定相關技術與資安標準，因為有爭議時銀行須要負責任，此模式下對TSP業者資安標準幾乎等同銀行，TSP業者能夠參與的家數將會大量減少，王儷玲指出。

她認為，「以國外經驗，應該將TSP業者當成開放銀行的參與者，而不是銀行的委外單位，針對不同需求的API服務訂定對TSP資安標準，合格者即可進入，且資安責任也不應全由銀行承擔，除資安基本標準外，或可考慮要求TSP業者購買資安保險。」

王儷玲表示，「如何協助TSP業者盡快提升資安技術能力，做好個資及資安上的管理機制，是臺灣Open Banking是否成功的關鍵重點，這也是政大努力的方向」。目前政大正積極規畫相關的資安與個資維護教育訓練課程及座談會，分享國際上Open Banking實務作法，借鏡各國對TSP業者的規範與管理經驗。

她進一步指出，政大與財金公司成立「Open Banking創新平臺」的目標，就是要協助TSP業者改善資安體質，達到不同階段所需的技術標準，也要能符合資安認證需求，協助TSP業者與銀行合作時，可以降低在Open API營運上的風險。

「協助TSP業者以國際標準的Open API與銀行接軌是政大想做的事。」王儷玲舉例，政大已規劃與國際認證機構（如BSI.、TCIC等）合作，提供教育訓練課程，內容包括Open Banking入門、Open API 情境應用介紹、介紹ISO27001等有關個資與資安標準實務作法、與成功實務案例分享等，並會協助TSP業者取得資安標準認證。而以上課程參加對象不限TSP業者，金融業者也可以派人來上課。

王儷玲認為，在這波開放銀行浪潮下，不只銀行需要提升，想要與銀行合作的TSP業者，也要同時提升技術與資安能力。她強調，「要做到讓銀行以及新創TSP都能在開放銀行政策下受惠，能夠開創新業務與新客戶，也要讓消費者放心，這樣大家才能持續對開放銀行投入更多資源。」

建議可參考英、澳模式，由第三方獨立安全稽核單位查核TSP

王儷玲指出，擁抱Open API帶來的另一個痛點是，事後查核問題。在Open API的環境下，TSP業者不會只跟一家銀行合作，而銀行為了確保TSP業者的資訊安全，又必須稽核TSP，TSP業者要如何一次面對多家銀行的查核？不同銀行間的資料，是不能給其他銀行看的，要如何查核TSP？

她的建議是，需由第三方獨立安全稽核單位來查核認證，例如英國已有一套完善的作法，就是採用公正第三方單位IASME Consortium的資訊審計標準，來對TSP業者進行技術與資安查核，並定期公布查核的結果，同時每一次查核經認證後的資料必須儲存及透明公開，以供日後追溯之用。

王儷玲認為，「由第三方查核的機制，可以協助釐清銀行與TSP之間的資安責任歸屬，也可以進一步建立紛爭處理機制」，臺灣未來可參考英國或澳洲的模式，建立一套類似IASME的查核機制。

臺版開放銀行有條件走得更穩健

她觀察，Open Banking在臺灣先從銀行開始，未來應逐漸拓展到投資、資產管理以及保險，也就是要從Open Banking走到Open Finance。「臺灣在Open Banking這條路，應該可以走得比國外更為穩健。」關鍵原因是，臺灣有財金公司、聯合徵信中心、集保結算所、保發中心等金融周邊單位，這都是國外所沒有的機構。

她提到，若能建立一個數據資料管理交換中心，串連相關周邊單位與產業資料，將銀行、保險、證券的資料釋放出來，「只要大家願意一起往前走，臺灣推動Open Banking會更為有效率。」

王儷玲強調，「開放銀行透過數據安全共享，主要目的要創造更大的數據價值，做到消費者與社會利益最大化。」國際上Open Banking在消費者資料賦權上，也不是只做到金融資料的交換，可以更廣泛進行跨產業的資料共享，例如開放醫療數據、交通數據等。「不過，在臺灣資料開放與跨產業資料使用的發展願景，目前仍待相關法規開放或修法，挑戰很大。」但她堅定地認為，若能做到這些，臺灣Open Banking可以走出一條更有價值的路。文⊙李靜宜

財金開放API平臺正式上線，23家銀行率先加入，臺灣開放銀行終於踏出實際的第一步，下一階段開放消費者資料查詢，將帶動個人化金融服務的創新，如何繼續前進，邁向開放保險、開放證券，甚至是開放金融，接下來更是關鍵

在今年5月中旬被美國列入實體名單（Entity List）的華為，本周公布了今年第三季的財報，指出前三季創下6,108億人民幣的營收，比去年同期成長24.4%，且前三季的手機出貨量達到1.85億支，也比前一年成長26%，企圖展現該公司即使受到實體名單的抑制，仍能持續成長。

美國因應定華為參與了妨礙美國國家安全或外交政策利益的活動，因而在今年5月將華為列入禁止出口的實體名單，代表美國業者不得再輸出技術、產品或服務予華為，因此，華為今年9月於德國發表的Mate 30系列旗艦手機，也不再內建Google Maps、Gmail與YouTube等Google程式。

目前各家研究機構針對今年第三季的智慧型手機市場調查報告尚未出爐，但若參考IDC在今年第二季的分析，華為穩坐全球第二大智慧型手機製造商位置、且出貨量持續成長的原因之一，是因為華為將資源調回中國市場，使得中國占華為手機出貨量的比例高達62%。

外界預期在實體名單的持續發酵下，中國市場占據華為手機出貨量的比重將有增無減。

此外，就算美國不斷警告華為的電信設備可能暗藏後門，或是華為將聽命於中國政府以於設備中植入後門，華為與全球電信業者所簽署的商用5G合約數量還是從今年第二季的50個增加到第三季的60個，且迄今出貨的5G主動天線單元（Active Antenna Units，AAU）已超過40萬組。

「開放銀行的挑戰是第二、第三階段。」政大金融科技研究中心副主任陳恭再三強調。儘管API是跨產業間合作的利器，有助於資訊和流程整合的自動化，但是他指出，必須先釐清，Open API是一個技術上的專有名詞，指的是使用開放標準來制訂的API。在實作上，Open API的「Open」一詞，是「開放」之意，而非「公開」。所以，Open API不只包括了「公開的API」，也可以包括那些指在特定合作夥伴間、特定成員間，利用這些以開放標準訂定的API來串接的行為。

