科技技術及消息分享

  • All
  • AI 人工智慧
  • APP開發設計
  • 專案開發
  • 程式設計
  • 網路行銷
  • 網頁設計
  • 資訊安全
  • 電子商務

用科技落實ESG?微軟營運長陳慧蓉:數據透明是第一步[轉載自ESG遠見]

企業在永續發展領域面臨的挑戰,解方首要為「數據透明化」。pexels by ThisIsEngineering 2023/04/02 | 文 何晨瑋在企業落實ESG的路上,科技能幫上什麼忙?台灣微軟首席營運長陳慧蓉、玉山金控科技長張智星分享,如何透過數據透明、AI應用來高效達成ESG目標。CSRone永續智庫和國立政治大學商學院信義書院於3月24日舉行「2023第九屆台灣永續報告分析發表會」。會中,除了發布最新亞太地區企業進行永續評比之外,並邀請台灣微軟首席營運長陳慧蓉、玉山金控科技長暨副總經理張智星等人,以「科技驅動永續管理」為題進行對談。在這場論壇中,他們分享了目前微軟、玉山如何透過科技的數位力量,落實ESG。透過微軟永續雲,協助企業追蹤碳排圖/台灣微軟首席營運長陳慧蓉。圖取自微軟官網台灣微軟首席營運長陳慧蓉從「科技賦能永續管理綠色造就產業新戰略」為題,進行分享。她點出,全球企業在永續發展領域面臨的挑戰,有六大問題:缺少標準、複雜的外部組織申報、手動流程和分散系統、不透明的供應鏈、材料和產品的浪費,以及社會責任與消費者期待。要解決以上的問題,首先要「數據透明化」。陳慧蓉表示,企業需要扎實的永續發展數據管理,來應付不同外部組織的要求。她解釋,在少子化、缺工問題下,如何用NO CODE/LOW CODE 來進行數據管理、賦能員工成為關鍵。陳慧蓉分享,打造自動化永續管理平台「微軟永續雲」的五大步驟。分別是,企業組織設置、數據連接、碳排放計算、洞察和報告,以及目標和計分卡。她提到,目前台灣也有許多中小企業開始使用「微軟永續雲」,來落實企業ESG。 玉山讓AI成為實踐ESG的幫手玉山金控科技長暨副總經理張智星分享,近十來的AI發展趨勢,從過去AI多用在企業,現在個人也能使用,這不僅更接近AI民主化,也使得效率提升,連帶地也可以讓ESG提升。他認為,如何讓AI變成ESG的幫手,除了降低AI對ESG的傷害,可以從將數據中使用更清潔的能源、降低模型複雜度來減少訓練和測試的功耗等。此外,張智星提到,「比起環境保護、社會責任的面向上,AI最可以幫上忙的是公司治理面。」他進一步解釋,目前玉山在公司治理上,像是加強管理、導入國際標準和保護顧客權益、建立資料治理制度、鞏固顧客資料隱私及安全,以及內外部KYC,包含警示帳戶偵測、黑名單掃描等。張智星分享玉山的五大AI服務模組:流程AI、風控AI、服務AI、行銷AI和賦能AI。其中,在流程AI上,透過匯款單影像辨識等,釋放30%人力,提升匯款業務處理效率等。最後,由BSI英國標準協會技術長鄭仲凱則分享了,對一家企業而言的ESG成熟度路徑六大階段,分別是「漠視與忽略」、「核規:執行法規最小要求」、「義務:預期或受壓力而執行」、「效率:SMART TO...

Read More

如何幫助研發部門形塑資安文化,Line資安團隊從三面向來實踐[轉載自IThome]

文/余至浩 | 2023-05-25發表圖片來源: 攝影/余至浩資安及個資隱私安全保護,不僅僅是資安團隊、管理階層的責任, 更是企業內每個人的責任 。 然而,要將資安內化成組織文化的一環, 並不是件容易的事。最近,Line資安團隊首度揭露了,3年來從三面向推動研發部門建立資安文化的經驗。早幾年前,Line就意識到既有縱深防禦機制的不足,因此重新擬定了新的資安策略,聚焦於建立資安的數位韌性,不再一味依賴防禦措施。2020年,Line更進一步提出了名為全方位資安的新數位資安架構,以技術、文化、人作為主軸,制訂出10項資安戰略。Line臺灣資安長劉威成表示,新架構推行一段時間後,Line內部更加強調文化的形塑,「 只有當每個人都把資訊安全納入日常工作和思考過程,才能降低彼此在資安的投入成本,也才不會將資安視為一項額外成本。」在發生資安事件時,關鍵是要能夠在最短時間內迅速復原,並限制攻擊所造成的範圍,以降低可能產生的深遠影響,從這個角度來看,劉威成指出,資訊安全不應該變成是開發部門的負擔,而要減少因處理資安事件產生的不必要成本,使他們能夠專注於產品的開發,為公司創造產值。如何避免資安成為負擔? 劉威成指出,關鍵在於建立文化,讓組織內的成員都能相互受益,發揮各自專業領域的價值。 協助開發部門培養資安文化,首先需要改變舊有的工作思維在各部門取得共識之後,Line資安團隊不只展開流程的改善,更重新定位自己的角色,擔任工作團隊的協力者,幫助他們發展其稱之為高效且精實的團隊(Lean...

Read More

ESG垃圾居然會自動消失!一揭瑞典首都斯德哥爾摩市容乾淨的「地下秘密」[轉載自科技報橘]

游絨絨  2023-05-11在台灣,倒垃圾就像一場競賽。多數民眾一聽到垃圾車的音樂,就要抓著大包小包的垃圾衝出門,追著垃圾車跑,直到垃圾完美落入垃圾車裡,才算任務完成。雖然現在許多縣市都有提供垃圾定點清運的服務,但對於離定點收運區較遠的民眾來說,還是不夠便民。想像一下,你只需要將垃圾做好分類並放進垃圾桶中,垃圾就會被自動「吸」到垃圾處理場。這聽起來像是科幻電影中的世界,不過這樣的「自動廢棄物收集系統」 (automated waste collection system, AWCS)...

Read More

UI UX設計是什麼?用9個提高網站轉換率的方法告訴你[轉載自TRANSBIZ]

你是不是很常聽到UI、UX設計師,但卻搞不懂UI、UX到底是什麼,究竟在工作項目上又有哪些差別呢?這篇文章讓你快速先搞懂UI、UX,並告訴你9個關於網站的UX設計提高轉換率的方法。讓我們來透過幾張圖瞭解UI、UX的差別。簡單來說,UI(User Interface)使用者介面,主要專業是設計頁面上的功能、顧及使用的便利性與整個設計的美學,網站的美觀性和他息息相關;UX(User Experience)使用者體驗,則是根據使用者的習慣,安排整個網站頁面的內容規劃,像是哪些區塊的內容要先在網站上出現,行動呼籲按鈕(Call to Action, CTA)的位置應該擺在哪裡。圖片來源:UI-UX Services...

Read More

【資安日報】5月11日,資安業者Dragos遭到網路攻擊,駭客企圖假冒即將就職的員工入侵[轉載自IThome]

