小心!OpenAI 公布 GPT-4o 的風險評估不止是「中等」,而且高度擬人化的語音功能更會讓你迷戀它![轉載自LINE TODAY]
AI 聊天機器人究竟安不安全?會不會具有潛在威脅與風險?這是許多人都疑惑的問題。日前 OpenAI 發布《GPT-4o 的安全措施和風險評估報告》,內容指出 GPT-4o 的風險等級是「中等」,報告同時也提醒使用者要小心對...
Read MoreAI 聊天機器人究竟安不安全?會不會具有潛在威脅與風險?這是許多人都疑惑的問題。日前 OpenAI 發布《GPT-4o 的安全措施和風險評估報告》,內容指出 GPT-4o 的風險等級是「中等」,報告同時也提醒使用者要小心對...
Read More文/陳曉莉 | 2024-07-23發表背景圖片來源/No Revisions on Unsplash在受到各國監管機關的質疑之後,Google周一(7/22)宣布將放棄於Chrome中封鎖第三方Cookie的計畫,但會繼續投資及開發原本要用來取代第三方Cookie的各種隱私沙箱(Privacy Sandbox)API。讓此一執行了4年的計畫以失敗告終。Cookie是在使用者造訪網站時,電腦所自動下載的小檔案,它存放著使用者的偏好,或是放入購物車的商品,不過,當使用者所造訪的網站含有來自其它業者的廣告時,也會自動下載這些來自第三方的Cookie,使得廣告主得以追蹤使用者的網路行為,並遞送個人化廣告。Google企圖於Chrome瀏覽器中維持廣告主及使用者隱私之間的平衡,因而在2019年提出了隱私沙箱的概念,採用更具隱私的方式將使用者分門別類,而廣告主則可據此向群組發送廣告,並準備在2022年以隱私沙箱全面取代第三方Cookie。然而,該計畫一開始就惹來英國競爭及市場管理局(Competition and Markets Authority,CMA)的調查,包括懷疑隱私沙箱的安全性,以及Google是否利用隱私沙箱來圖利自家廣告服務,再加上受到各方的質疑,而使得上線日期一延再延。根據華爾街日報(The Wall...
Read More台北2024年7月10日 /美通社/ -- 成立於印度的全球領先科技公司Zoho Corporation宣布,該公司逾55款業務應用程序目前為全球1億多用戶提供服務。Zoho是第一家達到這一里程碑的自籌資金SaaS(軟件即服務)公司。這是繼公司2022年營收達到10億美元之後取得的又一次增長。在台灣,Zoho 2023年的營收增長超過21%,這主要得益於對綜合生產力套件Zoho Workplace和客戶管理解決方案Zoho CRM需求的強勁增長。隨着Zoho的不斷發展,Zoho始終致力於為其SaaS解決方案客戶提供創新技術和價值。Zoho從零開始構建自己的技術堆棧--從應用程序和平台,到網絡、數據中心等等。該堆棧具有橫向、縱向和上下文的統一性,使Zoho能夠以非常實惠的價格提供一流的解決方案。Mr...
Read More為什麼要談結構化資料標記(或有些人會稱為Schema)呢?因為Google 搜尋結果頁在近幾年變得愈來愈多元,出現像是食譜、書籍、電影輪播、商品資訊…….等各式各樣的搜尋結果,如果想讓網站在搜尋結果上呈現出這些豐富的功能、引起使用者的目光與興趣,就要做好結構化資料標記(Schema) 設定。結構化資料標記是 SEO 中相當重要的項目,我們實務上為網站健診時也會對此檢查優化,這篇文章會分享 Google 結構化資料標記是什麼、有哪些種類、作法指南、以及新手常見迷思提醒。 結構化資料標記是什麼?結構化資料標記是一種語法、並且有很多種的格式,正確使用的話可以幫助搜尋引擎更好的了解我們網頁的內容,並有機會在搜尋結果頁上出現多元的樣貌 (搜尋結果頁又稱為...
Read More蘋果還沒發布的新功能,已經嚇倒各國的媒體及行銷業者!英國、法國的出版及廣告業者因擔憂業務受到衝擊,相繼寄信給蘋果,希望對方不要在開發者大會WWDC上發表 能移除廣告的「網頁橡皮擦」(web eraser)功能。怕爆!廣告業者致信庫克求情這個網頁橡皮擦功能, 將允許Safari使用者從網頁中移除不想看到的內容,如廣告、文字和圖像,並讓瀏覽器記住這些選擇。因此,一個代表約800家廣告商、出版商、廣告代理商和廣告科技公司的法國商會,向蘋果CEO庫克(Tim Cook)致信,懇求不要在6月推出網頁橡皮擦功能,因為他們擔心這將對網路廣告業帶來災難性衝擊。蘋果尚未對此報導做出回應,目前的爆料中,他們預計將在6月10日的全球開發者大會上將網頁橡皮擦作為iOS 18的新功能發布。尚未正式發布的網頁橡皮擦功能,將能讓用戶自由移除、更改網頁上的內容。圖/ Nicole Lienemann via...
Read More蘇郁晴 2023-11-22ChatGPT 橫空出世後,許多人擔心學生用它來完成作業,影響他們的學習。如今有越來越多老師開始主動研究生成式 AI 工具,並引導學生使用它們——根據 Walton Family Foundation...
Read More本文轉載自《創新拿鐵》,作者為 Crystal Perplexity 矽谷當紅的「Perplexity」,跟 Google 有何不同?矽谷當紅的產品,是一款人工智慧搜尋引擎,叫「Perplexity」(直譯是困惑的意思)。2022 年 8 月上線,如今每月活躍用戶數超過千萬。公司估值高達...
Read More最多可以支援五千人群聊的「LINE社群」導人全新AI功能訊息摘要,能總結聊天室訊息,且AI會自動在特定時間進行摘要,只要按下一鍵,就能即時跟上聊天室裡的話題。目前這項AI功能率先支援手機版APP(13.16.0 及更高版本),電腦版本尚不支援。以下整理「AI訊息摘要功能」相關問題,一次解答疑惑。 什麼是訊息摘要?是一個使用 AI 總結 LINE 社群聊天室訊息的功能。當聊天室內累積了足夠的訊息時,AI 會自動在特定時間進行摘要,無需主動操作,透過訊息摘要,讓你不錯過聊天室內的討論話題,快速了解相關內容,並重新開啟與他人的對話。 如何使用?訊息摘要可提供所有成員瀏覽當社群聊天室擁有訊息摘要的功能後,社群裡的所有成員,皆可以瀏覽訊息摘要功能。點擊聊天室右下角的「訊息摘要」按鈕就可查看摘要結果。於特定時間自動摘要當社群聊天室內的訊息累積到足夠量時,AI...
Read More鉅亨網 2024-03-04谷歌 (GOOGL-US) 掌握全球 90% 以上的網路搜尋市場,令其得以銷售數量驚人的廣告,僅去年就價值 2380...
Read More9 成企業曾經歷身份資料外洩問題,SailPoint 指出,由此可預視,身份安全在 2024 年仍將成為加強企業網絡安全的關鍵要素。然而,44% 企業的身份安全仍處於初期發展階段,當中 60%...
Read More全球零售業年度折扣大戲在 11 月輪番上演,根據經濟部最新統計指出,11 月台灣零售業、餐飲業營業額紛紛在雙 11 帶動下創下歷年同期新高,但零售業營業額年升幅卻放緩至 7.3%,顯示台灣消費力道正在逐步放緩。同樣狀況也發生在中國大陸市場,雙...
Read More日前英國發生一起詐騙案,一名 71 歲的婦女在停車場中掃描牆上張貼的 QR code 準備繳費,她隨著指示進入一個網站、再輸入信用卡資訊,最後被騙了數千英鎊,銀行還因此封鎖她的信用卡——根據《The Independent》報導,2023...
Read More以往如果想用高階 GPT4 版的 ChatGPT 都需要付費訂閱才能使用,現在只要透過 Apple 內建的...
Read More因為有更好的空間機能與駕駛視野,國產中小型休旅車成為許多小資族與小家庭的購車首選。當NISSAN KICKS問世後,銷售表現立刻一支獨秀,除了打破傳統的豐富配備與先進科技,更重要的是聆聽市場聲音、持續進化的態度,而在最新2024年式車型中,再度以市場消費者意見為基礎,針對安全科技再次強化。身為首購族相當喜愛的NISSAN KICKS,除了擁有較高視野添增駕車安心感,以及靈活操控特性以外,如何透過安全科技的齊備與進化讓駕駛新手可以更容易駕馭、更放心駕駛,一直是NISSAN KICKS最重要的進化重點。 安全再進化!環景影像監控系統新手上路也能放心開2024年式車款再度針對此面向加以強化,導入AVM360°環景影像監控系統,透過車身前後左右共四個攝影機擷取車身外部畫面,並以高效能電腦加以計算整合成360°全景影像,呈現於中控台的8吋智慧影音多媒體系統中,讓駕駛可以更易掌握車身與周遭環境的相對位置,旗艦版車型再搭配上MOD移動物體偵測系統,當倒車時且車速10km/h以下時,系統一偵測到移動物體就會立刻警示,可以大幅降低碰撞到體型較小、容易隱藏在視野死角的小動物或小朋友,安全性再提升! 因為有更好的空間機能與駕駛視野,國產中小型休旅車成為許多小資族與小家庭的購車首選。當NISSAN KICKS問世後,銷售表現立刻一支獨秀,除了打破傳統的豐富配備與先進科技,更重要的是聆聽市場聲音、持續進化的態度,而在最新2024年式車型中,再度以市場消費者意見為基礎,針對安全科技再次強化。身為首購族相當喜愛的NISSAN KICKS,除了擁有較高視野添增駕車安心感,以及靈活操控特性以外,如何透過安全科技的齊備與進化讓駕駛新手可以更容易駕馭、更放心駕駛,一直是NISSAN KICKS最重要的進化重點。安全再進化!環景影像監控系統新手上路也能放心開2024年式車款再度針對此面向加以強化,導入AVM360°環景影像監控系統,透過車身前後左右共四個攝影機擷取車身外部畫面,並以高效能電腦加以計算整合成360°全景影像,呈現於中控台的8吋智慧影音多媒體系統中,讓駕駛可以更易掌握車身與周遭環境的相對位置,旗艦版車型再搭配上MOD移動物體偵測系統,當倒車時且車速10km/h以下時,系統一偵測到移動物體就會立刻警示,可以大幅降低碰撞到體型較小、容易隱藏在視野死角的小動物或小朋友,安全性再提升! 圖/...