要考慮到這些不同類型的應用場景，陳恭表示，Open API就必須考慮到認證、授權、威脅偵測、資料保密和訊息正確性，以上要素缺一不可。

開放銀行的資安必需要考慮兩大議題，身分辨識與權限控管。對銀行端而言，不只需要辨識出使用者的身分，也要辨識第三方業者的應用程式來控管其權限。不過，在臺灣開放銀行發展的Open API三階段開放中，第一階段只涉及已經公開的商品資料，因此不用考慮消費者辨識和認證的議題。目前作法是第三方服務業者事先註冊，第三方應用程式經過審查（或取得銀行授權）後，以API Key來辨識身分。但是到了第二階段，就得進一步考慮更完整的Open API安全規範。

陳恭表示，涉及消費者帳戶與交易資料，除了辨識第三方程式，也不能將消費者的帳號與密碼交給第三方，「目前，國際間慣用的作法是採取OAuth 2委任存取授權方式，讓TSP來存取客戶資料。」

消費者先登入原本銀行的網銀，來進行對第三方程式授權，第三方程式就可以用授權後的Token通行證來存取銀行的API，並且這類Token還需限制API存取範圍和時間，甚至要提供隨時可撤銷授權的機制。授權過程中，還需要讓消費者清楚知道，第三方的程式要求讀取哪些權限。

簡單來說，OAuth 2授權可分成四個流程，首先，TSP的App得先向銀行註冊，銀行會提供一個特殊代號給TSP業者。第二，當使用者打開TSP業者的App來連結銀行時，這個App就可以用這個代號來告知銀行，自己的身分。第三，銀行的驗證伺服器透過白名單確認App的身分後，允許使用者進行網銀登入程序，來對App進行授權，並提供一個授權碼（Auth code）給App。第四，使用者不用再次登入銀行的系統，App可用這個Auth Code來換取特定服務的存取金鑰（Access Token），日後用這個存取金鑰來取得需要的金融資訊。

OAuth 2.0委任存取管理示意圖（圖片來源_陳恭)

「OAuth 2是電商、網路科技業者慣用的授權方式，但銀行圈對此技術不清楚，趁著（這次機會）推動Open API，可以讓銀行熟悉這項主流作法。」陳恭表示。

不過，OAuth 2主要聚焦授權機制，陳恭指出，在認證機制上較不足，沒有在網路通訊協定中採取更嚴謹的防範措施。所以，後來又發展出了OpenID Connect （OIDC），增加了ID Token，可以提供部分使用者資訊給授權者比對，避免中間人冒用。另外，API安全標準上，還有最新一套考量更多安全機制和風險控管功能的FAPI（Financial-Grade API，金融等級API）設計。目前，臺灣開放銀行發展上，初步看法是第二階段考慮引進OAuth 2的作法，其他更高標準安全規範，則看日後需求和風險考量時再考慮。

OAuth 2是針對Open API的安全標準，陳恭認為，也可以借鏡臺灣醫療資料交換的最新MyData應用，利用區塊鏈來進行涉及敏感性個資的授權管理。

陳恭剛與臺北市立聯合醫院資安長許世欣聯手，完成了一套照護資訊整合平臺，採用以太坊區塊鏈，來提供不可否認的電子簽章，可供病人將自身的敏感性醫療資料，授權給其他醫院的醫生、長照人員等調閱，甚至可以由子女代理年邁父母病患遠端授權，讓醫生取得病患過去醫療記錄，來輔助現場的診療。「目前這項區塊鏈授權，可以精細到每一筆資料的授權控制。」

陳恭表示，這一波開放銀行浪潮，有機會帶動API經濟的發展，不只是銀行，現在其他產業包括證券、保險，也開始想要了解Open API的可能性，甚至，他觀察：「開放銀行發展若有成果，未來，有機會擴大到臺灣所有持有資料的產業，都可能加入這波Open API的行列。」

不論是醫療資料和金融資料或其他民眾自己的個人資料，從資料角度來看，Open API可以打通了跨產業間的串連，讓使用者自己的資料得以流通，也都得面對個資法合規的挑戰，陳恭指出：「這正是MyData趨勢的課題。」甚至，政府手上的民眾資料也可以成為MyData的一環，透過合規安全的驗證和授權機制，成為Open API可以串接的來源之一。文⊙王宏仁

重點新聞(1011～1017)

臉書    決策AI     ReAgent  

每日數百億個人化推播就靠它！臉書釋出AI決策工具包ReAgent

臉書AI研究院近日釋出一款增強式學習的AI工具包ReAgent，可用來打造決策型AI，目前已於GitHub上開放下載。該工具包是一個小型C++函式庫，包括了3大部分，首先是能產生決策並接收回饋的模型，再來是離線的評估模組，可在新模型部署前用來評估表現；最後則是能大量部署模型的部署平臺，可收集回饋、快速迭代。臉書表示，ReAgent是一套最完整、最模組化的平臺，供使用者建造AI推理系統。同時，ReAgent也是第一個提供策略評估的工具包，可透過離線回饋來改善模型。

此外，ReAgent也是臉書每天用來執行數百億個決策的工具，用於臉書和Instagram的用戶推播通知。臉書也表示，ReAgent是他們推廣增強學習的一步。（詳全文）

  一之軒    麵包    辨識  

結帳小幫手！一之軒導入AI辨識系統準確率超過99％

知名麵包業者一之軒導入AI麵包辨識結帳系統，在櫃檯加裝影像辨識器，來自動判斷麵包種類和數量，並計算總金額，縮短排隊結帳時間。這套系統在上個月首先導入一之軒旗艦店，當顧客結帳時，只要將麵包放到平臺上，門市人員按下確認鈕，就由電腦來判斷麵包種類與數量、計算總金額，而門市人員就可同時進行收銀與麵包裝袋，甚至能替下一位顧客進行辨識，節省傳統結帳一倍時間。

這套AI辨識系統由臺灣電腦視覺新創Viscovery開發，該公司營運長劉志錕表示，這套系統以深度學習為基礎，其技術挑戰在於AI辨識時，能不受麵包外觀上自然性差異影響，比如麵包上糖粉或配料多寡。Viscovery表示，系統剛上線時準確率達95％，上線後電腦透過資料回饋來不斷訓練模型，目前辨識率已超過99％。一之軒指出，現已規畫將這套AI辨識結帳系統導入全省20多家門市。（詳全文）