文/周峻佑 | 2023-05-11發表 員工就職的流程竟成為駭客意圖入侵資安業者的管道!資安業者Dragos證實近日遭到使用勒索軟體的駭客組織攻擊,駭客假冒尚未就職的員工,通過相關流程並取得部分存取權限,所幸該公司察覺異狀採取行動而沒有成功。但離譜的是,駭客事後竟向其高階主管開口索討贖金,揚言不付錢就會對其家人不利。WordPress網站的外掛程式漏洞也相當值得留意,有資安業者揭露外掛程式Advanced Custom Fields的漏洞CVE-2023-30777,並指出至少7成網站曝險,呼籲網站管理者要儘速處理。 【攻擊與威脅】資安業者Dragos證實遭遇資安事故,駭客企圖入侵其網路環境並進行勒索專精工控領域的資安業者Dragos證實,5月8日有已知的網路犯罪組織企圖對他們發動攻擊及勒索,所幸駭客沒有成功,該公司亦表示旗下系統皆未遭到入侵。該公司指出,駭客針對即將任職的業務人員下手,在該名員工尚未到職之前藉由其電子郵件信箱取得存取權限,並完成入職流程,然後存取新進業務人員的SharePoint系統、合約管理系統,駭客讀取其中1份含有客戶IP位址的調查報告,該公司已對此客戶進行通報。而對於攻擊者的身分,Dragos透露該組織會使用勒索軟體加密檔案,但這些駭客在尚未得手的情況下,竟向Dragos高階主管進行勒索,並聲稱要對他們的家人不利。對此,Dragos對於就職員工的流程加入額外的驗證程序,以防類似的攻擊事件再度發生。 WordPress外掛程式Advanced Custom Fields出現漏洞,百萬網站曝險資安業者Patchstack揭露WordPress外掛程式Advanced Custom Fields的漏洞CVE-2023-30777(未提供CVSS風險評分),此為跨網站指令碼(XSS)漏洞,影響免費版與付費版用戶,攻擊者若是具備存取此外掛程式的權限,就有可能在採用預設配置部署的網站上觸發漏洞,且無需通過額外的身分驗證,開發者獲報後發布6.1.6版予以修補。由於有超過2百萬個網站安裝了此外掛程式,但截至5月11日仍有逾7成使用6.0以下的版本,使得研究人員呼籲網站管理者應儘速升級。北韓駭客Kimsuky利用惡意軟體ReconShark跟蹤使用者資安業者SentinelOne揭露北韓駭客組織Kimsuky的攻擊行動,駭客透過特製的網路釣魚郵件,假借政治議題來引誘收信人上當──例如,中國與北韓之間的核武協商,或是俄羅斯與烏克蘭之間仍在進行的戰爭等,意圖散布惡意軟體ReconShark。在其中一起事故裡,駭客針對名為Korea...

Read More

Google帳號支援Passkey登入,強調比密碼、2SV安全方便[轉載自IThome]

繼Android、Chrome後,Google帳號也將支援通行密鑰(Passkey),讓用戶不需記憶密碼或執行兩步驟驗證就能登入旗下服務。文/林妍溱 | 2023-05-04發表圖片來源: Google 繼去年10月宣布Android和Chrome支援通行密鑰(Passkey),以及12月釋出的Chrome M108穩定版已開始支援後,Google昨(3)日再宣布,Google帳號將支援以通行密鑰(Passkey)登入旗下服務,讓用戶不需再記憶或管理密碼,也不需再執行兩步驟驗證(2-Step Verification,2SV)。從即日起,用戶就可以在個人Google帳號加入Passkey。和由一串數字、字母或符號組成的密碼不同,Passkey是由一組金鑰組成,其中的公鑰用於註冊網站或App,私鑰則是存放在用戶裝置上,省去用戶記憶或管理密碼的麻煩。Passkey是基於FIDO 2/WebAuthn標準,可在所有主要平臺及瀏覽器使用,允許用戶透過指紋、臉部及本地端個人識別號碼(PIN)解鎖電腦或手機來登入。Passkey比傳統密碼更安全,它只存放在用戶裝置中,無法寫下來,也不會被不小心傳給歹徒,比密碼安全,而且也比2步驟驗證安全而方便;2SV不但多一道手續,也無法完全防範釣魚攻擊(例如可能被攔截簡訊)及SIM卡交換(SIM swap)等精準攻擊。但使用Passkey登入Google帳號,可有效證明用戶使用自己的裝置來登入。少了傳送密碼及驗證碼的過程,讓Passkey可防止網釣攻擊或密碼管理不善,如密碼外洩或同一組密碼重覆用於多個網站,解決了2SV的問題。當用戶在Google帳號加入Passkey,Google會在用戶一開始登入,或是執行敏感行動時要求建立Passkey。Passkey本身儲存在手機或電腦上,因此這機制會要求用戶輸入螢幕解鎖的生物辨識(如指紋、臉部辨識)及PIN碼,證實是用戶本人。這生物辨識資料目的在解鎖Passkey,不會分享給Google或其他單位。由於每把Passkey只會用於單一帳號,因此也不會有多個帳號共同一組密碼的風險。Google帳號(或其他帳號)也就不會有因共用密碼而被駭的問題。針對在多種裝置或不同裝置上使用Passkey是否會很麻煩,Google也做出說明。如果用戶有很多臺裝置,包括PC、筆電或平板,可以為不同裝置建一個passkey。有些平臺則可將用戶Passkey備份到雲端並同步給其他裝置,例如iPhone的Passkey可透過登入iCloud帳號同步給其他蘋果裝置,防止用戶被鎖住無法使用,也能升級Passkey到其他iOS/Mac裝置。使用者可以用Passkey/Password同步服務,如Google Password Manager、iCloud...

Read More

SDGs、ESG有什麼不同?兩者如何對照?一張表帶你看懂[轉載自未來城市]

SDGs、ESG可找出對應關係,並為質化的SDGs提供量化指標。圖片來源:Shutterstock 製圖:李芸 2022-01-04編譯.王茜穎SDGs、ESG,是繼元宇宙(metaverse)之外網上最夯的關鍵字,縣市長、媒體名嘴、企業總裁都在談,但你分得清楚嗎?SDGs和ESG有哪些不同?雖然在概念上,SDGs和ESG都想透過解決環境和社會問題、實現永續社會,但在功能和適用對象上都不一樣喔! SDGs是什麼?目標導向,沒有人是局外人SDGs是「2030永續發展目標」(Sustainable Development Goals)的縮寫,是2000年聯合國「千禧年發展目標」(Millennium Development Goals, MDGs)的更新版。當年的目標是在15年內,成功消滅貧窮饑餓、普及基礎教育、促進兩性平等、降低兒童死亡率、改善產婦保健、對抗愛滋等八項目標。2015年驗收時,仍力有未逮,加上氣候危機急速惡化,聯合國繼而提出「2030永續發展目標」,擴張到17項核心目標,內容涵蓋終結貧窮、消除飢餓、性別平權、潔淨水源、可負擔的綠能、責任消費與生產、氣候行動等,跨經濟、社會、環境三大面向;其下又分成169項細項指標,目的是在2030年之前,引領全球齊力,邁向永續。但這個更新版,不是目標翻倍這麼簡單,它的問題意識全然不同。儘管部份目標重疊,MDGs針對的是開發中國家,認定這些問題是開發中國家的問題。SDGs則認知到,富國必須為窮國的貧窮、飢餓、環境破壞等負起很大的責任。因此,這17項目標適用所有國家,還進一步擴大到企業、地方政府、公民社會和個人。SDGs更強調永續目標間密不可分的關係,有賴上至國家、政府、企業,下至公民團體、個人等的跨部門整合與合作,沒有人是局外人。即使SDGs沒有法律約束力,許多企業仍主動將之納入業務推動的方向。原因很多,一方面是降低持續營運的長期風險,提升企業形象和價值;另一方面也是回應潛在的市場需求,抓住新商機。2017年的世界經濟論壇便曾預估,SDGs能帶來高達12兆美元(約334兆台幣)的經濟價值。 你可能也有興趣:永續發展目標SDGs整理包・SDGs有哪17項目標?目標核心與國內外成功案例一次看・什麼是SDGs永續發展城市?為何台灣愈來愈多縣市在做SDGs?・SDGs自我檢視報告怎麼做?城市發表VLR要留意哪四大重點?・個人也能做SDGs!個人版SDGs是什麼?有哪些目標? ESG是什麼?企業專屬,達成目的的手段與過程那ESG是什麼呢?ESG分別取自環境(Environmental)、社會(Social)與治理(Governance)三個英文字的第一個字母。更細緻的看,「環境」涵蓋減碳和保護自然環境;「社會」針對改善工作環境、促進多元;「治理」是指公平、透明的管理,並主動揭露訊息。三個面向,起碼有兩個跟SDGs重疊,雖然系出同源,都是聯合國出品,但ESG只適用於企業。傳統上,企業只關心EPS(Earnings Per...

