今年の4月に登壇者として参加したDEMODAYに、今回は見る側として参加してきました。

前回は登壇者目線でブログを書いたので、今回は観戦者目線で思ったことや、発表されたサービスについて書きました。

DIVE INTO CODEのDEMODAYってどんなイベント？という方や、DIVE INTO CODEに通った方は実際にどんなwebアプリケーションを作れるようになったの？という方の参考になれば嬉しいです。

こちらはサービスプレゼン中の写真です。

熱気がすごい！

• 1. DEMODAYとは？
• 2. 発表していただいた5つのサービスの紹介
  • 2-1. Asuraku
  • 2-2. KDN家電を買い叩け
  • 2-3. Beaper
  • 2-4. にほんごきょうしのほしいもの。
  • 2-5. ICHIOSHI
• 3. 観戦者として参加して思ったこと
  • サービス開発へのモチベーションアップ
  • すごくいい機会・いいイベントだと思った
• 4. おわりに

1. DEMODAYとは？

DEMODAYとは、僕が通っていたプログラミングスクール「DIVE INTO CODE」が主催する、スクール受講生が起業家、CTO、一般の方々の前で自分の作ったwebサービスをプレゼンし、その場で実際に使ってもらうイベントです。

第5回となる今回は、80名の方が来場し、渋谷ヒカリエのレバテックのおしゃれなオフィスで開催されました。

diveintocode.doorkeeper.jp

（こちら公式のイベント概要ページです）

2. 発表していただいた5つのサービスの紹介

僭越ながら、発表いただいたサービス5つ全てを紹介させていただきます。

2-1. Asuraku

https://asuraku.herokuapp.com/

オンラインで運動の基礎が学べるサービスで、「筋トレ版Progate」と紹介していました。

このように教材もしっかり作り込まれており、コンテンツが充実したら是非使ってみたいな、と思えるサービスでした。

このサービスのキモはコンテンツの質だと思ったので、どのように質を担保するのかを質問したところ、実際にトレーナーの方が作ることによって質を担保しているとのことでした。

〇〇版Progateのようなオンライン教材は、とても素晴らしい着眼点だと思いました。

2-2. KDN家電を買い叩け

https://buy-a-receipt.herokuapp.com/

家電を買い叩くのが苦手な方のために、他の人が実際に買い物したレシートを共有して、それを使って家電を買い叩こうというサービスです。

JavaScriptを使って、画像アップロード時に隠したい情報を黒塗りすることができるなど、難しい技術も使って実装しており、会場からは技術的な質問も多かったです。