  臺灣杉二號     AI雲平臺     TWCC  

超級電腦臺灣杉二號AI雲平臺TWCC正式商轉，每GPU每小時82元

建置於超級電腦臺灣杉二號的AI雲平臺TWCC經過數月試營運，日前宣布正式商轉，要提供全球第20名的計算能力，來加速企業大數據運算和AI模型開發時間。臺灣杉二號是去年由科技部領軍，由廣達、華碩和台哥大組成AI國家隊建置而成，共採用2,016個NVIDIA Tesla V100 32GB GPU，並以每秒9千兆次浮點運算（PFLOS）拿下全球超級電腦排名第20。

國網中心表示，TWCC自今年5月開始試營運，至今已有150多組專案參與測試，像是臺北榮總與交大組成的醫療影像AI團隊、專攻智慧安防的盾心科技、HTC健康醫療事業部DeepQ等，運轉時數超過800萬個GPU核心小時，系統使用率達9成以上。而10月開始，TWCC正式對產業界提供服務，收費則是每GPU每小時82元，學界則另外計費。國網中心也指出，TWCC明年將鎖定AIoT和大數據分析，要來提供更多相關軟體和服務。（詳全文）

  嘉義大學   AI植保機器人     智慧農業  

嘉義大學秀AI植保機器人，自動偵測病蟲害植株來噴藥

嘉義大學日前展示自家打造的甜椒栽培植保機器人，結合深度學習、六軸機械手臂與自走車，來自動辨識受病蟲害的甜椒樹葉並噴灑農藥，來減少人為執行的農藥量、降低環境污染。

這套AI植保機器人專案由嘉義大學校長艾群發起，帶領生物機電工程系學生開發。為收集訓練資料，團隊利用校內甜椒溫室，針對受病蟲害的植株拍了1,400張照片，並用其中的80％來訓練AI模型。完成後，學生測試結果顯示，機器人已可在100坪大的溫室內，自動尋找、辨識植株受病蟲害的地方，並噴灑農藥，準確度達90％。嘉義大學表示，未來將繼續擴大病蟲害資料庫，並計畫推廣到其他農作物，擴大智慧農業應用。

  凌羣   Ayuda     零售機器人  

凌羣發表第四代Ayuda機器人主攻零售市場，月底要先導入美麗華、大潤發與義大

繼2017年推出服務型機器人Ayuda後，凌羣電腦近日發表第四代Ayuda，強調從零組件、軟體、到系統整合100％國產製造。不同於第三代Ayuda多應用於警政、醫療等場域，第四代Ayuda主攻零售業，不僅整合了商場常用的QR code、NFC、RFID感應及晶片卡讀取功能，來掃描電子發票顯示停車優惠，也整合了熱感應紙列印功能，來發放號碼牌或優惠券。

此外，Ayuda後臺雲平臺的建置比前一代更加完整。業者可透過雲端後臺上傳各類廣告、宣導影片，再派送到各臺機器人來播送，不必再用USB傳輸資訊到機器人中；而雲端也能整合各機器人即時上傳如人臉資料等資訊，再同步派送給其他機器人更新，維持多臺機器人資料的一致性。第四代Ayuda預計在10月底導入美麗華、大潤發和義大世界商場中，將陸續部署共12臺機器人。（詳全文）

中正大學    AI無人餐廳     人臉辨識  

中正大學AI無人餐廳開幕！帶位、點餐、泡咖啡全搞定

中正大學圖書館的AI無人餐廳日前正式上線，這套無人餐廳系統由中正大學資工系教授張榮貴團隊設計開發，整合了AI、機器人、雲端運算、VR等技術，要節省人力、給師生更便利的餐飲體驗。中正大學指出，餐廳入口部署迎賓機器人，可依顧客選擇來帶位，而且還可透過人臉辨識於雲端建檔，紀錄消費者座位和餐點喜好，並在下次消費者光臨時，來推薦個人化餐點。

在餐廳內部，則設有能自動沖泡各種咖啡和製作拉花的機械手臂，以及負責送餐的機器人。消費者只要透過行動支付即可結帳，機器人就會將餐點、飲料送到桌上。中正大學表示，張榮貴團隊在這次無人餐廳中應用的技術模組，包括了消費者喜好分析、座位自動偵測、機器人路徑規畫、防碰撞偵測、多機器人排程與溝通功能，以及遠端監測系統，未來期望也能應用於工廠、醫院、賣場、飯店等領域。（詳全文）

Chrome    視障     朗讀  

Google Chrome以AI幫視障用戶「讀」圖片

Google宣布Chrome瀏覽器加入新AI功能，要為視障用戶以語音「讀」出網頁圖片內容。這項功能運用Google Lens底層的機器學習光學字元辨識（OCR）技術來辨識圖片。Google解釋，使用者以Chrome瀏覽器造訪網站時，圖片會被送到Google來生成描述。如果Chrome開啟螢幕讀取器，就會聽到圖片描述，即使圖片沒有標籤或替代文字。

為了讓使用者清楚知道是AI產出的描述，不保證100%準確，描述文字會加上「看起來是」（appears to be），例如碰到Gogoro的圖片，它會說「看起來是電動摩托車」。如果Google無法描述圖片，螢幕讀取器就會說「沒有可用的描述。」該功能位於Chrome輔助功能（Accessibility）之下，用戶可到「設定」、「進階」、「輔助功能」下，啟動「取得Google的圖片描述」。目前，這個功能只支援英文。（詳全文）

圖片來源／臉書、中正大學、Viscovery

 AI趨勢近期新聞 

1. Google以多語言訓練單一神經機器翻譯模型，可同時提升低資源和多資源語言翻譯品質

2. 國網中心整合軟硬體資源與生醫資料庫，預計12月推出「智慧醫療建模平臺」供產學研界申請使用

3. OpenAI訓練神經網路可操作單個機器手掌解決魔術方塊

4. AWS在EC2的Arm系列推出裸機執行個體

資料來源：iThome整理，2019年10月

由Apache Spark技術團隊所創立的資料科學公司Databricks宣布，旗下的Delta Lake將由Linux基金會託管，致力成為資料湖泊的開放標準，而原本採用的的Apache 2.0授權許可將不會改變。

Delta Lake是一個資料湖的儲存層，簡化企業資料工程架構的複雜性，其提供ACID交易、可擴展的元資料處理等功能，以及統一了串流和批次資料處理等功能，該專案的目的，便是要解決資料湖常出現的問題。

