やっつけ不定記

好きなときに好きなことをちゃっちゃと書いてます

オワスプナイトカンサイ 2021.11 ~少し早めの忘年会~

IT

表記イベントに参加してみました。
https://owasp-kansai.doorkeeper.jp/events/129014
(おうちだけど)帰ってからレポるまでがイベントなので、ざっくりですが、まとめてみます。

(1)CODE BLUE裏話
Withコロナ時代のオンオフハイブリッド開催に伴う裏話。

  • CODE BLUEはセールスピッチ禁止で、物好きがしゃべるイベント。このため毎回が「奇跡」
  • コロナ禍が変えたこと
    • オンラインイベントはこれまでのイベントノウハウや勘所が通じず、放送業に近い(映像では沈黙は事故になる)
    • 活動諦めたコミュニティも多数
      →海外系はぼちぼちオフラインイベント始まるかも(国際系除く)
  • よくありそうな質問
    コロナ禍でのイベント開催に置いて聞かれそうなことを10個出して、それへの回答と背景を説明。セキュリティに限らず、どこのイベントでも課題は一緒ですね・・・
  • 国内の出来事と対比して、BLUE INC.周りの出来事を時系列で紹介
    • コロナ禍でCFP自体減ってる(BLACK HATも)
    • 感染症専門医を交えることができた
  • これからのこと
    • 勇気というより覚悟(リスクを十分に把握してそれを回収できるか)
    • すべてはつながっている


(2)OWASP ASVSを使って認証のセキュリティチェックをしてみよう

  • 認証のセキュリティチェックと聞くと漠然とした難しそうな雰囲気
    →今回は脆弱性診断の中でも「仕様がセキュリティ上あるべき姿になっているか」が対象。
  • 認証の仕様に求められるセキュリティ要件
    パスワード、パスワードリカバリ、多要素認証、秘密の質問など、考慮すべきことが多くある
    →ASVS(OWASP Application Security Verification Standard ja)
    →本日時点では4.0.3が最新の翻訳版
    →セキュアなアプリケーションの定義、ビルド、テスト、懸賞に使用できるアプリケーションセキュリティ要件またはテストのリスト。項目:V2が認証に相当。
  • OWASP Webアプリセキュリティ要件定義書との棲み分け
    • ASVS:OWASP
      →技術者寄り
    • 要件定義書:ISOG-Jが推進しているプロジェクト
      →発注者のチェックリスト

(3)CMSでの「XSS to RCE」を触ってみた

  • 本件のきっかけ
    Hardening対策をしている中で「Webアプリの管理画面にCMSが多いのかな?」と考えた。
    EC-CUBEでの脆弱性を掘り下げてみたところ、「XSSからWebShellの配置」ってどういうことだろうと思い、CMSでの「XSS to RCE(Remote Code Execution)」つまり、XSSとRCEを使ってWebシェルを置く方法に行きついた。
  • WebShell
    • ブラウザを介してWebサーバ上での任意のコマンドを実行できるようにしたバックドア
    • CMSはテンプレート上でPHPそのものを書ける。つまり、Webシェルも書ける。
    • 攻撃者視点
      どうやって悪意のあるコンテンツを置くか?(権限のあるセッションを使ってHTTPリクエスト送信ができるか?)


(4)もう見ましたか?OWASP Top 10 2021

  • OWASP Top 10 2021のコンセプト
    • トップ10は主に意識向上を目的とした文書、出発点に過ぎない
    • 関西名物で例えるならどろソース
      →「たこやき」は重要アイテム

知らずに使うのは怖い

IT

親のスマホに入っているSDカードに不具合を示す画面が表示されて
「訳が分からん」と言われたので、いろいろと調べていました。
SDカードはPCにつないだらデータの復元ができたので、念のため
別メディアへのバックアップを行って事なきをえたのですが、問題はその後。

関連してGoogleアカウントの状態を調べたりしていると、知らないうちに
それなりのGoogleドライブを食っていました。
満杯になるのはまだまだ先ですが、無料枠の制限があることはもちろん、
Googleアカウントが何かすらもわからないという状態でした
(話してて全くかみ合わなかった)。

キャリアの店で買ったスマホなのですが、機種説明は受けるものの、
こういう部分の説明ってないんかな?
私はだいぶ前にSIMフリーに移行してて慣れてしまってるので、
その辺の感覚がよくわからず。

<戦利品>
往け(LiSA)
明け星/白銀(LiSA)
虹が架かるまでの話(堀江由衣
見えないからね!?/ミタナ?ミタヨネ??ミテルヨネ???(四谷みこ(CV:雨宮 天))
冷めない魔法(東山奈央
ケアレス(ClariS

PCエンジンミニお迎え

日記 ゲーム

11月7日のチキンレース
https://chocopurin.hatenablog.com/entry/2021/11/07/212016
の景品が到着しました。PCエンジンミニです。

