「あなたの知らないセキュリティの非常識」を読んだ
辻伸弘さんから、「あなたのセキュリティ」シリーズ第一弾(http://sugamasao.hatenablog.com/entry/2016/10/31/083124)に続いて頂きました! (本当は12月中にこのエントリを書くつもりだったのですが遅くなってしまった……)
今回の内容も実際に発生したセキュリティインシデントに対して対策や対応方法について書いてあります。 が、なかなか事例が生々しい例が多いということもあって身が引き締まる思いです。
- 作者: 辻伸弘
- 出版社/メーカー: 日経BP社
- 発売日: 2017/11/24
- メディア: 単行本
- この商品を含むブログを見る
気になった内容メモ
ランサムウェアにお金を払うか?
バックアップから人質に取る事例。昨年はよく話題に上がった事例だと思います。 とにかく恐ろしい。
個人の端末ではなく、サーバにアクセスして復旧手段を封じてから本丸を暗号化させて身代金要求するようなケースの紹介があるのですが、暗号化や侵入の手順の説明だけではなく、被害にあった業者と攻撃者が交渉して代金の支払いやデータの復旧が行われたという事例の紹介になっていて、読んでいるだけで胃が痛くなる。 こんなんやられたら死ぬわ、、、。
また、脅迫型のDDos攻撃の事例も紹介されている。 これは言ってしまえばDDos攻撃されたくなかったら金を払えということなのだけど、脅迫メールとともにお試しで攻撃してブラフでないことを証明したり攻撃方法としてMiraiボットネットを使用するなどが書かれていたらしい。
Miraiボットネットについてよく知らなかったのだけど、Iot機器に感染させて様々な機器からDDos攻撃を仕掛けるとか言われるの怖すぎますね……。単にIPアドレスで弾くみたいなことはできないでしょうし。 参考 : http://techfactory.itmedia.co.jp/tf/articles/1704/13/news010.html
他にも、筆者がアノニマスのアカウントから人物像をプロファイリングしている話や、Webサイトを改ざんしたハッカーに直接コンタクトを取ってみたりする話が載っているのですが、スリリングで面白いというか、すげえって感じですね。
攻撃の被害者になったら
この章は実際に筆者の会社で被害にあった時の対応などが書かれている。最高の知見では???
実際の対応について、三つのポイントというのが書いてあって、例えば対応の意思決定者として社長が参画しているとか、きちんと情報を公開するという方針をとったなど。
これはぜひ本書を手にとって読んでみてもらいたい。
本作の見どころ(難易度:高)
前作の「あなたのセキュリティ対策間違ってます」で、Amazonのレビューに著者である辻さんのお母さんがレビューを書いていたことがありました。 非常に良い内容で一部界隈では盛り上がったのですが、なんらかの事情でAmazonから消えてしました(親族からのレビューはダメとかあるのかな?)。
そのレビューの文章が本作には載っているので、もし見逃してしまった人は一見の価値ありです。
合わせて読みたい
前作の「あなたのセキュリティ対策間違ってます」はこちらからどうぞ
- 作者: 辻伸弘
- 出版社/メーカー: 日経BP社
- 発売日: 2016/10/21
- メディア: 単行本
- この商品を含むブログ (3件) を見る
High Sierra上にPallarels DesktopでHigh Sierraの仮想環境を構築する
うまくインストールできなくて困った
この時はPallarels Desktop 13.1.0を使っていた
そんなことよりパラレルズを13.1にアップデートしたけどHigh SierraをVMとしてインストール完了まで進めなくてキレそう
— でも幸せなら🆗です (@sugamasao) 2017年10月13日
それからしばらくして
High Sierra上の parallels でHigh Sierraの仮想マシン作ろうとするとこんなこと言われるんだけどどうして・・・ pic.twitter.com/6TdG03fa7D
— でも幸せなら🆗です (@sugamasao) 2017年10月23日
気を取り直してリベンジしたもののうまくできない・・・
なんかうまくいかないんですよねぇ。今アップデートが降ってきたことに気がついたので明日(もう今日か)あたりアップデートしてから試してみます😇
— でも幸せなら🆗です (@sugamasao) 2017年10月23日
のだが、Pallarels Deskotop 13.1.1がリリースされていることに気がついたのでアップデートしてから再チャレンジ。
できた
めっちゃわかりにくいと思うけど仮想環境上のHighSierraです
バージョン情報と手順
手順は特に何もないのだけど、記憶を失った時のために書いておくと、仮想環境の新規インストールから「インストール」の「回復パーティションを使用」からOSのイメージを使ってインストールする。
わかばちゃんと学ぶ Git使い方入門を読んだ
読みました
- 作者: 湊川あい,DQNEO
- 出版社/メーカー: シーアンドアール研究所
- 発売日: 2017/04/21
- メディア: Kindle版
- この商品を含むブログを見る
目次
- CHAPTER 1 Gitって何?
- CHAPTER 2 個人でGitを使ってみよう
- CHAPTER 3 複数人でGitを使ってみよう
- CHAPTER 4 実用Git 〜 こんなときはどうすればいい?