Databricks提到，資料湖的使用，常會因為不完整的資料擷取，而造成資料損壞，而Delta Lake的ACID交易功能，則可以在多重資料串流中並行讀取和寫入資料湖，防止資料損壞問題發生，另外，資料湖的資料來源，可能無法提供完整的欄位資料或是正確的資料類型，而Delta Lake的強制結構（Schema Enforcement）功能，可以防止壞資料毀損其他資料。

由於開放性和可擴展性是Data Lake重要的設計原則，透過開放協定設計，並使用既存JSON和Apache Parquet等開放格式，將所有資料和元資料儲存在雲端物件儲存上，而這種開放性讓使用者的資料得以不被特定供應商鎖住，且對於建構資料科學、機器學習和SQL等生態系統，也極為重要。

Databricks在4月的時候開源了Delta Lake，現在已經受到了廣泛的使用，而為了進一步擴大社群，Databricks因此決定與Linux基金會合作，透過Linux基金會的影響力來發展開源專案。Databricks也與阿里巴巴、Booz Allen Hamilton、英特爾和Starburst合作，讓Delta Lake不僅能支援Apache Spark，還能同時支援Apache Hive、Apache Nifi和Presto。

接下來Delta Lake會採取開放治理的模型，鼓勵社群參與和貢獻技術，藉由長期管理框架，建立Delta Lake社群生態系，並開發資料湖中資料儲存的開放標準，以確保儲存在Delta Lake的資料，保持開放性與可存取性。

Google為了應對像是Spectre之類的猜測執行旁路攻擊漏洞，在2018年7月時，讓網站隔離（Site Isolation）機制成為Chrome 67的預設值，本周Google揭露，上周釋出的Chrome 77桌面版的網站隔離機制，將可進一步防禦已被危害的渲染程序的攻擊，也首度於Android版的Chrome嵌入網站隔離機制。

所謂的網站隔離即是在瀏覽器造訪不同的網站時，以各自獨立的程序載入這些網站，並限制相關程序所能存取的資源與功能，藉以阻擋駭客竊取跨站資料。

Google表示，如同桌面版Chrome，Android版也利用作業系統的程序，讓駭客更難自其它網站竊取資料，且特別能夠抵擋類似Spectre等CPU漏洞的攻擊。

然而，為了確保網站隔離機制不會影響資源有限的Android的流暢度，Android版的Chrome 77並不會隔離所有的網站，只會隔離那些必須輸入密碼的網站，像是金融或購物網站。

另一方面，桌面版的Chrome 77在網站隔離機制上亦有所改善，當初此一機制主要是為了對抗Spectre攻擊，現在則能防禦更嚴重的攻擊，例如在渲染程序因安全漏洞而完全被危害之際，還能保護資料安全。

Google舉例，當駭客開採了渲染引擎Blink的記憶體毀壞漏洞時，可能允許駭客脫離Blink的安全檢查，於受到沙箱保護的渲染程序中執行任意程式碼，但Chrome程序卻可辨識各個網站專用的渲染程序，因而能限制可被存取的cookie、密碼或網站資料，讓駭客更難以竊取跨站資料。

總之，Chrome 77的網站隔離能夠保護認證資料、網路資料、所儲存的資料與許可，或是跨域通訊等機密資料，不因渲染程序被攻破而受害。

未來Google將持續強化Chrome的網站隔離能力，諸如將桌面版的相關保護延伸到Android平台上，或是新增跨域資源（CORS）保護，也計畫保護更多類型的資料

企業溝通協作應用程式Slack最新發布了工作流程建置器（Workflow Builder）視覺化工具，讓用戶可以創建自定義的工作流程，來自動化日常工作的執行，用戶可以使用工作流程建置器來標準化收集團隊請求資料的格式，或是即時回報線上服務故障，也能自動發送歡迎訊息給新成員，幫助進入工作狀態。

現在用戶可以直接利用官方預先建置的工作流程模板，開始自動化執行各種日常工作。像是利用工作流程建置器，設置客製化的表單，在企業服務發生故障的時候，標準化回報故障資料的輸入，並在Slack上迅速向負責人發出通知。表單的設計可以用來回報裝置丟失、公司網站無法存取或是付款程序發生故障，這些填好的表單能發送到多個頻道中，而各頻道成員也可以就該訊息回報，進行討論或是更新最新資訊。

對於需要收集資訊的工作，工作流程建置器也能發揮作用，用戶可以客製化表單請求資訊，像是辦公室的日常用品訂購，或是組織成員的出差準備。以出差請求為例，負責人員可以利用工作流程建置器設計一個客製化表單，讓需要出差的組織成員填寫姓名、出差地點以及住宿等需求，而這個請求則會變成一個對話，負責人可以與成員直接對話溝通。

另外，像是當組織成員加入專案與團隊，或是新進員工加入公司時，只要使用工作流程建置器，就能在成員加入頻道時，自動為他提供需要的資源，新加入成員也不需要花時間詢問別人。工作流程建置器可以提示新成員填寫簡短的個人介紹表格，並轉貼到#welcome頻道，讓組織其他人可以認識新的成員，也能為新加入專案或團隊的人，發送歡迎訊息，介紹基本知識，以及可以詢問問題的對象，或是能夠找到更多訊息的地方。

隱私瀏覽器Brave本周宣布，該瀏覽器的每日用戶數已超過280萬，而每月用戶數則達到800萬，此外，Brave用戶的廣告點擊率達到14%，遠高於市場平均的2%。

Brave除了可自動封鎖廣告之外，也封鎖了所有的分析與追蹤元件，定位為隱私瀏覽器，但該公司在今年4月發表了隱私廣告（Brave Ads）服務，使用者只要啟用Brave獎勵（Brave Rewards），就能看到Brave Ads，便可獲得7成的廣告收益。

換句話說，若要透過Brave瀏覽器看到廣告，必須由使用者主動啟用才行。當Brave直接與廣告主合作時，使用者可獲得7成的廣告收益，另外3成則流向Brave，但若Brave與出版商合作，將由出版商取得7成的廣告收益，使用者與Brave則各分得15%。

不過，使用者所取得的廣告分潤並非以現金支付，而是Brave所發行的BAT（Basic Attention Token）代幣，目前BAT只能用來贊助網站或內容創作者，計畫在未來擴大交易範籌，也正在推動BAT的提領，以讓它們能兌換成法定貨幣。