Read More

【資安日報】3月29日,歐盟刑警組織提出警告,駭客大肆利用ChatGPT發動網釣攻擊、詐騙、製作惡意程式[轉載自IThome]

駭客發動與ChatGPT相關的攻擊行動日益頻繁,包含利用該機器學習語言模型來製作釣魚信件,或是假借提供相關應用程式來散布惡意軟體等。這樣的情況也引起歐洲警方的關注,並指出他們看到駭客運用此種機器學習模型的數種型態攻擊手法。除了ChatGPT相關攻擊橫行,商業郵件詐騙(BEC)也相當值得留意。近日美國聯邦警查局(FBI)提出警告,駭客假冒合作廠商的名義發動相關攻擊,但與過往不同的是,這些駭客現在會使用延遲付款方式,使得受害廠商不易及早察覺詐騙而難以追回貨款。而在面臨BEC攻擊行動之外,執法人員也透過反向操作、設下誘餌來找出網路罪犯。例如,英國國家刑事局(NCA)就假借提供DDoS租賃服務(DDoS-for-Hire)的名義,讓想要租用此種服務發動攻擊的駭客上當。 【攻擊與威脅】歐洲刑警組織警告網路罪犯濫用ChatGPT機器學習模型ChatGPT被用於攻擊行動的現象日益頻繁,這樣的情況也引起警方的高度重視。歐洲刑警組織(Europol)於3月27日提出警告,他們呼籲大家注意,網路罪犯正在濫用ChatGPT與其他的大型語言模型(LLM),例如,他們很可能在詐欺與社交工程領域,利用這種語言模型來模仿特定人士的書寫、說話方式,來產生網路釣魚誘餌,而且,攻擊者也可能將其拿來產生假訊息。再者,也有人將其用於製作惡意程式,在這樣的狀況下,攻擊者即便自身無開發能力,也有機會製作相關工具。 美國警告駭客假借採購名義進行商業郵件詐騙美國聯邦調查局(FBI)針對近期的商業郵件詐騙(BEC)態勢提出警告,指出駭客假借當地商家的名義,向目標公司「批發」各式商品,包含了建材、農業器具、電腦硬體、太陽能產品等。為了取信攻擊目標,駭客會冒用真實員工或前員工的姓名犯案,而且,這些駭客也採用了延遲付款的方式,如Net-30或Net-60短期融資的方式,指定在交貨後的30天或60天才付款,並付上偽造的推薦函與W-9貸款表單,從而讓受害公司收不到貨款、察覺上當為時已晚。 勒索軟體為近2年歐洲交通運輸業者的重大威脅歐盟網路安全局針對2021年至2022年10月交通領域的組織遭遇的資安事故進行分析,結果發現,勒索軟體攻擊是頭號威脅,占38%;其次是資料外洩有關威脅(30%)、惡意軟體(17%)。此外,該單位認為,針對交通運輸單位的DDoS攻擊有可能會持續,且機場、火車站、交通主管機關會是駭客的主要目標。 豐田汽車義大利分公司資安出包!市場行銷系統帳密竟在公開網路曝露逾一年半資安新聞網站Cybernews的研究人員於2月14日發現,豐田汽車(Toyota)義大利分公司的網站有資料外洩疑慮,因為該網站的開發環境組態檔案(ENV)暴露在公開網路,時間長達1年半以上,導致該公司的行銷雲Salesforce Marketing Cloud的帳密資料、客製化地圖服務Mapbox的API公開。攻擊者一旦取得這些資料,就有可能拿到該公司客戶的電話、電子郵件信箱等資料,進而以豐田的名義發送惡意簡訊或是釣魚郵件,甚至是推送通知,進行網釣攻擊。而前述的地圖服務API外曝,影響雖然不若行銷雲帳密嚴重,但攻擊者可以對其發送大量查詢請求,導致豐田本身所需支付的費用爆增。 Instagram詐騙傳出以提供時裝購物商城Shein禮物卡為誘餌的事故防毒業者Avast揭露近期的Instagram詐騙攻擊行動,駭客針對英國、澳洲、法國、西班牙、波蘭用戶下手,對方發文聲稱是2023年時裝購物商城Shein禮物卡的幸運兒,並標記一長串的Instragram使用者。若用戶依照指示存取駭客提供的URL,就會被帶往釣魚網站,而該網站會對用戶發出通知訊息,表示時限內完成問卷,就有機會贏得禮物卡,且無論使用者輸入有效答案與否,都會通過審核並要求填寫個人資料,支付些許費用取得禮物卡,然而,受害者最終非但不會拿到禮物卡,還會「被訂閱」來路不明的服務。 臺灣民眾網路詐騙抵抗力有待加強,透過錯誤資訊來確認資訊真偽的比例高達8成金融服務業者Visa針對全球18個市場、6千個成年人進行詐騙話術(Fraudulese)有關的調查,結果發現,一般人大多會擔心親友受騙,但忽略自己也是歹徒行騙的目標,再者,有81%受訪者透過錯誤資訊來確認資訊真偽──有46%主要依據公司名稱與標誌來判斷。此外,對於釣魚郵件橫行的現象,他們發現僅有6成受訪者會檢查是否來自寄件者的電子郵件信箱,且只有47%會確認郵件是否有錯字。而針對臺灣的部分,該公司表示,我國消費者最容易受到「限定期間回應」、「免費贈禮」等關鍵字的引誘。 【漏洞與修補】ChatGPT資料外洩,起因是近期新加入使用的元件出現弱點人工智慧研究實驗室OpenAI於3月24日表示,他們暫時將語音機器學習模型ChatGPT下線,起因是3月20日開始使用的Redis資料庫Python用戶端程式庫redis-py出現臭蟲,導致部分用戶能看到他人的對話。該公司也通報Redis維護團隊,並提供修補程式。此外,該公司進一步調查發現,上述臭蟲疑似還造成部分ChatGPT Plus用戶的支付資訊曝光,約有1.2%的付費用戶受到影響。 【資安防禦措施】以邪治邪!英國設置冒牌DDoS攻擊租賃服務的網站來識別網路罪犯英國國家刑事局(NCA)近日透露,他們設置了多個佯稱提供DDoS租賃服務(DDoS-for-Hire)的網站,目的是識別從事相關攻擊的網路罪犯,這些網站幾可亂真,已有數千人存取,一旦這些人依照網站指示購買相關服務,他們就會被導向另一個網站,告知過程當中已收集相關證據,執法單位將會找上門。NCA表示,他們不會透露經營的網站數量,或是運作的時間有多久。 【資安產業動態】德凱集團買下臺灣資安新創安華聯網檢測認證機構德凱集團(Dekra)於3月28日宣布,他們買下臺灣資安新創安華聯網科技(Onward Security),德凱將整合認證與研發的能量,共同為汽車、醫療、工業、物聯網產業,提供完整的資安合規解決方案。不過,兩家公司的新聞稿並未提及併購金額。在此之前,去年被併購的臺灣新創公司是Cybavo,買下該公司的是穩定幣USD Coin(USDC)發行商Circle。 原文出處:https://www.ithome.com.tw/news/156193...

Read More

小心借用ChatGPT名義來竊取臉書帳號的Chrome擴充套件[轉載自IThome]

一款名為「Quick access to ChatGPT」的Chrome擴充套件,濫用了ChatGPT、Google與Facebook的合法API,可於背景竊取受害者使用服務的已授權對話Cookie,並接管受害者臉書帳號。文/陳曉莉 | 2023-03-15發表圖片來源: Guardio 當紅的ChatGPT持續遭到駭客利用,資安業者Guardio在上周揭露了一款名為「Quick access to ChatGPT」的Chrome擴充套件,它同時濫用了ChatGPT、Google與Facebook的合法API,其中一個主要目的是為了挾持並接管臉書用戶的帳號,特別是存有廣告額度的臉書企業帳號。Guardio是在今年的3月3日偵測到此一變種的惡意ChatGPT擴充套件,發現每天都有超過2,000名使用者安裝該擴充套件,且每一名受害者的臉書帳號都遭竊,無一倖免。Google則是在收到Guardio的通知後,於3月9日將它自Chrome...

Read More

工作用ChatGPT查資料、做摘要?資安專家:千萬不要 [轉自自由時報]

聊天機器人ChatGPT爆紅後,出現越來越多應用方式,也有企業開始用來查資料、做摘要。但資安專家、DEVCORE執行長翁浩正表示,「千萬不要」,因為AI可能會拿來做學習,使得公司資料出現在回答別人的答案中。台灣攻擊型資安公司DEVCORE(戴夫寇爾)迎來創業10週年,今(10日)舉辦 DEVCORE CONFERENCE 2023,以研討會的形式分享白帽駭客經驗。DEVCORE執行長翁浩正提醒,大家使用AI前應留意服務條款(Terms of Use) ,若把ChatGPT應用在職場中,將工作上的資料傳給AI,它會如何運用?是否拿來做學習?或者傳送給其他人?這是許多企業沒有思考過的。翁浩正說,最近在1場和企業資安長的聚會中,資安長就提到,公司會將內部文件上傳到ChatGPT做分析、抓重點;他的想法是「千萬不要、先等一等」,企業可以自建伺服器,但若直接用在雲端上,AI可能拿來做學習,企業資料可能因此外洩。若企業還是想使用AI協助工作,翁浩正建議,可以選擇資料中心不會和別人共享的聊天機器人,以維護資安。不過,生成式AI對資安專家其實具有好處,DEVCORE資深副總徐念恩說,過去資安專家和攻擊者必須自己分析如何入侵網站,現在可以把內容餵給ChatGPT,請它盤點其他攻擊手法,成為資安專家的助手。原文出處:https://3c.ltn.com.tw/news/52444...

