銀座Rails#8 @リンクアンドモチベーション - connpass に行ってきたよメモ
各発表の感想
Railsエンジニアのためのウェブセキュリティ入門
銀座Rails#8 における講演資料を公開します #ginzarails / “Railsエンジニアのためのウェブセキュリティ入門” https://t.co/YtEzLkxatB
— 徳丸 浩 (@ockeghem) April 26, 2019
感想
- Railsを使った定番脆弱性の解説シリーズ
- 天然物ではない脆弱性を用意しており、結構油断するとやりかねないな…という話が多かった。
- Railsのレールにさえ載っていれば、多くの脆弱性が防げるんだなと言うことがわかる話だった。
- 脆弱性があるシステムを納品したら敗訴した例は怖い。
関連リンク
その正規表現、異議あり! 〜 ReDoSについて
その正規表現、異議あり! 〜 ReDoSについて https://t.co/iEluiKwf1U
— expa / Shu OGAWARA (@expajp) April 24, 2019
発表資料アップしましたー #ginzarails
感想
- メアドのバリデーションでクライアントとサーバーで移植しやすいからよく持ち出される正規表現
- いくら富豪プログラミングな世界観になってきてもかなりの負荷がかかるんだなというのを数値を見て実感
- 結構この試行回数を無駄に増やしてアタックするという手法はありそうなので気にかけて動いたほうがいいなという気持ちに。
関連リンク
Rubyコミッタの武者さんからRe2の紹介もあった
ReDoSですが、外部入力の正規表現パターン(ユーザに設定させるなど)を使いたい場合、RubyのRegexpなどのバックトラックを行うエンジンで使うのは安全ではないので、たとえばGitLabではre2を使っています。 #ginzarailshttps://t.co/mF7hiYRK5A
— Akinori MUSHA (@knu) April 25, 2019
SQLQLとは
銀座 Rails でやった LT の資料です。SQLQL に詳しい人にとっては新しい情報はあまりないです / “SQLQL とは!?” https://t.co/9P51F9LuR6
— yancya (@yancya) April 25, 2019
感想
- めちゃくちゃ便利な世界観ではあるが、悪意に対しての防護策をきっちり取らないとすぐにやられてしまう世界でもあるなと感じる。
- ここらへんの変化球がGraphQLなのかなとか思った、と思ったらその話をこの前のRailsDMでされていた模様
関連リンク
障害対応で実施する3つのこと
先日銀座Rails#8 のLTで使用したスライドです。https://t.co/wLv9DA1Ek9#ginzarails
— うめもとりょう (@umemoto_ryo) April 25, 2019
感想
- 結構体験した人はわかるけど、体験していない人はそうなるのかっていう見る人の経験値によって感想が変わりそうな話
- インシデント発生時ってめちゃくちゃ慌てるから、そういうときにでも指差し確認で実行できる手順書なりスクリプトを日頃から用意しておく大事さが身にしみる話
- 謝罪がある不思議な雰囲気なLTでした