時には逃げてもええんやで

仕事

• 既存のアプリのコードを読んでちょっと理解を深めた
• Goで書かれたアプリの改修をやっていく
• ヘルスチェックの講座があってストレッチをやっていくぞという気持ちになったのでチームでタオルを使ったストレッチをやってみた
  • 座りっぱりなしはかなり体に悪いということで卓上スタンディングデスクをポチった

プライベート

• フィリピン留学のメンバーと2年ぶりにオンラインで再会した
  • 久しぶりにオンライン飲み会をしていろんな話で盛り上がった
    • コーチング、仕事、英語などなど
    • 昔の職場でパワハラを受けていたという話をした時に、自分は「その状況から逃げた」とネガティブに思っていたけど、逃げるのは正しいよねという話になった。人は追い込まれると2つの選択肢を取るが「相手を○す」or「自殺」の2択になるらしい。『自分を追い詰めてしまう前に「逃げた」のは正しい選択だったよね』と言われてなんだかホッとした。
    • リモートで働くのは仕事の関係性を築くのが難しいよねという話。気を許して話ができる仲ほど関係性がないとストレスのはけ口がなくてツライというもの。これは思い当たることが多々あって、リモートの状況だと会社以外にもコミュニティを作っていくのが大事になると思う。
• ギャスパリのサプリが届いた
  • プロテインは自分には甘すぎたがSIZE ONは酸味があって好きな味だった
  • アナバイトとデトネイトはまだ試してない

  • おりゃーーー！ギャスパリのメインなサプリをポチり pic.twitter.com/2B7VugsmN4

    — Masa (@maaaato) 2021年9月15日

• 酔った勢いで奥さんに「フランス語でエクレアの意味って知ってる？正解したらケーキを買ってあげる」と言ったら秒で正解したので近所のおいしいケーキを買った
• 速習TypeScriptを読了した
  • 静的型付け言語は書くのが楽しい

• https://www.amazon.co.jp/%E9%80%9F%E7%BF%92-TypeScript-%E7%AC%AC2%E7%89%88-%E9%80%9F%E7%BF%92%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-%E5%B1%B1%E7%94%B0%E7%A5%A5%E5%AF%9B-ebook/dp/B086JKVGPBwww.amazon.co.jp

これまで働いてきた会社のうち、2社でパワハラがあった。「てめぇーいますぐクビにしてやろうか」と社長に言われた時は「こんな人が世の中にいるのか。。。」と驚いたのを覚えている。当時は四面楚歌に近い状態で精神的にも辛かったけど、理解してくれる同僚がいたので本当に助かった。
結果的に辞めることにはなったけどもしあのまま続けていたら自分を追い込んでしまったと考えると「逃げる」選択を取ってよかったと思う。
もし身近に似たような状況の人がいたら「逃げてもええんやで」と声をかけるに違いない。

See you next time:)

以前、 blog.nikuniku.me というタイトルでヘッダーについて改めて調べてみた。
記事内に

その他のヘッダーについても調べておきたいし、ウェブセキュリティ周りも復習していく予定。

と書いた通り、良く耳にするウェブの脆弱性について調べてみた。

• 出力に起因する脆弱性
• 処理に起因する脆弱性
• DVWAで脆弱性を試してみる
  • CSRF
    • 対策
  • OSコマンドインジェクション
    • 対策
  • XSS(格納型)
    • 対策
• 参考

出力に起因する脆弱性

• XSS

  • 攻撃方法
    • 攻撃スクリプトを脆弱性のあるサイトに登録し（DBに保存するなど）訪問した利用者のブラウザ上で悪意あるスクリプトが実行されてしまう（格納型）
      • 入力した内容を登録できる形式のサイトがあった場合にスクリプトタグを登録するなどして攻撃をする。
    • 悪意のあるURLをクリックさせ、脆弱性のあるサイト上でスクリプトを実行させ、クッキー情報などを取得する（反射型XSS）
      • 例えば、http://example.com/keyword=usernameのようなURLがあった場合にkeyword=<script>document.cookie</script>をURLに含んだ状態でサイトに遷移させ、サイト上でスクリプトを実行させるなど。
  • 対策
    • <や"に対するエスケープ漏れが原因なので、サニタイジングし文字列として画面に表示する。
    • 入力時にvalidateを行い、入力値として数値を期待している場合は数値以外が入力された場合にエラーとする。
    • WAFを導入しXSSに該当するリクエストを遮断する。