Read More報導:陳建鈞 你查詢什麼關鍵字,Google可以賺到最多錢?在美國針對Google的反壟斷訴訟期間,意外披露了Google在2018年某段時間的20個「金雞母」關鍵字,哪些搜尋能帶給網路巨頭最大的利益。Google 20大金雞母關鍵字曝光!3個跟iPhone有關用戶每一次搜尋,能帶給Google的商業利益並不相同,搜尋「總統候選人政見」只是查詢資料,為即將到來的選舉做好準備,而 搜尋「日本機票」立即映入眼簾的便是贊助商廣告,這就是Google真正的獲利來源 。根據《The Verge》報導,Google聲稱他們只在大約20%的搜尋中顯示廣告,這些被稱為「商業搜尋」。而這次Google與美國政府的反壟斷攻防中,披露了2018年9月22日那一週,最讓Google賺錢的20個關鍵字。 Google在反壟斷訴訟中遞交的文件,揭露了2018年9月某一週的最賺錢關鍵字。圖/ Google 該文件披露的20個美國最賺錢關鍵字分別是:iphone 8iphone 8 Plus汽車(auto)保險車輛(car)保險便宜機票汽車保險報價direct...
Read More我國資安專業領導品牌中華資安國際近日公布2023年消費者資安年度調查報告,指出消費者平均一天花6.2小時上網使用即時通訊軟體、收發電子郵件、網路購物等,雖然便利了生活,卻也衍伸了許多隱憂,擔心個資外洩是多數人最大的資安痛點,也擔心個人帳號密碼被盜用。有趣的是,近七成受訪者自評對資訊安全有良好認知並落實於生活中;但據中華資安國際的分析發現有很多知行不一的矛盾處。例如,超過四成受訪者會在不同網站都使用同一組帳號密碼(42.4%)、不到三成會定期更換密碼(26.6%)、超過四成五的受訪者電腦使用中途要離開不會鎖定螢幕(47.2%)等,這些都不是很好的資安衛生習慣,也有可能讓駭客有機可乘。 不可使用萬用密碼,並需定期更換密碼近年受駭事件頻傳,也使民眾對於資訊安全有所認識。根據本次調查結果,已有超過七成五的受訪者不使用個資作為密碼(75.8%),另有超過七成受訪者使用密碼外的第二驗證機制(70.7%),顯見資安意識確實已在生活中逐步生根落實。但中華資安國際提醒,除了千萬不要使用弱密碼,也應該定期更換密碼,更重要的是在常使用的幾個網站不要使用相同的密碼,以免特定網站個資外洩後,駭客可以在所有網站「撞庫攻擊」、橫行無阻,造成用戶的損失。圖/ 中華資安國際 注意網站安全認證,暫時離開電腦應鎖定螢幕現代生活已經脫離不了使用網路,也因此上網時更需要注意個人資料保護。根據本次調查,不到一半受訪者會注意造訪網站的網頁有無安全認證HTTPS(46.6%),甚至有四分之一使用者即使看到安全警示訊息仍執意前往有風險的網頁(24.5%),這些疏忽往往是駭客入侵的缺口。中華資安國際建議,暫時離開電腦應鎖定螢幕,使用公共Wi-Fi熱點時應確認安全性、也不要用它進行金融交易、使用完畢應清除網站瀏覽紀錄和cookie的習慣等,妥善保護個資。圖/ 中華資安國際 免費的可能最貴,小心防駭變受駭本次調查也指出,逾六成受訪者使用免費防毒軟體(60.1%),但天下沒有白吃的午餐,免費防毒軟體可能置入廣告、蒐集客戶個資,也可能是惡意程式偽裝而成,導致勒索病毒,原本想防駭反而遭駭。中華資安國際建議,在安裝軟體前,務必確認該軟體所需要的功能授權是否超出合理範圍,再決定是否安裝該軟體。例如,防毒軟體要求存取通訊錄,就可能是惡意程式偽裝。中華電信提供的「防駭守門員」服務,從網路機房端協助用戶把關上網訊務,如不慎點擊有害連線或嘗試連入釣魚詐騙網站,防駭守門員會協助阻擋並通知,免安裝軟體、免做任何設定,所有透過該上網電路的裝置皆受到防護保護,「防駭守門員」今年至今已協助用戶攔阻超過27億次有害連線,平均每月協助用戶攔阻超過3.7億次有害連線,協助用戶在享受便利的網路生活的同時,也可以擁有安全安心的上網服務與個資防護。下載中華資安國際消費者安全認知年度報告:https://www.chtsecurity.com/tech原文出處:https://www.bnext.com.tw/article/76668/chts_202309?...
Read More● 整合叫車、租車、機場接送3大服務,一鍵啟動「LINE GO MaaS 生態圈」。● GO信賴、GO便捷、GO永續,開啟移動的各種可能。 隨著智慧科技與共享經濟高速發展,交通行動服務(Mobility as...
Read More文/陳曉莉 | 2023-09-28發表Dynamic Wang on Unsplash" />背景圖片來源/Photo by Dynamic Wang on UnsplashOpenAI今日(9/28)宣布,ChatGPT於今年7月因故暫停的付費功能Browse with...
Read More(圖片來源:萬智匯) 2023年9月14日Google公佈了一項重要的演算法通知,主要是針對實用內容系統的更新,同時亦對AI產出內容有了較為明朗的態度。Google 2023年9月關於實用內容系統更新的重點(圖片來源:萬智匯) 這次更新大家最為關注的是對於網站排名是否影響,而原文中的一句是本次更新的重點:If you're producing helpful content, then...
Read More隨著金融業數位轉型的浪潮,越來越多交易可以在線上完成,這些數位金融服務不只提高了便利性,也同時增加了風險,近年來,金融犯罪事件的快速攀升和犯罪型態的多樣化已成為不可忽視的議題,以信用卡盜刷交易為例,根據聯合信用卡處理中心的統計,2022 年通報的信用卡詐欺交易中,網路交易占比高達 98%,尤其疫情解封後帶來的旅遊熱潮,更導致旅遊娛樂類的盜刷交易快速增加。由此可知,如何有效的防治金融犯罪已經成為金融業現階段最大挑戰,尤其數位轉型進程越快的金融業者,對有效防治金融犯罪的需求越迫切。 OMDIA 於 2022年 8...
Read More文/李建興 | 2023-09-05發表 Google去年發布的全託管低延遲NoSQL資料庫BigLake,迎來了幾項重要更新,包括可用於建構事件驅動應用程式的更改串流(Change Stream),還透過在混合交易和分析處理加入優先等級,避免資源爭奪,而用戶現在也可以不需使用ETL,就直接將BigQuery資料匯出至Bigtable。BigLake作為統一儲存引擎,能夠跨不同雲端和格式,提供精細度一致的儲存控制,解決企業在不同環境以多種資料格式儲存資料,造成資料孤島的問題。BigLake推出新的更改串流功能,用戶能夠追蹤Bigtable變更,並且和其他系統整合,官方舉例,Bigtable的資料變更可以複製到BigQuery中進行分析,又或是複製到ElasticSearch執行全文搜尋,甚至複製到其他資料庫中以支援多雲和混合雲架構。透過訊息傳遞服務Pub/Sub和無伺服器服務Cloud Functions,就能夠觸發下游操作,甚至是整合Vertex AI建立機器學習驅動應用。更改串流可以讓零售商更簡單地監控產品目錄變化,隨時監控產品的定價和可用性,並且觸發應用內或是電子郵件通知,提醒客戶商品狀態變更。銀行應用也可以利用更改串流,將上傳的文件交付給Cloud Vision人工智慧,以解析其內容。另外,過去在分析營運資料的應用上,企業常會擔心資源競爭的問題,當分析操作消耗過多的資源,可能破壞具延遲敏感性的工作負載,部分團隊需要創建額外的執行個體,專門執行批次分析任務,又或是在低流量時刻進行操作,但這些方法可能產生額外成本或是管理工作。而Bigtable新的請求優先等級功能,則可以解決這個問題,當用戶在執行較不具時效性的大型工作負載,像是分析查詢和批次寫入,便能夠將其設為低優先等級,Bigtable便會選擇優先處理高時效性的查詢作業,進而減少批次處理對系統的影響。常用的Bigtable資料存取路徑,諸如BigQuery聯合、Dataflow和Spark連接器,也都支援請求優先等級,分析師、資料工程師和資料科學家都能夠操作資料,Bigtable將會依優先等級排序工作,降低批次資料載入或是模型訓練對整體系統效能的影響。BigQuery現在也可以直接將資料匯出到Bigtable,過去將資料移入營運資料庫需要經過複雜的ETL工作管線,而Bigtable更新後開發者能夠自助,將資料從資料倉儲移動到營運資料庫。此外,Bigtable的另一項重要更新是能夠與HBase雙向複製,透過Bigtable所提供Apache HBase相容API,還有通用的寬欄位(Wide-Column)資料庫結構,能夠簡單地實踐雙向複製,使用戶建構多雲或是混合雲部署。原文出處:https://www.ithome.com.tw/news/158567?fbclid=IwAR05a66Fv0Ai5yFQ2KxxgXv_7xZFsLvZcyCRWuSuQhOFNzFkiyBHWZnmmTQ...
Read More圖片來源: GoogleGoogle搜尋可以搜到的檔案類型愈來愈多。Google近日更新搜尋的技術文件,將支援的檔案類型擴及.CSV檔。本周Searchengineland記者首先發現Google文件在「可建立索引的檔案類型」中加入了這之前沒有的類型(中文版還未更新)。微軟用戶端暨體驗部門首席計畫經理John Mueller則證實,不僅是文件最新變更,也是剛剛才加入Google搜尋的新功能。CSV(comma-separated values)檔是一種試算表的檔案格式,其中的字母和格式以逗號分隔。這類檔案通常用於不同應用程式之間交換大量資料,例如連絡人、客戶、訂單或人口統計資料。一般資料庫、分析軟體或應用程式都支援CSV,有多種用途,例如學術單位取得政府人口統計資料來分析,或線上商店轉換電商平臺匯入客戶帳號等。這讓Google搜尋可以搜尋的網路資源更多。Google近年陸續將推特即時貼文、IG與TikTok影片及討論區、論壇納入搜尋範圍。今年5月又加入Perspective篩選,著重找出其他人的心得或經驗分享及意見。Google最近則是積極實驗以AI為搜尋加值,例如為搜尋內容生成摘要等。原文出處:https://www.ithome.com.tw/news/158471...
Read More【TechOrange 編輯部導讀】ChatGPT 可說是 2022 年最紅的 AI 工具,也讓「生成式...
Read MoreGA4正式登場!全球95%行銷人都在使用的網站分析工具Google Analytics(GA),很快就要迎來一次重大轉型。通用版GA在2023年7月1日起正式停收資料,年底前正式關閉後台,接著就會由新版Google Analytics 4(GA4)接下全球行銷界資料分析的重任。GA4從2020年下半年就推出,最重要的就是整合舊版GA在網頁上的Web資料和追蹤APP取得的資料,使用同一套分析工具就可以同時追蹤這兩大來源的數據,預期將大大減少企業自行建置平台的成本。通用版GA退場倒數計時,但新的GA4到底會提供哪些新功能呢?來源:Freepik通用版GA即將登場,GA4有更多針對第一方數據應用的更新。 GA4怎麼用?GA4跟GA跟差在哪?GA4因應Google本身Cookie退場的計畫,比起舊版多出更多針對第一方數據的應用,讓品牌可以更客製化設計自己的儀表板。變化一、跨平台數據蒐集應用在數位轉型和第一方數據崛起的浪潮下,越來越多品牌除了網站之外,也積極建構自家的APP,以蒐集更大量精準的用戶數據。但要整合雙邊的資料,就需要建構數據中台,或是求助外部單位建置,會花費較高的成本。新版的GA4就直接提供整合服務,切入第一方數據應用,能夠一次蒐集Web網站的數據和APP數據,不必再進行雙邊切換。用戶需要先新增一個Firebase帳號(Firebase是Google旗下的雲端APP開發平台子公司),只要在「資料串流」頁面中點選「新增串流」,依需求選擇 iOS 或 Android...
