TidBITS#1166 日本語版

TidBITS Japanese hosoka @ ca2.so-net.ne.jp
2013年 3月 28日 (木) 02:02:36 PDT


TidBITS#1166/25-Mar-2013
========================
     英語版: <http://tidbits.com/issue/1166>
     日本語版: <http://jp.tidbits.com/TidBITS-jp-1166.html>


   「あなたが被害妄想なのではない、悪者は実際そこにいてあなたを狙っている」
   というのが、今週号の教訓だ。今週号は(決して私たちがそう計画をしたので
   ないことは誓ってもよいが)主としてセキュリティの問題が話題となる。まず
   Glenn Fleishman が、Apple のパスワードリセットページ iForgot に存在し
   た脆弱性により誰のパスワードでもその人の誕生日を知っているだけでリセッ
   トできてしまったことを説明する。Apple は直ちにこれを修正したが、それま
   でどれだけの間この脆弱性がそのままの状態になっていたか分かったものでは
   ない。Apple はまた iOS 6.1.3 をリリースして、iPhone にパスコードを迂回
   してアクセスし Phone アプリに入り込めてしまうという一月前から知られて
   いたバグを修正した。一方、事前の取り組みとして Apple は先週、パスワー
   ドの変更や購入、サポート依頼などが不正にできてしまう事態を予防する目的
   で Apple ID に二要素認証を実装した。これについても Glenn Fleishman が
   詳しく解説し、必要な手順も説明する。さらにもう一つセキュリティ関係の話
   題として、Joe Kissell が FlippedBITS コラム記事でパスワードに関してあ
   りがちな四つの通説の誤りを徹底的に暴く。セキュリティ以外の話題としては、
   Glenn が RSS リーダー NetNewsWire の将来に関するニュースを伝え、Adam
   Engst が PDFpen 6.0 に新たに装備された Word への書き出し機能をテストし
   た結果を報告する。今週注目すべきソフトウェアリリースは、Skype 6.3 と
   PopChar X 6.2 だ。

記事:
     iOS 6.1.3、パスコード迂回バグを阻止
     Black Pixel が NetNewsWire の将来計画を述べる
     Apple ID パスワードが攻撃により簡単にリセットされる
     FlippedBITS: パスワードにまつわる四つの迷信
     Apple が Apple ID の二要素認証を実装
     PDFpen 6.0、Word エクスポートを追加
     TidBITS 監視リスト: 注目のアップデート、2012 年 3 月 25 日
     ExtraBITS、2012 年 3 月 25 日


----------------- 本号の TidBITS のスポンサーは: ------------------

* 読者のみなさん! 今すぐ会員になって TidBITS を応援してみませんか?
    特典はこちら: <http://tidbits.com/member_benefits.html>
    今週は Matthew Stevens 氏、Steve Johgart 氏、
    Louis de Vries 氏と Lilajane Frascarell 氏の暖かい支援に感謝!

* CrashPlan is easy, secure backup that works everywhere. Back up
   to your own drives, computers, and online with unlimited storage.
   With unlimited online backup, this is one resolution you can keep.
   Save 10% and back up your life today! <http://tid.bl.it/cptidbits>

* New from Smile: PDFpen 6! Now with Microsoft Word Export and a
   new editing bar to make it easier than ever to edit your PDFs.
   The new PDFpenPro 6 adds document permission settings and automatic
   form creation! Download the free demo: <http://smle.us/tbpdfpen6>

* Fujitsu ScanSnap Scanners - Get on the path to paperless bliss!
   Convert double-sided documents to PDF with the one-button ScanSnap.
   Scan documents, business cards, and receipts, and eliminate
   paper piles from your desk. Visit us at: <http://www.ez.com/sstb>

* Das Keyboard - The keyboard that makes you type faster. Our
   German-engineered, gold-plated, mechanical key switches produce
   a tactile click that helps you type faster with greater accuracy.
   Start saving time today. Money-back guarantee. <http://goo.gl/2FaL5>

* Transporter: The World's First Social Storage Solution!
   Like Dropbox, except you remain in complete control and your
   documents are never stored in the cloud. 1 TB ($299) or 2 TB ($399)
   Coupon "tidbits" saves 10%! <http://www.filetransporter.com/tidbits>

---- 皆さんのスポンサーへのサポートが TidBITS への力となります ----


iOS 6.1.3、パスコード迂回バグを阻止
-----------------------------------
     文: Adam C. Engst: <ace @ tidbits.com>, @adamengst
     原文記事: <http://tidbits.com/e/13648>
     訳: 亀岡孝仁 <takkameoka @ kif.biglobe.ne.jp>

   Apple は静かに iOS 6.1.3 をリリースし、誰かが iPhone のパスコードを迂回
   しそして Phone アプリにアクセスすることを可能にするバグを修正した。その
   他の唯一の変更は - 各種のセキュリティ修正以外に - 単に "日本の "マップ"
   を改善しました" としか書かれていない。パスコード迂回バグは iPhone にアク
   セス出来る誰かが電話を掛けたり、連絡先情報を閲覧したり、そして写真にアク
   セスするのを許してしまう - これは一か月以上前に公になっていた。

<http://support.apple.com/kb/DL1646>
<http://www.tuaw.com/2013/02/14/flaw-in-ios-6-1-lets-users-bypass-the-iphones-lockscreen-passwo/>
<http://support.apple.com/kb/HT5704>
   (日本語)<http://support.apple.com/kb/HT5704?viewlocale=ja_JP>
   "iOS 6.1.3 のセキュリティコンテンツについて"

   このアップデートは iOS 6 が走る全ての iOS 機器が対象で、iPhone 3GS とそ
   れ以降、iPad 2 とそれ以降、そして第四世代 iPod touch とそれ以降が含まれ
   る。いつもの様に、機器自身上での Settings > General > Software Update か
   らアクセスする over-the-air アップデートの方が、ダウンロードもインストー
   ルも速いであろう。勿論、iTunes 経由でもダウンロードとインストールは出来
   る。私の iPhone 5 では、over-the-air バージョンはたったの 18.2 MB であっ
   た。

   日本で Maps に依存しているのでない限り、セキュリティ関連のバグ修正はどれ
   も重大なものではないので、このアップデートで他の新しい問題が取り込まれて
   いないどうかを他の人が明らかにするまで、アップデートするのは待った方が良
   いかもしれない。

   もう一つの警告。iOS 6.1.3 で閉じられたセキュリティホールの一つは
   evasi0n 牢破りによって使われていたものなので、もしあなたの iOS 機器を牢
   破りしたいのなら、アップグレードしてはいけない。勿論、そうすることはあな
   たをパスコードバグに対して無防備のままにするが、それは牢破りの世界でのト
   レードオフの一つに過ぎない。

<http://www.forbes.com/sites/andygreenberg/2013/03/19/apples-new-ios-update-prevents-evasi0n-jailbreak-after-its-been-used-around-18-million-times/>


     ----
   コメントリンク: <http://tidbits.com/e/13648#comments>
   Twitter リンク: <http://tidbits.com/t/13648>


Black Pixel が NetNewsWire の将来計画を述べる
---------------------------------------------
     文: Glenn Fleishman: <glenn @ tidbits.com>, @glennf
     原文記事: <http://tidbits.com/e/13650>
     訳: Mark Nagata <nagata @ kurims.kyoto-u.ac.jp>

   RSS ニュースフィードのビューワーであり、アグリゲータ、同期サービスでも
   ある Google Reader を終了する、と Google が最近発表して以来、Macintosh
   の多くの目が Black Pixel 社に集まった。Black Pixel 社は NetNewsWire の
   現在のオーナーで、NetNewsWire は最も人気ある Mac 用ニュースリーダーソ
   フトウェアだが、Mac と iOS デバイスとの間の同期のために Google Reader
   に依存して働く。Black Pixel はブログ記事の中で、同社が Mac および iOS
   用の NetNewsWire の新リリースを目指して着実に開発作業中であって、独自
   の同期サービスを始める予定だと述べた。(他のいろいろな選択肢については
   2013 年 3 月 18 日の記事“Google Reader の代替を探る”参照。また関連す
   る記事として 2013 年 3 月 14 日の“Google Reader 消滅に際しての考察”
   もぜひお読み頂きたい。)

<http://blackpixel.com/blog/2013/03/the-return-of-netnewswire.html>
<http://tidbits.com/article/13642>
   (日本語)<http://jp.tidbits.com/TidBITS-jp-1165.html#lnk3>
   "Google Reader の代替を探る"
<http://tidbits.com/article/13636>
   (日本語)<http://jp.tidbits.com/TidBITS-jp-1165.html#lnk4>
   "Google Reader 消滅に際しての考察"