技術的にもう一歩踏み込んで文字認識機能があったら、とっても便利なサービスになりそうだな、と思いました。

2-3. Beaper

https://stormy-everglades-19869.herokuapp.com/

助けを必要としている人と助けたい人を繋げるマッチングサービスです。

自身が怪我をしていた時の体験談からプレゼンが始まり、とても引き込まれました。

原体験から生み出されたサービスいいですよね。

高齢者がビーコン端末を押すと、近くのユーザーにLINE通知される、というシステムを実装していました。

アイデアも素晴らしく、それを実際に形にされていて本当にすごいと思いました。

ビーコン端末の値段と高齢者にどのように普及させるかを質問したところ、端末は2,000円程度で、ボランティア団体を巻き込んで普及させていきたいとのことでした。

是非普及させて優しい世界を作っていって欲しいです。

こちらのサービスが審査員賞１つと最優秀賞を受賞しました。

2-4. にほんごきょうしのほしいもの。

https://nihongokyooshinohoshiimono.herokuapp.com/

日本語教師の教材用のリアルな日本語を集められたり、日本語教育について相談できるサービスです。

作られた方が外国の方に日本語を教えている方で、自分が欲しいものを形にされていてすごいです。

既存で使いやすいサービスが無いという課題を当事者として持っており、実際に普及しそうだと思いました。

フォントも可愛くて素敵です。

こちらのサービスが審査員賞を2つ受賞しました。

2-5. ICHIOSHI

https://murmuring-gorge-36052.herokuapp.com/

買って良かったものを投稿する実名制のレビューサイトです。

本当に良いものを人からのおすすめで見つけるというコンセプトに共感しました。

商品検索機能はあえて付けずに、商品との偶然の出会いも大切にしているという考え方も面白かったです。

実際に使われているサービス顔負けのUIですよね。すごいです。

こちらのサービスが審査員賞を1つ受賞しました。

3. 観戦者として参加して思ったこと

サービス開発へのモチベーションアップ

自分の作ったサービスの素晴らしさ、世界観を真剣にプレゼンしている姿を見て、めちゃくちゃサービスが開発したくなりました。

多分みんなそう感じてると思います。 

すごくいい機会・いいイベントだと思った

前回登壇した時も思いましたが、改めていいイベントだな、と思いました。

自分が作ったサービスを80人の前でプレゼンする機会なんてなかなか無いですよね。 

半年毎に開催されているので次回はおそらく来年の4月なのですが、次回是非また参加したいです、、！

4. おわりに

とってもいい成長機会になるので、DIVE INTO CODE受講生、卒業生の方は是非、チャレンジしてみてください！！

参考として、前回僕が登壇した時の記事はこちらです。

ysk-pro.hatenablog.com

DIVE INTO CODEを卒業した時に書いた記事がこちらなので、ご興味ある方はご覧ください。

ysk-pro.hatenablog.com

サービス開発楽しみましょう！！

はじめに

最近、会社で徳丸本（体系的に学ぶ 安全なWebアプリケーションの作り方 第2版）の勉強会が始まりました。

毎週持ち回りで発表していく形式で、僕の発表するパート（クッキー出力にまつわる脆弱性）についてまとめたので、ブログにも載せようと思います。

会社での勉強会の雰囲気などはこちらの記事をご覧ください。

www.wantedly.com

ちなみに、徳丸本というのはWebアプリケーションのセキュリティに関するめちゃくちゃ有名な本です。 

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版［リフロー版］　脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2018/09/20
• メディア: Kindle版
• この商品を含むブログを見る

 

• はじめに
• サマリー
• クッキーの不適切な利用について
  • クッキーに保存すべきでない情報とは？
  • クッキーよりセッション変数を使うべき理由
• クッキーのセキュア属性不備による脆弱性
• 脆弱性が生まれる原因（クッキーにセキュア属性をつけない原因）
• 覚えておくべきこと
• おわりに

サマリー

- Webアプリケーションではクッキーによるセッション管理が広く使われている

- クッキーにまつわる脆弱性

  ① クッキーを利用すべきでない目的でクッキーを使っている
  【対策】クッキーはセッションIDの保管場所として利用すべきで、それ以外のデータをクッキーに保存しない方が良い

  ② クッキーの出力時に脆弱性が発生する（クッキーのセキュア属性不備）
  【対策】HTTPS通信を用いるアプリケーションのクッキーにはセキュア属性を指定する

クッキーの不適切な利用について

Webアプリケーションで、ページをまたがる情報を保存する方法としては、セッション管理機構が用いられる。

一般的にセッション管理機構は、セッションIDのみをクッキーに保存して、データ自体はWebサーバーのメモリやファイル、データベースなどに保存している。

クッキーはアプリケーション利用者によって書き換えができるため、クッキーに保存すべきでないデータをクッキーに保存すると、脆弱性が発生する場合がある。

クッキーに保存すべきでない情報とは？

ユーザIDや権限情報

これらは書き換えられると困る情報である。

これらの情報をクッキーに保存していると、権限外の操作や情報閲覧ができてしまう場合がある。

クッキーに保存すべきでない情報以外であっても、一般的にクッキーにデータを保存しない方が良い。

クッキーよりセッション変数を使うべき理由

セッション変数の方が便利で安全に使用できるため、通常はセッション変数を利用すべきである。

ただし、クッキーで実現できてセッション変数で実現できないのは、情報の寿命の制御と、異なるサーバーとの情報共有のみであり、これらが必要な場合はクッキーを利用する。

異なるサーバーでの情報共有のクッキーの使用例としては、ログイン画面の「ログイン画面を保持する」という機能がある。この機能はクッキーによりログイン状態が保持される。この時、クッキーに保存される情報はトークンという乱数で、IDやパスワードをクッキーに保存するわけではない。

