ニクニクドットミー

カッコいいおっさんを目指すエンジニアの厳かなブログ

10/10 ~ 10/16のふりかえり

バリューストリームマッピングはよさそうやで

仕事

  • ecspressoを使う機運が高まっているので以前購入したecspresso handbookが役立ちそう
  • 新入社員に向けていま自分が所属しているチームの説明とアーキテクチャについて簡単にまとめた資料を作成した
    • アーキテクチャについては以外と新入社員じゃなくても知りたい内容なのでは?と思い情報をまとめてよかったかもと思っている
    • 自分がチームにジョインした時にあると嬉しい内容になっているので他でも役立ちそうではある
  • バリューストリームマッピングを取り入れたチームがいたので説明をしてもらった
    • バリューストリームはユーザーに機能を提供するまでのフローを可視化し、リリースのボトルネックになっている箇所を洗い出したものがバリューストリームマッピングという理解
    • 可視化は最強だと思っているのでユーザーへ提供するまでとした後の効果測定を含めて一つの流れを可視化しておくのは、チーム全体で認識の齟齬をなくせるし、関係する作業も洗い出せて良さそうと好感触

プライベート

  • FP相談 vol.2でライフプラン表を作成してもらった。要は住宅購入やライフイベントを考慮して老後はどの程度貯蓄があるといいのか表にしてもらった。
    • いまの貯蓄と収入、支出はかなり理想的と言われたが人生そんなに甘くないので妻がパートになった場合や就労不能になったケースを考えてみると取るべきアクションが変わってくるなという感じ。
    • てっきりエクセルが出てくるかと思ったら、自分で収入や支出をカスタマイズできるウェブサービスで出てきたのは驚いた。めっちゃ便利。
  • 土日にやることをタスク化してこなすと幸せになれるという記事をチラっと見たのでtodoistでやってみた
  • ネットワークスペシャリストの対策スケジュールを立てたのでやっていく
    • 来年の4月に受験する予定なのであと半年ほど時間はあるが余裕はないと思っている
    • ちなみにNotionを使ってみているがこれは便利...

See you next time:)

10/03 ~ 10/09のふりかえり

お金の相談はオススメでございます

仕事

  • ワクチン副作用後も体調が優れず休みを取った
    • ほんと副作用は堪えた...
  • チームで一つのマイルストーンをクリアしたので振り返りをした
    • スプリントの振り返りを毎週していたので読み返したりするといろいろとチームで大事にしたいことが増えた
    • 「チームに流れができてきたよね」という感想が出たけどとってもステキな言い回しだなと思った
  • 他チームのスクラムの話を聞くなどした
    • 参考になるところも多々あったし、なにより他チームとの交流が減っている状況だったので横のつながりができたのもよかった
      • チームメンバー紹介を最初に入れておくと最初のハードルが下がって良いと思ったし、最初に一人ずつ「話す」ので話やすい状態になると思う

プライベート

See you next time:)

09/26 ~ 10/02のふりかえり

久しぶりに振り返るとなにやったっけー?ってなるね

仕事

  • ちょっとGoで書かれたアプリのコードを修正してみた
    • もうちょっと読みやすいコード、わかりやすいコードにしたいなと思った
    • これはレビューで指摘されたのでやっていき
    • コードレビューまじ感謝
  • こちらの勉強会に参加した
    • 自分はEMでもVPoEでもないし、リーダーポジションでもないのだけど、そういうポジションの人がなにを考え、どんな工夫をしているかは興味があったので参加
    • 自分はフォロワーシップ型な気がしていてそういう目線になるのだと思う
    • 勉強会自体かなりためになる話が多くて参加してよかった
  • open.spotify.com
    • 最近聞いている
    • 対話形式で進行していて「これってこういうこと?」などやりとりがあり、理解が深まることがある。オススメ。

プライベート

  • ワクチン2回目を接種した
    • がっつり熱がでてそれから体調もしばらくはよくなかった
    • 特に昼夜逆転したので生活リズムを崩してしまい、副反応とは別で調子を悪くしてしまった
    • 台風とかぶっていたので移動が大変だった。。。
  • ふとしたきっかけでブルーピリオドを全巻大人買いした

ちょっと振り返るのに時間が経ってしまったこともあってあまり覚えてないのだけどこんな感じだったかな!