最速8日着だったのですが、こちらの予定が合わず、本日着にしていました。
1年前にポータブルモニターLCD
https://chocopurin.hatenablog.com/entry/2020/10/22/202404
https://chocopurin.hatenablog.com/entry/2020/10/25/213333
を購入して原盤をHDMI対応させてはいましたが、
ゲーム機の方が古いだけに保険が欲しいと思っていたところでした。
これで何かあっても、ある程度は精神的ダメージを抑えることができます。

ミニ注文後も適宜価格状況を見ていたのですが、35%以上だった割引率が
本日AM時点で24%とかなり縮小。
この記事を書き始めた22:30頃にチェックしてみると、完売してしまったのか
既にマーケットプレイス値段になっていました。
自分が購入したのは底値+6円の時点。
我ながら、今回の決断は二重丸。

f:id:chocopurin:20211109231440j:plain

f:id:chocopurin:20211109231446j:plain f:id:chocopurin:20211109231443j:plain



チキンレースやってみた

ゲーム 日記

この数日、とある復刻レトロゲーム機の新品がえげつない値崩れを起こしています。
ゲーム機の原盤を保有していますが、ン十年ものなので予備機で押さえておいてもいいかなと、
かなり気にしていました。

2日前の時点で定価の35%引きくらいだったのが、今日の夕方の時点で38%割引。
TLや実況サイトも様子見してみると、みんな底値の探り合い。いわゆるチキンレース状態です。
自分も相当迷ったのですが、この記事を書く30分前の時点で1円ですが値上がりしているのを検出。
いずれ買うつもりだったし、欲しいと思ったときが買い時と判断して注文しました。
後は到着を待つのみです。

・・・という内容を書き上げたのですが、アップロードする前に
一応サイト確認したら、また5円下がってる(苦笑)

<戦利品>
藤本タツキ短編集「22-26」
16bitセンセーション(2)私とみんなが作った美少女ゲーム

ソードアート・オンライン プログレッシブ 星なき夜のアリア

日記

劇場版SAOの最新作の舞台挨拶回を見てきました。
https://sao-p.net/
公開から1週間ですが、これのためにSAO関連は半ば情報を遮断していました。

本編は90分程度ですが、テンポが非常によく体感30分くらい。
TV放送のアスナ視点なので、大まかなストーリーを知っているとはいえ、
鑑賞中は真の主役登場まだかまだかと何回思ったことか。

座席運がよかったのか、舞台挨拶はステージすぐ近く。めちゃんこよく見えました。
戸松さんは過去にイベントライブか別の舞台挨拶で見た記憶がありますが、
松岡さんを生で見たのはおそらく初めてだと思います。
オーディナル・スケールのときに舞台挨拶全国行脚をされていた話が出たのですが、
今聞いてみると、スケジュール感ブラックすぎるやろw
そして、ストーリー的には奇しくも今日がSAO発売のちょうど1年前とのこと。
次回作公開するなら、来年の今頃ですかね。

f:id:chocopurin:20211106222054j:plain

f:id:chocopurin:20211106222138j:plain

f:id:chocopurin:20211106222108j:plain

f:id:chocopurin:20211106222212j:plain

f:id:chocopurin:20211106222058j:plain

f:id:chocopurin:20211106222118j:plain

f:id:chocopurin:20211106222121j:plain

f:id:chocopurin:20211106222123j:plain

f:id:chocopurin:20211106222127j:plain

せっかくなので、自分もオーディナル・スケール鑑賞時の記録を眺めてみたのですが、
それなりに無茶なスケジュールこなしてたようです^^;
https://chocopurin.hatenablog.com/entry/20170225/1488039700
https://chocopurin.hatenablog.com/entry/20170302/1488462860
https://chocopurin.hatenablog.com/entry/20170312/1489327647
https://chocopurin.hatenablog.com/entry/20170409/1491749906
ていうか、LiSAさんのライブを無料で見られたなんて、今では考えられんw

劇場でのついでチェックはこんな感じ。

f:id:chocopurin:20211106222132j:plain

f:id:chocopurin:20211106222104j:plain

f:id:chocopurin:20211106222115j:plain

特に日本で一番有名なグループの作品がモロ被りしており、
劇場の人出のカオスっぷりハンパなし。

f:id:chocopurin:20211106222111j:plain

個人的にはこれが気になってたり。イエローとブルーがトンデモブレイクしましたが、
ちゃんと戦隊ヒーローとして帰ってきてくれるのは嬉しい限り。

f:id:chocopurin:20211106222141j:plain

ここからはたまたま通り掛かったノーマークシリーズ。こんなとこにもSAO。
https://twitter.com/sao_hands
https://saohands2021.com/