• SQLインジェクション

  • 攻撃方法
    • SQLの呼び出しに不備があるために発生する
    • 例えば、SELECT id FROM users WHERE id = '$id';というSQLがあった場合、$idに1';DELETE FROM usersという文字列を渡されてしまうと結果的にこのようなSQLとなりテーブルが削除されてしまう。
      • シングルクォーテーションで囲った値をユーザーが外部から渡す（GETやPOSTの値）場合に悪意あるSQLを組み立てられてしまう。
    • SELECT id FROM users WHERE id = '1';DELETE FROM users;
  • 対策
    • プレースホルダを利用してSQLの組み立てを行う。
    • SELECT id FROM users WHERE id = ?;
      • プレースホルダには2種類あり静的、動的があり、静的プレースホルダを利用するのが良い。
        • 静的（データベース側でがんばる）
          • 値のバインドをデータベースエンジン側で行う。最初にプレースホルダーが付いたSQLがデータベースに登録される。その後、バインド値がデータベースに送られSQLが実行される。
          • SQL文がバインド前に確定するため、プレースホルダに渡すバインド値をクォートする必要がない。そのため、シングルクォートのエスケープ処理が必要ない。
          • 静的プレースホルダをPrepare Statementと呼ぶ。
        • 動的（アプリケーション側でがんばる）
          • バインドをアプリケーション側で行う。バインド時にリテラルは適切に構成されるため、処理系にバグがなければSQLインジェクションは発生しない。
          • 利用するライブラリにエスケープ処理が依存してしまう。

• コマンドインジェクション

  • 攻撃方法
    • 外部から受け取ったパラメーターをOSのコマンドの引数に渡して実行する場合に悪意のあるコマンドを渡すことで実現する。
    • 例えばアプリケーションからsystem("/usr/sbin/sendmail $mail");を実行する場合に$mailに;cat /etc/passwdが渡されるなどして意図していない処理を実行させる。
  • 対策
    • OSコマンド呼び出しを使わない実装方法を選択する
    • シェル呼び出し機能のある関数の利用を避ける
      • OS コマンドを呼び出している実装箇所を洗い出し、現状を把握する
    • 外部から入力された文字列をコマンドラインのパラメーターに渡さない
    • OSコマンドに渡すパラメーターを安全な関数によりエスケープする

ワクチン打ったりウマ娘の3rdライブを観たりそんな週だった

仕事

• チームメンバーとパワーランチをした
  • パワーランチはミーティングとランチを兼ねたものみたいだが、今回は業務とは関係ない話題でランチをした
• 1回目のワクチンを打つためにワクチン休暇を取得した
  • 楽天のクリムゾンハウスで接種したけどオフィスは広くて綺麗で「あーなんかオフィスって懐かしいな」という気持ちになった
  • 対応してもらったスタッフさん、お医者さん、そして楽天に感謝
  • 帰りに芋のお菓子を買った
• インシデント指揮者を経験
  • うまく出来た自信はまったくないがフォローしてもらったり助けられた
  • こんな記事も見つけた
    • インシデント指揮官トレーニングの手引きposts/5588
• 引き続きTerraformを書いている
• 問いのデザインの読書会が終了
  • 実はまだ全部読めていない...