See you next time:)

09/19 ~ 09/25のふりかえり

時には逃げてもええんやで

仕事

  • 既存のアプリのコードを読んでちょっと理解を深めた
  • Goで書かれたアプリの改修をやっていく
  • ヘルスチェックの講座があってストレッチをやっていくぞという気持ちになったのでチームでタオルを使ったストレッチをやってみた
    • 座りっぱりなしはかなり体に悪いということで卓上スタンディングデスクをポチった

プライベート

  • フィリピン留学のメンバーと2年ぶりにオンラインで再会した
    • 久しぶりにオンライン飲み会をしていろんな話で盛り上がった
      • コーチング、仕事、英語などなど
      • 昔の職場でパワハラを受けていたという話をした時に、自分は「その状況から逃げた」とネガティブに思っていたけど、逃げるのは正しいよねという話になった。人は追い込まれると2つの選択肢を取るが「相手を○す」or「自殺」の2択になるらしい。『自分を追い詰めてしまう前に「逃げた」のは正しい選択だったよね』と言われてなんだかホッとした。
      • リモートで働くのは仕事の関係性を築くのが難しいよねという話。気を許して話ができる仲ほど関係性がないとストレスのはけ口がなくてツライというもの。これは思い当たることが多々あって、リモートの状況だと会社以外にもコミュニティを作っていくのが大事になると思う。
  • ギャスパリのサプリが届いた
  • 酔った勢いで奥さんに「フランス語でエクレアの意味って知ってる?正解したらケーキを買ってあげる」と言ったら秒で正解したので近所のおいしいケーキを買った
  • 速習TypeScriptを読了した
    • 静的型付け言語は書くのが楽しい
  • https://www.amazon.co.jp/%E9%80%9F%E7%BF%92-TypeScript-%E7%AC%AC2%E7%89%88-%E9%80%9F%E7%BF%92%E3%82%B7%E3%83%AA%E3%83%BC%E3%82%BA-%E5%B1%B1%E7%94%B0%E7%A5%A5%E5%AF%9B-ebook/dp/B086JKVGPBwww.amazon.co.jp

これまで働いてきた会社のうち、2社でパワハラがあった。「てめぇーいますぐクビにしてやろうか」と社長に言われた時は「こんな人が世の中にいるのか。。。」と驚いたのを覚えている。当時は四面楚歌に近い状態で精神的にも辛かったけど、理解してくれる同僚がいたので本当に助かった。
結果的に辞めることにはなったけどもしあのまま続けていたら自分を追い込んでしまったと考えると「逃げる」選択を取ってよかったと思う。
もし身近に似たような状況の人がいたら「逃げてもええんやで」と声をかけるに違いない。

See you next time:)

09/12 ~ 09/18のふりかえり

今週は1on1をやりまくったそんな週

仕事

  • 1on1のメンターをやる機会が今後出来てきそうなので社内のSmallTalkという仕組みを使って雑に相談をしてきた ※別でブログを書く
  • 「褒められるのが苦手」という話をとあるエンジニアグループでしたところ共感してもらえてたのだが、なんでだろう?と深堀したくなったので社内のSmallTalkコーチングを受けてみた ※別でブログを書く
  • SQSについて調べる必要があったのでBlackBeltを読み込むなどした
    • FIFOにはGroupIDを付与してキューをまとめることができるのを知らなかったので勉強になった(SAAを取得してるんだけどな。。。)
  • ローカルでアプリを動かせるようになってうれしくなった
    • コードを読む時間を取っていろいろと内部の理解を深めたい。キャリアを考える上で「コードを書けるちゃんと読めるのは必須」になると思っているので頑張る所存
  • もっとSRE的な要素をチームに入れていきたいなーとぼんやり思う(メトリクスを毎朝見たり、アラートチェックしたりはしているけど、ユーザーにどう影響しているだろうとかやりたい
  • 健康診断で身長が1cm伸びていたのでニコリ

プライベート

  • 結婚して9年と一ヶ月記念&付き合ってから14年と1ヶ月記念をした(ちょっと早めにした)
  • 久しぶりにジムで筋トレをしたがめっちゃよかった(普段は家トレ)
  • ギャスパリのサプリをえいやで買ってみたので楽しみ
    • 年内にあと-5kgして来年からはバルクアップしていきたい(6月からダイエットを開始して1ヶ月に-1kgほど体重は落ちている)
  • MoneyForwardのFP相談を申し込んでみたので家計や投資について相談をしてみる予定なので楽しみ(無料)

See you next time:)

