Apache HTTP Server 1.3系および2.x系の全バージョンに存在する脆弱性(CVE-2011-3192)を突いたDoS攻撃ツール「Apache Killer」が出回っている（SourceForge.JP Magazineの記事）。

現在リリースされている1.3系および2系の全てのバージョンのApache HTTP Server にはRangeヘッダの処理に問題があり、多数パラメータを持つRangeヘッダを受け取るとメモリを大量消費し最悪サーバがハングアップする。

この脆弱性を突いた攻撃ツール「Apache Killer」が出まわっており、先日２ちゃんねるが攻撃を受けて一時アクセス不能に陥った。（Maido3.comのプレスリリース）
ちなみにこのツール、

Range:bytes=0-,5-0,5-1,5-2,5-3,5-4,5-5,5-6,……,5-1298,5-1299

を含むHEADリクエストをターゲットに送信する極めてシンプルなものである（詳細は徳丸浩氏のブログ参照）。

暫定対策法として以下の方法が挙げられている（Advisory: Range header DoS vulnerability Apache HTTPD 1.3/2.x (CVE-2011-3192)）。

1. Use SetEnvIfまたはmod_rewriteを導入して、多数のパラメータが記述されたRengeヘッダは無視。その際、レガシーなRequest-Rangeヘッダも無視するように設定。
2. リクエストフィールドのサイズを小さくする。
3. RangeおよびRequest-Rangeヘッダを無視するように設定。
4. Rangeヘッダーカウントモジュールを導入
5. 暫定パッチの適用

なお1.3系のサポートは終了しており、Security ADVISORYにも"Note that, while popular, Apache 1.3 is deprecated."と明記されている。

彼氏追跡アプリ「カレログ」が公開 — GPS、通話記録で行動把握が可能
マイコミジャーナル記事より

マニュスクリプトは8月29日、Android端末に対応したアプリケーションをベースとした彼氏追跡情報サービス「カレログ」を公開した。

カレログは、家族や恋人が現在どこにいるかをスマートフォンのGPS機能を用いて把握する位置情報通知サービス。あらかじめ家族や恋人のAndroid携帯電話に、カレログアプリをインストールしておき、彼氏追跡はWeb上に用意されたカレログ管理画面から行うことができる。

同サービスを利用すると、家族や恋人の現在のGPS位置情報を常にチェックすることができる。同社の説明によると「カレがなかなか帰ってこない…事故や事件にまきこまれてるんじゃないの?」「カレのこと信用したいのに、なかなか信用できない…。」といった際に役立つとしている。

サービスの利用に必要なのは、位置を知りたい人の携帯電話がGPS機能を搭載しているAndroid端末(OS2.2以降)であることと、位置を把握したい人がインターネットに接続できてカレログサイトにアクセスできることの2点のみとのこと。

家族や恋人のAndroid携帯電話にアプリケーションをインストールする手順や設定は、同社のWebサイトで詳細が確認できる。あわせて同社では「カレログのお約束」として、必ず相手の同意を得ることなどを挙げている。

同社では、本会員の機能であるGPS情報は位置の確認に、バッテリー残量確認は「電源が切れちゃった」といった言い訳抑止に利用できるとし、またプラチナ会員の通話記録の確認では通話記録をリアルタイムに入手、アプリの確認では出会い系アプリやエッチなアプリを入れてもすぐにチェック可能だとしている。

asahi.comなどが報じているが、7/1にペリカン便を事実上吸収合併したゆうパックにおいて混乱が生じ、首都圏などで遅配が起こっているという（asahi.comの記事）。遅配は26万件にも達しており、今が旬のさくらんぼやお中元など、宅配業者を切り替えて送りなおしたところも多数あるようだ。asahiの別記事によると、統合後の業務説明があったのが10日前、マニュアル2冊で1時間の説明を受けたといい、事前の準備の不十分さが伺える。このペリカン便吸収は民営化を推進していた西川社長から交代した斉藤日本郵政社長が昨年11月に表明したもので、連立政権の郵政民営化見直しの一環によるものだったようだ。

米国で、時間外労働に関する訴訟が2件起こされ、改めて「仕事とは何か？」というテーマに注目が集まっているそうだ。
3月にはCB Richard Ellis Group の元社員が時間外に対応した仕事関連のメッセージに対する時間外労働手当を求める訴訟が起こされ、先月にはT-Mobile USAの社員および元社員3名が時間外労働手当なしに会社支給のスマートフォンで仕事に対応することを求められたとする訴訟が起こされたとのこと。
本家/.ではIT関連の仕事では週40時間以上働くことはざら、いつでも「オン」の状態でいることも稀ではないが、どこまでが許容範囲だろうか？オンとオフの境界を会社側に認識してもらうにはどのような方法があるのだろうか？との質問を投げかけている。
不況のため、より少ない人員で仕事をこなすことが増え、それとともに労働時間と賃金に関する論争も増えていくことが考えられるそうだ。ちなみに米国の公正労働基準法では従業員は時間外労働に関し、任意であるかに関わらず賃金が支払われるべきと定めているとのこと。法律が施行された1938年には「労働時間」の定義は簡単であったが、時代とともにその定義は変化しているそうだ。
本家/.では「障害などが発生した場合深夜などの時間外労働は厭わないが、次の日少し遅れて出勤しただけで『また遅刻だ』と思われるのにイラっとする。でも、それより問題なのが代休だ。代休を取れと言われるが使う機会はなかなかなく、やっと使っても有給が残る。持ち越せない有給を使い切ったら切ったで『いつもいない』と言われ、それでプロジェクトが終わらないことがあればパフォーマンスに響く」といった弊害を嘆く意見なども寄せられている。また、「時間外労働手当を見込んで今はエンジニアのままでいることにした。時間外が付随しなくなる昇進のオファーもあったが、断った。時給は上級職よりも低いかもしれないが、いつでも『オン』であるため時間外手当を含めると給料は同程度になる。それに定時で帰っても文句言われないし。子供が大きくなったら昇進を受けるかもしれないが、今はこのままでいく」といつでも「オン」であることを自ら選択する人もいるようだ。

