@kyanny's blog

My life. Opinions are my own.

Shibuya Perl Mongersテクニカルトーク#14 に参加した

Shibuya.pm 参加してきました。 #13 は台湾なので不参加、 #12 は途中からだったので、フル参加は久しぶりでなんかフレッシュな気持ちでした。

Shibuya Perl Mongers : Shibuya Perl Mongersテクニカルトーク#14

アナログにペンと紙でメモとりつつ聞いてました。最近視力が落ちたので、スライドのコード部分はろくに読めなかった・・・。資料公開に期待。以下、自分が気になった点だけ感想を。

JPA (lestrrat)

  • 新人向け教材は良いですね
  • 認定試験はあったら受けてみたいな、とは思う(会社関係なく自腹で / そういえば Ruby 認定試験は受けてないな)
  • Tシャツ販売してるの知らなかった。みんな買おうぜ!(いまは予約のみ受付)

memcached injection (佐名木さん)

  • 何の話だろうと思ってたらキーのエスケープについてだった
  • 「Web アプリケーションのセキュリティ診断を仕事でやってきたのでキー汚染とか割と気になるタチ」とか、おおー経験ですなと思った
  • SQL のカラム名に対する SQL injection とか、そんなのあるのかーと思った
  • 「攻撃手法について中国からの反響が大きかった、中国人は攻撃が大好きらしい」に笑った

memcached 運用監視 (kazeburo)

  • nc でコネクション可能か監視
  • コネクションできた上でコマンド流してレスポンスがあるか監視 (syswrite)
  • daemontools の supervise 配下で動かしてた場合、「監視間隔の間に一時的に落ちてた」ことを検知できない => uptime が閾値以下かどうか監視、というのは実践的で良いノウハウだと思った
  • memcached が一瞬落ちたけどすぐ supervise で再起動し以後は正常稼働した、というケースが考えられる。ある時間にキャッシュが丸ごと消えるので DB の負荷があがるとか、ログインセッションが切れてしまい何かへんなことになるとか、ありそうだし原因究明しづらそう
  • 本題と関係ないが Nagios を「ナジオス」と発音してるように聞こえた。「ナギオス」ではなく?

IPA パネルディスカッション

  • 司会?モデレータ?の園田さんがぶっちゃけトークでとても面白かった
  • Twitter の #shibuyapm ハッシュタグをリアルタイムで追いつつライブで見られたのも面白かったし、 iPhone から自分も発言することでパネルディスカッションに参加してるようなドライブ感が味わえた
  • 941 さんがさっそく togger でまとめてたのでこれ一読すると話の流れがよくわかる
  • パネリストの数が少なくてやや寂しかったが、 kazuho さんのコメントは良いなと思った。冷静でバランス感覚に優れているというのかな

構造化テキストの正しいエスケープについて (kazuho)

  • 今回もっとも感銘を受けたトークだった
  • 先日の Twitter の XSS をうけて「コードそのもの以前に設計が悪い => 設計からやり直せ => でも正しいコードを書くのは難しいよね」そう、難しいもんだと思うんですよ。ところがその点はなぜかあまり語られず「これはここがダメだ」までにとどまる意見をずっと多く見かけるんだよな
  • パースとエンコードを分けろ、エンコードさえ確実に行えればパースがどんなにバグってても脆弱性はない
  • 脆弱性があるよりはバグってるけど脆弱性はないほうがよほど良い。バグがあってもいいから、セキュアなコードを
  • たった5分の LT だし、ブログにも書いてある内容なんだけど、理論と実践がバランス良く含まれていてとてもためになった

あと IPA から来場者プレゼントで冊子とメモ用紙が配られた。

運営のみなさま、会場を提供してくださった IIJ さま、発表者のみなさま、ありがとうございました。サブスクリーンで Twitter のタイムラインがリアルタイムで流れたりして楽しかったです。