   NetNewsWire はもともと Brent Simmons が開発して 2002 年にリリースした。
   2005 年にこれを NewsGator に売却した彼は、基本的にそれまでと同じ仕事を
   続けて、ソフトウェアをアップデートし iOS にも拡張した。2008 年になって、
   NewsGator は有料版と "lite" 版のリリースというそれまでの方式を、広告に
   支えられた無料版のみという方式に切り替え、料金を払えば広告がなくなるよ
   うにした。Simmons の提案により、NewsGator は 2011 年 6 月に NetNewsWire
   を Black Pixel に売却した。それ以来、Black Pixel が互換性アップデート
   を出してきている。

<http://blackpixel.com/blog/2011/06/black-pixel-acquires-netnewswire.html>

   その途上で、Black Pixel の社長 Daniel Pasco は同社が Mac 版をオーバー
   ホールし iOS 版は一から書き直したと述べている。Black Pixel への売却当
   時、Simmons は NetNewsWire を最新のものにするために彼一人でこなさなけ
   ればならない仕事の量に直面し、その仕事を Pasco 率いる開発者たちのチー
   ムに手渡すことができて嬉しいと述べた。

<http://inessential.com/2011/06/03/netnewswire_acquired_by_black_pixel>

   Pasco によれば、Black Pixel は Google Reader に代わるものをいずれ必要
   とすることが分かっていたという。Google+ が登場して Google Reader から
   共有機能が削除されて以来、観測筋の目には Google Reader がもはや余生を
   過ごす段階に来ていることは明らかとなっていた。

   Black Pixel は当初、iCloud とその Core Data サポートを利用してデータベー
   スの同期をする道を模索していた。けれども、個人的会話で聞いたところでは、
   また Apple の提供するものの上に同期サービスを構築しようと試みたことの
   ある多くの開発者たちが書いた文章によれば、結局 iCloud は期待を裏切るも
   のとなってしまった。このクラウドサービスには堅牢な機能があるかもしれな
   いが、表に出ているインターフェイスと、利用可能なオプションの範囲が、開
   発者たちの必要に応えられるレベルに達していないもののようだからだ。Black
   Pixel は、iCloud の利用をあきらめ、独自の同期オプションを構築すること
   になる。


   ----
   コメントリンク: <http://tidbits.com/e/13650#comments>
   Twitter リンク: <http://tidbits.com/t/13650>


Apple ID パスワードが攻撃により簡単にリセットされる
---------------------------------------------------
     文: Glenn Fleishman: <glenn @ tidbits.com>, @glennf
     原文記事: <http://tidbits.com/e/13656>
     訳: Mark Nagata <nagata @ kurims.kyoto-u.ac.jp>

   The Verge の報道によれば、Apple の Apple ID パスワードリセットページ
   iForgot が攻撃を受け、しかもその攻撃のための具体的な手順が公表されてい
   た。この攻撃には iForgot ページを開く URL に変更を加えたものが必要で、
   それに加えてユーザーの電子メールアドレスと誕生日を知っている必要があっ
   た。(The Verge はその手順へのリンクを掲載しなかったし、私たちも掲載し
   ようとは思わない。)Apple は直ちに iForgot ページを閉鎖し、その日のう
   ちに処理過程に変更を施したバージョンで再開した。

<http://www.theverge.com/2013/3/22/4136242/major-security-hole-allows-apple-id-passwords-reset-with-email-date-of-birth>
<https://iforgot.apple.com/iForgot/iForgot.html>

   残念なことに、人の誕生日というものは比較的簡単に見つかる情報だ。例えば
   Facebook や Google+ のようなソーシャルネットワーキングサービスでは誕生
   日を尋ねられるし、その結果としてオンラインの友だちに知られるようになっ
   ていることも多い。(このことからも、ほとんど知りもしない人を「友だち」
   にするのが本当に良いことかどうか、考えてしまうではないか。)また、例え
   ば Twitter で誕生日を祝う言葉を検索するのは簡単で、その上で誰かがどの
   年に生まれたのかの目星をつけることもできるだろう。そもそも、そういった
   私たちの個人情報は、過去のクレジットデータベースやその他の保存データの
   情報漏洩の結果として既にハッカーたちの隠れ家に行き渡っているかもしれな
   いという事実を忘れてはならない。さらに、誕生日の情報はありふれたオンラ
   イン身元検索なんかを通じて入手できてしまうこともある。

   ニュースが知れ渡った日の終わりまでに、Apple は iForgot を再開させて、
   パスワードのリセットのために二つの方法を提供するようにした。Apple ID
   アカウントの中で指定された救出用電子メールアドレスを(もし設定したあっ
   たならば)利用するか、またはアカウントのセットアップ時に作成された一連
   のセキュリティ問答(セットアップよりも後に、Apple がこの貧弱な検証オプ
   ションをすべてのアカウントに追加した際に問答を作成した人たちもいる)に
   答えるかのいずれかだ。

   今回の攻撃は、既に二要素認証へ切り替え済みのユーザーたちには影響しない。
   この二要素認証オプションはそのたった一日前に Apple が英語圏のいくつか
   の国で開始していた。(2013 年 3 月 21 日の記事“Apple が Apple ID の二
   要素認証を実装”参照。)Apple の二要素システムでは、パスワードのリセッ
   トができるのは信用できるデバイス(Apple ID アカウントで検証を受けたも
   の)と、復旧鍵との両方を持っていなければできない。(パスワードと、これ
   ら二つの他の要素のうちいずれか一つを失ってしまえば、Apple ID アカウン
   トが永遠に取り戻せなくなる!)

<http://tidbits.com/article/13654>
   (日本語)<http://jp.tidbits.com/TidBITS-jp-1166.html#lnk4>
   "Apple が Apple ID の二要素認証を実装"

   The Verge やその他のサイトには、パスワードをリセットするとあなたのアカ
   ウントにアクセスしたいと思う人にどんな利益があるかという点の説明は載ら
   なかった。自分の電子メールアドレスに宛てて新しいパスワードを作成する手
   順が送られたのならば、当然そのアタッカーは既にあなたのログイン認証情報
   を知っているはずではないのか? 実は必ずしもそうではないのだ。

   そのアタッカーは、何らかの方法であなたの電子メールを読むことができるよ
   うになったのかもしれない。例えばあなたのデバイスのどれかを盗むか一時的
   に手にしたかもしれないし、別の電子メールアカウントをクラックすることで
   そこから転送されているあなたのメインのアドレスを知ったかもしれない。そ
   のような場合、その電子メールアカウントを使っただけでは他のサービスにロ
   グインすることはできないし、そこで何かを購入することもできない。

   けれども Apple ID アカウントならば、たとえ一時的であっても乗っ取り犯が
   あなたの電子メールを読めさえすれば、そのパスワードをリセットすることが
   でき、結果としてそれ以後は iTunes 購入、iCloud に保存された連絡先やカ
   レンダーイベント、Find My iPhone 追跡、その他付随したデータに乗っ取り
   犯がアクセスできるようになってしまう。もちろん、そのアカウントの本物の
   オーナーが正しいパスワードを入力しようとしてうまく行かないのを発見すれ
   ば犯行が露見してしまうわけだが、その時が来るまでの間に多大なダメージが
   加えられて厄介なことになったり高くついたりするかもしれない。

   それを考えれば、改訂後の iForgot ページがパスワードリセットの手順をバッ
   クアップの電子メールアドレスにも送信するオプションを提供しているのは少
   し奇妙な気がする。多くの人は、一つの電子メールプログラムの中に複数のア
   ドレスをセットアップしているからだ。もしも悪人が一つのデバイスに物理的
   アクセスを得て、どれか一つの電子メールアカウントに入り込むのを見逃した
   としても、リセットの手順が彼の手に落ちる可能性が高くなってしまう。でも、
   Apple にできることは限られている。パスワードをリセットする方法は複数あ
   る必要があり、手順を電子メールで送信するのはその妥当な方法の一つに過ぎ
   ない。

   正直言って、今回 Apple が閉じた種類の攻撃は、正体不明の悪漢が使うもの
   というよりも、むしろあなたの誕生日を知っている程度に近しい人が、たまた
   まそのタイミングであなたの電子メールにアクセスして、リセット方法のメッ
   セージを見てその手順を使ってしまうという風に使われる可能性が高いと思う。
   被疑者としてはティーンエイジャーたちや若者たちが一番考えられる。デバイ
   スも情報も、慎重に扱うべきデータも、見境なく共有してしまいがちだからだ。
   恋人に捨てられて、このテクニックを使って Find My iPhone で相手を追跡す
   る、そんな筋書きのドラマが想像できるではないか。