Read More

FB與IG「藍勾勾」收費新制上路!需符合3大資格限制[轉載自3C科技]

繼推特社群平台推行「藍勾勾」身分認證訂閱服務後,FB臉書母公司Meta稍早也在官方新聞室宣佈,本週起將推出名為「Meta Verified」身分認證訂閱制服務,這項新制將為通過認證真實身份的用戶,提供取得藍勾勾徽章的認證資格,並可綁定於FB臉書與Instagram帳戶使用,且本週起將率先於澳洲和紐西蘭實施測試階段。並預告之後將會「很快地」陸續於其他國家地區上路。針對用戶於臉書與IG版帳號實施的「Meta Verified」身分認證訂閱新制,該費用於網頁版申辦的費用為每月 11.99 美元(約合新台幣365元)。另,「Meta Verified」身分認證訂閱制亦可於iOS系統手機版申辦,但費用稍貴3美元,iOS手機版、Android手機版的「Meta Verified」身分認證訂閱費用為14.99美元(約合新台幣456元)。Mark...

Read More

微軟強制關閉Windows 10 PC上的IE,6月將完全移除[轉載自IThome]

微軟昨(14)日宣布釋出Internet Explorer(IE)更新,目的並非修補安全或功能瑕疵,而是要把自己從Windows 10電腦上關閉,並預計6月完全移除IE圖示。微軟從2021年5月就宣布IE生命周期終點,並在2022年6月15日終止,大部分版本Windows 10上使用舊渲染引擎MSHTML的IE11桌機版本。不過大部份Windows 10還是可保留並存取IE11,直到昨日最新IE更新為止。微軟指出,這個版本更新將永久關閉大部份Windows 10的IE11桌機版App。此外,試圖開啟IE11的用戶會被導向Microsoft Edge。此外,到了2023年6月,IE11的視覺參考包括開始選單及工作列上的IE11圖示,也會在預計6月13日釋出的Windows安全更新中予以移除。屆時對大部份Windows...

Read More

Google Cloud 預測 2025 年前 90%安全措施將採自動化作業,以程式碼形式管理[轉載自資安人]

過去三年來,企業試圖解決前所未有的挑戰,因此加快了數位轉型的腳步。Google Cloud 預期,未來兩到三年間將出現更多突破性革新,這些改變的推力來自包容神經多樣性的設計(neuro-inclusive design)、開放原始碼管理,以及有助實現「週休三日」的 AI 擴展趨勢。 Google Cloud...

Read More

知名問答平臺Quora發表自家AI聊天機器人平臺Poe[轉載自IThome]

每月擁有4億不重複用戶的知名問答平臺Quora,現在創建出自家的人工智慧聊天機器人平臺Poe(Platform for Open Exploration),使用者只要在Poe上提問,Poe便能即時提供答案。目前Poe僅先在iOS上架,接下來幾個月會陸續登陸包括Android、網頁和桌面等平臺,Quora執行長提到,他們之後還會針對不同任務,創建更多的機器人。人工智慧的可用性,已經隨著技術成熟,在許多使用案例中被驗證,即便人工智慧仍有部分議題待討論與解決,但不可否認的,隨著ChatGPT的出現,人們對人工智慧將顛覆一切習以為常的想像,已經越來越清晰,Quora執行長Adam D'Angelo認為,人工智慧的浪潮,將比個人電腦、網際網路或是智慧手機更具革命性,並會對社會和世界經濟產生更大的影響。Quora著手開發新產品因應人工智慧帶來的影響,建立人工智慧機器人平臺Poe,目前在平臺上提供OpenAI和Anthropic的模型,讓使用者能夠與人工智慧機器人來回對話,即時獲得問題的答案。Adam D’Angelo提到,雖然Poe上目前只支援OpenAI和Anthropic的模型,但是在可預見的未來,將會出現一個持續成長的人工智慧生態系。由於不同的任務需要用上不同的模型,因此Poe作為機器人平臺,接下來將會提供更多的模型,Quora正在開發Poe API,要讓其他人工智慧開發人員,更簡單地在Poe介接模型,進而擴展用戶。另外,由於要促進人工智慧模型的使用,Quora建立方便的分享功能,讓使用者可以與社群追蹤者分享模型輸出,以分享使用靈感。Poe將Quora視為快速傳播知識的工具,但是Quora目前並沒有使用創作者,在平臺上共享的知識來訓練Poe,該公司將Poe視為獨立的新產品發展,並且當Poe足夠成熟時,還會在Quora上發布由Poe產生的內容。Adam...

Read More

【小心被剝兩次皮】為什麼駭客開始「放棄」加密攻擊,企業反而更需要提高警覺?[轉載自科技報橘]

在這個萬物皆聯網的世代,資安成為重要議題,從個人到企業甚至是國安都可能被影響。要做好資安,有許多重要的觀念思維和主動/被動防禦等不同的策略,而其中一個方法,就是透過「加密」將數據從可讀格式轉換為編碼格式。而網路攻擊者也常常反過來利用加密鎖定目標公司系統讓企業無法解密,以此勒索贖金。不過,網路攻擊者正在放棄這種透過加密數據以進行勒索的方法,而是選擇直接跳到竊取公司的重要數據以索取贖金這步。為什麼會出現這樣的新現象?企業又應該有什麼新思維以應對新的攻擊手法? 什麼是加密?當訊息或數據在網路上共享時,全球的網路設備會形成一個公共網路,當數據通過公共網路傳輸時,就有可能被駭客破壞或竊取。為防止這種情況,用戶可以安裝特定的軟體或硬體以確保數據或資訊的安全傳輸。這些過程就是所謂的加密。加密後的數據只有在解密後,才能進行讀取或處理,是確保電腦系統的數據與機密被惡意竊取後也無法輕易讀取的最簡單方法。許多個人用戶和大型企業都會透過使用數據加密來保護瀏覽器和服務器之間發送的用戶數據,包括支付數據到個人隱私等內容。加密後,原本人類可理解閱讀的文字就會轉換為無法理解的文本,又稱為密文。而加密需要使用加密密鑰,這是一組發件人和收件人都知道的數值,並由收件人使用密鑰解密數據,將其恢復為原本可以閱讀的文字。加密密鑰越複雜,加密就越安全,因為第三方很難透過暴力攻擊(也就是隨便亂試直到猜出正確的組合)對其進行解密。因此有一些密碼管理器也會用加密來保護用戶的密碼,讓駭客無法讀取。 為什麼加密攻擊變少了?過去的勒索軟體攻擊通常是駭客在組織網路上安裝了文件加密惡意軟體,然後在螢幕上顯示勒索訊息。但是隨著執法部門對勒索軟體的關注不斷增加,網路攻擊者開始尋找更為「有效率」的方法來繼續進行勒索攻擊。近年來,這些攻擊者轉變了手法:在對企業進行加密攻擊之前,他們會先偷偷竊取數據,接著在企業付錢解密後,便開始要求企業在期限內再次付款,否則他們將把「先前竊取到的數據資料」對外公開——言下之意:企業很有可能被剝兩次皮。外媒《Axios》報導指出,這種方式可以讓駭客更快速有效率地進行攻擊,並且降低對加密工具的依賴——這些工具有時會在攻擊中失效。勒索軟體談判公司 GroupSense 的執行長 Kurtis Minder 也指出,由於公司開始大量備份數據並開始積極防禦加密勒索軟體,因此攻擊者改用脅持機密數據進行威脅,導致越來越多的受害者支付贖金以防止數據被洩露。Abnormal Security...

