『銀座Rails #8』に行ってきたよメモ

銀座Rails#8 @リンクアンドモチベーション - connpass に行ってきたよメモ

各発表の感想

---

Railsエンジニアのためのウェブセキュリティ入門

銀座Rails#8 における講演資料を公開します #ginzarails / “Railsエンジニアのためのウェブセキュリティ入門” https://t.co/YtEzLkxatB

— 徳丸 浩 (@ockeghem) April 26, 2019

感想

• Railsを使った定番脆弱性の解説シリーズ
• 天然物ではない脆弱性を用意しており、結構油断するとやりかねないな…という話が多かった。
• Railsのレールにさえ載っていれば、多くの脆弱性が防げるんだなと言うことがわかる話だった。
• 脆弱性があるシステムを納品したら敗訴した例は怖い。

関連リンク

• SQLインジェクション対策もれの責任を開発会社に問う判決 | 徳丸浩の日記

---

その正規表現、異議あり！ 〜 ReDoSについて

その正規表現、異議あり！ 〜 ReDoSについて https://t.co/iEluiKwf1U

発表資料アップしましたー #ginzarails

— expa / Shu OGAWARA (@expajp) April 24, 2019

感想

• メアドのバリデーションでクライアントとサーバーで移植しやすいからよく持ち出される正規表現
• いくら富豪プログラミングな世界観になってきてもかなりの負荷がかかるんだなというのを数値を見て実感
• 結構この試行回数を無駄に増やしてアタックするという手法はありそうなので気にかけて動いたほうがいいなという気持ちに。

関連リンク

• expajp/reredos: email address validator, which is free from ReDoS attack

Rubyコミッタの武者さんからRe2の紹介もあった

ReDoSですが、外部入力の正規表現パターン（ユーザに設定させるなど）を使いたい場合、RubyのRegexpなどのバックトラックを行うエンジンで使うのは安全ではないので、たとえばGitLabではre2を使っています。 #ginzarailshttps://t.co/mF7hiYRK5A

— Akinori MUSHA (@knu) April 25, 2019

---

SQLQLとは

銀座 Rails でやった LT の資料です。SQLQL に詳しい人にとっては新しい情報はあまりないです / “SQLQL とは！？” https://t.co/9P51F9LuR6

— yancya (@yancya) April 25, 2019

感想

• めちゃくちゃ便利な世界観ではあるが、悪意に対しての防護策をきっちり取らないとすぐにやられてしまう世界でもあるなと感じる。
• ここらへんの変化球がGraphQLなのかなとか思った、と思ったらその話をこの前のRailsDMでされていた模様

関連リンク

• SQLQL は GraphQL にとってなんなのか

---

障害対応で実施する３つのこと

先日銀座Rails#8 のLTで使用したスライドです。https://t.co/wLv9DA1Ek9#ginzarails

— うめもとりょう (@umemoto_ryo) April 25, 2019

感想

• 結構体験した人はわかるけど、体験していない人はそうなるのかっていう見る人の経験値によって感想が変わりそうな話
• インシデント発生時ってめちゃくちゃ慌てるから、そういうときにでも指差し確認で実行できる手順書なりスクリプトを日頃から用意しておく大事さが身にしみる話
• 謝罪がある不思議な雰囲気なLTでした

関連リンク

• 2018年2月15日[みんなでしっかりサイバーセキュリティ]

---

全体を通しての感想

• Railsに関して徳丸先生が語るというのはものすごく新鮮だったし、いつも見るevilサイトとRailsが組み合わさって不思議な気持ちに
• Railsの良さや、Railsでも通り抜けてしまうものを実例を交えて説明していただけたので、生で見ることができてよかった
• 正規表現についてのDos攻撃の話は全然しらない分野だったので学びがあった
• 後続の予定があったので懇親会には参加できなかったが、とても参加できてよかった勉強会だった。