根據Brave的統計，目前已有超過29萬個出版商參與該瀏覽器的廣告服務，其中有20萬個為YouTube創作者，有3.3萬為網站，另有1.5萬個為Twitch的直播主。另一方面，Brave在今年8月開放使用者以BAT代幣來打賞Twitter用戶，迄今已有2.8萬個Twitter帳戶接受BAT。

此外，自從該瀏覽器啟動Brave Ads服務以來，這半年已執行了385個廣告活動，且使用者的點擊率（Click-Through Rate，CTR）為14%，遠高於平均的2%，而且在點擊廣告的使用者中，有12%在廣告頁面上停留超過10秒。

由於Brave瀏覽器採用的是Chrome或Firefox用戶代理，導致市場研究機構的偵測機制無法辨別Brave用戶，因而也無從得知該瀏覽器的市占率。

隸屬於阿里巴巴集團的UC瀏覽器（UC Browser）繼今年3月被俄羅斯資安業者Dr. Web踢爆，該程式含有中間人攻擊風險之後。雲端資安業者Zscaler本周指出，他們在UC Browser與UC Browser mini又發現另一個中間人攻擊風險，且相關瀏覽器明顯違反了Google Play政策，波及全球6億Android用戶。

Zscaler的研究人員先是察覺有關9appsdownloading.com網域的可疑請求，追查之下才知道相關請求來自UC瀏覽器，於是針對該瀏覽器進行分析，發現UC瀏覽器會透過不安全的HTTP over HTTPS管道，自第三方來源下載額外的APK，並將該APK存放在外部儲存空間。

一來自非Google Play的第三方來源下載額外APK，違反了Google Play的政策，二來其通訊是藉由不安全的管道，開啟了中間人攻擊（MiTM）的大門，三來把該APK存放在外部儲存空間，將允許其它具備適當權限的程式修改該APK。

不只是UC瀏覽器，同樣來自阿里巴巴集團的UC Browser Mini 也有一樣的行為。而UC瀏覽器在Google Play上的下載數已超過5億，UC Browser Mini 則超過1億，總計有6億的Android用戶曝露在中間人攻擊的風險中。

研究人員還針對這個額外的APK進行分析，顯示UC瀏覽器只是把它置放在外部儲存空間，並未安裝它，於是研究人員動手安裝了這個APK，結果它是個第三方的Android程式商店9 Apps，下載來源為9appsdownloading[.]com，且安裝後該程式會掃描裝置上已安裝的所有程式。

把APK置放在外部儲存空間，代表任何擁有相關儲存空間權限的程式，都能存取並竄改該APK。

其實9 Apps並不是個惡意檔案，Zscaler認為UC瀏覽器最大的風險來自中間人攻擊，因為一旦它能從未知的第三方以不安全的管道來下載程式，就可能允許駭客窺探裝置活動，還能安裝任意的酬載，以用來顯示網釣訊息並竊取使用者的機密資訊。

Zscaler是在今年8月發現UC瀏覽器的行為並向Google提報，Google已經在9月要求UC Browser與UC Browser Mini更新了。

Mozilla在Firefox 71的開發者版本中，加入了WebSocket Inspector功能，查看傳輸的WebSocket Frame內容，這個新功能是現有開發者工具DevTool的一部分，可以在原本就有的網路頁籤裡的WS過濾器選項中開啟使用。

Firefox利用WebSockets API在客戶端和伺服器中間建立永久連接，由於該API可以隨時發送和接受資料，因此主要用於需要即時通訊的應用程式。雖然過去可以在內容過濾器中看到瀏覽器開啟WebSocket連接，但現在透過最新的WebSocket Inspector，才有辦法看到以WebSocket協定傳輸的實際資料。

開發者可以在WS過濾器下看到WebSocket協定握手101請求，點選該請求之後，右邊側欄會顯示更多的請求細節，該側欄介面有一個訊息面板，開發者可以用來檢視透過連接傳送與收到的WebSocket Frame，每筆WebSocket Frame旁邊都會有綠色或是紅色的箭頭，用來表達是傳送還是接受的資料。其他的基本操作還包括過濾器，可以用來篩選資料關鍵字，也可以調整看到的WebSocket Frame欄位資訊。

雖然開發者可以直接使用WebSockets API，但是利用一些第三方的函式庫，解決連接失敗、代理、身份驗證與授權或是可擴展性等問題，可以節省開發者許多時間，目前WebSocket Inspector支援Socket.IO和SockJS兩種函式庫，Mozilla之後還會陸續增加其他函式庫的支援，包括SignalR與WAMP。

微軟近日發表了新的開源專案Dapr，它的全名為分散式應用程式執行環境（Distributed Application Runtime），目的在於協助開發人員更容易建置微服務應用程式。

微服務為一種軟體開發架構，先建置各種單一功能與責任的區塊，再以模組化的方式，將它們組合成複雜的大型應用程式。

微軟表示，近年來有愈來愈多的開發人員打造可擴展的雲端原生應用程式，並利用托管服務來部署與執行它們，此一轉變讓微服務架構成為建置雲端原生應用程式的標準，且預測到了2022年，將有高達9成的新應用程式都會配備微服務架構，然而，要實現微服務架構必須先充份了解與掌握分散式系統。

一般而言，開發人員想要專注於商業邏輯，頻繁且快速地遷移舊的程式碼，同時仰賴各式平台來提供這些應用程式所需的規模、彈性、可維護的能力或是其它雲端架構的特性，然而，他們卻會發現雲端與邊緣之間的可攜是受限的，使得他們必須不斷地解決諸如狀態管理、彈性方法呼叫與事件處理等同樣的分散式系統問題，而且許多程式設計的執行環境經常只有狹窄的語言支援，以及嚴格控制的功能集，替建置微服務架構帶來了挑戰。

舉例來說，要建置一個由不同服務組成的電子商務應用時，開發人員可能想要利用一個具狀態的模型來代表購物車服務，再呼叫無狀態的函數來負責支付與出貨服務，撰寫這些應用程式也許會牽涉到不同的語言、開發框架或平台，也會整合外部服務，理解及管理如此複雜的技術堆疊，將使開發人員無法專心於建立商業價值。

Dapr的誕生即是為了協助開發人員解決上述問題。它是一個開源、可攜且事件驅動的執行環境，以讓開發人員更容易打造可在雲端與邊緣運作的可靠、有狀態及無狀態的微服務應用程式，它包含了所有的程式語言與開發框架，也簡化了應用程式的建構程序。

