mjg59-dreamwidth-org

FSFEとSoftware Freedom Conservancyは、Eben Moglen氏との協力を停止すると発表した。Moglen氏はフリーソフトウェアへの貢献は大きいが、コミュニティメンバーへの虐待的行為が長年にわたって報告されている。虐待を許容するコミュニティは、虐待に耐えられない人々を排除することになり、長期的にはフリーソフトウェアにとって有害である。

ACPIは、従来のAPM（Advanced Power Management）の問題点を解決するために導入されました。APMではファームウェアがハードウェア状態を管理していたため、OSとの競合やデータ破損が発生していました。ACPIはハードウェアの詳細を抽象化し、OSが状態を管理できるようにすることで、より安定した電源管理を実現します。デバイスツリーとの主な違いは、ACPIには解釈可能な言語が含まれており、OSが基盤ハードウェアを知らなくてもベンダーが機能を公開できる点です。

Linuxの指紋認証は「指紋が一致した」という結果のみをOSに返すため、キーリングの暗号化解除に必要な秘密鍵を安全に保管・解放する仕組みがありません。これに対しAppleのTouchIDはSecure Enclaveと連携し、指紋認証成功時にのみ秘密鍵を解放できるため、キーリングの自動解除が可能です。

SSHホスト証明書のサポートを強化することで、ホストキーのローテーションをユーザーに気づかれることなく安全に実施できる。著者は、証明書失効リスト（KRL）をクライアントに配布する新しいプロトコル拡張を実装し、CAキーによる署名検証を通じて、侵害された証明書の効率的な失効メカニズムを提案している。

ELFライブラリにはビルド時に使用されるセクションヘッダーと、実行時に使用されるプログラムヘッダーという2つの異なる場所に同じ情報が存在する。Synology NASのライブラリはセクションヘッダーを欠いていたが、プログラムヘッダーから情報を抽出してセクションヘッダーを再構築することで、独自バイナリへのリンクが可能になった。

森林のキャビンでVPN経由の動画ストリーミングが一部サービスで失敗する問題を調査。パケットダンプ分析の結果、Fastly CDNがMTU超過のICMP通知を無視し、同じ1500バイトパケットを再送していたことが判明。エンジニアリングチームに報告後、修正された。

クレイグ・ライトがサトシ・ナカモトであるかどうかを争う裁判で、双方の専門家証人が彼の提出したデジタル証拠の多くが信頼できないと指摘。MYOBデータベースの監査ログや電子メールのヘッダー分析から、証拠が事後に作成され日付が偽装された可能性が示された。現代の技術環境では過去の文書を完璧に偽造することは極めて困難であることが浮き彫りに。

SSHエージェントプロトコルの拡張機能を利用することで、リモートシステムとローカルクライアント間の任意の通信チャネルを確立できる。これにより、WebAuthn認証やOktaトークン取得など、様々なRPC機能をSSHエージェントを介して実現可能となる。

Feeldというデートアプリでは、ユーザーの探している性別や性的指向などのプライベートデータが、クライアント側でのフィルタリングのみに依存しており、GraphQLクエリで直接取得可能な状態になっていた。また、非表示に設定したプロフィールもサーバーから送信され、単にUIで表示されないだけという問題も存在した。

SBAT（Secure Boot Advanced Targeting）は、UEFIセキュアブートの脆弱性管理を改善する仕組みです。MicrosoftがWindows UpdateでSBAT変数を更新した結果、古いセキュリティ世代のgrubを持つ一部のLinuxディストリビューションが起動できなくなりました。これはデュアルブートシステムにも誤って適用されたため、多くのユーザーが影響を受けています。

Android 12で導入されたプライバシー保護機能により、デバイスID認証からIMEIやシリアル番号が削除された。しかし、鍵認証には依然としてこれらの識別子が必要であり、企業VPNなどのセキュリティシステムで信頼できるデバイス認証ができなくなる問題が発生している。

ファームウェアをフリーソフトウェアにするべきかについて、実用的な観点から考察。初期化専用のファームウェアであっても、ユーザーがハードウェアの機能を制限される可能性があり、セキュリティや自由の観点からフリーであることの利点を論じる。FSFのRYF認定やLinux-libreのアプローチにも言及し、現状の課題を指摘。

FSFはTPMがストリーミングメディアのDRMに使われていると主張しているが、実際にはGPUがハードウェアDRMの中心的な役割を果たしている。TPMは暗号化キーの保護には使えるが、メディアストリームのリアルタイム復号には不向きであり、GPUやARMのTrustZoneなどのTEEが実際のDRM実装に使用されている。

