Spis treści
- Prywatność
- Firefox 128 wdraża funkcje ułatwiające śledzenie skuteczności reklam
- Windows automatycznie włącza wysyłanie plików na OneDrive
- Technologia
- Nike ubija aplikację do smart butów
- Google nie pozwala Gemini AI informować o tym, jak pobierać filmy z YouTube
- Mastodon ułatwia oznaczanie autorów artykułów
- Prawo
- UOKIK wziął udział w globalnym poszukiwaniu deceptive patterns stosowanych w praktykach sprzedażowych
- Opera domaga się, aby MS Edge uzyskał status strażnika dostępu
- Paypal ukarane za stosowanie niedozwolonych klauzul umownych
- Zarzuty UOKIK wobec procesu reklamacyjnego Enter Air
- PUODO o ujawnianiu danych użytkowników dopuszczających się naruszeń prawa autorskiego
- Bezpieczeństwo
- Zabezpieczenia “dynamicznych biletów” złamane
- Nowa kategoria podatności - ataki na dane
- Atak Blast-RADIUS
Prywatność
Firefox 128 wdraża funkcje ułatwiające śledzenie skuteczności reklam
W panelu ustawień przeglądarki Firefox w wersji 128 pojawiła się opcja „Zezwalanie witrynom na przeprowadzanie pomiarów reklam przy zachowaniu prywatności” (ang: „Allow websites to perform privacy-preserving ad measurement”). Jest domyślnie włączona. Można ją wyłączyć w ustawieniach (Ustawienia → Prywatność i bezpieczeństwo).
O ile poziom zachowania prywatności przez tę funkcję jest poddawany dyskusji, o tyle z naszej strony niewłaściwe jest:
- ustawienie tej opcji jako domyślnie włączonej;
- wdrażanie jakichkolwiek funkcji w przeglądarce, które służą reklamodawcom, a nie użytkownikom Sieci.
CTO Firefoxa umieścił na Reddicie komentarz w tej sprawie.
Windows automatycznie włącza wysyłanie plików na OneDrive
Microsoft zmienił ustawienia instalatora systemu tak, iż w nowych instalacjach OneDrive jest domyślnie włączony, bez pytania, przez co pliki z chmury użytkowika są pobrane na dysk komputera i wysyłane z komputera do chmury. Może to doprowadzić do sytuacji, w której użytkownicy niechcący i nieświadomie wrzucą wrażliwe pliki do microsoftowej chmury.
Technologia
Nike ubija aplikację do smart butów
Nike usuwa możliwość pobrania aplikacji obsługującej smart buty tej marki i zapowiada, iż nie będzie tworzyć aktualizacji dla dotychczasowych użytkowników. Powodem przytoczonym przez Nike jest to, iż nie produkują już nowych modeli z tej serii obuwia. Ci, którzy pobrali aplikację dotychczas, będą mogli przez cały czas z niej skorzystać - ale przyszłe aktualizacje iOS i Androida mogą sprawić, iż aplikacja nie będzie już działać, przez co właściciele tych butów nie będą mogli zmieniać koloru lampek wbudowanych w obuwie. Wszystkie inne funkcje są dostępne dzięki przycisków na butach.
Google nie pozwala Gemini AI informować o tym, jak pobierać filmy z YouTube
https://x.com/adocomplete/status/1811802857022324904
Jak zauważył użytkownik adocomplete na Twitterze, Google Gemini potrafi podpowiadać komendy terminalowe do różnych zastosowań, ale odmawia podania komendy obsługującej yt-dlp - otwartego narzędzia do pobierania filmów z YouTube.
Potwierdziliśmy samodzielnie takie zachowanie Gemini AI.
Mastodon ułatwia oznaczanie autorów artykułów
Autorzy witryn internetowych mogą dodać metatag do danej strony, w którym umieszczą nazwę użytkownika fediversum, który oznaczony jest jako autor treści na tej stronie. Aplikacja mobilna i webowa Mastodona następnie będą dodawały link do profilu tego autora przy każdym udostępnieniu linka do jego artykułu.
Prawo
UOKIK wziął udział w globalnym poszukiwaniu deceptive patterns stosowanych w praktykach sprzedażowych
UOKIK uczestniczył w przeglądzie sprzedażowych stron internetowych i aplikacji mobilnych organizowanym przez Międzynarodową Sieć Ochrony Konsumentów. Inicjatywa miała na celu odnalezienie, a następnie eliminację deceptive patterns stosowanych w praktykach sprzedażowych. Jaka niedozwolona praktyka występowała najczęściej oraz jakie działania podejmuje UOKIK w celu zlikwidowania bezprawnych praktyk internetowych można dowiedzieć się z komunikatu UOKIK.