Dapr是由一套建置區塊所組成，可透過標準的HTTP或gRPC APIs來存取，每個區塊都是獨立的，可在應用程式中選用全部或其中幾個，同時微軟也歡迎開源社群貢獻更多的區塊與元件。

目前的Dapr專案處於alpha階段，因此僅提供最常用的建置區塊，像是服務調用、狀態管理、服務之間的出版與訂閱通訊、事件驅動的資源綁定、虛擬模型，以及服務之間的分散式追蹤。

開發人員已可藉由GitHub存取Dapr程式碼與範例，微軟亦替Dapr建立了專屬網站以供開發人員交流。

1005-1018

 金管會   FinTech   監理科技  
因應金融科技發展，金管會要導入監理科技建立數位監理申報機制
金管會主委顧立雄在10月18日的一場金融科技趨勢研討會中表示，FinTech已改變金融機構的商業模式、架構、與營運方式，現行的金融法規及監理措施架構也必須與時俱進，才能在促進創新之下，兼顧金融穩健與消費者保護。

顧立雄更以甫取得純網銀設立許可的3家純網銀為例，為了使純網銀業務推展能兼顧風險控管，金管會未來將從7大面向加強純網銀的監理，包括了流動性風險管理、信用風險管理、作業風險管理、信譽風險管理、落實公司治理、維持金融市場競爭秩序、消費者保護等。

不只如此，金管會也要利用推動純網銀的契機，重新檢視現行監理資訊申報系統，希望導入監理科技，建立數位監理申報機制，針對監理資料蒐集、處理、分析等工作，建立自動化、即時化、智慧化的作業流程，提升監理的效率與能力，以因應金融科技帶來的衝擊。

此外，顧立雄更提到，目前的金融科技服務，因監理規範主要仍在個別國家或區域內發展，但是，網路服務是無國界的，一些金融科技公司已瞄準跨國服務，尤其是跨境支付、跨境匯款服務等。 金管會為了因應全球性金融科技服務的發展，認為跨國監理合作也相當重要，金管會除了與已經簽訂金融科技合作協議的英、法、美、波蘭等國交流合作外，也在今年5月加入成為全球金融創新聯盟（GFiN）會員，參與跨境沙盒試驗及監理科技相關工作小組。

 開放銀行   Open API 
財金開放API平臺終於上路，23家銀行與6家TSP搶先布局

臺灣開放銀行發展終於達成第一個里程碑。財金公司打造的金融開放API平臺在10月16日正式宣布啟用，也代表第一階段的公開資料查詢API，正式對外開放。第一批上架API的銀行多達23家，包括大型民營銀行、公股銀行、外商銀行在臺子行，甚至還有規模較小的農業銀行等都搶先布局。第一批參與的TSP業者則有6家，已開始介接使用。金管會主委顧立雄開場時指出，開放銀行政策的目標是要創造消費者、金融業和TSP業者的三贏。

在接下來的第二、第三階段，金管會已經委請銀行公會規畫後續的具體時程、資訊安全控管、自律規範及法遵建議等配套措施，並與財金公司開放API技術與資安標準的時程配合。顧立雄更透露了二、三階段規範的5大考量重點是 TSP業者管理方式、客戶權益保障、爭議處理、損害賠償機制及資訊安全標準等。

目前，財金公司計畫在今年12月完成第二階段的技術與資安標準的擬定，再由主管機關決定正式實施的時間。然而，顧立雄沒有透露，第二階段上路時程，只說會考量整體市場運作和使用者接受程度。所以，第一階段的應用情況，將會是第二階段發展腳步快慢的重要參考。

 電支電票   財金公司   電子支付跨機構平臺  
因應電支電票合一發展，財金規畫建置電子支付跨機構平臺
金管會在7月底宣布，電票與電支條例即將2合1，已擬具「電子支付機構管理條例」修正草案，納入電子票證發行機構的管理規範，要讓電支的虛擬帳戶與電票實體卡整合，藉此擴大電子支付機構的業務範圍，創造以電子支付機構為核心的支付生態圈。

而為了因應電票電支合一的發展，財金公司規劃建置「電子支付跨機構平臺」，使各支付業者，例如電子支付、電子票證、金融機構等，能跨機構間的資訊與金流進行互聯互通。財金公司表示，目前已經與9家電支電票業者簽署合作備忘錄（MOU），未來將提供各支付業者快速的後端款項結算服務。而此平臺推出的時程，則是要等修法通過，以及財金公司與各電支業者協商完後再推出。

 臉書Libra加密貨幣   Libra協會理事會   
Libra協會理事會成形，21家業者入列
Libra協會（Libra Association）的21名創始會員在10月15日簽署了《Libra協會章程》，正式成立Libra協會理事會，選出了董事會，同時任命了該協會的執行團隊成員，讓該協會轉為正式的治理結構。就在Libra協會在本周舉辨首次會員大會的前幾天，多家創始會員紛紛出走，包括PayPal、eBay、Visa、Mastercard、Stripe、Mercado Pago到最後跳船的Booking Holdings，使得會員數只剩21家。

縱使支付業者的棄守，讓發表Libra加密貨幣及其生態體系的臉書臉上無光，但Libra協會表示，其實Libra專案在全球引起了極大的興趣，超過1,500個實體有興趣加入該專案，並有180個實體符合該協會的初始會員標準。此一宣布等於是在告訴外界，仍有大量的實體對Libra加密貨幣有信心。而在目前最難跨越的法令上，該協會的成員將繼續與各地的監管機關協商，建立一個治理與政策結構，也會提出透明的成員資格標準，以利更多的成員加入。

 好好投資   遠東銀行   基金交換平臺   區塊鏈 
金融監理沙盒首創的基金交換平臺，12月即將正式展開實驗

今年7月，經金管會核准後，由遠銀Bankee與FinTech新創好好投資合作首創的「基金交換」創新服務，即將在今年12月正式展開試驗，它也是最新一起金融監理沙盒實驗案。好好投資創辦人楊少銘表示，未來服務上線以後，會員間可以「基金交換」模式，來互換彼此基金，不僅可以省下手續費，速度較傳統基金交易也更即時，甚至還採用了以太坊區塊鏈（Ethereum），用在記錄雙方交換基金產生的數位資產記錄，以建立一個安全可信任的交易環境。