Twitterの暗号化ダイレクトメッセージ機能には、鍵配信の中央集権的制御、メタデータ漏洩、前方秘匿性の欠如、添付ファイルの制限など、根本的な脆弱性が存在する。この機能はわずか2人のエンジニアによって開発され、発売から22ヶ月経っても問題は修正されていない。暗号化通信にはSignalの使用が推奨される。

Twitter（現X）が発表した新しい暗号化DM「XChat」は、4桁のPINを使用するJuiceboxプロトコルを採用しているが、PINの総当たり攻撃に対して脆弱であり、Twitterが中間者攻撃を実行できる可能性がある。また、公開鍵の真正性を検証する仕組みがなく、メタデータ漏洩の問題も残っている。Signalの使用を推奨する。

Twitterの新しい暗号化DMインフラは問題が多いが、改善のための作業量は大きくない。HSM内で生成された鍵ペアの真正性を第三者に証明し、鍵情報をクライアントに組み込むことで、特定ユーザーへの攻撃を難しくできる。ただし、Signalよりも安全性は劣るため、Signalの使用が推奨される。

静的IPアドレスが利用できないISP環境下で、安価なVPSとWireguard VPNを活用して自宅サーバーをインターネットに公開する方法を解説。複数の外部IPアドレスを取得し、ポート転送とポリシールーティングを組み合わせることで、ISPの制限を回避しながら安定した公開サーバー環境を構築できる。

23年前、私は人生の岐路に立っていた。Linuxのアクセシビリティソフトウェア「Dasher」の開発に携わる機会を得て、技術が人々のコミュニケーション能力を劇的に向上させる瞬間を目の当たりにした。この経験は、アクセシビリティ分野の開発者たちが無名のヒーローとして社会に貢献していることを実感させてくれた。

現代のエンタープライズセキュリティにおいて重要なシングルサインオンは、Web認証には最適化されているが、CLI環境ではデバイスコード認証やローカルサーバー起動などの不十分な選択肢しかなく、MFAのセキュリティ特性を損なう。ブラウザを介さない直接的な認証APIの標準化が必要だが、各IDプロバイダーは独自の実装を行っており、脆弱で保守が困難なスクレイピングコードを書かざるを得ない状況が続いている。

セキュアブートの証明書は2026年に有効期限を迎えるが、実際には期限切れ証明書の検証が無効化されているため、ほとんどのシステムは影響を受けずに動作し続ける。マイクロソフトは新しい証明書で署名を開始するが、新旧両方の証明書で署名される期間があり、システムも更新により両方の証明書を信頼するようになるため、互換性の問題は最小限に抑えられる。

Raspberry PiをAmigaの68000バスに接続するpistormデバイスを使用し、AmigaのCPUを完全にバイパスしてLinux上でDoomを実行する実験。Amigaの特殊なグラフィックハードウェア（ビットプレーン方式）を直接操作し、CDTVで動作させるが、フレーム同期の問題などでグラフィカルな不具合が残っている。

カリフォルニア州での賃貸契約において、大家が敷金を返還しなかった問題を契機に、不動産管理会社が契約書に後から修正を加えた可能性が浮上。PDFメタデータの分析や署名プロセスの検証を通じて、契約書が署名後に改ざんされた証拠を発見し、偽造の疑いを明らかにした。

イーロン・マスクが自社の「X Chat」を推奨し、メッセージが完全に暗号化されていてAWS依存がないと主張しているが、実際には暗号化キーは複数のバックエンド間で分散されており、リモート認証が実装されていないため、サービスプロバイダーがキーを取得してメッセージを復号する可能性がある。適切なセキュリティ検証メカニズムの欠如は重大な問題である。

著者はTechrights/Tuxmachines運営者との名誉毀損訴訟で勝訴したが、被告側の主張の核心は「mjg59_」と嫌がらせアカウント「elusive_woman」がIRCで同時にpingタイムアウトしたという証拠だった。技術的分析によれば、11秒差の切断は同時ネットワーク障害を示すものではなく、IRCサーバーの仕組み上、最大90秒差でも同時切断に見える可能性がある。結局、被告側は証拠提出を怠り、主張は退けられた。

著者はこのサイトでの投稿を終了し、新しいブログサイトに移行しました。フィードを直接購読している方は、新しいURLに更新してください。ほとんどのPlanetフィードは既に更新されています。