   ----
   コメントリンク: <http://tidbits.com/e/13656#comments>
   Twitter リンク: <http://tidbits.com/t/13656>


FlippedBITS: パスワードにまつわる四つの迷信
--------------------------------------------
     文: Joe Kissell: <joe @ tidbits.com>, @joekissell
     原文記事: <http://tidbits.com/e/13651>
     訳: Mark Nagata <nagata @ kurims.kyoto-u.ac.jp>

   "Take Control of Your Passwords" の執筆をしながら、私はパスワードのセ
   キュリティに関係するたくさんの通説に出くわし、それらの誤りを暴こうと試
   みた。もちろん、皆さんがこの本を買って下さり、パスワードの問題の解説や
   私がお勧めする解決法を詳しく読んで下さるのが私としては最も嬉しいけれど
   も、今回の FlippedBITS 記事では、パスワードに関する最もありがちな誤解
   の四つだけに絞って解説してみたいと思う。四つとも、危険な状況に結び付く
   可能性を秘めている。

<http://www.takecontrolbooks.com/passwords?pt=TB1166>


**その1: 長さは 9 文字で十分** -- まず初めに、私自身が今や時代遅れとなっ
   た 2006 年の本 "Take Control of Passwords in Mac OS X" の中で広めてし
   まった通説を取り上げたい。当時入手できたデータを基にすればその本の中で
   言ったことは妥当であったけれども、私はテクノロジーの進歩というものを過
   小評価し過ぎていた。だから、当時私が書いたその助言をここに撤回し、謝罪
   をしたい。その本の中で私は、大文字と小文字、数字、記号を含んだランダム
   な 9 文字のパスワードを選べばどんな攻撃にも十分効果的に安全が保たれる
   と述べ、その理由としてそのようなパスワードを力ずくで破るにはたとえスー
   パーコンピュータを使ったとしても平均して _数世紀_ ほどの時間がかかるだ
   ろうからと述べた。

   でも実は、私は数桁のレベルで間違いを犯していた。今日、既製のハードウェ
   アと無料で入手できるクラック用ソフトウェアを使って、9 文字のパスワード
   は最大 _五時間半_ で破られてしまう。(最大であって最小ではないことに注
   意!)もしもあなたのパスワードが 9 文字以下のものならば、それがどんな
   にランダムなものであろうと、WEP で保護された Wi-Fi 接続とほぼ同等の安
   全性しかない。(言い替えれば、たまたま思い付いて覗き見される程度のこと
   に対してしか防御にならない。)

<http://arstechnica.com/security/2012/12/25-gpu-cluster-cracks-every-standard-windows-password-in-6-hours/>

   今日では 9 文字が短過ぎるというのならば、パスワードはどの程度長くする
   _べき_ なのだろうか? それに対するはっきりとした答を出せればよいのにと
   は思うが、真実を言えば「場合による」というのが正解だ。例えば、ランダム
   な 14 文字のパスワードならば今日のテクノロジーの下でも力ずくの攻撃に対
   して効果的に安全だとある程度正当な理由をもって主張することはできる。け
   れども、その主張にはいくつかの条件を付けなければならない。

   第一に、明日のテクノロジーがどうなるか、私には全く分からない。ひょっと
   してこれから数年経てば、瞬き一つするうちにどんな 14 文字のパスワードで
   もクラックできる量子コンピュータを誰かが開発しているかもしれない。そん
   なに早く実現するとは思わないけれども、そうならないことに賭けるのは愚か
   というものだろう。

   第二に、いろいろの暗号化テクノロジーのセキュア度は同じではない。弱い暗
   号化アルゴリズムで保護されたパスワードは数秒でクラックされてしまうかも
   しれないし、それと同じパスワードでもより良い方法で暗号化されていれば力
   ずくの攻撃に何年間も耐えられるかもしれない。さらにこれと関係した事実と
   して、一部のセキュリティシステムはパスワードが推測される率を引き下げる
   ために追加の防壁を設けている。そういったものも絶対確実ではない(この点
   についてはすぐ後で述べる)けれども、状況によっては単純なパスワードでも
   実質的な効力がずっと高くなるだろう。

   第三に、パスワードの強度に影響するのは文字列の長さだけが要素ではない。
   xkcd の漫画 "Password Strength" に見事に描き出されている通り、たとえ小
   文字の英単語のみを組み合わせたパスワード (例えば correct horse battery
   staple) であっても、さまざまの文字種を混ぜたより短くランダムなパスワー
   ドに比べて強度が劣らないことがあり得る。その理由は、パスワードの _エン
   トロピー_(そのパスワードを推測するのがどの程度強力かを数学的に近似し
   た量)が文字列の長さ、文字種の複雑さ、ランダムさ、およびそれらの _組み
   合わせ_ によって決まるからだ。エントロピーの高いパスワードならば自動化
   された攻撃に対する抵抗力が高いけれども、エントロピーを高くするための道
   は一つではない。(具体的なパスワードのエントロピーをテストしたければ、
   そのためのオンラインのツールがたくさんある。私は、この目的には zxcvbn
   ツールを気に入っている。)

<http://xkcd.com/936/>
<http://dl.dropbox.com/u/209/zxcvbn/test/index.html>

   パスワードの文字数を一つ増やすごとに強度が指数関数的に増えるという事実
   を知っておけば少しは安心を感じられるだろう。だから、たった 26 個しかな
   いアルファベットの小文字のみに限ったとしても、9 文字のパスワードに比べ
   て 10 文字のパスワードはたった 10 パーセントではなくて 26 倍も良い!
   小文字 9 個から成るパスワードの可能性は 5 兆種類以上 (26 の 9 乗) だが、
   小文字 10 個にするだけで 141 兆種類以上 (26 の 10 乗) に跳ね上がるのだ。
   つまり、ランダムな 9 文字のパスワードを 5.5 時間でクラックするシステム
   は、ランダムな 10 文字のパスワードをクラックするのに 500 時間以上かか
   ることになる。これは膨大な違いだ。

   たとえそうだとしても、500 時間では安心できるには程遠い。そこで 12 文字
   のパスワードにすれば 500 年間以上となり、これなら実用的には十分安全な
   ものに思えるだろう。でも思い返してみよう。それは、七年前に私が 9 文字
   のパスワードに対して思ったことと同じだ。だから、14 文字の方がより安全
   だと私が言っているのは、今後数年間のテクノロジーの進歩を見越してその範
   囲でなら十分余裕があるだろうという意味であって、決してそういうパスワー
   ドが将来四億万年にわたってクラック不可能だと言っているわけではない。


**その2: 老犬はいつも同じ手を使う** -- 相当に強力なものだと自分が思う
   パスワードを作ってそれを覚えるために記憶の助けになるテクニックを編み出
   したという人たちを私は数多く見てきた。その中には皆さんも名前に見覚えが
   ある Mac 界の有名人たちも含まれている。具体的な方法は人によりさまざま
   だが、そうしたパスワードには一貫した要素が含まれていたり、簡単に構築で
   きるパターンが含まれていたりしがちだし、またサイトごとに決まる定型部分
   が含まれることもある。例えば Google 用には zombieGooCats を使い、Apple
   用には zombieAppCats を使うといった具合だ。(実際は、この種のやり方を
   する人たちのほとんどはもっと凝ったテクニックを使っているけれども、ここ
   では一般的考え方を示すためにあえて単純な例を挙げてみた。)

   かく言う私自身も、かつては(恥ずかしながら)そういうやり方を得意になっ
   て使っていたけれども、その後私の目からうろこが落ちた。その種のやり方は
   すべて、大きな問題を抱えている。また、"leet" を "1337" で(文字をその
   見た目に似た数字に)置き換えたり、キーボード上のキーのパターンを使った
   り、その他さまざまのトリックを使ったやり方も、同じ問題を抱えている。ど
   んなに賢いやり方だと自分では思っていても、ハッカーたちや、彼らの使う高
   度なクラッキングのアルゴリズムの方がもっと賢い。それらのツールはそれと
   気付ける人間などほとんどいないような微妙なパターンを膨大な数にわたって
   テストすることができ、その結果としてかなり長くて一見ランダムに見えるパ
   スワードさえ実際にはかなり容易に推測できてしまう。忘れないで頂きたい。
   パスワードが人間に推測されることなどもはや心配する必要がないのであって、
   マシンに推測されることを心配すべきなのだし、マシンならばエントロピーの
   低いパスワードを(特に、よくある記憶補助のテクニックに基づいたものを)
   エントロピーの高いパスワードよりずっと早くテストする可能性が高い。(そ
   れに、もしもあなたがすべてのパスワードを同じテクニックを使ってパターン
   から構成していれば、あなたのパスワードを一つ以上知るだけでアタッカーは
   残りのパスワードを推測できる大きな手掛かりを得ることになる。)

