こんにちは、Watanabeです。

ニフティ株式会社さんが主催する勉強会「超入門 ここから始める開発環境」に参加しました！

「超入門」とタイトルに書かれてるくらいだったので、意を決して初めてオフライン枠で勉強会に参加してみたのですが、内容は追いついていけましたし、フレンドリーな雰囲気があったのでとても良かったです。

以下、LTごとの感想です。

メモを見つつ感想を書いていますが、実際のところはYouTubeで公開されているのでご覧になるのがおすすめです。

dotfilesをつくるよ

dotfilesに関してはひまじんプログラマーの週末エンジニアリングレッス‪ン‬で紹介されていたり、2月のLT会でフィヨルドブートキャンプのメンターのokuramasafumiさんからdotfilesとして管理されている.vimrcを見せてもらって深い世界の一端を感じていた状況でした。

今回のLTでは環境構築がテーマに据えられているだけあって、設定ファイルを管理することで環境上のトラブルを回避したりスピーディに解決する効果があるっていうのを冒頭で言ってもらえてdotfilesとして設定ファイルを管理する理由が腹落ちしました。

業務の下支えとしてこういう部分に詳しくなるのも大事ですよね。

フロントエンドを始める、その前に ～どうしていっぱいツールがあるの？～

TypeScript→JavaScriptを例に取ったビルドの工程解説。

余談ですが、TS→JSじゃないけどRailsの環境構築するときにむちゃくちゃ苦戦したことを個人的に思い出しました。 Rails7はimportmap-railsでバンドル不要になるけど、CSSはバンドルされるとか…この辺由来のエラーにも悩まされました…。 トランスパイル、ポリフィル、バンドル、ミニファイとビルドの各工程を必死に調べたな〜とLT聞きながら懐かしくなったりしてました。

基本的にフレームワーク側で用意されたタスクランナーがビルドをするわけですが、細かい設定が必要なときにタスクランナーにも触れるようで「細かい設定」が何を指すのかは質疑応答で聞いてみました。 このあたりは古いブラウザへの対応が必要な場合を指すとのことでした。

VisualStudio Code Dev Containersのススメ Python編

Python編とありましたが、VSCodeとDockerを使って目的ごとに開発環境を作れると環境構築コストが下がって開発や学習がしやすくなりますよ、といったお話でした。

Dev Containersは初めて知りましたが、VSCodeの拡張機能でローカルPCで立ち上げたコンテナにVSCodeを接続してコーディングできるようになるもので、これによって目的ごとに開発環境を立ち上げることができるようになるとのことです。

rbenvでRubyのバージョン管理をしていたので目からウロコの話が多かったLTでした。 PCの買い替えを検討していたのですが、DevContainersを使えば競合の心配もいらなくなりそうですね。

あと、この仕組みを導入したことで新人の環境構築に1日かかっていたところ10分で完了するようになったとのことで、これはすごすぎませんかね。具体例が出てくると俄然触ってみたくなります。

おわりに

「超入門」のとおり全体的にとっつきやすい話でとてもリラックスしてLTを聞くことができました。 全体的に目的意識を持って技術を使った話が多くて楽しめました🙌

ニフティさんありがとうございました！

こんにちは、Watanabeです。

WEBセキュリティ界隈の著名人である徳丸さんがセミナーをされるということで参加してまいりました。

セミナーのゴール設定が「Webセキュリティの最新情報を知れた」であったので、WEBセキュリティの理解を深めたい僕にとっては丁度いいのかなーと思って申し込みました。

徳丸さん、主催のFindyさんの開催に感謝！

サードパーティークッキーがメインテーマ？

意気揚々と申し込んだのですが、仕事が長引いてしまって参加に出遅れてしまいました。

テーマの説明を見逃したっぽくて話全体の方向性を理解するのに苦労しながらの視聴になってしまいました。

以下、セミナーのメモです。

セミナーメモ

Firefoxにはブラウザ標準でトータルクッキープロテクションが実装されて、「サイトAの内容を持つiframe」を掲載するサイトBにおいてiframeにはサイトAのCookieは使用されない。