Read More

Top 5瀏覽器【Chrome/Safari/Firefox/Edge/Opera 】[轉載自軟體玩家]

隨著Internet、「雲端技術」的普及,加上社群網站的推波助瀾,瀏覽器在電腦中所扮演的角色越來越重要,好的瀏覽器可以讓你更快速輕鬆地閱讀網站,甚至幫你在線上完成工作,因此造成了瀏覽器界群雄並起的時代。阿正老師今天就特別整理了目前市佔率最高的5款瀏覽器的下載點,包括了安裝及免安裝版,如果你想多多測試比較不同的瀏覽器,一定要來看看這篇瀏覽器下載懶人包喔!瀏覽器的戰國時代話說自從微軟將自家的IE瀏覽器「綁」在Windows作業系統之後,市佔率便狠狠甩開了Netscape,一躍成了瀏覽器界的龍頭。不過隨著後來Firefox的竄起,瀏覽器界成了IE與Firefox兩強爭霸的局面,直到後來Google在2008年加入戰局,隨著它的Chrome瀏覽器版本號不斷衝高(才16年已經衝到了第108版),市佔率也急起直追,終於在2012年中超越了IE與Firefox,成為第一大瀏覽器。下圖是StatCounter網站自2009年1月~2022年10月所調查的全球瀏覽器(電腦版)使用率的統計表,可看到原本排名第一的IE瀏覽器(藍色線)一路下滑,跟Firefox(橘色線)一樣被後起之秀Chrome(綠色線)及蘋果的Safari給超越了,第五名則是老牌的Opera。大家也可以觀賞這段瀏覽器市佔率消長的時間軸影片:下面就是阿正老師整理的五大瀏覽器下載懶人包,讓你下載瀏覽器時不必再去搜尋引擎搜尋囉!第一名、Google Chrome這個推出16年的Chrome瀏覽器,是目前效能最高、速度最快的瀏覽器,加上Chrome Web Store(Chrome應用程式商店)裡面有著各式各樣好玩的遊戲及應用軟體,更加吸引了使用者的目光,支援了Google帳號登入功能,可以讓你的書籤、應用程式、密碼、擴充功能、設定…等資料進行同步,無須另外安裝外掛套件,變得更加人性化、更加強悍!Chrome 從83.0版開始加入了「分頁群組」的功能,請參考本站文章:《喜歡開一堆分頁的人有福了,Chrome終於加入「分頁群組」功能!》Google瀏覽器預設為線上下載安裝,而且分為穩定版(stable)、測試版(beta)及開發版(dev)等三個頻道,你可以下載「頻道切換器」,自由地切換三種版本。阿正老師也蒐集了「離線安裝版本」,方便你快速地佈署在多台電腦中。另外我還列出了由「PortableApps.com」這個知名的免安裝版軟體網站所打包的Chrome免安裝版,大家也可以試試看! 第二名、Edge新的Edge瀏覽器是軟破釜沈舟,使用Chromium開源專案來打造全新版本,並在2020年1月釋出。新的Edge版本則已經到107版(版本號同Chromium),有興趣的讀者可以到「Microsoft Edge」網站來下載:最新的Edge 執行畫面如下,外觀上大致跟Chrome類似,不過網路資料的同步(我的最愛、擴充功能、設定、密碼…)則使用微軟自家的帳號,不會同步到Google帳戶。Edge從93版開始也跟進Chrome,推出了「分頁群組」的功能,不過因為Edge有「垂直索引標籤」,所以它的分頁群組比Chrome更好用喔!而古老的IE瀏覽器的版本停在11.0正式版,已不再更新,只支援Windows...

Read More

2023 資安防護的重中之重:70 萬資安生力軍仍填不了市場缺口,企業還能上哪找人?[轉載自科技報橘]

據《IBM 2022 年度資訊安全威脅報告》,2021 年全球製造業受駭客攻擊的次數,首次超越金融業。駭客攻擊防不勝防,尤其資安人才缺口至今還無法填平,企業在 2023 年資安防護上又該注意哪些新挑戰呢?2022 年全球政府、企業及各級組織,預計在網絡安全上花費...

Read More

Meta神不知鬼不覺,把你巧妙導進Marketplace!恐被罰年營業額10%罰款[轉載自數位時代]

繼英國競爭與市場管理局(CMA)8月份宣布準備對Meta提起訴訟後,歐盟委員會(European Commission)於本(12)月19日證實正在對Meta進行正式的反壟斷調查。初步調查顯示,Meta濫用其主導地位,讓社群平台與Facebook Marketplace相互連結,進而為線上分類廣告服務創造優勢,可能受到高達全球10%年營收的罰款。歐盟反壟斷專員在一份聲明中表示,Meta旗下的社群平台Facebook每個月擁有數十億的全球用戶及數百萬位的廣告商。他們擔心的是,Meta可以在神不知鬼不覺的情況下,將用戶引導至Marketplace,巧妙地將社群平台與分類廣告平台連結起來,讓用戶別無選擇,只能造訪Marketplace。Marketplace扭曲線上廣告市場的競爭,有壟斷嫌疑Meta自2016年推出Marketplace服務,讓任何用戶可以自由販售和銷售各種商品,舉凡衣服、書籍或是手機和家具都能在上面找到。不過歐盟委員會認為,該公司可能違反了歐盟的反壟斷規定,因為Meta將分類廣告與社群平台整合,從而扭曲線上廣告市場的競爭,此舉可能違反了《歐洲聯盟運作條約》(TFEU)的第102條。來源:Facebook截圖舉例來說,在Facebook搜尋欄中輸入想要尋找的商品,出現在最前面的搜尋結果即為Marketplace的內容。同時,歐盟也正在針對Meta的兩大社群平台Facebook及Instagram的分類廣告服務進行調查,其與廣告商間的條款是否有不合理及不成比例之處,允許公司使用廣告商無法取得的廣告服務後台資料。若違反壟斷,將裁罰全球年度營業額10%的罰款過去Meta的競爭對手就曾抱怨,Meta將社群平台與線上分類廣告服務整合起來是不公平的行為,並且正在使用非公開的廣告數據優化Marketplace,而歐盟委員會也從去(2021)年6月份開始著手調查。歐盟委員會也在19日表示,若有足夠證據證明Meta違反歐盟的規定,最高可以對該公司處以全球年度營業額10%的罰款。不過這是Meta第一次受到歐盟指控其濫用主導地位。5年前,Meta在收購WhatsApp的審查中,因為未能提供正確資訊而被歐盟開罰了1億歐元;2017年時則受到德國反壟斷監管機構發現公司濫用資料搜集辦法,並且遭下令停止追蹤用戶於社群網站以外的足跡網路,不過此案目前尚未定案。Meta發言人提姆·蘭布(Tim Lamb)透過聲明表示,歐盟委員會的說法毫無根據,不過Meta將繼續和監管機構合作,證明公司的產品創新是有利於消費者及競爭市場的。Meta的股價於19日紐約時間10點多時下跌了3%,該公司股價在過去一年內已經下跌了65%。除了Meta以外,許多科技公司都正受到歐盟進行監管方面的調查,例如Google、亞馬遜(Amazon)和蘋果(Apple)等公司,而其中另一件針對2018年Google和Meta的“Jedi Blue”進行的反壟斷調查,歐盟已在19日以無損害競爭事實的結果宣布結案。參考資料:European Commission、Bloomberg、Reuters、Tech Crunch、Politico、Engadget責任編輯:陳建鈞、林美欣原文出處:https://www.bnext.com.tw/article/73336/facebook-marketplace-take-advantage-of-meta-dominance...

Read More

Google開放大型企業及教育用戶測試Gmail用戶端加密[轉載自IThome]

Google宣布,擴大測試Web版Gmail用戶端(client-side encryption,CSE)加密,將開放企業及教育版授權用戶試用一個月期間,不過個人版並沒這項福利。Workspace Enterprise Plus、Education Plus、Education Standard客戶可在2023年1月20日前申請測試這項功能。Gmail使用用戶端加密可確保郵件主體和附件無法從Google伺服器解讀,用戶可保管加密金鑰,以及存取這些金鑰的身分服務。Google表示,Workspace已經使用最新的加密標準加密所有靜止,以及在Google設施之間傳輸的資料,用戶端加密則能強化用戶資料機密性,解決各種資料主權和法規遵循的需求。在Web版Gmail之外,用戶端加密可用於Web、桌機及行動版Google Drive、Google...

Read More

Chat GPT是什麼?會寫小說、寫code…三大QA一次看懂它[轉載自Cheers]

寫歌、寫小說、寫code,Chat GPT 還有什麼做不到?Chat GPT是什麼?是誰做的?Chat GPT是一款聊天機器人,它能理解大多數的人類語言,並根據情境生成一個合適的問答。若你想打發時間,可和它聊天;若有疑問,它也會在符合道德倫理的情況下,知無不言。該機器人由人工智慧實驗室Open AI推出,而推特CEO伊隆・馬斯克(Elon Musk)也是實驗室的創辦人之一。上市一週後,Chat...