   さらに重要な点を言えば、たくさんのパスワードを作成して記憶するためにあ
   なたがどのようなテクニックに依存するとしても、私に言わせれば、それは精
   神的努力の浪費であって、その努力はもっと他の有用な目的、例えば悪趣味な
   駄洒落を考えることに費やした方が意義がある。つまらない退屈な仕事を私た
   ちに代わってさせるために私たちはコンピュータや iPad や iPhone やその他
   のデバイスを持っているのだし、それらの道具は私たちよりずっとうまくその
   仕事をこなしてくれる。1Password や LastPass のようなパスワードマネージャ
   が、あなたに変わってパスワードを生成・記憶・入力できるし、そうすれば好
   きなだけ長くてランダムなパスワードを使えるようになる。アプリにとって、
   32 文字のパスワードを作る労力は 10 文字の場合とほとんど変わらない。も
   ちろん、それでもあなたが数個のパスワードを覚えていることは必要だけれど、
   うまくやりさえすれば _ほんの_ 数個で事足りる。(私の場合、600 個以上の
   パスワードのうち 5 個だけを記憶している。)

<http://1password.com/>
<http://lastpass.com/>


**その3: 一つのパスワードをすべてに適用** -- パスワードマネージャにつ
   いて言えば、この種のツールを使えばパスワードを使う個々のサイトやサービ
   スごとにすべて別々のランダムなパスワードを作ることが簡単にできるように
   なるし、そうすることを私はお勧めしたい。たとえどんなに素晴らしいパスワー
   ドであっても、同じパスワードを複数の場所で使い回すのがどれだけ良くない
   ことかは、いくら強調しても強調し過ぎないくらいだ。自動化されたツールに
   依存すればパスワードの使い回しなど完全に不必要になるという事実を考えれ
   ば、なおさら非常に馬鹿げたことだと分かるだろう。

   なぜ、パスワードの使い回しは良くないのか? 今のこの時代、どこかの大会
   社で何らかのセキュリティ漏洩が起こって何千、あるいは何百万ものパスワー
   ドが失われ、盗まれ、漏洩し、あるいはハッキングされた、というニュースは
   毎週のように聞こえてくるではないか。最近は Evernote でそれが起こった。
   それ以前にもパスワードが危険に晒された会社の例は Facebook、LinkedIn、
   Twitter など枚挙にいとまがない。この傾向は今後も間違いなく続くだろう。

   さて、もしも誰かが Amazon.com のサーバをハッキングしてあなたのパスワー
   ドを盗み出したとすると、それは確かに悪いことに違いない。でも、もしもあ
   なたがすべてのパスワードを一つ一つ別々にしていたならば、少なくともダメー
   ジはそのアカウントのみに限定される。けれども、もしもあなたが同じパスワー
   ドを iCloud、PayPal、Twitter、Gmail、その他で使い回ししていたならば、
   アタッカーがあなたのパスワードをそれら他のサイトすべてでも試してみるか
   もしれないというリスクをあなたは負うことになる。その場合、あなたはずっ
   と大きなダメージを受けることになるだろう。

   私は何も、別々のパスワードを使いさえすればセキュリティが保証されるなど
   と言っているのではない。別々のパスワードの一つ一つが _強力な_ ものであっ
   ても、そんな保証はない。けれども、一つのサイトでパスワードの漏洩が起こっ
   た場合にダメージを抑止することはできる。パスワード漏洩で最も被害を受け
   やすいのは、パスワードの使い回しの問題に無頓着な人たちだ。あなたはそう
   ならないようにしよう!


**その4: オンライン攻撃とオフライン攻撃** -- 自動化された攻撃の速度を
   緩めたり狂わせたりする目的で、追加の防壁を設けているサイトやサービスが
   ある、とさきほど述べた。例えば、パスワードの入力でタイプミスをすれば、
   もう一回あるいは数回だけ再入力のチャンスが与えられるかもしれないが、新
   たな推測をタイプする度に次第に長い時間遅延が組み込まれていることもある。
   また、続けて何度か誤った入力をすれば、一定の期間中、あるいは何らかの別
   のアクションを通じて身元を確認できるまでの間、完全にロックアウトされた
   りすることもある。こうした障壁はすべて、自動化されたシステムがあなたの
   アカウントに侵入できるまで毎秒多数のパスワードを試み続けるのを防ぐため
   のものだ。

   開発者たちがその種の障壁を用いるのは素晴らしいことだが、それは見かけほ
   ど強力な防壁とはならない。なぜなら、成功したアタックの大多数は、言わば
   正面突破によるものではないからだ。真の危険は、何らかの漏洩やセキュリティ
   違反によって、一つのサイトのすべてのパスワードを記録した暗号化ファイル
   またはデータベースが誰かに入手されてしまった場合に起こる。いったんその
   ファイルを手にすれば彼らはいわゆる「オフライン攻撃」を実行できるように
   なる。つまり、この生のファイルを彼らは自動化されたツールを使って叩きの
   めし、可能なパスワードの候補を毎秒 _数十億個_ という速度でチェックして
   暗号を解読しようとするのだ。この方法ならば推測の速度を緩めるためのセキュ
   リティ対策が完全に回避できるので、短い時間で膨大な数のパスワードの暗号
   化が解けてしまう可能性がある。(ここでは意図的に話を単純化している。賢
   明な開発者ならば複数のテクニックを組み合わせてオフラインのハッカーたち
   の意図を挫けさせようとする。鍵となる単語は "salting" と "hashing" だ。
   けれども往々にして、プログラミングのエラーや不適切なセキュリティ選択の
   結果、セキュリティホールが残されてそこをハッカーたちが突くことになる。)

   だから、アタッカーたちが毎秒毎秒数十億個の速度で試行をすることができな
   いからといって、短く単純なパスワードでよいと考えてはいけない。とりわけ
   パスワードが保存されているコンピュータへの物理的アクセスが与えられた場
   合にどんなことが可能になるかを知れば、あなたはきっと驚きを禁じ得ないだ
   ろう。だから、あなたにとって最良の防御は、エントロピーの高いパスワード
   (それならば推測に時間がかかる)を使い、一つ一つのパスワードを別々のも
   のにしておくことだ。


**くよくよするな、明るく行こう** -- あなたがこれまで依存してきたテクニッ
   クに問題があるという私の説明を読んでパスワードについての不安が強くなっ
   てしまったという人には、申し訳ないと思っている。まあ、ほんのちょっとだ
   け申し訳なく思っている。なぜなら、これを読むことで、パスワードのセキュ
   リティを高め、あなたのデジタル生活に悪いことが起こる可能性を減らそうと
   実際あなたが何か行動を起こすために十分な程度には、不安を感じて頂きたい
   からだ。パスワードについてさらにもっと詳しいこと、とりわけあなたが直面
   するかもしれないさらなる脅威やリスクについては、そして私が実践している
   ストレス無用の三点戦略については、"Take Control of Your Passwords" を
   お読み頂きたいと思う。

<http://www.takecontrolbooks.com/passwords?pt=TB1166>


   ----
   コメントリンク: <http://tidbits.com/e/13651#comments>
   Twitter リンク: <http://tidbits.com/t/13651>


Apple が Apple ID の二要素認証を実装
------------------------------------
     文: Glenn Fleishman: <glenn @ tidbits.com>, @glennf
     原文記事: <http://tidbits.com/e/13654>
     訳: Mark Nagata <nagata @ kurims.kyoto-u.ac.jp>

   Apple は先週、Apple ID アカウントに対する二要素認証のオプションを静か
   に追加し、この機能を装備する Google、Dropbox、PayPal、Facebook その他、
   ますます増えつつあるサイトの列に加わった。認証にもう一段階のレイヤーを
   追加することで、Mac と iOS の何百万人ものユーザーたちが iTunes Store
   や App Store での購入、iCloud へのログインとデータ共有、Apple からのサ
   ポート、その他のために依存して利用する、ますます重要度を増しつつある
   Apple ID アカウントを保護する役に立てようというものだ。[訳者注: この
   記事の執筆時点で、二要素認証はまだ日本では利用できるようになっていませ
   ん。この記事の内容は米国におけるものです。ご了承下さい。]