Read More知名研調機構 Gartner 在近期一場網路研討會中分享他們對於未來資安狀況的觀察。COVID-19 疫情加速了消費端與企業端數位化與數位轉型的腳步,同時隨著科技技術的進步,AI、區塊鏈等新興科技發展快速,為個人與企業組織帶來許多便利的同時,也出現了許多前所未有的資安危機。 資安人員壓力越來越大,恐影響公司決策與績效企業資安狀態近年受到的關注越來越大,也逐步從過去單單資訊技術端的檯面下問題,變成董事會特別重視的重要議題。然而,在資安攻擊日新月異、防不勝防的狀況下,加諸上對下、外界給予的壓力漸增,促使資安人員所受到的壓力越來越大。尤其,當企業組織不幸遭到資安攻擊時,首先擔責的不外乎就是內部的資安人員。因此,Gartner 安全研究與諮詢團隊顧問 Craig Porter...
Read More深夜急診室裡的靈光一閃美國一位急診室醫生偶然發現,原來 AI 聊天機器人不只能用於日常問答,還能用來促進醫病溝通、創造良好的醫病關係。某次夜班輪值時,Josh Tamayo-Sarver 醫生面臨到相當棘手的情況:一位高齡 96 歲且患有失智症的女性患者,因肺部充滿液體而呼吸困難,她的三個...
Read More企業在永續發展領域面臨的挑戰,解方首要為「數據透明化」。pexels by ThisIsEngineering 2023/04/02 | 文 何晨瑋在企業落實ESG的路上,科技能幫上什麼忙?台灣微軟首席營運長陳慧蓉、玉山金控科技長張智星分享,如何透過數據透明、AI應用來高效達成ESG目標。CSRone永續智庫和國立政治大學商學院信義書院於3月24日舉行「2023第九屆台灣永續報告分析發表會」。會中,除了發布最新亞太地區企業進行永續評比之外,並邀請台灣微軟首席營運長陳慧蓉、玉山金控科技長暨副總經理張智星等人,以「科技驅動永續管理」為題進行對談。在這場論壇中,他們分享了目前微軟、玉山如何透過科技的數位力量,落實ESG。透過微軟永續雲,協助企業追蹤碳排圖/台灣微軟首席營運長陳慧蓉。圖取自微軟官網台灣微軟首席營運長陳慧蓉從「科技賦能永續管理綠色造就產業新戰略」為題,進行分享。她點出,全球企業在永續發展領域面臨的挑戰,有六大問題:缺少標準、複雜的外部組織申報、手動流程和分散系統、不透明的供應鏈、材料和產品的浪費,以及社會責任與消費者期待。要解決以上的問題,首先要「數據透明化」。陳慧蓉表示,企業需要扎實的永續發展數據管理,來應付不同外部組織的要求。她解釋,在少子化、缺工問題下,如何用NO CODE/LOW CODE 來進行數據管理、賦能員工成為關鍵。陳慧蓉分享,打造自動化永續管理平台「微軟永續雲」的五大步驟。分別是,企業組織設置、數據連接、碳排放計算、洞察和報告,以及目標和計分卡。她提到,目前台灣也有許多中小企業開始使用「微軟永續雲」,來落實企業ESG。 玉山讓AI成為實踐ESG的幫手玉山金控科技長暨副總經理張智星分享,近十來的AI發展趨勢,從過去AI多用在企業,現在個人也能使用,這不僅更接近AI民主化,也使得效率提升,連帶地也可以讓ESG提升。他認為,如何讓AI變成ESG的幫手,除了降低AI對ESG的傷害,可以從將數據中使用更清潔的能源、降低模型複雜度來減少訓練和測試的功耗等。此外,張智星提到,「比起環境保護、社會責任的面向上,AI最可以幫上忙的是公司治理面。」他進一步解釋,目前玉山在公司治理上,像是加強管理、導入國際標準和保護顧客權益、建立資料治理制度、鞏固顧客資料隱私及安全,以及內外部KYC,包含警示帳戶偵測、黑名單掃描等。張智星分享玉山的五大AI服務模組:流程AI、風控AI、服務AI、行銷AI和賦能AI。其中,在流程AI上,透過匯款單影像辨識等,釋放30%人力,提升匯款業務處理效率等。最後,由BSI英國標準協會技術長鄭仲凱則分享了,對一家企業而言的ESG成熟度路徑六大階段,分別是「漠視與忽略」、「核規:執行法規最小要求」、「義務:預期或受壓力而執行」、「效率:SMART TO...
Read More文/余至浩 | 2023-05-25發表圖片來源: 攝影/余至浩資安及個資隱私安全保護,不僅僅是資安團隊、管理階層的責任, 更是企業內每個人的責任 。 然而,要將資安內化成組織文化的一環, 並不是件容易的事。最近,Line資安團隊首度揭露了,3年來從三面向推動研發部門建立資安文化的經驗。早幾年前,Line就意識到既有縱深防禦機制的不足,因此重新擬定了新的資安策略,聚焦於建立資安的數位韌性,不再一味依賴防禦措施。2020年,Line更進一步提出了名為全方位資安的新數位資安架構,以技術、文化、人作為主軸,制訂出10項資安戰略。Line臺灣資安長劉威成表示,新架構推行一段時間後,Line內部更加強調文化的形塑,「 只有當每個人都把資訊安全納入日常工作和思考過程,才能降低彼此在資安的投入成本,也才不會將資安視為一項額外成本。」在發生資安事件時,關鍵是要能夠在最短時間內迅速復原,並限制攻擊所造成的範圍,以降低可能產生的深遠影響,從這個角度來看,劉威成指出,資訊安全不應該變成是開發部門的負擔,而要減少因處理資安事件產生的不必要成本,使他們能夠專注於產品的開發,為公司創造產值。如何避免資安成為負擔? 劉威成指出,關鍵在於建立文化,讓組織內的成員都能相互受益,發揮各自專業領域的價值。 協助開發部門培養資安文化,首先需要改變舊有的工作思維在各部門取得共識之後,Line資安團隊不只展開流程的改善,更重新定位自己的角色,擔任工作團隊的協力者,幫助他們發展其稱之為高效且精實的團隊(Lean...
Read More游絨絨 2023-05-11在台灣,倒垃圾就像一場競賽。多數民眾一聽到垃圾車的音樂,就要抓著大包小包的垃圾衝出門,追著垃圾車跑,直到垃圾完美落入垃圾車裡,才算任務完成。雖然現在許多縣市都有提供垃圾定點清運的服務,但對於離定點收運區較遠的民眾來說,還是不夠便民。想像一下,你只需要將垃圾做好分類並放進垃圾桶中,垃圾就會被自動「吸」到垃圾處理場。這聽起來像是科幻電影中的世界,不過這樣的「自動廢棄物收集系統」 (automated waste collection system, AWCS)...
Read More你是不是很常聽到UI、UX設計師,但卻搞不懂UI、UX到底是什麼,究竟在工作項目上又有哪些差別呢?這篇文章讓你快速先搞懂UI、UX,並告訴你9個關於網站的UX設計提高轉換率的方法。讓我們來透過幾張圖瞭解UI、UX的差別。簡單來說,UI(User Interface)使用者介面,主要專業是設計頁面上的功能、顧及使用的便利性與整個設計的美學,網站的美觀性和他息息相關;UX(User Experience)使用者體驗,則是根據使用者的習慣,安排整個網站頁面的內容規劃,像是哪些區塊的內容要先在網站上出現,行動呼籲按鈕(Call to Action, CTA)的位置應該擺在哪裡。圖片來源:UI-UX Services...
Read More作者 Evan | 發布日期 2023 年 05 月 15 日 7:50 | 分類 AI...
Read More文/周峻佑 | 2023-05-11發表 員工就職的流程竟成為駭客意圖入侵資安業者的管道!資安業者Dragos證實近日遭到使用勒索軟體的駭客組織攻擊,駭客假冒尚未就職的員工,通過相關流程並取得部分存取權限,所幸該公司察覺異狀採取行動而沒有成功。但離譜的是,駭客事後竟向其高階主管開口索討贖金,揚言不付錢就會對其家人不利。WordPress網站的外掛程式漏洞也相當值得留意,有資安業者揭露外掛程式Advanced Custom Fields的漏洞CVE-2023-30777,並指出至少7成網站曝險,呼籲網站管理者要儘速處理。 【攻擊與威脅】資安業者Dragos證實遭遇資安事故,駭客企圖入侵其網路環境並進行勒索專精工控領域的資安業者Dragos證實,5月8日有已知的網路犯罪組織企圖對他們發動攻擊及勒索,所幸駭客沒有成功,該公司亦表示旗下系統皆未遭到入侵。該公司指出,駭客針對即將任職的業務人員下手,在該名員工尚未到職之前藉由其電子郵件信箱取得存取權限,並完成入職流程,然後存取新進業務人員的SharePoint系統、合約管理系統,駭客讀取其中1份含有客戶IP位址的調查報告,該公司已對此客戶進行通報。而對於攻擊者的身分,Dragos透露該組織會使用勒索軟體加密檔案,但這些駭客在尚未得手的情況下,竟向Dragos高階主管進行勒索,並聲稱要對他們的家人不利。對此,Dragos對於就職員工的流程加入額外的驗證程序,以防類似的攻擊事件再度發生。 WordPress外掛程式Advanced Custom Fields出現漏洞,百萬網站曝險資安業者Patchstack揭露WordPress外掛程式Advanced Custom Fields的漏洞CVE-2023-30777(未提供CVSS風險評分),此為跨網站指令碼(XSS)漏洞,影響免費版與付費版用戶,攻擊者若是具備存取此外掛程式的權限,就有可能在採用預設配置部署的網站上觸發漏洞,且無需通過額外的身分驗證,開發者獲報後發布6.1.6版予以修補。由於有超過2百萬個網站安裝了此外掛程式,但截至5月11日仍有逾7成使用6.0以下的版本,使得研究人員呼籲網站管理者應儘速升級。北韓駭客Kimsuky利用惡意軟體ReconShark跟蹤使用者資安業者SentinelOne揭露北韓駭客組織Kimsuky的攻擊行動,駭客透過特製的網路釣魚郵件,假借政治議題來引誘收信人上當──例如,中國與北韓之間的核武協商,或是俄羅斯與烏克蘭之間仍在進行的戰爭等,意圖散布惡意軟體ReconShark。在其中一起事故裡,駭客針對名為Korea...