Opera domaga się, aby MS Edge uzyskał status strażnika dostępu
Opera składa skargę na decyzję Komisji Europejskiej, aby nie przyznać przeglądarce Edge statusu „strażnika dostępu” na mocy DMA. Zwraca uwagę, iż Microsoft utrudnia użytkownikom swobodny wybór przeglądarki i to negatywnie wpływa na konkurencję na rynku przeglądarek.
Opera korzysta z tego samego silnika renderowania stron, co Microsoft Edge.
Paypal ukarane za stosowanie niedozwolonych klauzul umownych
Prezes UOKIK nałożył ponad 106 mln zł kary na Paypal w związku ze stosowaniem niedozwolonych klauzul umownych w „Umowie z użytkownikiem Paypal”. O tym jakie postanowienia i dlaczego zostały zakwestionowane przez organ można przeczytać w komunikacie opublikowanym na stronie urzędu.
Zarzuty UOKIK wobec procesu reklamacyjnego Enter Air
W związku z wpływającymi do UOKIK doniesieniami od poszkodowanych podróżnych dotyczących nieprawidłowości związanych z przeprowadzaniem procesu reklamacyjnego przez linie lotnicze Enter Air, UOKIK postanowił postawić im zarzuty. Organ wskazał, iż stosowane praktyki mogą wprowadzać w błąd konsumentów oraz naruszać ich zbiorowe interesy. O tym na czym dokładnie polegały zakwestionowane działania i jakie konsekwencje grożą Enter Air w przypadku potwierdzenia zarzutów można przeczytać w komunikacie opublikowanym na stronie urzędu.
PUODO o ujawnianiu danych użytkowników dopuszczających się naruszeń prawa autorskiego
Prezes Urzędu Ochrony Danych Osobowych zajął stanowisko w sprawie żądania przez organy ścigania dostępu do danych osobowych użytkowników naruszających prawo autorskie. Wskazał, iż ściganie naruszeń prawa autorskiego nie może wiązać się z pobieraniem informacji dotyczących innych aspektów życia, objętych tajemnicą telekomunikacyjną. Zasygnalizował także konieczność wprowadzenia zmian w Prawie Telekomunikacyjnym. Z kompleksowym stanowiskiem PUODO można zapoznać się na stronie internetowej urzędu.
Bezpieczeństwo
Zabezpieczenia “dynamicznych biletów” złamane
Jednym z wynalazków firmy sprzedającej bilety na koncerty Ticketmaster jest system SafeTix, który zamiast drukowanych biletów wymusza korzystanie z aplikacji na telefon, wyświetlającej zmieniający się kod. Z podobnych systemów zaczęły też korzystać inne platformy sprzedażowe, ponieważ mają one (z ich punktu widzenia) wiele zalet - wymuszają korzystanie z ich pośrednictwa w celu odsprzedawania biletów, zapewniają im dostęp do dużej ilości danych użytkowników, etc. Niedawno system Ticketmaster został rozpracowany i wydaje się, iż inne systemy działały podobnie, bo zaczęły się pojawiać serwisy WWW umożliwiające odsprzedaż biletów poza kanałami oficjalnymi. Ticketmaster na razie nie podjął kroków prawnych, być może mając na względzie, iż jest powszechnie uważany za monopolistę i iż Departament Sprawiedliwości oskrażył go o praktyki monopolistyczne, ale pierwszy pozew od innej firmy - AXS, pojawił się już w styczniu i sprawa jest w toku.
Nowa kategoria podatności - ataki na dane
Atakujący systemy informatyczne często wykorzystują podatności w programach, żeby odpowiednio manipulując danymi przez te programy przetwarzanymi, przekonać system iż wykonuje kod danego programu, podczas gdy naprawdę wykonuje kod dostarczony przez atakującego. Istnieją jednak ataki, w których atakujący używa wyłącznie kodu działającego programu, jedynie umiejętnie zmieniając przetwarzane dane. Choć może to pomóc w ominięciu wielu mechanizmów ochrony stosowanych we współczesnych systemach operacyjnych, do tej pory było uznawane za trudne i możliwe tylko w szczególnych sytuacjach. Jednak niedawno pojawiła się praca, która pokazuje, iż jest to dużo prostsze niż się wydawało (nieco przystępniejsze wprowadzenie można przeczytać tutaj), a choćby opublikowali narzędzie, które w tym pomaga. prawdopodobnie więc w przyszłości czeka nas kolejny wyścig zbrojeń między atakującymi i zabezpieczającymi na tej nowej płaszczyźnie.
Atak Blast-RADIUS
Protokół RADIUS służy do uwierzytelniania, głównie w sieciach WiFi i VPNach. Ponieważ jest już stary i używa funkcji skrótu MD5, właśnie pojawił się atak o nazwie Blast-RADIUS, który wykorzystuje jej słabości do jego złamania. Ponieważ RADIUS jest wykorzystywany powszechnie, a podatność istnieje w samym protokole (a nie w konkretnej implementacji), atak może potencjalnie dotyczyć bardzo wielu systemów.