サードパーティクッキー廃止の流れがすすんでおり、ブラウザも対応を進めている。サードパーティクッキー廃止で対応が難しくなる部分はあるが、セキュリティ面を考えればプラスがある。

CORS（クロスオリジンリソースシェアリング）についてはフレームワークで対策がほどこされていることが多いが、ガバガバ設定(笑)になりえるので注意が必要。

CORS…あるオリジンで動作しているウェブアプリケーションに、異なるオリジンにある選択されたリソースへのアクセス権を与えるようブラウザーに指示するための仕組み。

ガバガバ設定にしてしまうとCORSで情報を窃取、改ざんのリスクが残る。そういった際にサードパーティクッキーが廃止されていると、そもそもCORSが難しくなるため安全性が高い。

CSRF攻撃…プリフライトリクエスト「①Cookieを使ってよいかの確認　②Cookie使用にOKがでたら本当のリクエストを飛ばす」という手順で防いでいる。

CSRF攻撃...罠を設置した別サイトに誘導して、その別サイトでデータの窃取や改ざんを行う。

XSSの場合はサードパーティクッキー廃止では防ぐことが難しい。 XSSはサイトの脆弱性を利用してスクリプトを仕込む手順だったのでファーストパーティクッキーを用いるのでサードパーティクッキーが無関係。 XSS攻撃はCSPで対策しよう。

このあたりでセミナーから離脱しました。

セミナーを受けてみて

サードパーティクッキーの廃止、という事象を現職のマーケターとしてのみ接していたので「ユーザーデータの取得が難しくなる」くらいにしか捉えていませんでした。

徳丸さんのセミナーを聞いてみて、当たり前ですがブラウザもそれに応じて仕様が変化していることを知ることができました。

セキュリティに関しては攻撃手法と対策があって、そこの知識が増えたことで苦手意識が減ったように思います。興味はあるのでセキュリティ関連の教材にも手を出したいところです…。

と思ってたら、徳丸さんはYoutubeで色々とセキュリティに関する発信をされていました。まずはこちらを見ようと思います。

www.youtube.com

ではまた。

こんにちは、Watanabeです。

エラー対応をしているときに対応に夢中になってしまってスクショを取り忘れることがほとんどです。こまった…。

自作サービスに障害発生

先日、自作サービスであるRails appのアップグレードを実施して本番環境にデプロイをして以降、本番環境でエラーが出てしまって表示されない状態になってしまいました。

デプロイは完了しているし、開発環境ではテストはすべて通って手動で動作チェックもしていたのでインフラ側の問題ぽいです。 Fly.ioは安い代わりに不安定みたいなところあったのですが、開発環境で問題なかったことに油断してデプロイ後にチェックを怠ってしまいました。以後気をつけます。

ログで調べてみても検討がつかなかったので、Fly.ioのコミュニティを探索。するとありました。

community.fly.io

こちらではRuby 3.3.0にしたところ私と同じ症状がでたとのことで、私と全く同じです。

回答を確認したところ、解決には「VMのメモリを増量してはどうか」とのこと。 トピ主はそれで解決したみたいなので、私もメモリを増量してみます。

無事に立ち上がってブラウザで閲覧することができました。

ちなみに、Fly.ioはデフォのメモリは無料ですが、性能を挙げていくほど月間の費用が高くなります。 今回は1段階メモリをスペックアップしましたが、費用がどうなるかはお楽しみということで。

ちなみに以前まで使っていたRuby3.2.2では特にデフォのメモリ量（256MB）でエラーになるということはありませんでした。

反省とか

デプロイが完了したらサービスサイトを確認するようにしないといけないですね。反省です。

深夜に発見したのでエラー対応ばかりまとめてしまったので今後原因をしっかり調べておこうと思います。