クッキーにデータを保存する方法とセッション変数を使う方法の比較は下表の通り。

クッキーのセキュア属性不備による脆弱性

クッキーにはSecureという属性があり、これを指定したクッキーはHTTPSの場合のみブラウザからサーバーに送信される。

クッキーにはセッションIDなどセキュリティ上重要な情報が格納されている場合が多いので、クッキーが盗聴されると成りすましの被害に直結する。

クッキーのセキュア属性不備への対策は、クッキーのセキュア属性を設定することである。

脆弱性が生まれる原因（クッキーにセキュア属性をつけない原因）

• 開発者がセキュア属性について知らないケース

• セキュア属性をつけるとアプリケーションが動かなくなるケース
• HTTPとHTTPSが混在するWebアプリケーションの場合、セッションIDを保持するクッキーにセキュア属性を設定することは困難である。セッションIDのクッキーにセキュア属性をつけると、HTTPのページではセッションIDのクッキーが受け取れないため、セッション管理機構が使えなくなってしまう。サイト全体をHTTPSにするのが難しい場合、トークンを用いて対策する方法もある。

覚えておくべきこと

• クッキーはセッションIDの保管場所として利用すべきで、それ以外のデータをクッキーに保存しない方が良い

• HTTPS通信を用いるアプリケーションのクッキーにはセキュア属性を指定する

おわりに

この本は一度通して読んでいるのですが、勉強会で自分が発表するために読み直してまとめると、より理解が深まりました。

会社で勉強会を行なっているように、実務ではセキュリティの知識は必須なので、セキュリティに関して自信が無いという方は是非こちら読んでみることをおすすめしますー！ 

体系的に学ぶ 安全なWebアプリケーションの作り方 第2版［リフロー版］　脆弱性が生まれる原理と対策の実践

• 作者: 徳丸浩
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2018/09/20
• メディア: Kindle版
• この商品を含むブログを見る

 

毎週 １冊技術書を読んでブログでアウトプットするチャレンジの第８弾ですー！

今回は、現場で使えるMySQL を読んでまとめました。

MySQLを現場で使うための知識を、分かりやすく解説している技術書です。

現場で使える MySQL (DB Magazine SELECTION)

• 作者: 松信嘉範
• 出版社/メーカー: 翔泳社
• 発売日: 2006/03/17
• メディア: 単行本
• 購入: 9人 クリック: 103回
• この商品を含むブログ (45件) を見る

 

• Chapter1 MySQLの概要と環境構築
• Chapter2 データ型とSQL
• Chapter3 テーブル定義
• Chapter4 トランザクション
• Chapter6 日本語処理
• Chapter8 アーキテクチャ／ファイル構成
• Chapter9 ユーザ管理／セキュリティ
• Chapter10 バックアップ／リカバリ（前編）
• Chapter11 バックアップ／リカバリ（後編）
• Chapter12 レプリケーション
• Chapter13 パフォーマンスチューニング（前編）
• Chapter14 パフォーマンスチューニング（後編）
• おわりに

Chapter1 MySQLの概要と環境構築

• データベース領域：インスタンスと1対1に対応した、データベースの物理領域。1つのデータベース領域の中に複数のデータベースが格納される
• 権限データベース：mysqlという名前のデータベース。インスタンスへ接続するためのユーザー情報や、各データベース、テーブルにアクセスするための権限情報が複数のテーブル内に格納されている
• 初期パラメータファイル：インスタンスの使用メモリやサイズやファイル配置などを決めるためのファイル
• MySQLユーザー：MySQLインスタンスに接続するためのDBアカウント