   これはオプションではあるが、私たちとしては二要素認証を利用できるように
   なり次第それを有効にしておくことをお勧めしたい。オンラインの犯罪者たち
   は餌食となった Apple ID アカウントを利用してクレジットカードからお金を
   吸い出すことも、あなたのデジタル身元を乗っ取ることも出来るので、あなた
   のパスワードが盗まれるかもしれないと心配するのはもはや被害妄想でも何で
   もない。二要素認証は余計な手間だと思えるかもしれないし、注意深くセット
   アップする必要はあるけれども、Apple の二要素認証のせいであなたの生活に
   大きな影響が出るなどということはない。Apple によれば、二要素認証はたっ
   た三つの状況下でのみ呼び出される:

* あなたがアカウント管理のために My Apple ID サイトにサインインした際。

* あなたが _新規のデバイスを使って_ iTunes Store、App Store、または
   iBookstore から購入をしようとした際。

* あなたが Apple ID に関係するサポートを Apple を得ようとする際。


**セキュリティの方程式を因数分解する** -- 二要素認証における「要素」とは、
   ログインを成功させるために知っていなければならない、または実行しなけれ
   ばならない、二つの別々の個人的要素のことだ。第一の要素は多くの場合パス
   ワードで、Apple ID でもそれは同じだ。第二の要素は言わば「帯域外」のも
   ので、これは別途提供されるハードウェア、または別途登録されたソフトウェ
   アを用いて知らされたり作成されたりするコードだ。この帯域外の部分こそ、
   既にあなたのパスワードを知っていたりあなたのコンピュータへのアクセスを
   得たりした誰かが、それと同じ手段を使って第二の要素も手にすることができ
   ないようにするために重要となる。

   二要素認証は従来あまり使われていなかったが、オンライン犯罪の蔓延に伴っ
   て、ますます広く支持されるようになりつつある。私はキーフォブを二つ持っ
   ている。一つは PayPal/eBay 用、もう一つは E*Trade 用だ。それらのサービ
   スにログインする度に、六桁の数字をキーフォブに入力しなければならない。
   この数字は一分ごとに変わる。一方 Google は iOS、Android、BlackBerry 用
   のモバイルアプリ Google Authenticator を提供して、いったんそれを Google
   アカウントに結び付けさえすればもっと手軽に一種のコードを提供できるよう
   にしている。Dropbox も Google Authenticator を利用できるので便利だが、
   こちらはそのアプリの中で別途に登録され生成される項目となる。それから
   Facebook さえも、SMS テキストメッセージと Facebook iOS アプリの双方を
   通じて二要素認証を提供している。他にもアプリに依存しない多くのサービス
   が、やはり SMS テキストメッセージに依存してあなたが持っているモバイル
   デバイスにコードを送信することにより帯域外部分を提供している。

<https://www.paypal.com/us/cgi-bin/webscr?cmd=xpt/Marketing_CommandDriven/securitycenter/PayPalSecurityKey-outside>
<https://us.etrade.com/e/t/jumppage/viewjumppage?PageName=secureid_enter>
<http://support.google.com/accounts/bin/answer.py?hl=en&answer=1066447>
<https://www.dropbox.com/help/363/en>
<https://www.facebook.com/note.php?note_id=10150172618258920>
<http://tidbits.com/resources/2013-03/two-factor-paypal.jpg>

   この二要素認証の方法により、従来 Apple が(他の多くの会社と同様)長ら
   く依存してきた「セキュリティ質問」が不要になる。そういった質問は多くの
   場合「学生時代の親友の名前は?」といったタイプの質問のリストから選ぶよ
   うになっているが、質問が曖昧であることも多く、また身元のなりすましを目
   論む連中が Google、Facebook、その他の個人情報サービスを丸ごと飲み込む
   ことにより簡単にハッキングされてしまうこともあった。("Take Control of
   Your Passwords" の中で、Joe Kissell はこの種のセキュリティ質問に対して
   正直な答を入力するのでなく基本的に何らかのパスフレーズを考えて使うこと
   を推奨している。)

<http://www.takecontrolbooks.com/passwords?pt=TB1166>

   さらに悪いことには、かつて Mat Honan が自身のアカウントが乗っ取られた
   体験を手記に詳しく書き留めたように、クラッカーたちは時としてソーシャル
   エンジニアリング(ユーザーを心理的に騙す手法)とパスワードリセットの手
   順に潜む論理的欠陥との組み合わせを用いてアカウントの乗っ取りをすること
   がある。以前は、Amazon では登録されているクレジットカード番号の下四桁
   さえあれば電話で登録電子メールアドレスの追加をすることができた。ところ
   が、クレジットカード番号の追加もまた、電話を通じてできた。そこでクラッ
   カーたちは、盗んだ(まだ効力のある)クレジットカードや、あるいは偽造の
   (しかし正しいフォーマットの)クレジットカード番号を使って、まず電話を
   かけてクレジットカード番号を追加し、電話を切り、それからもう一度電話を
   かけて自分の電子メールアドレスを追加した。これで、彼らは自分の電子メー
   ルアドレスでパスワードリセットのためのメッセージを受け取ることができた。

<http://www.wired.com/gadgetlab/2012/08/ask-mat-honan-about-hack/>

   Honan は Amazon のアカウントについてそれを手記に記録したが、それによれ
   ばアタッカーはその結果そこに保存された他のクレジットカード番号の下四桁
   を見ることができ、その情報を使って Apple ID や他のサイトのアカウントで
   もパスワードをリセットしたり電子メールアドレスを追加したりした。

   悪人がパスワードをリセットする必要があるだけでなく、それに加えて標的の
   所有するデバイスをロックの外れた状態で物理的に持っているか、またはその
   人に宛てた SMS メッセージを傍受できるかしなければならないということに
   なれば、このような攻撃は失敗に終わる。個人を標的にした非常に高度な攻撃、
   例えば政府や企業のスパイ活動や、あるいは極めて厄介な離婚事件などに巻き
   込まれた人物を標的にした攻撃となれば、二要素認証でさえもまだ十分とは言
   えないかもしれないが、たまたま自分の身元が危険に晒されるようなよくある
   状況においては十分以上に機能するだろう。


**あなたの決断を因子に切り分ける** -- Apple の二要素認証をセットアップす
   る前に、そちらに切り替えた後は何が起こるのかをきちんと考えておこう。こ
   の新しい方法には、長所も短所もあるからだ。

   長所としては、次のようなことがある:

* 盗人があなたのパスワードを手にしただけでは、あなたのパスワードを変更し
   たり、電話で Apple にアカウントの変更をさせたり、新規のデバイスからあ
   なたのアカウントにアクセスして iTunes Store、App Store、iBookstore で
   購入をしたりといったことができない。

* セキュリティ質問に答えたり覚えたりする必要がなくなる!

* パスワードを忘れたり、あるいは誰かに盗まれたかもしれないと思ったりした
   場合、セキュアに(リンクされたデバイスと、あとで述べる特殊な復旧鍵とを
   用いて)パスワードをリセットすることができる。

   けれども、短所もいくつかある:

* SMS メッセージを受け取ることができるか、あるいは特定の iOS デバイス上
   で Find My iPhone 経由の通知をセットアップしているか、いずれかでなけれ
   ばならない。(どうやら Apple が前提としているのは、SMS メッセージの受
   け取りも Find My iPhone も、いずれもその特定のハードウェアを物理的に手
   にしていることが必要だから、というものらしいが、例えば iMessage 経由で
   送られたメッセージは複数のデバイス上に現われることができる。)

* 以下に述べる状況は起こりそうもないが、可能ではあり、その状況下では自分
   のアカウントに永遠にアクセスできなくなってしまう。Apple のサポートペー
   ジに明記されている通り、アカウントへのアクセスをリセットできるのは、次
   の三つの要素のうちどれか二つを持っている場合に限られる。一つ目はそのア
   カウントのパスワード、二つ目はそのアカウントに付随した「信用できる」デ
   バイス、そして、三つ目は最後の手段として用意されているものだが、二要素
   認証をセットアップする際に生成される特殊な復旧鍵だ。けれども、その三つ
   のうち一つしかないか、あるいは一つもない場合は、あなたのアカウントは二
   度と生き返らない。Apple によればその場合は「新規の Apple ID を作成する
   必要がある」とのことで、どう控え目に言っても厄介千万に違いないだろう。

<http://support.apple.com/kb/HT5577>

   それから、二要素認証では保護されないアクセスの種類が二つある:

* パスワードを知っているだけで電子メールにアクセスできるという事実は変わ
   らない。アカウント名とパスワードを知っているだけで、やはり誰でもあなた
   の電子メールを me.com、mac.com、あるいは icloud.com アドレスから取り込
   むことができる。つまりその結果として、あなたが Apple の管理するアドレ
   スを使ってセットアップ済みの他のデバイスでは、やはりアタッカーがパスワー
   ドのリセットをかけるのが可能だということだ。

* パスワードだけで iCloud ウェブサイトにログインでき、そこにあるすべての
   サービス、例えば Mail、Contacts、Calendar、Notes、Reminders、Documents
   in the Cloud、さらには Find My iPhone さえ利用できるので、そこからあな
   たのデバイスが消去されてしまうことも可能だ。(もうあなたはバックアップ
   を取っていますよね!)