Read More

AI 網路釣魚開信率比人工詐騙更高!AI 讓資安防護升級,如何讓駭客也超進化[轉載自科技報橘]

近年來,AI 在網路安全領域扮演的角色越來越重要,一般公司和個人可以利用 AI 工具來檢測威脅、保護系統和數據;但駭客和不肖份子也可以利用同樣的技術,來發動更複雜的攻擊。如今,DDOS 攻擊(阻斷服務攻擊)、數據洩漏等網路攻擊方式會讓組織付出極高的代價,另一方面,疫情帶來遠程工作趨勢,也讓不少公司更加關注網路安全和相關的 AI 工具。這種種需求,都大幅拓展了...

Read More

12大「雲端儲存」價格容量大車拼,看看誰「俗又大碗」![轉載自軟體玩家]

隨著網路速度越來越快,許多業者都推出了「雲端檔案儲存服務」來搶食雲端市場的大餅,越來越多人也開始使用雲端檔案服務,但是如果雲端空間不夠大該怎麼辦?不妨來看看阿正老師這篇簡單的雲端服務價格及容量比較,包括了Dropbox、Google雲端硬碟、OneDrive、Amazon Cloud Drive、Box.com、iCloud、MediaFire、MEGA、pCloud、百度網盤及Asus WebStorage…等12種雲端服務,想挑選「俗又大碗」的雲端服務的讀者們可別錯過啦!(2022/9/21更新:MEGA方案及Asus WebStorage費率修正) 你的雲端夠用嗎?隨著智慧型手機及4G網路的普及,許多人都將文書資料、照片、影音檔案…等上傳或備份到雲端,不論在何時何地都能存取這些檔案,而且分享更加容易,儼然已經進入了「雲端時代」。雲端儲存雖然方便,但是天下沒有白吃的午餐,想要更大的空間,就得自己掏腰包,阿正老師剛好看到「ghack.net」網站整理了一篇雲端服務的價格比較,裡面有些數據有錯誤,稍微整理了一下,比較了12項較知名的雲端儲存服務,包括了:Dropbox、Box.com、 Google Drive、 微軟OneDrive、Amazon Cloud...

Read More

OpenSSL釋出3.0.7,修補兩個高度風險漏洞[轉載自IThome]

OpenSSL 3.0.7修補的CVE-2022-3602,是一個任意4位元組的堆疊溢位漏洞,原本OpenSSL專案判定這項漏洞很可能導致遠端程式攻擊,但正式修補時已調降了這項漏洞的嚴重性文/陳曉莉 | 2022-11-02發表 OpenSSL專案於本周二(11/1)釋出了OpenSSL 3.0.7,修補CVE-2022-3602與CVE-2022-3786兩個安全漏洞,原本CVE-2022-3602被列為重大(Critical)風險漏洞,但在本周正式修補時已被降級成高度(High)風險漏洞。OpenSSL為一開源程式碼庫,主要提供網路上的安全通訊,當使用者瀏覽網路時,所瀏覽的網站或服務底層都使用了OpenSSL,可見其影響性。根據資安業者Check Point的說明,CVE-2022-3602漏洞是在OpenSSL檢查X.509憑證時,因對Punycode的不當處理而被觸發,可能造成遠端程式攻擊。OpenSSL專案指出,有鑑於CVE-2022-3602是一個任意4位元組的堆疊溢位漏洞,這類的漏洞很可能導致遠端程式攻擊,因而一開始將它列為重大漏洞,但這一周以來,許多組織相繼針對該漏洞展開測試,顯示出某些Linux版本的堆疊布局,使得4位元組覆蓋一個未被使用的相鄰緩衝區,因而不會當掉或形成遠端程式攻擊,其次則是有不少現代平臺都導入了堆疊溢位保護機制,而能降低遠端程式攻擊的風險。總而言之,OpenSSL專案判斷重大漏洞的依據,是遠端程式攻擊是否會在常見狀況下發現,上述分析顯示並非如此,因而調降了CVE-2022-3602漏洞的嚴重性。另一個安全漏洞CVE-2022-3786則屬於X.509電子郵件位址可變長度緩衝區溢位漏洞,可造成服務阻斷,但不會引發遠端程式攻擊,亦被列為高度風險漏洞。這兩個漏洞主要影響OpenSSL 3.0.0~3.0.6,並未波及先前的版本。OpenSSL專案建議,任何驗證來自不可靠來源之X.509憑證的OpenSSL 3.0應用,都應被視為受到相關漏洞的影響,包含那些使用TLS客戶端身分認證的TLS客戶端與伺服器,若無法立即更新系統,可考慮暫時關閉TLS伺服器上的客戶端認證。原文出處:https://www.ithome.com.tw/news/153969...

Read More

Windows 10零時差漏洞讓惡意JavaScript繞過內建的MotW安全機制[轉載自IThome]

HP威脅研究部門人員在9月間發現,勒索軟體Magniber開始利用7月公開的Windows MotW漏洞攻擊Windows 10用戶 文/林妍溱 | 2022-10-26發表 研究人員發現一項早先曝露的Windows漏洞,在微軟釋出修補程式之前,又讓惡意JavaScript檔繞過Windows用以防範網頁惡意檔案的MotW機制。上個月HP威脅研究部門人員發現勒索軟體Magniber的攻擊行動。攻擊者以防毒或Windows更新誘騙用戶下載一個內含JavaScript檔的壓縮檔。在此之前Magniber都是以MSI和EXE檔掩飾,而這是它第一次使用JavaScript檔。 圖片來源/HP  至於從網站上下載的檔案何以能在Windows上執行,引發知名安全研究人員Will Dormann好奇,因為Windows MotW並未啟動。他在今年7月揭露Windows的MotW漏洞。MotW(Mark of the...

Read More

強化網路防衛能力,美太空軍將開發「數位獵犬」計畫[轉載自科技新報]

 美國太空軍為了強化太空和地面相關設備的網路威脅防護能力,將在明年六月之內推出「數位獵犬」計畫,透過新開發的軟硬體自動偵測各種網路威脅,確保相關設施和網路運作安全。 上週太空軍太空作戰司令部司令(Space Operational Command)懷廷中將(Stephen Whiting)曾表示,該單位對於新型網路威脅的型態理解程度仍然有待加強。因此本週於加州展開的太空軍國防相關產業會議中,太空領域感知和作戰力量計畫執行主任塞區霸准將(Tim Sejba)正式公佈了「數位獵犬」(Digital Bloodhond Program)。Sejba...

Read More

Stack Overflow力推離線版本支援無法上網的開發者[轉載自iThome]

文/李建興 | 2022-10-21發表 Stack Overflow推出了Overflow Offline新計畫,並與非營利組織Kiwix合作,確保這個離線版能夠維持更新,且讓需要的人輕鬆取得,該專案開源接受社群貢獻,將繼續提高可讀性,並縮小容量使終端用戶可以更容易使用。 Stack Overflow在2019年秋天啟動這個專案,在之前一直是由Kiwix獨立更新離線版本的Stack Overflow,並且也已經將Stack Overflow發送給許多用戶,但是從2018年開始,Kiwix沒辦法再更新Stack Overflow離線版本,所以官方在過去兩年開始提供財務和技術支援,重新使Kiwix能夠繼續這些工作,並且提高教育資源在他們平臺的可用性。Kiwix建立了一支稱為Sotoki(Stack...

Read More

Google迎接無密碼!在Android導入Passkeys,微軟、蘋果也要跟上了[轉載自數位時代]

為支持FIDO(Fast IDentity Online)聯盟與全球資訊網協會(World Wide Web Consortium,又稱W3C理事會)提出的無密碼登入標準,搜尋引擎巨頭Google宣布,將在目前主流作業系統Android與瀏覽器Chrome上提供Passkeys(萬能鑰匙)功能,代表使用者不再需要輸入密碼,可直接利用手機驗證解鎖進行登入。 引入點對點加密技術,不用密碼也可安全快速登入Google指出,比起輸入密碼與進行二次身分驗證,以FIDO標準為基礎的Passkeys更加安全,因為其無法被重複使用,不會洩露伺服器資料,還能防止用戶受到網路釣魚的攻擊。此外,Passkeys也會進行自動備份,同步至雲端與密碼管理員(Password Manager),避免裝置遺失時無法登入,用戶亦可以利用手機中的Passkeys,登入附近其他裝置的應用程式與網頁。Passkeys的原理為點到點加密(end-to-end...

