姫路IT系勉強会 2018.09

姫路IT系勉強会 2018.09

13:30

自己紹介

14:00

WordPressのバージョン気にしてますか

  • 使える人が増えたが一方で技術力に差がある
  • 最近のWPは自動的にバージョンアップしてくれるがプラグインはバージョンを自分であげてくれない
  • Duplicatorプラグインに脆弱性 -> 改竄されまくり(プラグイン無効化ではWorkaroundにならない)
    • Apacheでできることは全てリモートから実行できる
    • 弊社の方でも急遽アナウンスとアップデート依頼流しました
      • 実はPHPのセーフモードがOFFなのです…
    • アップデートは誰がやるのか(少なくともWeb制作会社じゃない可能性)「ぱーみっしょん?なにそれ」
    • WordpressのCodexさえ見てないレベルの低さ
      • サーバを移行したらduplicateプラグイン要らないはず。どうして外してないのか
      • そもそも管理画面のダッシュボードでアップデートは表示されるはず。それさえ見てないの
      • 脆弱性チェックサイトもある
      • 攻撃された後に対策しても治らないはなし
  • WPはゼロディ攻撃が多い
    • 脆弱性発覚直後、あるいはその前から攻撃が始まってたり
    • プラグインの品質が玉石混交(過大なアクセス権要求とか)
      • 最低限、WPの有名人の本のベスト100などから選択するべき
  • Wordpress本当はいらないでしょ?
    • (と言われると耳が痛い…)
    • 運用保守に気を使って下さい
    • WAFで守ってもらおうとすると、要求仕様にうまく合わせないと死ぬ
    • 静的サイトに一部だけJavaScriptで動的にするだけで要件を満たせる
  • Webアプリのパーミッション設定は適切に
  • PHPerの単価低下と要求水準の高度化に挟まれたWebアプリ業界はしんどいす
  • wp-cli でアップデートかければいいじゃないの(無理)

slack のオススメアプリを教えてください

  • slack が解禁になったが有効活用できていない
    • 口頭ですませているのを全てslackにする
      • 「姫新線が止まってるので遅れます」とか流れてるよ
    • 普段のやりとりも載せる
    • 他の人の動きがみえる
    • チケット管理システムと連携させる
      • 詳細はチケット管理システムへ
      • チケットのレスをslackに流す
    • Incomming Hook(着信フック)や配信フックなど
    • チャットボットで定型処理ができる
    • CIサービスの結果を流す
    • 情報を基本的にslackに集める
    • vuls の脆弱性調査結果を流す
      • vuls 0.4 -> 0.5 で大きく変った?
      • go言語でビルドする
    • 半年くらいかかるが成果はでる。
    • 言い出した人が書くこと。
    • 専門の人のやりとりが楽。
    • なんとなくわかるようになる。
    • メールとは違って短くかく。短文。
    • 未決のものはSlackに流して、決まったことはチケット管理。

15:20

GUIで管理できる、DNSサーバーはありませんか?

翻訳して欲しい OSS ネタはないか?

トラブル事例のはなし

  • 製造工場と事務所の閉域網でネットワークが不安定になった
    • ルータに異常確認できず
    • キャリアのルータにも異常確認できず
    • 工場-キャリア間のルータで、時折tracerouteの遅延が確認できた
    • 工場のルータで、input方向だけエラーカウント激増(output方向はエラーなし)
      • 不正常なデータがルータに届いている模様
    • 10年選手のメディアコンバータが疑わしい->交換で解決(計画停電時に対応)
    • 交換後、キャリアより、工場のメディアコンバータ不良確認との連絡あり
      • キャリアは、交換前には収容局のメディアコンバータをチェックできても、工場側はできなかった可能性