除了基金交換之外，在這個平臺上，同樣能夠做申購、贖回，也不限是境內、外的基金，但是在使用人數與投資基金總成本就有限制，一個人最多上限25萬，總共4千人，總金額不能超過2億元。此外，實驗期間為12個月，最長不能超過3年。

另外，對於參與實驗對象也有要求，參加者同時必須都要是遠銀Bankee與好好投資平臺的用戶，才能成為該平臺的會員使用相關服務，如果僅是遠銀用戶，就需要在好好投資平臺這邊先完成證券開戶的動作，待開通帳戶啟動訂閱後，才可成為會員，在這個平臺上進行投資交易。服務上線後，亦將由好好投資團隊負責維運。

 凱基銀行   試辦 
金管會獲准凱基銀行試辦「手機門號辦貸款或信用卡」業務

金管會為了鼓勵國內金融創新發展，除了金融監理沙盒實驗計畫，更在今年6月中頒布「銀行申請業務試辦作業要點」，允許銀行在兼顧風險控管下，得採用業務「試辦」方式，持續創新拓展金融商品及服務。

去年9月，金管會核准凱基銀行與中華電信合作的「電信行動身分認證服務」，成為首宗獲准進入金融監理沙盒的創新實驗計畫，並在今年8月初順利出沙盒，證明此模式可行，能幫助信用小白取得信用加分。 然而，凱基銀行創新金融處資深副總經理周郭傑指出，創新實驗停止受理新案件後，凱基接獲許多未能參與監理沙盒實驗計畫的消費者，表達期望此創新服務再度開放。

因此，周郭傑表示，當金管會頒布「銀行申請業務試辦作業要點」，凱基也快速遞件申請，搶得試辦業務頭香，成為首家獲准試辦「手機門號辦貸款或信用卡」業務的銀行。凱基銀行也表示，即日起，擁有門號滿6個月且繳費正常的中華電信用戶，即可使用手機門號申辦個人信貸或信用卡。

 台北市聯合醫院   醫療資料   以太坊聯盟鏈 
北市聯醫用區塊鏈，打造照護資訊整合新平臺
臺北市立聯合醫院在10月初，宣布啟動以區塊鏈技術打造的「照護資訊整合平臺」，要透過以太坊聯盟鏈的智能合約，讓民眾用App授權自身醫療資料給信任的醫護人員，讓醫護人員可以隨時調閱患者病歷資料，來解決患者需在不同醫院間來回奔波、申請病歷資料的不便，以及醫護人員至偏鄉和離島看診時，無病歷可查詢的困境。最終目的要加速照護服務的提供、提高醫護品質，初步將鎖定大臺北醫療診所來推廣。不只臺北市地區，新北市也希望可以跨及到其他偏鄉。

在技術部分，這款平臺的區塊鏈技術，由政大金融科技研究中心副主任陳恭支援。他表示，這個平臺的構想是維持現有各家醫院的分散式儲存架構，透過閘道器（Gateway）來串接醫院至這個平臺，當民眾透過手機App授權後，醫護人員就能從平臺調閱特定醫療資料。「這個作法，降低了集中式的資安風險，因為在平臺上的不是民眾醫療資料，而是調閱紀錄。」

圖片來源：Libra、凱基銀行； 攝影／余至浩、李靜宜

責任編輯／李靜宜

10/12~10/25精選AR‧VR新聞

  勞動部    虛擬實境  

親臨體驗才深刻！勞動部試用VR技術模擬職災現場提高勞工安全

勞動部勞安所近日也結合虛擬實境技術設計一套VR起重機安全教材，用於提高勞工安全，減少職災發生。該所利用VR建立一個虛擬起重機作業環境，學員只要戴上市售VR頭戴設備或以簡易Cardboard裝置，就能進到這個虛擬空間，親自進行各種操作，包含吊掛重物作業、吊掛搭乘設備搭載作業等，使用者在這個空間操控機器升降與移動場景時，還會遭遇各種職災場景，如體驗作業中墜落、物料飛落、被撞等，讓勞工如親臨工地現場，來強化他們對於職災防護的重要認知。另外，還搭配AR眼鏡提示檢點內容、注意事項，輔助勞工完成機臺檢查及維護工作，藉此提高機具維護保養的效率。

擴增實境   寶島眼鏡  

臺灣老牌眼鏡行推出AR隱形眼鏡試戴服務，要讓消費者能先試戴再決定要不要買

臺灣老牌眼鏡通路商寶島眼鏡近日推出結合擴增實境（Augmented Reality）技術的AR隱形眼鏡試戴服務，讓門市消費者可以先試戴，再決定是否要購買，不用買回家才後悔，也減少顧客試戴時間和一次性拋棄的浪費。

這套AR試戴隱形眼鏡系統，採用了蘋果ARKit開發平臺開發，並結合臺灣本土AI新創柏祐科技自有的人臉辨識引擎，花了近一年開發完成，因為是利用AR模擬將虛擬隱形眼鏡的造型，疊加在現實的臉部影像上，可以快速呈現試戴後的效果，還可以根據臉部特徵，以及眼球移動的狀況，讓套用到臉上的虛擬鏡片，跟著人臉一起移動。現階段，約有20款的彩色隱形眼鏡可供消費者配戴，還可將試戴結果上傳與好友分享。目前全臺各大寶島門市皆提供試戴體驗。

AR   虛擬試穿  

美運動鞋電商GOAT也推出結合AR的虛擬球鞋試穿功能

美國大型運動鞋購物網GOAT近日也替自家行動App推出結合AR的虛擬試穿功能，可以允許消費者在購買前先試穿看看鞋子合不合腳，再決定是否購買。雖然，幾個月前，GOAT才剛剛替自家手機App加入AR功能，不過起初只提供AR預覽，並沒有虛擬試穿功能，這次新增AR功能，則是可以讓使用者進行試穿，將虛擬球鞋套用在自己的雙腳上，還可以穿到一些稀有或未上市的球鞋，如Deftones、 FLOM、Wu-Tang 與 Iron Maiden editions等知名Nike Dunk鞋款，其他如Air Force 1、 Black Album、Head Automatica、Stash x Futura和Stash editions也包含在內。不過，該功能還在初期測試階段。

Instagram   AR  

Instagram正式加入AR試穿功能，要幫助品牌商在IG銷售自家產品

前不久，臉書才宣布將在Instagram上開放其Spark AR平臺，讓IG用戶可以替自己的Instagram影片或內容加入AR效果和濾鏡，近日該公司也率先將AR試穿體驗功能帶進Instagram平臺上，幫助品牌商銷售自家產品。