Chapter2 データ型とSQL

• データや値の範囲チェックはアプリケーション側の責任であるという考え方に基づいて実装されている。例えば、どのデータ型でも、範囲を超えた値を格納しようとしてもエラーにはならず、削られたり最大値や0に変換されたりするので注意が必要
• 文字列型で最大長を超える文字を格納しようとした場合、オーバーした部分は削られた上で正常終了する
• ソートや文字列比較において、デフォルトでは半角英字の大文字／小文字を区別しない
• 数値型のNUMERIC型は、NUMERIC(p,n)という形で定義され、pは全体の有効桁数、nは小数点以下の有効桁数を意味する。p,nどちらも指定しなかった場合、NUMERIC(10,0)となる
• 日付／時刻型としては、YEAR/DATE/TIME/DATETIME/TIMESTAMPの5種類がある
• 列挙型とは、あらかじめ復すの文字列値を定義しておいて、その中からしか選択できないようにするためのデータ型で、ENUMとSETの2種類がある。ENUM型は定義値の中から1つのみ選択できて、SET型は複数選択できる

Chapter3 テーブル定義

• 主なストレージエンジンとその特徴
• • MyISAM：非常に高速。ただしトランザクションに対応していないため、ロールバックできないことやインスタンス障害時にデータが消失するおそれがある
  • InnoDB：トランザクション機能、インスタンス障害時の自動リカバリなどをサポートしている。通常はMyISAMより低速で、より多くのディスク領域を必要とする
• 整合性制約
• • 主キー制約：制約対象列にNULL値を入れないことと、値が重複しないことを保証する。これにより、制約対象列の値からテーブル内の行を一意に識別できる
  • 一意キー制約：制約対象列の値が重複しないことを保証する。NULL値は格納でき、NULL値同士は異なる値であると見なされる
  • 参照整合性制約（外部キー制約）：子テーブルの制約対象列の値が、親テーブルの参照キーに含まれていることを保証するもので、子テーブルに定義する。利用するためには、親テーブル、子テーブルともInnoDBである必要がある
• シーケンス：連続的な整数値を生成するオブジェクト。シーケンスから得られる数値のことをシーケンス番号、連番などと呼ぶ。一般的に、同一のシーケンスから得られるシーケンス番号は重複しないため、テーブルの主キーや一意キーとして使用されることが多い

Chapter4 トランザクション

• 自動コミット機能：この機能を有効にするか無効にするかによって、トランザクションの開始／終了の方法が変化する
• • 有効にした場合：トランザクションは単一のSQL文を実行した時点で自動的に、または、START TRANSACTION文によって明示的に開始する。START TRANSACTION文を実行していない場合は、単一のSQL文が実行された時点で自動的にコミットし、ロールバックできない。一方、START TRANSACTION文を実行している場合は、単一のSQL文が終了しただけではコミットせず、COMMIT文を実行した時点ではじめてコミットする。また、ROLLBACK文を実行するとロールバックする
  • 無効にした場合：トランザクションは、SQL文の実行によって暗黙的に、またはSTART TRANSACTION文で明示的に開始する。いずれの場合も自動的にコミットしない。COMMIT文を実行した時点でコミットし、ROLLBACK文を実行した時点でロールバックする
• デフォルトでは自動コミット機能が有効となっている
• ロックとは、複数のトランザクション間での排他制御を実現するための仕組み。InnoDBでは、テーブルの行（レコード）単位でロックをかけられる。
• フルスキャンはすべての行にロックがかかってしまうため、インデックス検索させるべきところにはきちんとインデックスを作成すべき
• デッドロックは即座に検出される