   最後にもう一言。あなたが最近数日間に何か大きな変更を Apple ID アカウン
   トに施した場合は、Apple は三日間にわたりあなたに二要素認証を有効にさせ
   てくれない。また、もしもあなたの Apple ID パスワードが弱過ぎると Apple
   が判断すれば(2013 年 3 月 20 日の記事“FlippedBITS: パスワードにまつ
   わる四つの迷信”参照)Apple は強制的にあなたにそれを変更させた上で、さ
   らに三日間二要素認証への切り替えを待つ羽目にさせる。

<http://tidbits.com/article/13651>
   (日本語)<http://jp.tidbits.com/TidBITS-jp-1166.html#lnk3>
   "FlippedBITS: パスワードにまつわる四つの迷信"


**Apple の二要素認証をオンにする** -- さて、すべての準備が整ったならば、
   あなたがサポート対象の国に住んでいる場合には Apple のサポートページに
   書かれた手順を辿ればよい。具体的に説明すれば以下のようになる。(Apple
   が二要素認証を展開しているのは米国、英国、オーストラリア、アイルランド、
   ニュージーランドで、今後他の国も追加して行く予定だという。おそらくこれ
   はローカライズの問題なのだろう。)

<http://support.apple.com/kb/HT5570>

1. My Apple ID サイトにナビゲートし、Manage Your Apple ID をクリックし、
   あなたの現在のアカウント情報を使ってログインする。

<https://appleid.apple.com/>

2. 左側にある Password and Security をクリックし、表示されるセキュリティ
   質問に答え、Continue をクリックする。

3. 一番上の "Two-Step Verification" 見出しと説明の個所にある Get Started
   リンクをクリックする。

<http://tidbits.com/resources/2013-03/two-factor-click-through.jpg>

4. すると Apple は三つのスクリーンを使って情報、利点、警告を表示する。そ
   れぞれを読み、前の二つでは Continue をクリックし、最後のスクリーンでは
   Get Started をクリックする。

<http://tidbits.com/resources/2013-03/two-factor-starting-out.jpg>

5. Apple はあなたのアカウントに付随した iOS デバイスのリストを表示し、モ
   バイルフォンについては SMS 番号を追加できるようにする。デバイスを確認
   したら、Continue をクリックする。

    * Verify をクリックすれば、Apple は Find My iPhone 経由でその付随し
     たデバイスにコードを送信する。ただし、巧妙なことに、もしもそのデバ
     イスが PIN でロックされていれば、SMS や iMessage とは異なり、Apple
     はまず iOS のロックを外してからコードを受け取るように促してくる。
     あなたが複数の Apple ID を持っている場合には問題が起こるかもしれな
     い。Find My iPhone はたった一つの Apple ID にしか対応できないから
     だ。例えば、iPad 上でカレンダーや連絡先の処理に foobar @ icloud.com
     を使っていれば、Find My iPhone が使うのはそのアカウントとなり、例
     えば foobar @ example.com で登録された別の Apple ID でその iPad を付
     随させることはできない。

    * "Add an SMS-capable phone number" をクリックすれば、Apple は SMS
     メッセージでコードを送信する。Find My iPhone で別の Apple ID に付
     随させている iPhone や、あるいは全然別のモバイルフォンでもこちらは
     働く。あなたが信用している別人が持っているモバイルフォンでも構わな
     い。幸いにも、この SMS メッセージは無料だ。

6. ここで Apple は 14 文字の復旧鍵を提供する。この復旧鍵は、いったん失え
   ば誰も取り戻すことができない。Continue または Print Key を押して次に進
   む。Apple は、この復旧鍵を書き留めておくこと、あなたの Mac 上には保存
   しないことを勧めている。それは妥当なアドバイスではあるが、強力な暗号化
   を使って項目を保存するツール (例えば 1Password や Yojimbo) を持ってい
   て、かつそのツールのデータベースを保護する強力なパスワードがその同じコ
   ンピュータ上に保存されていないのならば、必ずしもそのアドバイス通りにし
   なければならないということはないだろう。

7. あなたが本当にその復旧鍵を書き留めたことを証明するため、もう一度その
   復旧鍵を入力しなければならない! もう一度タイプして、Confirm をクリッ
   クする。正しく復旧鍵を入力していなければ Confirm ボタンを押せるように
   ならない。

8. 最後の警告スクリーンが出て、万一あなたがアカウントのリセットのために
   必要な三つの要素のうち二つを失えばあなたの人生は完全にめちゃくちゃにな
   るぞという説明が再び表示される。"I Understand the Conditions Above" を
   選んでから "Enable Two-Step Verification" をクリックすれば、この Manage
   Your Security Settings ページの表示が "Two-step verification is enabled"
   というものに変わる。

<http://tidbits.com/resources/2013-03/two-factor-done.png>

   その後直ちに、付随するすべてのアカウントに対して変更を通知する電子メー
   ルが届く。私の場合は本当に直ちに、数秒のうちに届いた。

   それ以後は、Apple の被保護サービスのどれかにあなたがアクセスする度に、
   例えば My Apple ID サイトの Manage My Apple ID セクションを開こうとす
   る度に、どの方法を使って検証するかと尋ねられる。方法を選択して次に進め
   ば、コードが送られて来る。そのコードを入力すれば、それで無事OKだ。

<http://tidbits.com/resources/2013-03/two-factor-verify.png>
<http://tidbits.com/resources/2013-03/two-factor-send.png>


**万能の解決法ではない** -- 二要素認証を使っても本人検証や身元詐称を巡る
   あらゆる問題を解決できるわけではないが、最も重大な問題のいくつかは解消
   される。アカウント乗っ取りを目的としたパスワードのリセットや、新規のデ
   バイスからの Apple 関係のサービスを通じた購入、電話を使ったソーシャル
   エンジニアリングといった問題だ。

   私は自分が商品の購入に使っているアカウントについて二要素認証を有効にし
   た。皆さん一人一人にも同じことをお勧めしたい。作業を始める前に、あらか
   じめお持ちのデバイスを全部きれいに一列に並べて(それぞれどの Apple ID
   に付随しているかをはっきりさせて)おくのを忘れないようにしよう!


   ----
   コメントリンク: <http://tidbits.com/e/13654#comments>
   Twitter リンク: <http://tidbits.com/t/13654>


PDFpen 6.0、Word エクスポートを追加
-----------------------------------
     文: Adam C. Engst: <ace @ tidbits.com>, @adamengst
     原文記事: <http://tidbits.com/e/13647>
     訳: 亀岡孝仁 <takkameoka @ kif.biglobe.ne.jp>

   EPUB フォーマットは電子本の世界では一番人気のものかもしれないが、ビジネ
   スの世界で書類を扱う人達の間では PDF が依然として支配的な力を持っており、
   Smile の PDFpen や PDFpenPro と言ったユーティリティは必須のものである。
   Smile は、PDFpen の双方のバージョン 6.0 をリリースした。このバージョンで
   は、PDF を Word ドキュメントに変換する能力を追加し、新しい編集バーで
   PDF 編集を容易にし、そして Auto Save と Versions に対するサポートを提供、
   等々をしている。このアップデートは、バージョンとあなたのアップグレードの
   方法によるが、$30 又は $40 の値段となる。PDFpen 6.0 は OS X 10.7 Lion 又
   は 10.8 Mountain Lion を必要とする。

<http://www.smilesoftware.com/PDFpen/>
<http://www.smilesoftware.com/PDFpenPro/>


**Apple の非常識なアップグレード規制** -- 通常、私はアップグレードの詳細
   は最後の所に掲載するが、Mac App Store にまつわる Apple の開発者に厳しい
   規則にお蔭で、少々厄介な事態にもなり得る。もし Smile から直接購入して彼
   らを通してアップグレードするなら、ことは簡単である:どちらのバージョンの
   PDFpen に対するアップグレードでも $30 だし、この機会に PDFpen から
   PDFpenPro に跳躍したいのなら、$40 である。しかしながら、PDFpen も
   PDFpenPro のどちらも Mac App Store 経由でも売られているのに、ここでは有
   料のアップグレードを Apple が許していない。そこで Smile は全く新しいアプ
   リを PDFpen と PDFpenPro に対してリリースした。言いたくはないが、もし以
   前のバージョンの PDFpen を Mac App Store から買ったのであれば、Apple か
   らは如何なる通知も割引価格も提供されない - あなたは "アップグレード" す
   るために新しいものを買わねばならないのである。(Smile は 48 時間の間 Mac
   App Store でも割引価格を提供したが、その期限はもうとうに過ぎている。)