Read More

Meta開放可將文字轉化成短影片的Make-A-Video AI工具[轉載自IThome]

圖片來源: MetaMeta昨(29)日公布名為Make-A-Video的AI工具,能利用文字或靜態圖片產生短影片,並公開給社群試用。Make-A-Video類似OpenAI的DALL-E和Stable Diffusion,能將輸入的文字以AI模型產生成圖像。Meta 表示,是以Meta AI部門生成性AI(generative)技術為基礎發展而成,利用文字搭配圖片,以及不加入相關文字及標註的影片片段為資料加以訓練。Meta表示,這項工具可讓用戶發揮想像力,只要幾行字即可生成各種天馬行空、獨一無二的短影片。這項服務是Meta繼今年7月的Make-A-Scene後最新生成性AI研發成果。Make-A-Scene透過提示,即可利用使用者輸入的文字和簡單草圖,來生成一幅高品質的場景圖。根據Meta的示範網站,Make-a-Video有多項能力。在基礎層次上,它可以利用一行文字如「泰迪熊作畫」或「機器人在時代廣場跳舞」生成數秒短影片,現提供超現實、寫實或風格化三種類型。它也能將單一張圖轉成動畫,或是將二張圖接合成連續性影片,例如把看似差異不小的地貌圖接合成地形變動的影片。此外Make-a-Video還能以輸入一則影片的素材生成4種變化,例如讓跳舞的熊多出好幾種舞步。 圖片來源/Meta。原文出處:https://ithome.com.tw/news/153373...

Read More

給企業看的永續指南,一篇搞懂 ESG 要做什麼[轉載自財經新報]

極端氣候不斷發生,反映出地球環境不斷惡化,永續發展觀念近年更加普及各國政府及企業。尤其各國政府紛紛提出淨零碳排目標,不論大小企業都需根據 ESG 指標,調整企業自身的營運及發展方向。而 ESG 的意義是什麼?與 CSR、SDGs 有什麼不同?本文整理完整資訊,說明企業需注重...

Read More

Google Chrome修補5項高風險漏洞[轉載自IThome]

文/林妍溱 | 2022-09-29發表 9月27日公布的5項Chrome高風險漏洞中,包含4項使用已釋放記憶體(Use after free)漏洞,其中的CVE-2022-3304可能導致遠端攻擊者在電腦上執行任意程式碼,或發動阻斷服務(DoS)攻擊。 Google周二(9/27)公布Windows、Linux及Mac版Chrome 106桌機版本更新於穩定通道,修補20項漏洞,包含5項高風險漏洞。 Google最新釋出的更新為Chrome 106.0.5249.61(Mac/Linux)及106.0.5249.61/62(Windows),將在未來幾天到幾周內部署到用戶端。 本月修補的20項漏洞中,Google只公布16項來自外部研究人員通報的漏洞。公布的5項高風險漏洞中有4項為使用已釋放記憶體(Use after free)漏洞,分別位於CSS(CVE-2022-3304)、Media(CVE-2022-3307),以及Survey(CVE-2022-3305及CVE-2022-3306)。第5項高風險漏洞則為對未信任輸入資訊的驗證不足漏洞,影響...

Read More

Go 1.19改進泛型程式碼效能可達20%[轉載自IThome]

文/李建興 | 2022-08-04發表 Go官方推出了1.19版本,這個版本因為Go 1.18大改版延後發布的關係,釋出的時程顯得有些緊湊。該版本的一大重點便是修正Go 1.18所加入的泛型功能,官方根據社群所回報的問題以及邊角案例,進行了不少調整,同時也改進了效能表現,部分泛型程式碼的效能提升甚至可高達20%。 文件註解現在支援連結、列表和標題語法,官方提到,這些改進將有助於用戶編寫更清楚,且易於閱讀的文件註解,特別是針對大型API套件,清楚的註解有助於降低套件的採用障礙。另外,Go的記憶體模型現在也明確定義了sync/atomic套件的行為,修改後的happens-before關係定義,現在與C、C++、Java、JavaScript、Rust和Swift等程式語言一致。當前程式不受此修改影響。 Go的垃圾回收器則加入了一個軟性的記憶體限制,該限制對於在專有記憶體容量的容器中,最佳化Go程式盡可能提高運作效率特別有用。 原文出處:https://www.ithome.com.tw/news/152298...

Read More

Chrome與Edge中的拼字檢查功能可能外洩用戶密碼[轉載自IThome]

文/陳曉莉 | 2022-09-19發表 資安業者otto(otto-js)上周提醒,若在Chrome瀏覽器中啟用進階拼字檢查(Enhanced Spellcheck),或是在微軟的Microsoft Edge中啟用Microsoft Editor,那麼瀏覽器就會將使用者於網站欄位中所輸入的資料傳送給Google及微軟,倘若輸入的是密碼,而且點擊了「顯示密碼」(Show Password),那麼連密碼都會被送出去。 進階拼字檢查是Chrome的功能之一,它會把使用者於瀏覽器中所輸入的文字傳送給Google,再使用與Google搜尋相同的拼字檢查技術,來提供拼字建議,其預設值是關閉的。至於Microsoft Editor則是微軟所開發的Chrome與Edge擴充程式,它會檢查使用者的單字及文法,還能修飾使用者的寫作風格。 然而,otto卻發現,為了改善使用者的拼字或文法,這兩個功能都會將使用者所輸入的資料回傳到它們的伺服器進行檢查,也許使用者是在編輯文件時啟用該功能,但若忘了關閉它,之後切換到其它網站時,一樣會送出使用者所輸入的資料,像是使用者名稱、電子郵件帳號、生日或社會安全碼,更嚴重的是,倘若網站提供了「顯示密碼」的功能,而且使用者點選了該功能,那明文密碼也同樣也會送出去。 otto把此一安全威脅稱為「拼字劫持」(Spell-Jacking),針對逾50個網站進行測試,並把當中的30個列為對照組,這30個網站分為6大類,包括網路銀行、線上辦公室工具、健康照護、政府、社交媒體及電子商務,發現當中高達96.7%都會把使用者輸入的個人資料傳送給Google及微軟(下圖左),也有73%會把密碼送出去(下圖右),總之,絕大多數都已淪為拼字劫持的受害者,而逾20%沒有送出密碼的並不是因為它們未被劫持,而是這些網站上並未提供「顯示密碼」功能。圖片來源/otto此外,不管是微軟自己的Office 365、阿里巴巴的雲端服務、Google...

Read More

Akamai攔下每秒超過7億封包的DDoS攻擊[轉載自IThome]

資安業者Akamai宣稱在9月間,成功替用戶攔截每秒超過7億封包的破紀錄DDoS攻擊 資安業者Akamai本周披露,該公司在今年9月12日成功地偵測與攔下了攻擊峰值每秒封包數多達7.04億個的分散式服務阻斷(DDoS)攻擊,超越了今年7月的每秒6.6億個封包,刷新DDoS的攻擊紀錄。 不管是7月或是9月的攻擊行動,都是由同一組駭客針對Akamai位於東歐的同一個客戶所發動的攻擊,駭客以UDP洪水攻擊同一目標,且不管是攻擊規模或頻率都有增加的趨勢,7月時累計攻擊次數為75次,9月更高達201次。 此外,7月時駭客只針對該受害組織的某個區域發動攻擊,但9月即擴大到6個區域。Akamai說明,9月時駭客早就準備好要大展拳腳,所攻擊的IP數量在1分鐘內就從100個擴大到1,813個,這些IP分散在受害組織的6個區域中,這種高度分散的攻擊手法很容易讓準備不足的安全團隊淹沒在警報中,難以評估入侵範圍與嚴重性,更遑論對抗攻擊。 Akamai並未公布此一受害組織名稱,僅說該客戶原本只有主要的資料中心受到Prolexic平臺的保護,6月才將其餘的12個資料中心也遷移至Prolexic,其資料中心散落於歐洲、北美與亞洲。Prolexic為Akamai旗下的DDoS防禦平臺,宣稱可在攻擊流量抵達應用程式、資料中心或網路架構前便將其緩解。 原文出處:https://www.ithome.com.tw/news/153101...