Read More繼Android、Chrome後,Google帳號也將支援通行密鑰(Passkey),讓用戶不需記憶密碼或執行兩步驟驗證就能登入旗下服務。文/林妍溱 | 2023-05-04發表圖片來源: Google 繼去年10月宣布Android和Chrome支援通行密鑰(Passkey),以及12月釋出的Chrome M108穩定版已開始支援後,Google昨(3)日再宣布,Google帳號將支援以通行密鑰(Passkey)登入旗下服務,讓用戶不需再記憶或管理密碼,也不需再執行兩步驟驗證(2-Step Verification,2SV)。從即日起,用戶就可以在個人Google帳號加入Passkey。和由一串數字、字母或符號組成的密碼不同,Passkey是由一組金鑰組成,其中的公鑰用於註冊網站或App,私鑰則是存放在用戶裝置上,省去用戶記憶或管理密碼的麻煩。Passkey是基於FIDO 2/WebAuthn標準,可在所有主要平臺及瀏覽器使用,允許用戶透過指紋、臉部及本地端個人識別號碼(PIN)解鎖電腦或手機來登入。Passkey比傳統密碼更安全,它只存放在用戶裝置中,無法寫下來,也不會被不小心傳給歹徒,比密碼安全,而且也比2步驟驗證安全而方便;2SV不但多一道手續,也無法完全防範釣魚攻擊(例如可能被攔截簡訊)及SIM卡交換(SIM swap)等精準攻擊。但使用Passkey登入Google帳號,可有效證明用戶使用自己的裝置來登入。少了傳送密碼及驗證碼的過程,讓Passkey可防止網釣攻擊或密碼管理不善,如密碼外洩或同一組密碼重覆用於多個網站,解決了2SV的問題。當用戶在Google帳號加入Passkey,Google會在用戶一開始登入,或是執行敏感行動時要求建立Passkey。Passkey本身儲存在手機或電腦上,因此這機制會要求用戶輸入螢幕解鎖的生物辨識(如指紋、臉部辨識)及PIN碼,證實是用戶本人。這生物辨識資料目的在解鎖Passkey,不會分享給Google或其他單位。由於每把Passkey只會用於單一帳號,因此也不會有多個帳號共同一組密碼的風險。Google帳號(或其他帳號)也就不會有因共用密碼而被駭的問題。針對在多種裝置或不同裝置上使用Passkey是否會很麻煩,Google也做出說明。如果用戶有很多臺裝置,包括PC、筆電或平板,可以為不同裝置建一個passkey。有些平臺則可將用戶Passkey備份到雲端並同步給其他裝置,例如iPhone的Passkey可透過登入iCloud帳號同步給其他蘋果裝置,防止用戶被鎖住無法使用,也能升級Passkey到其他iOS/Mac裝置。使用者可以用Passkey/Password同步服務,如Google Password Manager、iCloud...
Read More企業在IT的部署越趨分散,資料分佈於邊緣、雲端和資料中心導致IT管理變得更繁瑣。為簡化耗時且複雜的企業運算管理作業,HPE 基於 GreenLake 平台推出的運算管理服務 Compute Ops Management...
Read MoreSDGs、ESG可找出對應關係,並為質化的SDGs提供量化指標。圖片來源:Shutterstock 製圖:李芸 2022-01-04編譯.王茜穎SDGs、ESG,是繼元宇宙(metaverse)之外網上最夯的關鍵字,縣市長、媒體名嘴、企業總裁都在談,但你分得清楚嗎?SDGs和ESG有哪些不同?雖然在概念上,SDGs和ESG都想透過解決環境和社會問題、實現永續社會,但在功能和適用對象上都不一樣喔! SDGs是什麼?目標導向,沒有人是局外人SDGs是「2030永續發展目標」(Sustainable Development Goals)的縮寫,是2000年聯合國「千禧年發展目標」(Millennium Development Goals, MDGs)的更新版。當年的目標是在15年內,成功消滅貧窮饑餓、普及基礎教育、促進兩性平等、降低兒童死亡率、改善產婦保健、對抗愛滋等八項目標。2015年驗收時,仍力有未逮,加上氣候危機急速惡化,聯合國繼而提出「2030永續發展目標」,擴張到17項核心目標,內容涵蓋終結貧窮、消除飢餓、性別平權、潔淨水源、可負擔的綠能、責任消費與生產、氣候行動等,跨經濟、社會、環境三大面向;其下又分成169項細項指標,目的是在2030年之前,引領全球齊力,邁向永續。但這個更新版,不是目標翻倍這麼簡單,它的問題意識全然不同。儘管部份目標重疊,MDGs針對的是開發中國家,認定這些問題是開發中國家的問題。SDGs則認知到,富國必須為窮國的貧窮、飢餓、環境破壞等負起很大的責任。因此,這17項目標適用所有國家,還進一步擴大到企業、地方政府、公民社會和個人。SDGs更強調永續目標間密不可分的關係,有賴上至國家、政府、企業,下至公民團體、個人等的跨部門整合與合作,沒有人是局外人。即使SDGs沒有法律約束力,許多企業仍主動將之納入業務推動的方向。原因很多,一方面是降低持續營運的長期風險,提升企業形象和價值;另一方面也是回應潛在的市場需求,抓住新商機。2017年的世界經濟論壇便曾預估,SDGs能帶來高達12兆美元(約334兆台幣)的經濟價值。 你可能也有興趣:永續發展目標SDGs整理包・SDGs有哪17項目標?目標核心與國內外成功案例一次看・什麼是SDGs永續發展城市?為何台灣愈來愈多縣市在做SDGs?・SDGs自我檢視報告怎麼做?城市發表VLR要留意哪四大重點?・個人也能做SDGs!個人版SDGs是什麼?有哪些目標? ESG是什麼?企業專屬,達成目的的手段與過程那ESG是什麼呢?ESG分別取自環境(Environmental)、社會(Social)與治理(Governance)三個英文字的第一個字母。更細緻的看,「環境」涵蓋減碳和保護自然環境;「社會」針對改善工作環境、促進多元;「治理」是指公平、透明的管理,並主動揭露訊息。三個面向,起碼有兩個跟SDGs重疊,雖然系出同源,都是聯合國出品,但ESG只適用於企業。傳統上,企業只關心EPS(Earnings Per...
Read More《華盛頓郵報》報導,美國聯邦貿易委員會(Federal Trade Commission,FTC)最新統計顯示,2022 年詐騙案以「冒名詐騙」數量最多,這 3.6 萬次舉報約 5...
Read More駭客發動與ChatGPT相關的攻擊行動日益頻繁,包含利用該機器學習語言模型來製作釣魚信件,或是假借提供相關應用程式來散布惡意軟體等。這樣的情況也引起歐洲警方的關注,並指出他們看到駭客運用此種機器學習模型的數種型態攻擊手法。除了ChatGPT相關攻擊橫行,商業郵件詐騙(BEC)也相當值得留意。近日美國聯邦警查局(FBI)提出警告,駭客假冒合作廠商的名義發動相關攻擊,但與過往不同的是,這些駭客現在會使用延遲付款方式,使得受害廠商不易及早察覺詐騙而難以追回貨款。而在面臨BEC攻擊行動之外,執法人員也透過反向操作、設下誘餌來找出網路罪犯。例如,英國國家刑事局(NCA)就假借提供DDoS租賃服務(DDoS-for-Hire)的名義,讓想要租用此種服務發動攻擊的駭客上當。 【攻擊與威脅】歐洲刑警組織警告網路罪犯濫用ChatGPT機器學習模型ChatGPT被用於攻擊行動的現象日益頻繁,這樣的情況也引起警方的高度重視。歐洲刑警組織(Europol)於3月27日提出警告,他們呼籲大家注意,網路罪犯正在濫用ChatGPT與其他的大型語言模型(LLM),例如,他們很可能在詐欺與社交工程領域,利用這種語言模型來模仿特定人士的書寫、說話方式,來產生網路釣魚誘餌,而且,攻擊者也可能將其拿來產生假訊息。再者,也有人將其用於製作惡意程式,在這樣的狀況下,攻擊者即便自身無開發能力,也有機會製作相關工具。 美國警告駭客假借採購名義進行商業郵件詐騙美國聯邦調查局(FBI)針對近期的商業郵件詐騙(BEC)態勢提出警告,指出駭客假借當地商家的名義,向目標公司「批發」各式商品,包含了建材、農業器具、電腦硬體、太陽能產品等。為了取信攻擊目標,駭客會冒用真實員工或前員工的姓名犯案,而且,這些駭客也採用了延遲付款的方式,如Net-30或Net-60短期融資的方式,指定在交貨後的30天或60天才付款,並付上偽造的推薦函與W-9貸款表單,從而讓受害公司收不到貨款、察覺上當為時已晚。 勒索軟體為近2年歐洲交通運輸業者的重大威脅歐盟網路安全局針對2021年至2022年10月交通領域的組織遭遇的資安事故進行分析,結果發現,勒索軟體攻擊是頭號威脅,占38%;其次是資料外洩有關威脅(30%)、惡意軟體(17%)。此外,該單位認為,針對交通運輸單位的DDoS攻擊有可能會持續,且機場、火車站、交通主管機關會是駭客的主要目標。 豐田汽車義大利分公司資安出包!市場行銷系統帳密竟在公開網路曝露逾一年半資安新聞網站Cybernews的研究人員於2月14日發現,豐田汽車(Toyota)義大利分公司的網站有資料外洩疑慮,因為該網站的開發環境組態檔案(ENV)暴露在公開網路,時間長達1年半以上,導致該公司的行銷雲Salesforce Marketing Cloud的帳密資料、客製化地圖服務Mapbox的API公開。攻擊者一旦取得這些資料,就有可能拿到該公司客戶的電話、電子郵件信箱等資料,進而以豐田的名義發送惡意簡訊或是釣魚郵件,甚至是推送通知,進行網釣攻擊。而前述的地圖服務API外曝,影響雖然不若行銷雲帳密嚴重,但攻擊者可以對其發送大量查詢請求,導致豐田本身所需支付的費用爆增。 Instagram詐騙傳出以提供時裝購物商城Shein禮物卡為誘餌的事故防毒業者Avast揭露近期的Instagram詐騙攻擊行動,駭客針對英國、澳洲、法國、西班牙、波蘭用戶下手,對方發文聲稱是2023年時裝購物商城Shein禮物卡的幸運兒,並標記一長串的Instragram使用者。若用戶依照指示存取駭客提供的URL,就會被帶往釣魚網站,而該網站會對用戶發出通知訊息,表示時限內完成問卷,就有機會贏得禮物卡,且無論使用者輸入有效答案與否,都會通過審核並要求填寫個人資料,支付些許費用取得禮物卡,然而,受害者最終非但不會拿到禮物卡,還會「被訂閱」來路不明的服務。 臺灣民眾網路詐騙抵抗力有待加強,透過錯誤資訊來確認資訊真偽的比例高達8成金融服務業者Visa針對全球18個市場、6千個成年人進行詐騙話術(Fraudulese)有關的調查,結果發現,一般人大多會擔心親友受騙,但忽略自己也是歹徒行騙的目標,再者,有81%受訪者透過錯誤資訊來確認資訊真偽──有46%主要依據公司名稱與標誌來判斷。此外,對於釣魚郵件橫行的現象,他們發現僅有6成受訪者會檢查是否來自寄件者的電子郵件信箱,且只有47%會確認郵件是否有錯字。而針對臺灣的部分,該公司表示,我國消費者最容易受到「限定期間回應」、「免費贈禮」等關鍵字的引誘。 【漏洞與修補】ChatGPT資料外洩,起因是近期新加入使用的元件出現弱點人工智慧研究實驗室OpenAI於3月24日表示,他們暫時將語音機器學習模型ChatGPT下線,起因是3月20日開始使用的Redis資料庫Python用戶端程式庫redis-py出現臭蟲,導致部分用戶能看到他人的對話。該公司也通報Redis維護團隊,並提供修補程式。此外,該公司進一步調查發現,上述臭蟲疑似還造成部分ChatGPT Plus用戶的支付資訊曝光,約有1.2%的付費用戶受到影響。 【資安防禦措施】以邪治邪!英國設置冒牌DDoS攻擊租賃服務的網站來識別網路罪犯英國國家刑事局(NCA)近日透露,他們設置了多個佯稱提供DDoS租賃服務(DDoS-for-Hire)的網站,目的是識別從事相關攻擊的網路罪犯,這些網站幾可亂真,已有數千人存取,一旦這些人依照網站指示購買相關服務,他們就會被導向另一個網站,告知過程當中已收集相關證據,執法單位將會找上門。NCA表示,他們不會透露經營的網站數量,或是運作的時間有多久。 【資安產業動態】德凱集團買下臺灣資安新創安華聯網檢測認證機構德凱集團(Dekra)於3月28日宣布,他們買下臺灣資安新創安華聯網科技(Onward Security),德凱將整合認證與研發的能量,共同為汽車、醫療、工業、物聯網產業,提供完整的資安合規解決方案。不過,兩家公司的新聞稿並未提及併購金額。在此之前,去年被併購的臺灣新創公司是Cybavo,買下該公司的是穩定幣USD Coin(USDC)發行商Circle。 原文出處:https://www.ithome.com.tw/news/156193...