<http://sites.fastspring.com/smile/product/catalog>
<https://itunes.apple.com/us/app/pdfpen-for-mac/id609301478?mt=12>
   (日本語)<https://itunes.apple.com/jp/app/pdfpen-for-mac/id609301478?mt=12>
   "Mac App Store - PDFpen 6"
<https://itunes.apple.com/us/app/pdfpenpro-6/id609313570?mt=12>
   (日本語)<https://itunes.apple.com/jp/app/pdfpenpro-6/id609313570?mt=12>
   "Mac App Store - PDFpenPro 6"

   それだけではない、事態はもっとややこしくなる。Apple は更に Mac App
   Store 外で売られる如何なるアプリにも iCloud ドキュメント同期を使うのを許
   さない。という訳で、もしこの機能が欲しいなら、以前に Smile から買ってい
   たとしても、PDFpen を Mac App Store から買い直さなければならない。Smile
   から購入したものでは iCloud からの書類を開いたり、保存したり、或いは同期
   したり出来ない。幸いにして、Dropbox 同期はいずれの場合でも可能なので、
   Smile と直接取引しても (こうすることで彼らの稼ぎは 20% 以上増える)、クラ
   ウドストレージサービスを利用しての同期が妨害されることは無い。

   もし 15 October 2012 以降に PDFpen を Smile から購入したのであれば、彼ら
   経由のアップグレードは無料で、そして自動的であるはずだ;内蔵の Check
   for Updates 機能が新しいバージョンをダウンロードし、そしてあなたのシリア
   ル番号をアップデートするプロセスに導いてくれるであろう。

   理屈の上では、PDFpen 6.0 の試行版を入手して試したとしても、望むなら前の
   状態に戻れるはずである。何故ならば自動アップデーターは PDFpen の以前のバー
   ジョンを Applications フォルダに保持するはずだからである。ただし当方での
   一回のテストではそうはならなかったので、アップグレードが始まるのを許可す
   る前に、万一に備えて、前のバージョンの PDFpen 5.x の Zip アーカイブを作
   成するようお勧めする (Applications フォルダで PDFpen を  Control-クリッ
   クし、Compress "PDFpen" を選択する)。或いは、単に Smile の Download ペー
   ジから別のコピーをダウンロードすることも出来る。

<http://smilesoftware.com/PDFpen/download.html>


**Word へのエクスポート** -- 所で、PDFpen 5.x から 6.0 へ何故アップグレー
   ドした方が良いかの話に戻ると、この新しいバージョンの看板機能は
   Microsoft Word フォーマット (.doc か .docx のどちらか) にエクスポートす
   る能力である。エクスポートの後、そのテキストに対してやりたい作業は出来る
   様になるが、オリジナルバージョンにぴったり合う PDF を新たに作るのは無理
   かもしれない。

   この機能は Nuance OmniPage Cloud Document Conversion Service を利用して
   おり、ライセンスされたユーザーのみが使える (つまり、試行版の PDFpen 6.0
   では働かない;Smile は購入前にチェック出来る様に幾つかのエクスポートサン
   プルを用意している)。ライセンス契約に同意する必要性のためか、私の場合
   File > Export を二回選択しないとこれは動作しなかった。ということで、もし
   あなたも初回に問題を経験したならば、もう一回やってみるべきである。

<http://smilesoftware.com/PDFpen/wordexport.html>

   エクスポートは単純な Save As 程速くはない - 7 頁のテスト書類でも 20-30
   秒かかり、耐久テストとして 226 ページの "Take Control of Your iPad,
   Second Edition" を投入したら 37 分かかると言う予測を返してきた。幸いにし
   て、実際にはたったの 7 分で済んだが、進行バーと経過時間カウンターから後
   どのぐらいかかるかの予測は出来る。変換中のドキュメント内での作業を続ける
   ことは出来ないが、変換作業中でも PDFpen 6.0 で他のドキュメントを開いての
   作業は出来る。

<http://tidbits.com/resources/2013-03/PDFpen-conversion.png>

   問題はこの変換はどれぐらい良いかであるが、正直言って、私の満足度は結構高
   い。これまで長年に亘って、私は色々な変換プログラムを試してきたが、その結
   果は通常惨憺たるもので、私の必要性がどれ程かによったが、泣きたいか笑いた
   いかのどちらかであった。"Take Control of Your iPad, Second Edition" の場
   合、PDFpen の変換はびっくりする程良かった。

   全体として、変換されたドキュメントは "正常に" 見えた。どう言うことかとい
   うと、タブやインデントは正しく設定されており、適切なフォントが使われ、ス
   クリーンショットは正しい大きさで取り込まれ、そしてその説明文も適切にフォー
   マットされ、行空けにはスペースではなくタブが使用されている、等々である。
   勿論、完璧という訳にはいかず、変換にはある種の間違いや理想的とは言えない
   選択もなされている所もあるが、どれも致命的ではない。私が気付いたこと:

* 表紙は真っ白 - テキストも画像も全く無し。これは必ずしも驚きではない、
   というのも表紙は Adobe InDesign で作成したもので、あまり一般的でないフォ
   ントや、多くのボタンのために重ね合わせのオブジェクトを使っているからであ
   る。これを Word の中で表現できる唯一の方法は一枚の画像として捉える事しか
   ないであろう。

* 枠で囲まれたパラグラフ間の間隔や枠そのものに、時折間違ったものが見られ
   た。こちらも、驚くにはあたらない。というのも、枠はワードプロセシングのフ
   ォーマット間での変換時でも、正しく保つのは難しいからである。

* 我々の表題の一つは Eurostile Bold 36 ポイントである;このフォントへの
   アクセス無しで、変換後のドキュメントには Arial 31 ポイントを使われた。他
   の表題は Verdana Bold に設定してある;変換では Verdana は正しかったが、
   ボールドは失われた。

* 幾つかの例で、箱入りのテキストは最後の行以外は見えなくなった。中身は失
   われたわけではなかったしフォーマットも正しくなされていたが (それを選択、
   コピー、そして新しいドキュメントにペースト出来た)、私が Word の中でやれ
   ることではそれを変換後ドキュメントの中で見える様には出来なかった。

* 表にはフォーマット上の問題が幾つかあった。幾つかのフォントは正しいとは
   言えず、その結果、ある表は次ページに繰り越されてしまい、殆ど空のページを
   ドキュメントに加える結果となった場合もある。もっと問題だったのは、表はし
   ばしば Word の中で複数の表オブジェクトに分割され、そして複数行をもつセル
   は複数のセルとして表現されることであった。私は変換がこれをこれ程見事にな
   されたことにびっくりした - 表は変換ユーティリティにはほぼ手におえないと
   いうのが普通である。

* 全てのページには、必ずその底部にセクションブレークがあった。これは分か
   るような気がする、何故ならば全てのページにはページ番号があり、これらの番
   号は正しくフォーマットされ中央配置されてはいても、所詮通常のテキストであ
   って Word のページ番号オブジェクトではないので、テキストはその周りを勝手
   には動けない。しかしながら、ページ番号やフッターを持たないドキュメントに
   おいてすらも、このセクションブレークは全てのページの底部に現れた。これら
   は、必要であれば、Word の中で探すのも (^b で検索する) そして削除するのも
   簡単である。

* 字下がりの箇条書きリストの一つで (似た様なフォーマットの他のリストでは
   起こらなかった)、頭の黒丸が他の文字で置き換えられた。

* テキストの行内にある小さな行内画像は失われた。

   PDFpen 6.0 からの PDF から Word への変換をあまり高望みをせずに始めたので
   あれば、失望されることは無いであろう。その変換ドキュメントを編集し再出版
   しなければならないのであれば、手直し作業は間違いなく残るが、手で PDF か
   らテキストを抽出しそして Word に貼り付けるよりははるかにマシである。


