姫路IT系勉強会 2018.09
13:30
自己紹介
14:00
WordPressのバージョン気にしてますか
- 使える人が増えたが一方で技術力に差がある
- 最近のWPは自動的にバージョンアップしてくれるがプラグインはバージョンを自分であげてくれない
- Duplicatorプラグインに脆弱性 -> 改竄されまくり(プラグイン無効化ではWorkaroundにならない)
- Apacheでできることは全てリモートから実行できる
- 弊社の方でも急遽アナウンスとアップデート依頼流しました
- アップデートは誰がやるのか(少なくともWeb制作会社じゃない可能性)「ぱーみっしょん?なにそれ」
- WordpressのCodexさえ見てないレベルの低さ
- サーバを移行したらduplicateプラグイン要らないはず。どうして外してないのか
- そもそも管理画面のダッシュボードでアップデートは表示されるはず。それさえ見てないの
- 脆弱性チェックサイトもある
- 攻撃された後に対策しても治らないはなし
- WPはゼロディ攻撃が多い
- 脆弱性発覚直後、あるいはその前から攻撃が始まってたり
- プラグインの品質が玉石混交(過大なアクセス権要求とか)
- 最低限、WPの有名人の本のベスト100などから選択するべき
- Wordpress本当はいらないでしょ?
- (と言われると耳が痛い…)
- 運用保守に気を使って下さい
- WAFで守ってもらおうとすると、要求仕様にうまく合わせないと死ぬ
- 静的サイトに一部だけJavaScriptで動的にするだけで要件を満たせる
- Webアプリのパーミッション設定は適切に
- PHPerの単価低下と要求水準の高度化に挟まれたWebアプリ業界はしんどいす
- wp-cli でアップデートかければいいじゃないの(無理)
slack のオススメアプリを教えてください
- slack が解禁になったが有効活用できていない
- 口頭ですませているのを全てslackにする
- 普段のやりとりも載せる
- 他の人の動きがみえる
- チケット管理システムと連携させる
- 詳細はチケット管理システムへ
- チケットのレスをslackに流す
- Incomming Hook(着信フック)や配信フックなど
- チャットボットで定型処理ができる
- CIサービスの結果を流す
- 情報を基本的にslackに集める
- vuls の脆弱性調査結果を流す
- vuls 0.4 -> 0.5 で大きく変った?
- go言語でビルドする
- 半年くらいかかるが成果はでる。
- 言い出した人が書くこと。
- 専門の人のやりとりが楽。
- なんとなくわかるようになる。
- メールとは違って短くかく。短文。
- 未決のものはSlackに流して、決まったことはチケット管理。
15:20
GUIで管理できる、DNSサーバーはありませんか?
- POWERDNSのようなGUIのあるbindサーバー
- Ansibleなどで設定流しこみ
- DNSサーバーいる?
- 管理コスト
- コンプライアンスでクラウドが禁止されている
- GUIは確認用途に限定してはどうか
翻訳して欲しい OSS ネタはないか?
- 今までした翻訳
- git-cola 本体
- cppcheck マニュアルと GUIの一部 (指摘はそのまま)
- redmineのプラグインなど
- ありすぎて困りそう、いや困らないかも
- gitlabが英語なので、みんな使ってくれない
- https://zephir-lang.com/
- https://phalconphp.com/ja/ (日本語の翻訳ステータスは不完全)
- 翻訳が100%で承認が4%なので、githubのページに問合せた方がいいかもしれない?
- URLの末尾/ja/ のところは概ね不完全
- WordPrssのプラグインとかどうでしょう
トラブル事例のはなし
- 製造工場と事務所の閉域網でネットワークが不安定になった
- ルータに異常確認できず
- キャリアのルータにも異常確認できず
- 工場-キャリア間のルータで、時折tracerouteの遅延が確認できた
- 工場のルータで、input方向だけエラーカウント激増(output方向はエラーなし)
- 10年選手のメディアコンバータが疑わしい->交換で解決(計画停電時に対応)
- 交換後、キャリアより、工場のメディアコンバータ不良確認との連絡あり
- キャリアは、交換前には収容局のメディアコンバータをチェックできても、工場側はできなかった可能性