Read More一款名為「Quick access to ChatGPT」的Chrome擴充套件,濫用了ChatGPT、Google與Facebook的合法API,可於背景竊取受害者使用服務的已授權對話Cookie,並接管受害者臉書帳號。文/陳曉莉 | 2023-03-15發表圖片來源: Guardio 當紅的ChatGPT持續遭到駭客利用,資安業者Guardio在上周揭露了一款名為「Quick access to ChatGPT」的Chrome擴充套件,它同時濫用了ChatGPT、Google與Facebook的合法API,其中一個主要目的是為了挾持並接管臉書用戶的帳號,特別是存有廣告額度的臉書企業帳號。Guardio是在今年的3月3日偵測到此一變種的惡意ChatGPT擴充套件,發現每天都有超過2,000名使用者安裝該擴充套件,且每一名受害者的臉書帳號都遭竊,無一倖免。Google則是在收到Guardio的通知後,於3月9日將它自Chrome...
Read More聊天機器人ChatGPT爆紅後,出現越來越多應用方式,也有企業開始用來查資料、做摘要。但資安專家、DEVCORE執行長翁浩正表示,「千萬不要」,因為AI可能會拿來做學習,使得公司資料出現在回答別人的答案中。台灣攻擊型資安公司DEVCORE(戴夫寇爾)迎來創業10週年,今(10日)舉辦 DEVCORE CONFERENCE 2023,以研討會的形式分享白帽駭客經驗。DEVCORE執行長翁浩正提醒,大家使用AI前應留意服務條款(Terms of Use) ,若把ChatGPT應用在職場中,將工作上的資料傳給AI,它會如何運用?是否拿來做學習?或者傳送給其他人?這是許多企業沒有思考過的。翁浩正說,最近在1場和企業資安長的聚會中,資安長就提到,公司會將內部文件上傳到ChatGPT做分析、抓重點;他的想法是「千萬不要、先等一等」,企業可以自建伺服器,但若直接用在雲端上,AI可能拿來做學習,企業資料可能因此外洩。若企業還是想使用AI協助工作,翁浩正建議,可以選擇資料中心不會和別人共享的聊天機器人,以維護資安。不過,生成式AI對資安專家其實具有好處,DEVCORE資深副總徐念恩說,過去資安專家和攻擊者必須自己分析如何入侵網站,現在可以把內容餵給ChatGPT,請它盤點其他攻擊手法,成為資安專家的助手。原文出處:https://3c.ltn.com.tw/news/52444...
Read More我們 RISE 社群一直在探索 ChatGPT 的驚人可能性。ChatGPT 的用途簡直無窮無盡,令人陶醉。 現在仍然是 ChatGPT...
Read MoreGoogle Meet 手機版正式為視訊通話加入全新 360 度虛擬背景,配合你手機或平板內建的陀螺儀偵測視訊時如何移動鏡頭,身後的虛擬背景也會一同移動,現在 Android 和...
Read More在過去一個月,惡意廣告商用新的手段打敗了 Google 搜尋引擎,現在搜尋軟體可能下載到假冒的惡意軟體,千萬要小心。安全研究人員過去習慣在 Google 上看到一些惡意廣告,但長期追蹤垃圾郵件的國際組織 Spamhaus 志工...
Read More繼推特社群平台推行「藍勾勾」身分認證訂閱服務後,FB臉書母公司Meta稍早也在官方新聞室宣佈,本週起將推出名為「Meta Verified」身分認證訂閱制服務,這項新制將為通過認證真實身份的用戶,提供取得藍勾勾徽章的認證資格,並可綁定於FB臉書與Instagram帳戶使用,且本週起將率先於澳洲和紐西蘭實施測試階段。並預告之後將會「很快地」陸續於其他國家地區上路。針對用戶於臉書與IG版帳號實施的「Meta Verified」身分認證訂閱新制,該費用於網頁版申辦的費用為每月 11.99 美元(約合新台幣365元)。另,「Meta Verified」身分認證訂閱制亦可於iOS系統手機版申辦,但費用稍貴3美元,iOS手機版、Android手機版的「Meta Verified」身分認證訂閱費用為14.99美元(約合新台幣456元)。Mark...
Read More微軟昨(14)日宣布釋出Internet Explorer(IE)更新,目的並非修補安全或功能瑕疵,而是要把自己從Windows 10電腦上關閉,並預計6月完全移除IE圖示。微軟從2021年5月就宣布IE生命周期終點,並在2022年6月15日終止,大部分版本Windows 10上使用舊渲染引擎MSHTML的IE11桌機版本。不過大部份Windows 10還是可保留並存取IE11,直到昨日最新IE更新為止。微軟指出,這個版本更新將永久關閉大部份Windows 10的IE11桌機版App。此外,試圖開啟IE11的用戶會被導向Microsoft Edge。此外,到了2023年6月,IE11的視覺參考包括開始選單及工作列上的IE11圖示,也會在預計6月13日釋出的Windows安全更新中予以移除。屆時對大部份Windows...
Read More過去三年來,企業試圖解決前所未有的挑戰,因此加快了數位轉型的腳步。Google Cloud 預期,未來兩到三年間將出現更多突破性革新,這些改變的推力來自包容神經多樣性的設計(neuro-inclusive design)、開放原始碼管理,以及有助實現「週休三日」的 AI 擴展趨勢。 Google Cloud...
Read More每月擁有4億不重複用戶的知名問答平臺Quora,現在創建出自家的人工智慧聊天機器人平臺Poe(Platform for Open Exploration),使用者只要在Poe上提問,Poe便能即時提供答案。目前Poe僅先在iOS上架,接下來幾個月會陸續登陸包括Android、網頁和桌面等平臺,Quora執行長提到,他們之後還會針對不同任務,創建更多的機器人。人工智慧的可用性,已經隨著技術成熟,在許多使用案例中被驗證,即便人工智慧仍有部分議題待討論與解決,但不可否認的,隨著ChatGPT的出現,人們對人工智慧將顛覆一切習以為常的想像,已經越來越清晰,Quora執行長Adam D'Angelo認為,人工智慧的浪潮,將比個人電腦、網際網路或是智慧手機更具革命性,並會對社會和世界經濟產生更大的影響。Quora著手開發新產品因應人工智慧帶來的影響,建立人工智慧機器人平臺Poe,目前在平臺上提供OpenAI和Anthropic的模型,讓使用者能夠與人工智慧機器人來回對話,即時獲得問題的答案。Adam D’Angelo提到,雖然Poe上目前只支援OpenAI和Anthropic的模型,但是在可預見的未來,將會出現一個持續成長的人工智慧生態系。由於不同的任務需要用上不同的模型,因此Poe作為機器人平臺,接下來將會提供更多的模型,Quora正在開發Poe API,要讓其他人工智慧開發人員,更簡單地在Poe介接模型,進而擴展用戶。另外,由於要促進人工智慧模型的使用,Quora建立方便的分享功能,讓使用者可以與社群追蹤者分享模型輸出,以分享使用靈感。Poe將Quora視為快速傳播知識的工具,但是Quora目前並沒有使用創作者,在平臺上共享的知識來訓練Poe,該公司將Poe視為獨立的新產品發展,並且當Poe足夠成熟時,還會在Quora上發布由Poe產生的內容。Adam...
Read More在這個萬物皆聯網的世代,資安成為重要議題,從個人到企業甚至是國安都可能被影響。要做好資安,有許多重要的觀念思維和主動/被動防禦等不同的策略,而其中一個方法,就是透過「加密」將數據從可讀格式轉換為編碼格式。而網路攻擊者也常常反過來利用加密鎖定目標公司系統讓企業無法解密,以此勒索贖金。不過,網路攻擊者正在放棄這種透過加密數據以進行勒索的方法,而是選擇直接跳到竊取公司的重要數據以索取贖金這步。為什麼會出現這樣的新現象?企業又應該有什麼新思維以應對新的攻擊手法? 什麼是加密?當訊息或數據在網路上共享時,全球的網路設備會形成一個公共網路,當數據通過公共網路傳輸時,就有可能被駭客破壞或竊取。為防止這種情況,用戶可以安裝特定的軟體或硬體以確保數據或資訊的安全傳輸。這些過程就是所謂的加密。加密後的數據只有在解密後,才能進行讀取或處理,是確保電腦系統的數據與機密被惡意竊取後也無法輕易讀取的最簡單方法。許多個人用戶和大型企業都會透過使用數據加密來保護瀏覽器和服務器之間發送的用戶數據,包括支付數據到個人隱私等內容。加密後,原本人類可理解閱讀的文字就會轉換為無法理解的文本,又稱為密文。而加密需要使用加密密鑰,這是一組發件人和收件人都知道的數值,並由收件人使用密鑰解密數據,將其恢復為原本可以閱讀的文字。加密密鑰越複雜,加密就越安全,因為第三方很難透過暴力攻擊(也就是隨便亂試直到猜出正確的組合)對其進行解密。因此有一些密碼管理器也會用加密來保護用戶的密碼,讓駭客無法讀取。 為什麼加密攻擊變少了?過去的勒索軟體攻擊通常是駭客在組織網路上安裝了文件加密惡意軟體,然後在螢幕上顯示勒索訊息。但是隨著執法部門對勒索軟體的關注不斷增加,網路攻擊者開始尋找更為「有效率」的方法來繼續進行勒索攻擊。近年來,這些攻擊者轉變了手法:在對企業進行加密攻擊之前,他們會先偷偷竊取數據,接著在企業付錢解密後,便開始要求企業在期限內再次付款,否則他們將把「先前竊取到的數據資料」對外公開——言下之意:企業很有可能被剝兩次皮。外媒《Axios》報導指出,這種方式可以讓駭客更快速有效率地進行攻擊,並且降低對加密工具的依賴——這些工具有時會在攻擊中失效。勒索軟體談判公司 GroupSense 的執行長 Kurtis Minder 也指出,由於公司開始大量備份數據並開始積極防禦加密勒索軟體,因此攻擊者改用脅持機密數據進行威脅,導致越來越多的受害者支付贖金以防止數據被洩露。Abnormal Security...