**その他の機能** -- PDFpen 6.0 における残りの新機能の多くは、既存の能力
   に対する微調整か或いは基底にある Mac 技術のサポートである。最も目を引く
   ものは:

* 新しい編集バーにより共通ツールや特性により速くアクセス出来る。

<http://tidbits.com/resources/2013-03/PDFpen-editing-bar.png>

* Auto Save と Versions へのサポートが追加され、自動保存されたドキュメン
   トの前のバージョンに戻るのが簡単になる。

* 注記は今やドキュメントの最後にリストとして印刷出来 (Print ダイアログで
   Append Annotations Summary チェックボックスを探す)、そして View >
   Annotations を選択した際にどの形の注記 (テキスト、ノート、コメント、リン
   ク、そしてハイライト) が左のサイドバーに現れるかをフィルター出来る。

* Library は今やユーザーが生成したテキストと手書きの項目を一つのビューに
   結合し、そしてリストの中でドラッグすることで並べ替えることも出来る。これ
   は以前には不可能であった。

* 新しい View > Highlight Form Fields コマンドで、透明な背景を持ち、何も
   しなければ見えないフォームフィールドがより見やすくなる。

* Smile は、ロシア語 OCR に対するサポートを追加した。

* PDFpen 6.0 は今や Retina ディスプレイの最大解像度に対しても最適化され
   ている。

   最後に、PDFpenPro にだけ提供されている二つの新しい機能がある。これがその
   弟分との違いとなっていて、主として Web 頁を PDF に変換、目次を作成する、
   そして PDF フォームを作成することをサポートしている。沢山のフォームを作
   成する人にはこの PDFpenPro 6.0 の新たな能力は嬉しいであろう。これは、テ
   キストフィールドの部分、チェックボックス、そしてラジオボタンを検出しそし
   てそれに対応するフォーム要素を自動的に挿入することによってフォームを作成
   する。

   他の新しい PDFpenPro 6.0 機能は、ドキュメント許可に対するコントロールで
   ある - もしあなたの PDF の印刷、保存、コピー、及び編集を規制したいのであ
   れば、それが可能となる。但し、これらの PDF 許可は保障されているとは思う
   べきではない。何故ならば、これらの制約を取り除くソフトウェアも出ているの
   で、もし誰かが意図してそれをやろうとすれば可能だからである。

   最後の最後、はっきりと何時とはまだ言えないのだが、Michael Cohen は "
   Take Control of PDFpen 6" を書き上げるのに一生懸命になっている。そしてこ
   れは 15 October 2012 以降に "Take Control of PDFpen 5" を買った人に対し
   ては無料のアップグレードとなるので、今一冊購入しても損にはならない。これ
   らは我々からでも Smile 経由のどちらからも買えるので、PDFpen 6.0 にもその
   まま継続された機能についての勉強に使って欲しい。

<http://www.takecontrolbooks.com/pdfpen-5?pt=TB1166>


     ----
   コメントリンク: <http://tidbits.com/e/13647#comments>
   Twitter リンク: <http://tidbits.com/t/13647>


TidBITS 監視リスト: 注目のアップデート、2012 年 3 月 25 日
-----------------------------------------------------------
     文: TidBITS Staff: <editors @ tidbits.com>
     原文記事: <http://tidbits.com/e/13658>
     訳: Mark Nagata <nagata @ kurims.kyoto-u.ac.jp>

**Skype 6.3** -- Microsoft が Skype 6.3 をリリースした。このインターネッ
   ト電話アプリに、ほんの少し新機能を加えたメンテナンスリリースだ。今回の
   アップデートでは、グループ通話であなたが現在の話し手である際に他の参加
   者たちを表示するスライドショー表示を追加した。(他の人がスクリーン共有
   をしているグループ通話でも働く。)また DTMF (dual-tone multi-frequency)
   音を発生する通話内ダイヤルパッドも追加された。これは、相手の電話番号へ
   通話中に通話ツールバーの中のダイヤルパッドを押せば表示される。このリリー
   スではいくつかの改善も施されており、Ecamm の Call Recorder ソフトウェ
   アを使っている際に Skype にサインインできる機能が備わり、デンマーク語、
   イタリア語、日本語、韓国語のローカライズ版での環境設定メニューが最適化
   された。(無料、37.5 MB、リリースノート)

<http://www.skype.com/intl/en-us/get-skype/on-your-computer/macosx/>
<http://blogs.skype.com/2013/03/13/skype-6-3-for-mac/>

   Skype 6.3 へのコメントリンク:
<http://tidbits.com/article/13652#comments>


**PopChar X 6.2** -- Ergonis Software が PopChar X 6.2 をリリースし、こ
   のフォント発見ユーティリティで手早く特殊文字を見つける機能に二点の改善
   を加えた。今回のアップデートで、検索フィールドに入力するためのキーボー
   ドショートカット Command-F を追加し、PopChar の文字表の中にカーソルが
   あっても検索文字列をタイプし始められるようにした。コンテクストメニュー
   にも二つの追加機能があり、選択された Unicode 文字の簡単な説明をコピー
   する Copy Character Description コマンドと、フォント名のリストをコピー
   する Copy Font List コマンドが装備された。このリリースではまた、新たに
   Unicode 6.2 対応を追加し、グループポップアップボタンの見栄えを(特に
   Retina ディスプレイで)改善し、一部のアプリ(例えば Microsoft Word)で
   探知されないフォントがあったバグを修正し、OS X 10.8 Mountain Lion でウィ
   ンドウがちらつく問題を回避している。最後に、Finder で PopChar アイコン
   をダブルクリックすれば PopChar が起動して _しかも_ PopChar ウィンドウ
   を開くようになった。従来は、Finder でアイコンをダブルクリックすると既
   に開いていた PopChar ウィンドウが閉じてしまっていた。(新規購入 29.99
   ユーロ、TidBITS 会員には 25 パーセント割引、無料アップデート、3.6 MB、
   リリースノート)

<http://www.ergonis.com/products/popcharx/>
<http://tidbits.com/member_benefits.html>
<http://www.ergonis.com/products/popcharx/history.html>

   PopChar X 6.2 へのコメントリンク:
<http://tidbits.com/article/13649#comments>


ExtraBITS、2012 年 3 月 25 日
-----------------------------
     文: TidBITS Staff: <editors @ tidbits.com>
     原文記事: <http://tidbits.com/e/13657>
     訳: Mark Nagata <nagata @ kurims.kyoto-u.ac.jp>

   今週は他の読み物として一つだけお薦めしよう。Safari、Chrome、および
   Firefox に広告埋め込み拡張機能をインストールする、Mac を狙ったトロイの
   木馬についての警告だ。


**広告を纏ったトロイの木馬に注意** -- ロシアのセキュリティ会社 Doctor Web
   によれば、Mac を狙ったトロイの木馬で Safari、Chrome、および Firefox に
   拡張機能をインストールするものが増えつつあるという。これらの拡張機能は、
   サードパーティの広告コードをそれとは無関係なウェブページに埋め込んで、
   クリックスルーの収益をマルウェアの著者の手へ流し込むように作られている。
   これらのトロイの木馬はさまざまのテクニックを使ってユーザーを騙し、拡張
   機能をインストールさせようとする。ビデオプラグイン、メディアプレイヤー、
   ダウンロード加速器、その他になりすますことが多い。安全のために、あなた
   にソフトウェアをインストールするよう促すサイトからインストールしないよ
   うにしよう。常に、信頼できる入手源からソフトウェアを入手しよう。

<http://news.drweb.com/show/?i=3389&lng=en&c=5>

   コメントリンク: <http://tidbits.com/article/13653#comments>


$$


TidBITS 日本語版では翻訳スタッフを募集しています。マッキントッシュや
インターネットに関する珠玉の情報をあなたの翻訳力でより輝かせましょう。
ご賛同の方は翻訳チーム <hosoka @ ca2.so-net.ne.jp> までご連絡ください。

TidBITS は、タイムリーなニュース、洞察溢れる解説、奥の深いレビューを
Macintosh とインターネット共同体にお届けする無料の週刊ニュースレターで
す。ご友人には自由にご転送ください。できれば購読をお薦めください。

非営利、非商用の出版物、Web サイトは、フルクレジットを明記すれば記事を
転載または記事へのリンクができます。それ以外の場合はお問い合わせ下さ
い。記事が正確であることの保証はありません。告示:書名、製品名および会
社名は、それぞれ該当する権利者の登録商標または権利です。TidBITS ISSN
1090-7017

Copyright 2012 TidBITS: 再使用は Creative Commons ライセンスによります。

お問い合わせ: <editors @ tidbits.com>
TidBITS Web サイト: <http://www.tidbits.com/>
ライセンス条項: <http://www.tidbits.com/terms/>
購読:  <http://sparky.tidbits.com/mailman/listinfo/tidbits-jp>




TidBITS-jp メーリングリストの案内