大垣靖男さん,徳丸浩さん対談「ウェブエンジニアに必要なセキュリティスキルとは」
大垣靖男さん,
「元はお二人のブログでの応酬が細かい方向に行っていて,
会場は希望者が入りきらずに多くの方がサテライト会場に回るほどの盛況の中,
さっくり双方の主張としては,
- 大垣さん:開発者が考え方を改める必要がある
- 徳丸さん:正しくプログラムを書くことがセキュリティにつながる
ただ,
徳丸さんは,
途中から
- ネットで拾ったコードをそのまま流用したりして,
誰でも脆弱性を大量に生み出せてしまう時代である - Webアプリにおいては,
入口出口は決まったパターンが多いので, 全体設計までいかなくとも局所的な最適化でカバーできる - 開発者として一人前になるためにセキュリティ以外にも覚えることがたくさんある
- SQLインジェクションのようなシステムの中の設計対策はどちらにせよ重要である
- WAFは以前はホワイトリストで売ろうとしていたが,
ホワイトリストはWebアプリでやるところ (徳丸さんも深く同意)。
今のWAF導入は以前より遥かに有効な対策になっているとの双方の見解でした。
また,
徳丸さんの
最後に
単なる二項対立ではなく,
SQLインジェクションに関しての捉え方など,
@yuya_takeyamaさん「Good Parts of PHP and The UNIX Philosophy」
@yuya_
まずは,
- ひとつのことをうまくやれ
- すべてのプログラムをフィルタに
- 部分の総和は全体よりも大きい
最後が少し難解ですが,
今回のセッションの対象者はライブラリを書く人だそうです。
哲学を実践すると,
今回,
- STREAM
- ITERATOR
- GENERATOR
STREAMについては,
ITERATORとGENERATORについても説明しましたが、セッションの時間が切れてしまいました。
秋山顕治さん「Webアプリのデプロイ今昔物語」
秋山顕治さんは,
アプリケーションを動く状態に持っていくことが,
レンタルサーバー時代
レンタルサーバーの時代……,
この問題点として,
- FTPなのでセキュリティが甘い
- 共通アカウントでコンテンツ管理
- アカウントがわかれば何でもできる
さらに,
vps時代
Perl5.
問題点として,
デプロイツールの誕生
そういった事情から,
Capistranoの優れているのは
その結果,
ただ,
PaaS時代
Engine YardやHeroku,
ベストプラクティス的なところを強制する流れになったとも言えます。例えば,
IaaS時代
そしてAWSが出てきました。APIによる操作ができるようになりました。そして,
次に挙げたことができるようになり,
- サーバの内容を変更するのではなく,
完成したサーバと現行サーバを切り替える - できあがったサーバを作成し,
切り替える (アプリがポータブルになった結果)
IaaSがよいVPSではないけれど,