本家「Ideal, and Actual, IT Performance Metrics?」より。

わが社ではIT部門のパフォーマンスが「チケットがクローズされるまでの時間」で測られていることが最近分かった。自分はIT部門はユーザにとって出来るだけ透明性の高いものであるべき、というのが重要なゴールの一つであると考えていたため、この評価方法にちょっと引っ掛かった。いかにチケットを早くクローズするかよりも、かかってくる電話の数を減らすことに焦点を当てるべきなのではないだろうか？
/.erの皆の環境ではIT部門のパフォーマンスは何で測られているだろうか？また、どのように測られるべきとお考えだろうか？

/.J諸兄方の環境ではいかがだろうか？ポイントとなる「理想」と「現実」を交えて伺わせて欲しい。

エイベックスより日本の音楽業界では初となるUSBメモリーでのアルバムを発売する事となった。
近年ではソースネクストが(参考)がCDでのソフト販売からUSBでの販売に切り替えた事などが話題となったが、同様に音楽を聞く形態も同じように変化しているのではないかと思われる。

　周りを見回してみるとCDをベースに聞いている人は(私の母を除いて)おらず、携帯やiPODといったデジタルデバイスで聞いている人しか見あたらなかった(それの元はCDから取り込んだものであるのだが・・・)わけだが、2GのUSBに13曲とミュージックビデオ６本等が入って6,800円とのこと。USB単体で見れば昨今の相場からすれば高額な部類に入るが変換の手間や内容等を考えれば妥当な値段設定なのではないかと思います。
　顧客のニーズに応えて複数の選択肢を用意するのは当たり前の事なので、商業手法といった点では珍しい事ではないのかもしれませんが、今後こういった形態での販売が増えていくと予想される中で/.諸氏はどのように思われましたか？

本家記事によると、マイクロソフトがVistaユーザに対してWindows 7へのアップグレード権を無償提供することを検討している、とTechARPの2/12付の記事が報じている。Windows 7待ちのPC買い控えへの対抗策として考慮されているらしい。対象はVista Home Premium、Business、Ultimateで、Vista Home Basic、Starter Edition、XPは対象外。それぞれ、Vista Home PremiumとUltimateはWindows 7の同名のedition、BusinessはWindows 7 Professionalへのアップグレード権を配布という。ことの真偽や、対象が既に購入済みのVistaも含まれるのかなど、今月新規XPマシンを買ったばかりのタレコミ人には判断がつきかねる。情報をお持ちの方のコメントを望む。

Trusted Computing Group（TCG）が1月27日、ストレージの暗号化に関する標準仕様を発表した（プレスリリース）。

今回発表された暗号化仕様は、ストレージデバイスのインターフェイスとデータ転送について規定したStorage Interface Interactions Specification（SIIS）と、高性能ストレージシステムでのセキュリティ実装を定めた
Enterprise Security Subsystem Class Specification（Enterprise SSCS）、ノートPCやデスクトップPCといった、一般消費者および企業向けのストレージシステムでのセキュリティ実装を定めたOpal Security Subsystem Class Specification（Opal SSCS）の3つ。

これらの仕様に対応したHDDを対応アプリケーションと組み合わせることで、OSの起動前に生体認証やICカード認証を利用できるようにしたり、HDD内の記録領域を分割してそれぞれ異なる暗号キーや認証方式で保護する、といった機能が利用できるようになる。

TCGには富士通や日立、Seagate、Samsung Electronics、Western DigitalといったHDDメーカも参加しており、さっそく富士通がOpal SSCS対応の2.5インチHDDを発表している。

長野県諏訪市の下水道処理施設で処理する汚泥に多量の金が含まれていることが分かり、この汚泥を処理した「溶融飛灰」を金属精錬会社へに売却することで500万円もの収益を得られたと長野県諏訪建設事務所が発表した（読売新聞、長野日報）。

この下水道処理施設は工業用下水の処理も行っており、諏訪湖周辺には半導体工場やめっき工場が集積しているために下水に多くの貴金属が含まれていたようだ。

従来、この溶融飛灰は産業廃棄物として処分しており、年間700万円ほどの処理費用がかかっていたが、この費用を削減できるうえに収益にもなると、長野県はホクホク顔のようだ。