Chapter6 日本語処理

• クライアントとサーバーの文字コードをすべてutf8に統一できる環境ならば問題はないが、そうでなければ様々な注意事項が存在する

Chapter8 アーキテクチャ／ファイル構成

• インスタンス：MySQLサーバー側で動作するプロセス／スレッド群と、それらが使用するメモリの総称
• MySQLは、複数のクライアント側プロセスと1つのサーバー側プロセス「mysqld」で構成される。多くのRDBMSがマルチプロセスで動作するのとは対照的に、MySQLのサーバー側はマルチスレッドで動作する
• プロセスとは、UNIXコマンドで言えばcatやlsといった個々のプログラムの実行単位である。OS上の各プロセスには、それぞれの固有のメモリ空間が割り当てられる。一方スレッドとは、簡単に言えば1つのプロセス内で並行処理を行うためのものである。スレッドはプロセスの内部で生成され、プロセスのメモリ空間を共有する
• ストレージエンジンはアプリケーション側から隠蔽されている。アプリケーション側から発行するSQL文は、インスタンス側で動作するパーサーと呼ばれるプログラムによって解析され、どのインデックスを使用するか、といった実行計画が作成された上で、はじめて対象のストレージエンジンに処理が渡る。アプリケーションから見ると、ストレージエンジンが変わったとしても、発行するSQLが変わるわけではない

Chapter9 ユーザ管理／セキュリティ

• MySQLにアクセスするにはまず認証を行う。認証とは、アクセス元が本人に間違いないことを確認することで、ユーザ名・アクセス元のホスト名／IPアドレス・パスワードの3つで認証する
• OSユーザーとは別にMySQLユーザーという概念があり、MySQLインスタンスにアクセスする際に使用する。管理者ユーザーという特別なユーザーもあり、デフォルトではrootという名前になっている。MySQLユーザーは認証や権限管理のために存在する
• 権限は、グローバル（全体）、データベース、テーブル、列の4種類ごとに設定する
• 発行されたすべてのSQL文をファイルに記録する機能があるため、監査機能として使うことができる

Chapter10 バックアップ／リカバリ（前編）

• バックアップ方法
• • コールドバックアップ：インスタンスを停止した状態で全体バックアップを取得する方法。したがって、バックアップの最中はインスタンスに対して一切アクセスできない。tarやcpなどのOSコマンドで取得する。
  • オンラインバックアップ：インスタンスを起動した状態でバックアップを取得する方法。
• バックアップ／リカバリの基本的な流れは、バックアップ→メディア障害発生→リストア→リカバリである。
• • メディア障害とは、ディスクの故障やオペレーションミスなどにより、MySQLの実データが失われる障害のこと
  • リストアとはバックアップの時点まで復旧すること
  • リカバリは障害直前の時点まで復旧すること

Chapter11 バックアップ／リカバリ（後編）

• MySQLのオンラインバックアップでの定番は「mysqldump」。データベース領域全体でも、テーブルやデータベース単位でもバックアップでき、バックアップデータはテキスト形式で、SQL文がそのまま記述される。MySQLにインスタンスに接続→バックアップ対象のすべてのテーブルに対しSELECT文を実行し、テキスト形式で出力→すべてのバックアップが終了したら接続を終了、という流れで動作する

Chapter12 レプリケーション

• レプリケーションとは、テーブルなどの各種オブジェクトの複製を他のサーバー上に生成するという技術。レプリケーションによって、負荷分散と可用性の向上を実現できる
• 1台のマスターに対して更新を行うと、複数のスレーブにも同じ更新結果が反映される。検索は基本的にスレーブに対して行えばよいので、検索の負荷分散になる
• レプリケーションは、スレーブにバックアップ機としての役割を持たせることによって、バックアップ／リカバリの手段としても利用できる
• マスターに障害が発生した場合は、スレーブをマスターに昇格させてサービスを継続することで、サービス停止時間を短くすることができる

Chapter13 パフォーマンスチューニング（前編）

• RDBMSのチューニングは単体チューニングとシステムチューニングの2つに大別できる
• 単体チューニングとは、個々のSQL文の実行性能を改善する作業のことで、具体的にはインデックスの作成やSQL文の修正、アプリケーションロジックの見直しによるSQL発行回数を減らすことが含まれる
• システムチューニングとは、システム全体の観点から、MySQLの初期化パラメータやOSのカーネルパラメータの設定を行うことが含まれる
• 単体チューニングでは下記2つの手段を組み合わせる
• • スロークエリログから、実行時間の長いSQLや非効率なフルスキャンを行なっているSQL文の特定
  • 上記SQL文の実行計画をEXPLAIN文で確認し、必要に応じた改善