Webの基礎 脆弱性について改めて調べてみた XSS,CSRF,SQLインジェクション,OSコマンドインジェクション

以前、 blog.nikuniku.me というタイトルでヘッダーについて改めて調べてみた。
記事内に

その他のヘッダーについても調べておきたいし、ウェブセキュリティ周りも復習していく予定。

と書いた通り、良く耳にするウェブの脆弱性について調べてみた。

出力に起因する脆弱性

  • XSS

    • 攻撃方法
      • 攻撃スクリプト脆弱性のあるサイトに登録し(DBに保存するなど)訪問した利用者のブラウザ上で悪意あるスクリプトが実行されてしまう(格納型)
        • 入力した内容を登録できる形式のサイトがあった場合にスクリプトタグを登録するなどして攻撃をする。
      • 悪意のあるURLをクリックさせ、脆弱性のあるサイト上でスクリプトを実行させ、クッキー情報などを取得する(反射型XSS
        • 例えば、http://example.com/keyword=usernameのようなURLがあった場合にkeyword=<script>document.cookie</script>をURLに含んだ状態でサイトに遷移させ、サイト上でスクリプトを実行させるなど。
    • 対策
      • <"に対するエスケープ漏れが原因なので、サニタイジングし文字列として画面に表示する。
      • 入力時にvalidateを行い、入力値として数値を期待している場合は数値以外が入力された場合にエラーとする。
      • WAFを導入しXSSに該当するリクエストを遮断する。
  • SQLインジェクション

    • 攻撃方法
      • SQLの呼び出しに不備があるために発生する
      • 例えば、SELECT id FROM users WHERE id = '$id';というSQLがあった場合、$id1';DELETE FROM usersという文字列を渡されてしまうと結果的にこのようなSQLとなりテーブルが削除されてしまう。
        • シングルクォーテーションで囲った値をユーザーが外部から渡す(GETやPOSTの値)場合に悪意あるSQLを組み立てられてしまう。
      • SELECT id FROM users WHERE id = '1';DELETE FROM users;
    • 対策
      • プレースホルダを利用してSQLの組み立てを行う。
      • SELECT id FROM users WHERE id = ?;
        • プレースホルダには2種類あり静的、動的があり、静的プレースホルダを利用するのが良い。
          • 静的(データベース側でがんばる)
            • 値のバインドをデータベースエンジン側で行う。最初にプレースホルダーが付いたSQLがデータベースに登録される。その後、バインド値がデータベースに送られSQLが実行される。
            • SQL文がバインド前に確定するため、プレースホルダに渡すバインド値をクォートする必要がない。そのため、シングルクォートのエスケープ処理が必要ない。
            • 静的プレースホルダをPrepare Statementと呼ぶ。
          • 動的(アプリケーション側でがんばる)
            • バインドをアプリケーション側で行う。バインド時にリテラルは適切に構成されるため、処理系にバグがなければSQLインジェクションは発生しない。
            • 利用するライブラリにエスケープ処理が依存してしまう。
  • コマンドインジェクション

    • 攻撃方法
      • 外部から受け取ったパラメーターをOSのコマンドの引数に渡して実行する場合に悪意のあるコマンドを渡すことで実現する。
      • 例えばアプリケーションからsystem("/usr/sbin/sendmail $mail");を実行する場合に$mail;cat /etc/passwdが渡されるなどして意図していない処理を実行させる。
    • 対策
続きを読む

2021/09/05 ~ 2021/09/11のふりかえり

ワクチン2回目の副反応やばいなという週だった

仕事

  • 久々にEBSのマウント/アンマウントを実施した
    • 久しぶりで緊張したけど面白いなーと思った
  • EBSの拡張に掛かる時間を測りたいと思った
  • プライベートに書くけど妻がワクチン2回目を接種したら副反応でダウンしてしまい、看病が必要になったので午後休みを取った
    • 健康診断がその日にあったけどリスケした

プライベート

  • 土地を買うか迷っていてネットで探しているんだけど土地の説明がわけわからなくて腹が立ってきたので土地に関する書籍を3冊ほど買った
    • 読んで感想を書くつもり
  • 親父が地元に土地があるとのことでgoogle mapで見たけどちょっと微妙だった
    • 両サイドを家で挟まれていた
    • とはいっても現地で見てみると以外と良かったりするのかもしれない
  • ふるさと納税で肉とホンビノス貝を注文した
  • 妻がワクチンの副反応で高熱が出てしまったので看病していた
    • やっと落ち着いたのでなにより
    • ストローは寝たきりの人に最強のツール(横になったままで飲める!)
  • ワクチン2回目の死亡例を聞いてとても不安になってしまい、2回目のワクチンをキャンセルしようかと思った
    • 不安と戦うには情報収集だと思っていろいろ調べた
      • ワクチン接種後にどういう症状が出るのか、予兆はあるのか
      • 違和感を感じたらどこに連絡するのか(明らかに具合が悪くなったら救急車を呼ぶ)
      • 外出時に2回目のワクチンを接種した妻になにかあったらと思い、猫の監視で使っているカメラを起動しておいたり、カメラ越しに異変がわかるように合図を決めておくなどを計画した
    • いまは不安はだいぶ解消されている

See you next time:)