Read More隨著Internet、「雲端技術」的普及,加上社群網站的推波助瀾,瀏覽器在電腦中所扮演的角色越來越重要,好的瀏覽器可以讓你更快速輕鬆地閱讀網站,甚至幫你在線上完成工作,因此造成了瀏覽器界群雄並起的時代。阿正老師今天就特別整理了目前市佔率最高的5款瀏覽器的下載點,包括了安裝及免安裝版,如果你想多多測試比較不同的瀏覽器,一定要來看看這篇瀏覽器下載懶人包喔!瀏覽器的戰國時代話說自從微軟將自家的IE瀏覽器「綁」在Windows作業系統之後,市佔率便狠狠甩開了Netscape,一躍成了瀏覽器界的龍頭。不過隨著後來Firefox的竄起,瀏覽器界成了IE與Firefox兩強爭霸的局面,直到後來Google在2008年加入戰局,隨著它的Chrome瀏覽器版本號不斷衝高(才16年已經衝到了第108版),市佔率也急起直追,終於在2012年中超越了IE與Firefox,成為第一大瀏覽器。下圖是StatCounter網站自2009年1月~2022年10月所調查的全球瀏覽器(電腦版)使用率的統計表,可看到原本排名第一的IE瀏覽器(藍色線)一路下滑,跟Firefox(橘色線)一樣被後起之秀Chrome(綠色線)及蘋果的Safari給超越了,第五名則是老牌的Opera。大家也可以觀賞這段瀏覽器市佔率消長的時間軸影片:下面就是阿正老師整理的五大瀏覽器下載懶人包,讓你下載瀏覽器時不必再去搜尋引擎搜尋囉!第一名、Google Chrome這個推出16年的Chrome瀏覽器,是目前效能最高、速度最快的瀏覽器,加上Chrome Web Store(Chrome應用程式商店)裡面有著各式各樣好玩的遊戲及應用軟體,更加吸引了使用者的目光,支援了Google帳號登入功能,可以讓你的書籤、應用程式、密碼、擴充功能、設定…等資料進行同步,無須另外安裝外掛套件,變得更加人性化、更加強悍!Chrome 從83.0版開始加入了「分頁群組」的功能,請參考本站文章:《喜歡開一堆分頁的人有福了,Chrome終於加入「分頁群組」功能!》Google瀏覽器預設為線上下載安裝,而且分為穩定版(stable)、測試版(beta)及開發版(dev)等三個頻道,你可以下載「頻道切換器」,自由地切換三種版本。阿正老師也蒐集了「離線安裝版本」,方便你快速地佈署在多台電腦中。另外我還列出了由「PortableApps.com」這個知名的免安裝版軟體網站所打包的Chrome免安裝版,大家也可以試試看! 第二名、Edge新的Edge瀏覽器是軟破釜沈舟,使用Chromium開源專案來打造全新版本,並在2020年1月釋出。新的Edge版本則已經到107版(版本號同Chromium),有興趣的讀者可以到「Microsoft Edge」網站來下載:最新的Edge 執行畫面如下,外觀上大致跟Chrome類似,不過網路資料的同步(我的最愛、擴充功能、設定、密碼…)則使用微軟自家的帳號,不會同步到Google帳戶。Edge從93版開始也跟進Chrome,推出了「分頁群組」的功能,不過因為Edge有「垂直索引標籤」,所以它的分頁群組比Chrome更好用喔!而古老的IE瀏覽器的版本停在11.0正式版,已不再更新,只支援Windows...
Read More據《IBM 2022 年度資訊安全威脅報告》,2021 年全球製造業受駭客攻擊的次數,首次超越金融業。駭客攻擊防不勝防,尤其資安人才缺口至今還無法填平,企業在 2023 年資安防護上又該注意哪些新挑戰呢?2022 年全球政府、企業及各級組織,預計在網絡安全上花費...
Read More繼英國競爭與市場管理局(CMA)8月份宣布準備對Meta提起訴訟後,歐盟委員會(European Commission)於本(12)月19日證實正在對Meta進行正式的反壟斷調查。初步調查顯示,Meta濫用其主導地位,讓社群平台與Facebook Marketplace相互連結,進而為線上分類廣告服務創造優勢,可能受到高達全球10%年營收的罰款。歐盟反壟斷專員在一份聲明中表示,Meta旗下的社群平台Facebook每個月擁有數十億的全球用戶及數百萬位的廣告商。他們擔心的是,Meta可以在神不知鬼不覺的情況下,將用戶引導至Marketplace,巧妙地將社群平台與分類廣告平台連結起來,讓用戶別無選擇,只能造訪Marketplace。Marketplace扭曲線上廣告市場的競爭,有壟斷嫌疑Meta自2016年推出Marketplace服務,讓任何用戶可以自由販售和銷售各種商品,舉凡衣服、書籍或是手機和家具都能在上面找到。不過歐盟委員會認為,該公司可能違反了歐盟的反壟斷規定,因為Meta將分類廣告與社群平台整合,從而扭曲線上廣告市場的競爭,此舉可能違反了《歐洲聯盟運作條約》(TFEU)的第102條。來源:Facebook截圖舉例來說,在Facebook搜尋欄中輸入想要尋找的商品,出現在最前面的搜尋結果即為Marketplace的內容。同時,歐盟也正在針對Meta的兩大社群平台Facebook及Instagram的分類廣告服務進行調查,其與廣告商間的條款是否有不合理及不成比例之處,允許公司使用廣告商無法取得的廣告服務後台資料。若違反壟斷,將裁罰全球年度營業額10%的罰款過去Meta的競爭對手就曾抱怨,Meta將社群平台與線上分類廣告服務整合起來是不公平的行為,並且正在使用非公開的廣告數據優化Marketplace,而歐盟委員會也從去(2021)年6月份開始著手調查。歐盟委員會也在19日表示,若有足夠證據證明Meta違反歐盟的規定,最高可以對該公司處以全球年度營業額10%的罰款。不過這是Meta第一次受到歐盟指控其濫用主導地位。5年前,Meta在收購WhatsApp的審查中,因為未能提供正確資訊而被歐盟開罰了1億歐元;2017年時則受到德國反壟斷監管機構發現公司濫用資料搜集辦法,並且遭下令停止追蹤用戶於社群網站以外的足跡網路,不過此案目前尚未定案。Meta發言人提姆·蘭布(Tim Lamb)透過聲明表示,歐盟委員會的說法毫無根據,不過Meta將繼續和監管機構合作,證明公司的產品創新是有利於消費者及競爭市場的。Meta的股價於19日紐約時間10點多時下跌了3%,該公司股價在過去一年內已經下跌了65%。除了Meta以外,許多科技公司都正受到歐盟進行監管方面的調查,例如Google、亞馬遜(Amazon)和蘋果(Apple)等公司,而其中另一件針對2018年Google和Meta的“Jedi Blue”進行的反壟斷調查,歐盟已在19日以無損害競爭事實的結果宣布結案。參考資料:European Commission、Bloomberg、Reuters、Tech Crunch、Politico、Engadget責任編輯:陳建鈞、林美欣原文出處:https://www.bnext.com.tw/article/73336/facebook-marketplace-take-advantage-of-meta-dominance...
Read MoreGoogle宣布,擴大測試Web版Gmail用戶端(client-side encryption,CSE)加密,將開放企業及教育版授權用戶試用一個月期間,不過個人版並沒這項福利。Workspace Enterprise Plus、Education Plus、Education Standard客戶可在2023年1月20日前申請測試這項功能。Gmail使用用戶端加密可確保郵件主體和附件無法從Google伺服器解讀,用戶可保管加密金鑰,以及存取這些金鑰的身分服務。Google表示,Workspace已經使用最新的加密標準加密所有靜止,以及在Google設施之間傳輸的資料,用戶端加密則能強化用戶資料機密性,解決各種資料主權和法規遵循的需求。在Web版Gmail之外,用戶端加密可用於Web、桌機及行動版Google Drive、Google...
Read More一直以來微軟都希望用戶趕快從 Internet Explorer 轉向 Microsoft Edge 瀏覽器,持續釋出即將停止支援...
Read More寫歌、寫小說、寫code,Chat GPT 還有什麼做不到?Chat GPT是什麼?是誰做的?Chat GPT是一款聊天機器人,它能理解大多數的人類語言,並根據情境生成一個合適的問答。若你想打發時間,可和它聊天;若有疑問,它也會在符合道德倫理的情況下,知無不言。該機器人由人工智慧實驗室Open AI推出,而推特CEO伊隆・馬斯克(Elon Musk)也是實驗室的創辦人之一。上市一週後,Chat...
Read More近年來,AI 在網路安全領域扮演的角色越來越重要,一般公司和個人可以利用 AI 工具來檢測威脅、保護系統和數據;但駭客和不肖份子也可以利用同樣的技術,來發動更複雜的攻擊。如今,DDOS 攻擊(阻斷服務攻擊)、數據洩漏等網路攻擊方式會讓組織付出極高的代價,另一方面,疫情帶來遠程工作趨勢,也讓不少公司更加關注網路安全和相關的 AI 工具。這種種需求,都大幅拓展了...