Chapter14 パフォーマンスチューニング（後編）

• 基本的にデータ型は使用バイト数が少ないデータ型を選ぶことを心がけると良い。そうでないと、ファイルサイズが大きくなるだけでなく、多くのI/Oが発生するため性能面でも悪影響がある
• SELECT／UPDATE／DELETE文のWHERE句で指定する列に対しては、インデックスを定義することでフルスキャンを防ぐのが一般的である。ただし、インデックスを作ると更新時にオーバーヘッドがかかることに注意する
• バルクINSERT文とは、1つのSQL文で複数のレコードをまとめてINSERTする構文であり、通常のINSERT文を繰り返すのに比べ、大きな性能向上が図れる
• テーブルのレコードデータをすべて削除する場合は、「DELETE FROM テーブル名;」よりも、「TRUNCATE TABLE テーブル名;」の方がはるかに高速

おわりに

ここまで読んでいただきありがとうございます。

現場で使える MySQL (DB Magazine SELECTION)

• 作者: 松信嘉範
• 出版社/メーカー: 翔泳社
• 発売日: 2006/03/17
• メディア: 単行本
• 購入: 9人 クリック: 103回
• この商品を含むブログ (45件) を見る

 

次もMySQLに関する技術書を読む予定です。

来週も頑張ります！

みなさん、「あれ買わなきゃ！」って思った時どうしていますか？

（例：家のトイレで「あ、トイレットペーパーラスト１つやんけ、買わなきゃ」の時）

僕はevernoteにメモったり、可能な時はその場でポチったり、今日の帰り道に買うぞって思って結局忘れちゃったりしています。

みなさんがどうしているか気になったので、Twitterアンケート取ってみました。

（協力いただいた方ありがとうございます）

皆さん、「あれ買わなきゃ！」って思った時どうしていますか？
（例）家のトイレで「あ、トイレットペーパーラスト１つやんけ、買わなきゃ」の時

サービス開発の参考にしたいです、、、！
選択肢以外の場合はコメントで教えていただけると大変嬉しいです。

— ゆうすけ@Railsエンジニア (@ysk_pro) 2018年8月19日

みなさん同じような感じですね〜、記憶に頼ってる方が一番多い、という感じですね。

皆さんが常に使ってるアプリ、LINEでお買い物メモ取れたら便利じゃないですか？

さらにもう一つ。

買う商品ってどうやって選んでますか？

選ぶ時間が勿体無いので、僕はほとんどAmazonのランキング1位を何も考えずに買っちゃいます。

お買い物メモで、リストを表示するときにAmazon（or 楽天）の1位の商品とリンクを返してくれたら便利じゃないですか？

この2つを組み合わせてLINE bot作っちゃいました。

↓こちらの動画を見れば、使い方が分かると思います。

【お買い物メモ LINE bot 新機能追加！】
先週作成したLINE bot に「楽天版も欲しい」との意見をいただいたので

検索対象を切り替えられる新機能を追加しましたー！

「楽天」、「Amazon」と送信すれば簡単に切り替え出来ちゃいます！

お友達追加はこちらからできますー！↓https://t.co/gOuNjtbA1E pic.twitter.com/Y89z4La1Xi

— ゆうすけ@Railsエンジニア (@ysk_pro) 2018年8月25日

使い方はとてもシンプルです。

・「買わなきゃいけないもの」を送信するとLINE botが覚えてくれます

・「リスト」と送信するとそれまでに送信した買わなきゃいけないものリストとそれぞれのAmazon or 楽天のランキング1位の商品を返してくれます

・「Amazon」or「楽天」と送信すると検索対象を切り替えられます

・「クリア」と送信するとリストの中身を全て削除できます

買わなきゃいけないものをよく忘れちゃう方、evernoteなどにメモしているけどちょっとめんどくさいな、と感じている方、是非一度使ってみてくださいー！

↓こちらのボタンから簡単にお友達追加できます！

また、作り方をまとめたチュートリアルを作成したのでご興味あればぜひご覧くださいー！

note.mu