不過，一開始只有少數幾個品牌可以使用這項功能，主要以化妝品與眼鏡品牌為主，包括Mac和Nars，以及Warby Parker和Ray-Ban等品牌，用戶現在只要看到上述業者在Instagram帖子上標記的特定商品，或開啟產品頁面時，就能使用這項功能來進行產品的虛擬試穿或試妝，並可在不離開Instagram的情況下進行購買。未來也加入更多合作品牌。

微軟   虛擬實境  

微軟正在開發可追蹤用戶位置的新型VR地墊，還可與VR內容相互結合

儘管VR版Xbox遙遙無期，但微軟在最新一分提交的專利申請，透露其正在開發一種新型VR地墊，可以放置在家中客廳，用來避免使用者與現實世界的物體發生碰撞。該專利文件詳細介紹了這個外型類似家中地毯的墊子，不僅可以用來界定VR空間邊界，還在腳底提供觸覺反饋機制，以幫助用戶保持在邊界內。

通過內建的壓力感測器能用來確定使用者在這個3D空間裡的即時位置，從而減少對於原先VR/AR設備用於追蹤位置所需使用的攝影機與感測器的依賴，而且還可以多張組成更大型地墊，以覆蓋更大的活動區域，甚至也能與VR內容相互結合，例如一旦用戶站在墊子中間，就可以啟動特定的遊戲或VR體驗等。

豐田    機器人  

豐田研究院訓練機器人也採用VR，要讓家用機器人能學習像人類執行家務

日本豐田（Toyota）研究院的機器人研究部門正在使用虛擬實境頭戴設備，來訓練家用機器人，以幫助他們執行和學習日常家務。該研究人員認為，要讓機器人學習人類行為，關鍵在於讓機器人有可以學習對象，而人類就是最好的導師，為了傳授人類行為，他們還使用VR頭戴設備來簡化這一系列學習過程，通過VR，讓人類導師可以手把手教學，讓機器人依據人類操作者的指令執行抓握、放置和拉動等組合動作，藉此教會其新的家務，例如打開廚櫃、拿起杯子等，讓機器人能夠像人類一樣輕鬆地執行不同任務。

每當這些機器人學習到一項新家務，也能夠同步將它傳遞到共享平臺，讓其他機器人可以使用這項技能。不過，目前這項研究才剛起步，短時間還難以推出實際產品。

VR頭戴設備   Varjo  

Varjo新推兩款企業版VR頭戴設備，單眼解析度上看4K

芬蘭VR新創Varjo近日一連推出了兩款全新VR頭戴設備VR-2與VR-2 Pro，搶進企業級VR應用市場。該公司今年稍早已推出XR-1與VR-1兩款裝置，分別對應擴增實鏡與虛擬實境應用，如今再推出兩款全新VR頭戴設備VR-2和更高階VR-2 Pro，同樣聚焦產業VR應用。

這兩臺VR設備均支援SteamVR內容以及Valve的OpenVR開發平臺，新款VR設備最大特色，就是能顯示更逼真且高細膩的影像畫面，單眼可達到4K解析度與40 PPD（每度畫素），適合用於研究、分析、培訓、模擬與工業設計等專業用途。VR-2 Pro還整合Ultraleap手動追蹤技術，可以大大提高其與VR內容互動的操作體驗，甚至當用戶以手指觸碰虛擬現實中的物體時，還可以提供觸覺反饋，可用於加強有物理場景操作需求的相關培訓。VR-2和VR-2 Pro價格分別為4,995美元和5,995美元。責任編輯／余至浩

攝影／余至浩　圖片來源／豐田研究院、GOAT、Varjo、勞動部、Instagram、微軟

 更多AR‧VR動態 

1.Google Arts＆Culture新增VersaillesVR導覽服務，戴上VR就能參觀百年歷史的凡爾賽宮

2.Sony新專利暗示自家PlayStation AR眼鏡，將配備3組成對雙鏡頭用於呈現高細膩3D影像

3.不只PC能用，微軟透露新版模擬飛行器軟體Flight Simulator有望支援VR頭戴設備

4.VR難普及，Google停售智慧頭戴裝置Daydream

資料來源：iThome整理，2019年10月

德國聯邦資訊安全辦公室（BSI）近期公佈一份針對市面多個瀏覽器做的測試結果，其中Firefox是唯一滿足所有安全要求的瀏覽器。

本報告測試產品包括Mozilla Firefox 68 (ESR)、Google Chrome 76、Microsoft Internet Explorer 11及Microsoft Edge 44，不過Safari、Brave、Opera或Vivaldi倒是未納入測試。

報告是依據德國聯邦政府頒佈的現代安全瀏覽器指南，所列出的能力要求，對市面瀏覽器進行測試評分。BSI今年夏天釋出最新版指南，將一些進階安全功能加入，包括HTTP強制安全傳輸技術（HTTP Strict Transport Security，HSTS）、子資源完整性（Subresource Integrity，SRI）及內容安全政策（Content Security Policy，CSP）2.0、遙測資料（telemetry）處理及憑證處理機制等。

這份文件一共列出了20多項要求，要滿足這些要求才能視為安全的現代瀏覽器。像是瀏覽器密碼管理員必須加密儲存密碼、使用者要能刪除密碼管理中的密碼、可設定防堵傳送遙測資料和使用紀錄、能關閉雲端資料同步功能、提供沙箱功能、網頁必須彼此隔離、能防護棧區（stack）和堆疊（heap）記憶體、漏洞公佈21天內要完成修補等

報告指出，Firefox是唯一滿足所有要求的瀏覽器。報告也列出其他業者缺失，像是Chrome和微軟IE、Edge不支援主密碼（master password）機制、不讓用戶選擇關閉遙測資料的蒐集、「欠缺組織透明度」。此外IE也被檢測到不支援CSP、SRI及SOP（Same Origin Policy）及沒有內建更新機制等。

Firefox和Chrome基本上在安全功能上並駕齊驅，但在某些安全功能，像是提供資料外洩通知和DNS over HTTPS支援，Firefox是眾瀏覽器中較早加入的。

今年底釋出的Firefox 70版會再增加安全功能。如果網頁以HTTP下載，或被偵測到有追蹤cookie、加密挖礦軟體，Firefox在網址列顯示不安全的圖示。