Read More隨著網路速度越來越快,許多業者都推出了「雲端檔案儲存服務」來搶食雲端市場的大餅,越來越多人也開始使用雲端檔案服務,但是如果雲端空間不夠大該怎麼辦?不妨來看看阿正老師這篇簡單的雲端服務價格及容量比較,包括了Dropbox、Google雲端硬碟、OneDrive、Amazon Cloud Drive、Box.com、iCloud、MediaFire、MEGA、pCloud、百度網盤及Asus WebStorage…等12種雲端服務,想挑選「俗又大碗」的雲端服務的讀者們可別錯過啦!(2022/9/21更新:MEGA方案及Asus WebStorage費率修正) 你的雲端夠用嗎?隨著智慧型手機及4G網路的普及,許多人都將文書資料、照片、影音檔案…等上傳或備份到雲端,不論在何時何地都能存取這些檔案,而且分享更加容易,儼然已經進入了「雲端時代」。雲端儲存雖然方便,但是天下沒有白吃的午餐,想要更大的空間,就得自己掏腰包,阿正老師剛好看到「ghack.net」網站整理了一篇雲端服務的價格比較,裡面有些數據有錯誤,稍微整理了一下,比較了12項較知名的雲端儲存服務,包括了:Dropbox、Box.com、 Google Drive、 微軟OneDrive、Amazon Cloud...
Read More(首圖來源:Flickr/Masaru Kamikura CC BY 2.0)你是堅持用 Windows 7 或...
Read MoreOpenSSL 3.0.7修補的CVE-2022-3602,是一個任意4位元組的堆疊溢位漏洞,原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊,但正式修補時已調降了這項漏洞的嚴重性文/陳曉莉 | 2022-11-02發表 OpenSSL專案於本周二(11/1)釋出了OpenSSL 3.0.7,修補CVE-2022-3602與CVE-2022-3786兩個安全漏洞,原本CVE-2022-3602被列為重大(Critical)風險漏洞,但在本周正式修補時已被降級成高度(High)風險漏洞。OpenSSL為一開源程式碼庫,主要提供網路上的安全通訊,當使用者瀏覽網路時,所瀏覽的網站或服務底層都使用了OpenSSL,可見其影響性。根據資安業者Check Point的說明,CVE-2022-3602漏洞是在OpenSSL檢查X.509憑證時,因對Punycode的不當處理而被觸發,可能造成遠端程式攻擊。OpenSSL專案指出,有鑑於CVE-2022-3602是一個任意4位元組的堆疊溢位漏洞,這類的漏洞很可能導致遠端程式攻擊,因而一開始將它列為重大漏洞,但這一周以來,許多組織相繼針對該漏洞展開測試,顯示出某些Linux版本的堆疊布局,使得4位元組覆蓋一個未被使用的相鄰緩衝區,因而不會當掉或形成遠端程式攻擊,其次則是有不少現代平臺都導入了堆疊溢位保護機制,而能降低遠端程式攻擊的風險。總而言之,OpenSSL專案判斷重大漏洞的依據,是遠端程式攻擊是否會在常見狀況下發現,上述分析顯示並非如此,因而調降了CVE-2022-3602漏洞的嚴重性。另一個安全漏洞CVE-2022-3786則屬於X.509電子郵件位址可變長度緩衝區溢位漏洞,可造成服務阻斷,但不會引發遠端程式攻擊,亦被列為高度風險漏洞。這兩個漏洞主要影響OpenSSL 3.0.0~3.0.6,並未波及先前的版本。OpenSSL專案建議,任何驗證來自不可靠來源之X.509憑證的OpenSSL 3.0應用,都應被視為受到相關漏洞的影響,包含那些使用TLS客戶端身分認證的TLS客戶端與伺服器,若無法立即更新系統,可考慮暫時關閉TLS伺服器上的客戶端認證。原文出處:https://www.ithome.com.tw/news/153969...
Read MoreHP威脅研究部門人員在9月間發現,勒索軟體Magniber開始利用7月公開的Windows MotW漏洞攻擊Windows 10用戶 文/林妍溱 | 2022-10-26發表 研究人員發現一項早先曝露的Windows漏洞,在微軟釋出修補程式之前,又讓惡意JavaScript檔繞過Windows用以防範網頁惡意檔案的MotW機制。上個月HP威脅研究部門人員發現勒索軟體Magniber的攻擊行動。攻擊者以防毒或Windows更新誘騙用戶下載一個內含JavaScript檔的壓縮檔。在此之前Magniber都是以MSI和EXE檔掩飾,而這是它第一次使用JavaScript檔。 圖片來源/HP 至於從網站上下載的檔案何以能在Windows上執行,引發知名安全研究人員Will Dormann好奇,因為Windows MotW並未啟動。他在今年7月揭露Windows的MotW漏洞。MotW(Mark of the...
Read More美國太空軍為了強化太空和地面相關設備的網路威脅防護能力,將在明年六月之內推出「數位獵犬」計畫,透過新開發的軟硬體自動偵測各種網路威脅,確保相關設施和網路運作安全。 上週太空軍太空作戰司令部司令(Space Operational Command)懷廷中將(Stephen Whiting)曾表示,該單位對於新型網路威脅的型態理解程度仍然有待加強。因此本週於加州展開的太空軍國防相關產業會議中,太空領域感知和作戰力量計畫執行主任塞區霸准將(Tim Sejba)正式公佈了「數位獵犬」(Digital Bloodhond Program)。Sejba...
Read More文/李建興 | 2022-10-21發表 Stack Overflow推出了Overflow Offline新計畫,並與非營利組織Kiwix合作,確保這個離線版能夠維持更新,且讓需要的人輕鬆取得,該專案開源接受社群貢獻,將繼續提高可讀性,並縮小容量使終端用戶可以更容易使用。 Stack Overflow在2019年秋天啟動這個專案,在之前一直是由Kiwix獨立更新離線版本的Stack Overflow,並且也已經將Stack Overflow發送給許多用戶,但是從2018年開始,Kiwix沒辦法再更新Stack Overflow離線版本,所以官方在過去兩年開始提供財務和技術支援,重新使Kiwix能夠繼續這些工作,並且提高教育資源在他們平臺的可用性。Kiwix建立了一支稱為Sotoki(Stack...
Read MoreFacebook 母公司 Meta 發表人工智慧(AI)翻譯系統,可讓閩南語(台語)與英語互譯。3C 科技專家 20 日實測後指出,新系統準確率有待加強,超過兩句話就很容易翻譯錯誤,是早期測試模型常見問題,Meta...
Read More為支持FIDO(Fast IDentity Online)聯盟與全球資訊網協會(World Wide Web Consortium,又稱W3C理事會)提出的無密碼登入標準,搜尋引擎巨頭Google宣布,將在目前主流作業系統Android與瀏覽器Chrome上提供Passkeys(萬能鑰匙)功能,代表使用者不再需要輸入密碼,可直接利用手機驗證解鎖進行登入。 引入點對點加密技術,不用密碼也可安全快速登入Google指出,比起輸入密碼與進行二次身分驗證,以FIDO標準為基礎的Passkeys更加安全,因為其無法被重複使用,不會洩露伺服器資料,還能防止用戶受到網路釣魚的攻擊。此外,Passkeys也會進行自動備份,同步至雲端與密碼管理員(Password Manager),避免裝置遺失時無法登入,用戶亦可以利用手機中的Passkeys,登入附近其他裝置的應用程式與網頁。Passkeys的原理為點到點加密(end-to-end...
Read More圖片來源: MetaMeta昨(29)日公布名為Make-A-Video的AI工具,能利用文字或靜態圖片產生短影片,並公開給社群試用。Make-A-Video類似OpenAI的DALL-E和Stable Diffusion,能將輸入的文字以AI模型產生成圖像。Meta 表示,是以Meta AI部門生成性AI(generative)技術為基礎發展而成,利用文字搭配圖片,以及不加入相關文字及標註的影片片段為資料加以訓練。Meta表示,這項工具可讓用戶發揮想像力,只要幾行字即可生成各種天馬行空、獨一無二的短影片。這項服務是Meta繼今年7月的Make-A-Scene後最新生成性AI研發成果。Make-A-Scene透過提示,即可利用使用者輸入的文字和簡單草圖,來生成一幅高品質的場景圖。根據Meta的示範網站,Make-a-Video有多項能力。在基礎層次上,它可以利用一行文字如「泰迪熊作畫」或「機器人在時代廣場跳舞」生成數秒短影片,現提供超現實、寫實或風格化三種類型。它也能將單一張圖轉成動畫,或是將二張圖接合成連續性影片,例如把看似差異不小的地貌圖接合成地形變動的影片。此外Make-a-Video還能以輸入一則影片的素材生成4種變化,例如讓跳舞的熊多出好幾種舞步。 圖片來源/Meta。原文出處:https://ithome.com.tw/news/153373...
Read More極端氣候不斷發生,反映出地球環境不斷惡化,永續發展觀念近年更加普及各國政府及企業。尤其各國政府紛紛提出淨零碳排目標,不論大小企業都需根據 ESG 指標,調整企業自身的營運及發展方向。而 ESG 的意義是什麼?與 CSR、SDGs 有什麼不同?本文整理完整資訊,說明企業需注重...
Read More文/林妍溱 | 2022-09-29發表 9月27日公布的5項Chrome高風險漏洞中,包含4項使用已釋放記憶體(Use after free)漏洞,其中的CVE-2022-3304可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(DoS)攻擊。 Google周二(9/27)公布Windows、Linux及Mac版Chrome 106桌機版本更新於穩定通道,修補20項漏洞,包含5項高風險漏洞。 Google最新釋出的更新為Chrome 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows),將在未來幾天到幾周內部署到用戶端。 本月修補的20項漏洞中,Google只公布16項來自外部研究人員通報的漏洞。公布的5項高風險漏洞中有4項為使用已釋放記憶體(Use after free)漏洞,分別位於CSS(CVE-2022-3304)、Media(CVE-2022-3307),以及Survey(CVE-2022-3305及CVE-2022-3306)。第5項高風險漏洞則為對未信任輸入資訊的驗證不足漏洞,影響...
Read More文/李建興 | 2022-08-04發表 Go官方推出了1.19版本,這個版本因為Go 1.18大改版延後發布的關係,釋出的時程顯得有些緊湊。該版本的一大重點便是修正Go 1.18所加入的泛型功能,官方根據社群所回報的問題以及邊角案例,進行了不少調整,同時也改進了效能表現,部分泛型程式碼的效能提升甚至可高達20%。 文件註解現在支援連結、列表和標題語法,官方提到,這些改進將有助於用戶編寫更清楚,且易於閱讀的文件註解,特別是針對大型API套件,清楚的註解有助於降低套件的採用障礙。另外,Go的記憶體模型現在也明確定義了sync/atomic套件的行為,修改後的happens-before關係定義,現在與C、C++、Java、JavaScript、Rust和Swift等程式語言一致。當前程式不受此修改影響。 Go的垃圾回收器則加入了一個軟性的記憶體限制,該限制對於在專有記憶體容量的容器中,最佳化Go程式盡可能提高運作效率特別有用。 原文出處:https://www.ithome.com.tw/news/152298...
