銀座Rails#8を開催しました

銀座Railsの運営に先月から加わることになりました江上です。

去る2019/04/24(水)、リンクアンドモチベーション様の会議室をお借りし、銀座Rails#8を開催しました。

https://ginza-rails.connpass.com/event/121889/

当日の様子は、Togetterのまとめを御覧ください。

https://togetter.com/li/1341460

スポンサーセッション Forkwell様

いつもお世話になっているForkwell様より、前回に引き続き大学生インターンの中野さんが登壇されました。今回はビデオでのご参加でした。

Forkwellのポートフォリオ機能の紹介をしてくださいました。

また、Forkwell様のパートナーとしてSonyさんが仲間に加わったそうです。

これからさらにForkwellさんやSonyさんの名前をイベントで見かける機会が増えそうですね

https://forkwell.com/

Railsエンジニアのためのウェブセキュリティ入門(徳丸 浩さん)

徳丸本でお馴染みの徳丸浩さんから、Railsエンジニアのためのセキュリティのお話をしていただきました。

普段はPHPをメインで扱われている徳丸さんですが、今回はRailsのサンプルアプリを通じて、各種脆弱性の説明をしてくださいました。

RailsSQLインジェクションXSSCSRFは標準で対応してるものの、javascriptスキームやjsへの値の引き渡しでXSSが発生する事例や、

SQLインジェクションの実例をその場で実践していただきました。

他にも、OSコマンドインジェクションやDOM Base XSS、パスワードハッシュ化方式のお話など幅広くお話していただきました。

ハッキングの手法などにワクワクしつつ、自分たちのサービスで起きたときの事を考えてハラハラする、素敵な講義でした。

スポンサーセッション リンクアンドモチベーション

今回も開場提供ならびにゲストスピーカ招致にご協力頂いたリンクアンドモチベーション様。

RubyKaigiにもrubyスポンサーとして参加されたらしく、採用への本気度が伝わってきますね

https://www.wantedly.com/companies/lmi

その正規表現異議あり! 〜 ReDoSについて - (expaさん)

expaさんから、メールアドレスの正規表現によるvalidationを利用することでDoS攻撃を実現するReDoSという攻撃方法を紹介していただきました。

なんと、そのReDoSを防げるGem、reredosを公開してくれているので、ReDoS対策したい方はぜひ使ってみてください。

ReDoSに強いメールアドレスのvalidationを実装できます。

reredos: https://github.com/expajp/reredos

発表スライド: https://speakerdeck.com/expajp/sofalsezheng-gui-biao-xian-yi-yi-ari-redosnituite

SQLQLとは!? (yancyaさん)

SQLQLというGraphQLのようにhttpエンドポイントにSQLを送るとレスポンスとしてデータjsonが返ってくるという仕組みを作っているというお話をしていただきました。

現状のSQLQLはいくつかの脆弱性があるらしく、対応中とのことでした。

SQLなら学習コストも低いので、素晴らしい世界が開かれるかも

Rails6からreadonlyコネクションの定義が簡単になり、それにより防ぎやすくなる脆弱性もあるとのことなので、期待がかかりますね

発表スライド: https://www.slideshare.net/yancyajp/sqlql

障害対応で実施する3つのこと(梅本さん)

ジラフの梅本さんから、実際に障害対応に対面した経験から、自分ができたことできなかったことも含め、障害対応で実施することを3つ紹介いただきました。

・異常に早く気づくこと ・落ち着くこと ・対応を考える・実行する

と文章にすると平易ですが、すごく実感のこもった発表でほとんどの人がうなずいていました。

発表スライド: https://speakerdeck.com/umemotoryo/zhang-hai-dui-ying-deshi-shi-suru3tufalsekoto

次回、銀座Rails#9について

次回の銀座Rails#9は、 5/30(木) 19:00-21:30に開催します。ゲストトークは、RuboCopコミッター @koic(伊藤浩一)さんによる「RuboCop入門」です。 次回も勉強会の後、その場で懇親会も行います。参加者募集中ですので、お気軽にお申し込み下さい。

https://ginza-rails.connpass.com/event/128338/

最後に

今回は銀座railsはじめて、懇親会をの会場でそのまま執り行いました。以前より、「チューハイもあったほうがいいんじゃないか?」「ビールも他の種類あったほうがいいんじゃないか?」などの声があったため、試しにチューハイとハイボールを追加。ビールも他のものも用意してみました。

結果、ビールは以前のヤッホーブルーイングのよなよなエールなどが良さそう。チューハイ、ハイボールは1ケースくらいはあったほうが良さそうなことがわかりました。

今後もABテスト繰り返しながらよりよい会になるよう努めます。#8では冷やす時間が足りずよなよなエールを懇親会始まってから出すことになり申し訳ございませんでした。この場でお詫び申し上げます。