プライベート

• 仕事の項目でも書いた1回目のワクチン接種で副反応が出て発熱と倦怠感があった
  • 快復するまで約1日半かかったが発熱に関してはカロナールがよく効いた
  • 倦怠感がなかなか強く、なにか取り組むこともできそうになかったので漫画を読んで寝てた
• 自分で使う予定のメモアプリのワイヤーフレームを紙とボールペンで書いたけど、我ながら画力もセンスもないのが面白い
  • とはいってもそれで作業が進められそうなのでヨシッ！
  • ワイヤーフレームを作るにはたくさんのツールがあるだろうけど使いこなすのに時間がとっても掛かりそうだったので手っ取り早い手段を取った
• ウマ娘 3rdライブのDay2を観た（8/29）
  • めっちゃよかった
    • ライスシャワーとマックイーンのソロ曲もよかった
  • 2022年に4thライブも決定したのでそれまでにがっつりバルクアップしてライブを現地観戦したい
  • マルチアングルを使ってみたけどメインとは違う角度でライブが観られるのはまた面白い発見があるのでこのプランでチケットを買って大正解だった

See you next time:)

今週は ICL 手術後の一ヶ月検診があったり ISUCON11 に参戦したりした。ISUCON の話にも少しだけ触れておこうと思う。

• 仕事
• プライベート
• ISUCON11の感想
  • 事前準備
  • 主にやったこと

仕事

• 普段仕事でペアプロ（ペア作業）をすることが多いのだけどVS Code の Live Shareを試すなどした
  • 1年前くらいに使ったときは挙動が不安定でちょっと利用するのは難しいなとおもったけど今回はサクサク雨後したし、3人でシェアしても問題なかった
• オペレーション作業をする時にメトリクスを見ながら「あ、この時間帯は避けておこう」と判断するのだけど、今回もやっててよかったなと改めて思った
  • 特にユーザーに影響がないと思っていた作業も実はサーバーリソースを以外と食っているケースがあるので慎重に
• スクラムセレモニーがだいぶ慣れてきた感じで設けた時間を大きく超過することがなかった
  • ベースになっているのはmixiさんのこちらの記事
  • 「家族アルバム みてね」のSREチームの紹介と取り組み
• 個人開発部が出来たので雑にChromeエクステンション作ってますとチャットに書いたところChromeエクステンションマスターがいたので1on1をしてみていろいろと話しを聞けた++
  • ホットリロードにweb-extがいいよと教えてもらったので試してみる

プライベート

• 作りかけてまったく動作しなかったChromeエクステンションが動いた
  • github.com
  • エクステンションとして公開しみようと思う（需要はないだろうけど）
• ICLの一ヶ月後検診が無事終了
  • まだハログレア現象が気になるけど半年もすればだいぶよくなるとのこと
• 東急プラザ銀座で食べた牛タン利休の「濃い卵」が人生で一番美味しかった。ほんとうに味が濃くて食べた時に醤油に漬けてたのかと思った。それぐらい濃かった。もちろん牛タンも美味しかった
• 16時間ファスティングを卒業した。朝を抜くと基礎代謝分のカロリーを下回ることが増えてしまったので朝も食べるようにした。ただ夜は20時ぐらいに済ますようにしている。体調はいい感じ
• ISUCON11に参戦してきた。後述する

ISUCON11の感想

最後に出場したのがISUCON6 or 7だった記憶で約5年ぶりに出場。
毎回3人で出場して主にインフラ面を担当していたのだけど今回はソロで出場してみた（チーム名はpokke）理由はコロナの影響で直接会うことが難しそうだったのとソロでインフラ以外にも手を出してみようと思ったのが理由。オンラインでつないでやることも出来たと思ったけど、ちょっと大変そうに思えたため。
今回はソロでインフラ以外にアプリにも手を出せたのは良かった。ただ、やっぱソロはきつい。当然ながら担当範囲が広くなるのとアプリの改修に没頭してサーバーのリソース状況の把握など全く出来ずという始末。あとスコアの仕様がちゃんと理解する余裕もなかった。。。
結果はもちろん予選敗退でまた来年参戦したい。実力をシンプルに試されるのが本当に面白い。

isucon11おわったーーー！！！おもろつかれたぞーい😆#isucon

— Masa (@maaaato) 2021年8月21日