Read More文/陳曉莉 | 2022-09-19發表 資安業者otto(otto-js)上周提醒,若在Chrome瀏覽器中啟用進階拼字檢查(Enhanced Spellcheck),或是在微軟的Microsoft Edge中啟用Microsoft Editor,那麼瀏覽器就會將使用者於網站欄位中所輸入的資料傳送給Google及微軟,倘若輸入的是密碼,而且點擊了「顯示密碼」(Show Password),那麼連密碼都會被送出去。 進階拼字檢查是Chrome的功能之一,它會把使用者於瀏覽器中所輸入的文字傳送給Google,再使用與Google搜尋相同的拼字檢查技術,來提供拼字建議,其預設值是關閉的。至於Microsoft Editor則是微軟所開發的Chrome與Edge擴充程式,它會檢查使用者的單字及文法,還能修飾使用者的寫作風格。 然而,otto卻發現,為了改善使用者的拼字或文法,這兩個功能都會將使用者所輸入的資料回傳到它們的伺服器進行檢查,也許使用者是在編輯文件時啟用該功能,但若忘了關閉它,之後切換到其它網站時,一樣會送出使用者所輸入的資料,像是使用者名稱、電子郵件帳號、生日或社會安全碼,更嚴重的是,倘若網站提供了「顯示密碼」的功能,而且使用者點選了該功能,那明文密碼也同樣也會送出去。 otto把此一安全威脅稱為「拼字劫持」(Spell-Jacking),針對逾50個網站進行測試,並把當中的30個列為對照組,這30個網站分為6大類,包括網路銀行、線上辦公室工具、健康照護、政府、社交媒體及電子商務,發現當中高達96.7%都會把使用者輸入的個人資料傳送給Google及微軟(下圖左),也有73%會把密碼送出去(下圖右),總之,絕大多數都已淪為拼字劫持的受害者,而逾20%沒有送出密碼的並不是因為它們未被劫持,而是這些網站上並未提供「顯示密碼」功能。圖片來源/otto此外,不管是微軟自己的Office 365、阿里巴巴的雲端服務、Google...
Read More資安業者Akamai宣稱在9月間,成功替用戶攔截每秒超過7億封包的破紀錄DDoS攻擊 資安業者Akamai本周披露,該公司在今年9月12日成功地偵測與攔下了攻擊峰值每秒封包數多達7.04億個的分散式服務阻斷(DDoS)攻擊,超越了今年7月的每秒6.6億個封包,刷新DDoS的攻擊紀錄。 不管是7月或是9月的攻擊行動,都是由同一組駭客針對Akamai位於東歐的同一個客戶所發動的攻擊,駭客以UDP洪水攻擊同一目標,且不管是攻擊規模或頻率都有增加的趨勢,7月時累計攻擊次數為75次,9月更高達201次。 此外,7月時駭客只針對該受害組織的某個區域發動攻擊,但9月即擴大到6個區域。Akamai說明,9月時駭客早就準備好要大展拳腳,所攻擊的IP數量在1分鐘內就從100個擴大到1,813個,這些IP分散在受害組織的6個區域中,這種高度分散的攻擊手法很容易讓準備不足的安全團隊淹沒在警報中,難以評估入侵範圍與嚴重性,更遑論對抗攻擊。 Akamai並未公布此一受害組織名稱,僅說該客戶原本只有主要的資料中心受到Prolexic平臺的保護,6月才將其餘的12個資料中心也遷移至Prolexic,其資料中心散落於歐洲、北美與亞洲。Prolexic為Akamai旗下的DDoS防禦平臺,宣稱可在攻擊流量抵達應用程式、資料中心或網路架構前便將其緩解。 原文出處:https://www.ithome.com.tw/news/153101...
Read More在這大數據時代,數據可說是企業最寶貴的資產。隨著雲端架構的快速發展,許多企業也導入了相關技術以便管理越來越多的數據,並秉持著「一筆數據都不能刪」的原則。根據 TechOrange 《雲端 AI 應用大調查》報告指出,約 37% 企業認為,數據管理和分析自動化是企業...
Read More趨勢科技威脅情報副總裁 Jon Clay 表示,各種新興的駭客集團持續演變經營模式,同時也更精準地鎖定其攻擊對象。這正是為何企業必須更有效掌握、了解及保護持續擴大的受攻擊面,最好的做法就是從導入單一全方位網路資安平台著手。 趨勢科技研究指出,該公司趨勢科技 2022 上半年總共攔截了 630...
Read More研究根據100多家消費者軟體線上廣告預算分析,發現蘋果廣告業務受益於2021年重大iOS隱私設定更新,讓Facebook等公司更難追蹤用戶網路足跡。蘋果搜尋廣告讓人們在App Store做廣告。Appsumer表示,第二季廣告商採用率較去年同期增加近4個百分點達94.8%;Facebook採用率下降3個百分點至82.8%,Google下降2個百分點至94.8%。Appsumer指出,蘋果已「加入Google、Facebook雙頭壟斷地位,登上廣告商採用率榜首」。總監Shumel Lais將結果歸因於願在蘋果平台支付大筆資金增加下載量的軟體開發者數增加。同時蘋果App Tracking Transparency(ATT)更新,限制Facebook等依賴廣告的軟體可幫助品牌推展線上廣告的數據量。萊斯說「非常有趣的事是,ATT限制對蘋果來說並不存在。所以你可以說蘋果iOS比其他通路有更高知名度或優勢。」以軟體開發者網路廣告整體支出(錢包率)而論,Google仍以34%居榜首,Facebook以28%居次,蘋果15%緊隨其後。亞馬遜未列入,因不是開發者平台。低階市場TikTok超過也深受ATT所苦的Snap。Appsumer表示,TikTok有3%,Snap則為2%。雖然超過Snap,但TikTok第二季廣告採用率卻下降近7個百分點。萊斯表示,軟體開發者仍在試圖弄清楚哪些廣告投放短影音服務效果更好。(本文由 MoneyDJ新聞 授權轉載;首圖來源:蘋果)原文出處:https://technews.tw/2022/09/08/apple-search-ads-makes-moves/...
Read More隨著全聯獨資的電子支付品牌「全支付」開幕,台灣的電支品牌數量來到30家。群雄並起的戰國時代,全聯的投入不只宣告零售金融時代來臨,也有望讓發展近10年的台灣電子支付局面出現大不同。從全支付開業,看台灣電支市場兩大變局台灣目前的電支用戶數來到1,700萬,台灣大電信金融事業部副總經理吳建頤分析,全支付加入戰局後,預計帶來「電支更普及」、「市場洗牌」兩大變局。首先,全聯的客群普遍年紀偏大,先前PX Pay靠著強大的門市地推部隊,成功拿下超過830萬名會員。全聯能否複製PX Pay的模式,讓全支付帶動台灣電支的使用接受與普及度,將是一大觀察重點。第二是市場會如何重新洗牌?綜觀目前電支市場,除了街口、一卡通Money用戶數破500萬以外,其他業者規模始終難以突破。來源:記者吳秀樺攝全聯能否複製PX Pay的模式,透過全支付帶動台灣電支的使用接受與普及度,將是一大觀察重點。從零售的角度來看,三大業者全家(全盈)、全聯(全支付)、統一(icash Pay)都握有電支品牌與廣大的零售通路。值得注意的是,全盈、全支付採取開放生態圈策略,可以使用的通路比較多,開業短短一個月,就累積大量用戶、經手處理的金額也很高。以四月底開業的全盈來說,根據金管會六月公布最新數據,在一個多月的時間內用戶數就有近60萬,已經逼近統一旗下愛金卡(icash)的85萬,從代理收付的金額來看,全盈六月份約是新台幣5.2億元;愛金卡只有約3.5億元,差了幾乎快一倍。這是因為icash Pay的生態圈大多集中在統一集團底下,能使用的通路有限,稍稍影響用戶成長速度。因此,從全盈的例子來看,未來全支付也很有可能循著相同軌跡,在短時間內取得大量用戶數、經手大額金流。KPMG安侯建業數位長賴偉晏認為,雖然不是每一個PX Pay的用戶都會開通電支,但只要轉換的用戶達到一定門檻,搭配既有的通路優勢,就有很高機率能超越其他業者。當大型零售業者,挾帶大量會員與通路資源,並以開放的策略進入戰場,可能加速大者恆大的趨勢。大家都在拚生態系,「數據」將成決勝點隨著全支付開業,台灣電支版圖大致已經成型,「生態系」是各家業者做出差異化的重點策略,而「數據」應用則是更關鍵的決勝點——也就是比誰更能看懂客戶需求。去年通過的《電支條例》中,最大的改變是開放跨平台支付,也就是可以拿著全支付到全盈的支付據點消費,反之亦然。表面上看來是讓利給競爭對手,實際上則能藉此打通任督二脈。勤業眾信聯合會計師事務所消費產業負責人呂宜真分析,之後跨平台支付上路後,業者就能整合消費者在所有通路消費的數據,等於是把人流(會員)、金流(支付)都握在手中,能更完整掌握消費者行為輪廓,作為後續會員行銷、流量變現的依據。來源:悠遊卡...
Read MoreWebKit大幅度更新,使得Safari 16.0加入不少新功能,包括無密碼登入功能通行金鑰(Passkeys),也針對開發者帶來更多CSS和網頁開發功能Safari 16.0現在正式在macOS Monterey以及Big Sur上發布,用戶已經可以用到WebKit更新在Safari中帶來的新功能,其中最大亮點便是支援無密碼登入的通行金鑰(Passkeys)功能,另外,Safari 16現在也提供容器查詢,使得開發者能夠知道當前容器布局的大小。 通行金鑰是一種簡單,但同時又能大幅提高使用者安全性的登入方法,通行金鑰是根據FIDO聯盟和W3C的開放標準,包括已在瀏覽器中受到廣泛支援的WebAuthn標準所定義,WebKit官方提到,通行金鑰是一個被廣泛使用的詞,開發者現在可以在既有的身分驗證方法,添加通行金鑰選項。 通行金鑰的認證過程,需要開發者先在後端儲存公鑰後,發出身分驗證詢問,接著在開發者的網站或是網頁應用程式上,透過採用API創建新的通行金鑰,並允許使用者使用他們的通行金鑰登入。官方提醒,當網站已經支援使用帶有WebAuthn的平臺身分驗證器,則在添加通行金鑰支援的時候,要注意不要使用Cookie來紀錄用戶在特定裝置上配置的通用金鑰,同時鼓勵將通行金鑰當作主要的登入方式。 通行金鑰的支援已是必然的趨勢,FIDO聯盟和W3C共同制定了無密碼登入標準,Apple、Google和微軟共同宣布將擴大對FIDO的支援,由於這三巨頭同為FIDO聯盟董事會成員,因此在無密碼推動上將更為有力,不久的將來無論使用者在任何裝置和平臺,皆不需要密碼就能登入網站服務和程式。 WebKit現在完全支援解析度媒體查詢,簡單來說,這項功能讓開發者可以根據不同裝置不同螢幕解析度配置CSS樣式,另外一個類似的新功能稱為容器查詢,該功能讓開發者可以根據容器的大小而非視埠(Viewport)大小,調整網頁上特定項目的布局和樣式。 另外,WebKit也新增支援Subgrid,官方提到,CSS Grid徹底改變了網頁布局設計,而Subgrid則將Grid帶到另一個層次。Subgrid是一個簡單的方法,供開發者將網格容器的子孫元素放到該網格上,使開發者可以跨複雜布局,在不受HTML的限制下排列項目。 Safari...
Read More