f:id:chocopurin:20211106222217j:plain

書店にはエヴァンゲリオン。店舗入口にカヲルくんを配置したのは確信犯としか。
https://www.eva-info.jp/15363
https://store.kinokuniya.co.jp/event/1635052958/

f:id:chocopurin:20211106222145j:plain

f:id:chocopurin:20211106222156j:plain

f:id:chocopurin:20211106222159j:plain

f:id:chocopurin:20211106222204j:plain

f:id:chocopurin:20211106222207j:plain

f:id:chocopurin:20211106222150j:plain

鉄板ミートソース旨すぎ。

f:id:chocopurin:20211106222101j:plain

AWSの基礎を学ぼう 温故知新編 基本サービスをみんなで触ってみる DynamoDB

IT

表記イベントに参加していました。
https://awsbasics.connpass.com/event/225581/

通常は月曜と土曜に開催され、特に土曜日は新サービス系のハンズオンなのですが、
今回は試しにメジャーなサービスをハンズオンするという趣向です。
もともと歩留まりの悪さがこのイベント自体の課題となっており、
温故知新編は歩留まり50%を切ったら次回開催がないという条件付きです
(50%超えたようなので、次回はある模様)。

内容はいつもの土曜日と少し違って、Googleフォームの無記名アンケートからスタート。
DynamoDBは情報が世の中に氾濫しすぎてて、実際に利用者は何が届いてて
何が届いていないのかを把握したいとのこと。
個人的にメジャー系の公式ハンズオンが減ってるなと薄ら思っていたのですが、
やっぱりみんなそうだったのね。

本編は座学の後、
https://aws.amazon.com/jp/getting-started/hands-on/create-manage-nonrelational-database-dynamodb/
に従ってハンズオンを進めて、最後にLTという流れでした。

こちらのスペックは、DynamoDBは月曜日の講義である程度見聞きしている程度で、
RDS,Aurora,DynamoDBの違いがやっとわかり始めたかどうかというところ。
以下、いつも通り技術的な詳細は誰かが書いてくれると信じて、自分はわからんなりに
質疑応答とハンズオン中の留意点で拾えた分をメモしてみます。

[座学]

  • DynamoDBは費用の見積が難しい
    RDSやEC2はCPUやメモリで課金されるのに対して、DynamoDBは割り当てられる読み書きのキャパシティに応じて課金される。
    →オンデマンドにするとよい
  • NoSQLはRDB以外すべてを指し、明確な定義はないため、NoSQLの話題を扱うときはどの文脈(キーバリューことなのかなど)で話がなされているのかを識別する必要がある
  • インデックス必須。これがないと検索対象になってくれない。ただし、インデックスを作っただけでキャパシティを消費する。なんでもかんでもインデックス貼ればいいもんでもない

[ハンズオン]

  • リージョンはバージニア北部前提
  • 環境構築時のBoto3インストールはpipではなくpip3コマンド読み替えること
  • create_table.pyの実行には10分弱程度の時間がかかる(多くの人が同時に実施したため?)
  • update_item.pyの冒頭に下記を入れること
import boto3
dynamodb = boto3.resource('dynamodb', region_name='us-east-1')
table = dynamodb.Table('Books')

[LT]

  • DynamoDBとLambdaの話
    DynamoDB DataMapper※を使えばAPIの制限(putが25件、getが100件)を超えたときの
    リトライ処理を楽に書けそうとのこと。

※これのことっぽい
https://awslabs.github.io/dynamodb-data-mapper-js/packages/dynamodb-data-mapper/

[質疑応答]

  • プロビジョンドにするといいケースってどんなときなのでしょうか?
     →あまりない。大規模にDynamoDBを使っているとオンデマンドが
      追い付かなくなることがある(サポートにアドバイスを求めるべし)
  • 25件のリミットというのはハードリミットで引き上げ不可なのでしょうか
     →あかんぽい

[その他]
https://www.slideshare.net/AmazonWebServicesJapan/20170809-black-belt-dynamodb

Get up! Shout!

音楽 日記

水樹奈々さんの新曲の店着日。いわゆるフラゲ日です。
しばらく前に予約していたので、気にするのは青い店営業時間内にゲットできるか。
閉店間際になって焦らないよう、今日の予定は数週間前からセッティング済み。
特に困ることなく救出することができました。

年明けのライブは現地参加したいのは山々ですが、その頃の世の中の状況は全く不透明。
宿の予約はまだ残していますが、今回は後日公開の配信版の選択が濃厚です。

f:id:chocopurin:20211026221818j:plain

f:id:chocopurin:20211026221821j:plain

<戦利品>
Get up! Shout!(水樹奈々
ウチは別れて暮らしてる(1)
未熟なふたりでございますが(10)
聖樹のパン(12)