Read More

報告:有 30% 儲存數據是多餘或過時資料!但為什麼不刪任何數據,反而更危險?[轉載自科技報橘]

在這大數據時代,數據可說是企業最寶貴的資產。隨著雲端架構的快速發展,許多企業也導入了相關技術以便管理越來越多的數據,並秉持著「一筆數據都不能刪」的原則。根據 TechOrange 《雲端 AI 應用大調查》報告指出,約 37% 企業認為,數據管理和分析自動化是企業...

Read More

趨勢科技警告:勒索病毒攻擊 Linux 系統次數暴增 75%[轉載自科技新報]

趨勢科技威脅情報副總裁 Jon Clay 表示,各種新興的駭客集團持續演變經營模式,同時也更精準地鎖定其攻擊對象。這正是為何企業必須更有效掌握、了解及保護持續擴大的受攻擊面,最好的做法就是從導入單一全方位網路資安平台著手。 趨勢科技研究指出,該公司趨勢科技 2022 上半年總共攔截了 630...

Read More

調查:Google、Facebook 數位廣告市場似乎失去動力[轉載自科技新報]

研究根據100多家消費者軟體線上廣告預算分析,發現蘋果廣告業務受益於2021年重大iOS隱私設定更新,讓Facebook等公司更難追蹤用戶網路足跡。蘋果搜尋廣告讓人們在App Store做廣告。Appsumer表示,第二季廣告商採用率較去年同期增加近4個百分點達94.8%;Facebook採用率下降3個百分點至82.8%,Google下降2個百分點至94.8%。Appsumer指出,蘋果已「加入Google、Facebook雙頭壟斷地位,登上廣告商採用率榜首」。總監Shumel Lais將結果歸因於願在蘋果平台支付大筆資金增加下載量的軟體開發者數增加。同時蘋果App Tracking Transparency(ATT)更新,限制Facebook等依賴廣告的軟體可幫助品牌推展線上廣告的數據量。萊斯說「非常有趣的事是,ATT限制對蘋果來說並不存在。所以你可以說蘋果iOS比其他通路有更高知名度或優勢。」以軟體開發者網路廣告整體支出(錢包率)而論,Google仍以34%居榜首,Facebook以28%居次,蘋果15%緊隨其後。亞馬遜未列入,因不是開發者平台。低階市場TikTok超過也深受ATT所苦的Snap。Appsumer表示,TikTok有3%,Snap則為2%。雖然超過Snap,但TikTok第二季廣告採用率卻下降近7個百分點。萊斯表示,軟體開發者仍在試圖弄清楚哪些廣告投放短影音服務效果更好。(本文由 MoneyDJ新聞 授權轉載;首圖來源:蘋果)原文出處:https://technews.tw/2022/09/08/apple-search-ads-makes-moves/...

Read More

台灣電支戰國大洗牌!全盈、全支付強攻,突圍關鍵會在哪?[轉載自數位時代]

隨著全聯獨資的電子支付品牌「全支付」開幕,台灣的電支品牌數量來到30家。群雄並起的戰國時代,全聯的投入不只宣告零售金融時代來臨,也有望讓發展近10年的台灣電子支付局面出現大不同。從全支付開業,看台灣電支市場兩大變局台灣目前的電支用戶數來到1,700萬,台灣大電信金融事業部副總經理吳建頤分析,全支付加入戰局後,預計帶來「電支更普及」、「市場洗牌」兩大變局。首先,全聯的客群普遍年紀偏大,先前PX Pay靠著強大的門市地推部隊,成功拿下超過830萬名會員。全聯能否複製PX Pay的模式,讓全支付帶動台灣電支的使用接受與普及度,將是一大觀察重點。第二是市場會如何重新洗牌?綜觀目前電支市場,除了街口、一卡通Money用戶數破500萬以外,其他業者規模始終難以突破。來源:記者吳秀樺攝全聯能否複製PX Pay的模式,透過全支付帶動台灣電支的使用接受與普及度,將是一大觀察重點。從零售的角度來看,三大業者全家(全盈)、全聯(全支付)、統一(icash Pay)都握有電支品牌與廣大的零售通路。值得注意的是,全盈、全支付採取開放生態圈策略,可以使用的通路比較多,開業短短一個月,就累積大量用戶、經手處理的金額也很高。以四月底開業的全盈來說,根據金管會六月公布最新數據,在一個多月的時間內用戶數就有近60萬,已經逼近統一旗下愛金卡(icash)的85萬,從代理收付的金額來看,全盈六月份約是新台幣5.2億元;愛金卡只有約3.5億元,差了幾乎快一倍。這是因為icash Pay的生態圈大多集中在統一集團底下,能使用的通路有限,稍稍影響用戶成長速度。因此,從全盈的例子來看,未來全支付也很有可能循著相同軌跡,在短時間內取得大量用戶數、經手大額金流。KPMG安侯建業數位長賴偉晏認為,雖然不是每一個PX Pay的用戶都會開通電支,但只要轉換的用戶達到一定門檻,搭配既有的通路優勢,就有很高機率能超越其他業者。當大型零售業者,挾帶大量會員與通路資源,並以開放的策略進入戰場,可能加速大者恆大的趨勢。大家都在拚生態系,「數據」將成決勝點隨著全支付開業,台灣電支版圖大致已經成型,「生態系」是各家業者做出差異化的重點策略,而「數據」應用則是更關鍵的決勝點——也就是比誰更能看懂客戶需求。去年通過的《電支條例》中,最大的改變是開放跨平台支付,也就是可以拿著全支付到全盈的支付據點消費,反之亦然。表面上看來是讓利給競爭對手,實際上則能藉此打通任督二脈。勤業眾信聯合會計師事務所消費產業負責人呂宜真分析,之後跨平台支付上路後,業者就能整合消費者在所有通路消費的數據,等於是把人流(會員)、金流(支付)都握在手中,能更完整掌握消費者行為輪廓,作為後續會員行銷、流量變現的依據。來源:悠遊卡...

Read More

macOS Safari 16.0發布,正式支援通行金鑰簡易登入方法[轉載自IThome]

WebKit大幅度更新,使得Safari 16.0加入不少新功能,包括無密碼登入功能通行金鑰(Passkeys),也針對開發者帶來更多CSS和網頁開發功能Safari 16.0現在正式在macOS Monterey以及Big Sur上發布,用戶已經可以用到WebKit更新在Safari中帶來的新功能,其中最大亮點便是支援無密碼登入的通行金鑰(Passkeys)功能,另外,Safari 16現在也提供容器查詢,使得開發者能夠知道當前容器布局的大小。 通行金鑰是一種簡單,但同時又能大幅提高使用者安全性的登入方法,通行金鑰是根據FIDO聯盟和W3C的開放標準,包括已在瀏覽器中受到廣泛支援的WebAuthn標準所定義,WebKit官方提到,通行金鑰是一個被廣泛使用的詞,開發者現在可以在既有的身分驗證方法,添加通行金鑰選項。 通行金鑰的認證過程,需要開發者先在後端儲存公鑰後,發出身分驗證詢問,接著在開發者的網站或是網頁應用程式上,透過採用API創建新的通行金鑰,並允許使用者使用他們的通行金鑰登入。官方提醒,當網站已經支援使用帶有WebAuthn的平臺身分驗證器,則在添加通行金鑰支援的時候,要注意不要使用Cookie來紀錄用戶在特定裝置上配置的通用金鑰,同時鼓勵將通行金鑰當作主要的登入方式。 通行金鑰的支援已是必然的趨勢,FIDO聯盟和W3C共同制定了無密碼登入標準,Apple、Google和微軟共同宣布將擴大對FIDO的支援,由於這三巨頭同為FIDO聯盟董事會成員,因此在無密碼推動上將更為有力,不久的將來無論使用者在任何裝置和平臺,皆不需要密碼就能登入網站服務和程式。 WebKit現在完全支援解析度媒體查詢,簡單來說,這項功能讓開發者可以根據不同裝置不同螢幕解析度配置CSS樣式,另外一個類似的新功能稱為容器查詢,該功能讓開發者可以根據容器的大小而非視埠(Viewport)大小,調整網頁上特定項目的布局和樣式。 另外,WebKit也新增支援Subgrid,官方提到,CSS Grid徹底改變了網頁布局設計,而Subgrid則將Grid帶到另一個層次。Subgrid是一個簡單的方法,供開發者將網格容器的子孫元素放到該網格上,使開發者可以跨複雜布局,在不受HTML的限制下排列項目。 Safari...

Read More
})(jQuery)