- CHAPTER 5 Gitで広がる世界
読むモチベーション
普段から仕事などでgitは使っているので、今さらgitとは?のような話を学ぼうと思ったわけではなくて、本書の目次のCHAPTER 4「実用Git 〜 こんなときはどうすればいい?」が目当てでした。
というのも、基本的には必要に迫られて色々なコマンドを覚えてきたので体系的な(というか詳しい人の)「こういう時はこうする」という方法が果たして自分の普段やっていることと合っているのだろうか?という不安があったんですね。
結論から書くと
自分が普段やっていたのと同じことが本書に書かれていたので間違ってなかったんだなwと安心できてよかったし、説明がとてもわかりやすくてよかった。
読んだメモ
- ブランチやリモートとローカルの関係などが図示されているのはとてもわかりやすい
- コンフリクトやrebaseなども丁寧に説明されているのは非常によかった
- 説明は基本的にSourceTreeの画面で行われるので、SourceTreeユーザはドンピシャでわかって良さそう
- コラムでGitHub Flowの説明はあるけど、基本的にはブランチを使ったリリースフローなどの説明はなくて、あくまでブランチ自体の使い方などにとどめてある。のでそっち方面は別の書籍などで補完すると良さそう
日頃使っている人はともかく、VSC関連のツールを使ったことないけどgit使ってみたい人とか、gitをたまにしか使わなくて慣れていない人などが読むには非常に良いと思う。 使い始めた時に疑問に思うようなことはきちんとわかばちゃんが疑問に思う→説明→実演という流れで解決していくので、怖くて実行できない、みたいな恐怖心はだいぶ和らぐんじゃあないかな。
新人研修などでgitをゼロから教える場面があったらこの本渡せば良いんじゃないかと思うのでおすすめです(たぶん)。
読む用、保管用、布教用で3冊購入すると良さそうです。
- 作者: 湊川あい,DQNEO
- 出版社/メーカー: シーアンドアール研究所
- 発売日: 2017/04/21
- メディア: Kindle版
- この商品を含むブログを見る
Ruby2.4のoptparseでHashにパース結果をマッピングするintoという便利オプションを調べた
表題の通りなんですが
上記のページの「Parse CLI options into a Hash」の項目を見ると、以下のように parse メソッドに :into でハッシュオブジェクトを渡すと自動でマッピングしてくれるという地味に便利な機能が追加された。
上記のURLから抜粋
require 'optparse' require 'optparse/date' require 'optparse/uri' cli = OptionParser.new do |options| options.define '--from=DATE', Date options.define '--url=ENDPOINT', URI options.define '--names=LIST', Array end config = {} args = %w[ --from 2016-02-03 --url https://blog.blockscore.com/ --names John,Daniel,Delmer ] cli.parse(args, into: config) config.keys # => [:from, :url, :names] config[:from] # => #<Date: 2016-02-03 ((2457422j,0s,0n),+0s,2299161j)> config[:url] # => #<URI::HTTPS https://blog.blockscore.com/> config[:names] # => ["John", "Daniel", "Delmer"]
:into で便利になるのはわかるものの、このサンプルを見ると define って何だろう、とか短いオプション名(-uとか)も指定した場合どうなるの?ってところが色々と疑問だったので調べてみた。
define is 何
情弱なのでリファレンスマニュアルに載ってないAPIだから define を使ったオプションの定義したことがなかった(実は載っているのかと思ってドキドキしたけどやっぱり載ってない)。
というわけでRubyのソースを確認して見るとこんな感じ
https://github.com/ruby/ruby/blob/v2_4_2/lib/optparse.rb#L1465-L1505
抜粋すると以下のように、いつも使っている on メソッドが内部で呼び出しているメソッドなんですね。
def define(*opts, &block)
top.append(*(sw = make_switch(opts, block)))
sw[0]
end
def on(*opts, &block)
define(*opts, &block)
self
end
ソース内の雰囲気からすると、 on は公開用で define は内部で使う用っぽい気がするけど*1、普通に呼び出せるしどっちでも良いのかもしれない。まあ、今まで通り on 系を使えば良いかなって気がしますね……。
オプション名 is 何
割り当てるオプション名ってどう決まるのか。
options.on '-a, '--argument=VAL'
みたいに定義した時にどっちが使われるのかなという話でもありますし、オプション名に - が含まれていた場合どうなるのか(ネタバレすると:"foo-bar"みたいになる)など疑問が湧きますよね。
これを知るにはざっくり :into オプションの流れを追う必要があるのですが、結論を先に書いておくと
- 短いオプション名と長いオプション名があった場合長いオプション名が使用される
- オプション名の先頭ハイフンを取り除いた文字列を
.to_symした値になる
という動作のようです。
プログラム的には
- ここで
:intoがあった場合の動作が定義されていて、オプション名を.to_symしている - ハッシュの名前としては
switch_nameの値が使われて switch_nameは長い名前を優先して使用する
という流れのようですね。
まとめ
OptionParser.new do |options| options.on '-r', '--ruby=VAL' do |val| val.downcase end options.on '-p', '--perl=VAL' do |val| val.upcase end options.on '-g', '--go-lang' do 'go' end options.on '-d' do true end options.on_tail '-h', '--help', 'hi' end
こんな定義をした場合、 into オプションでHashを渡した場合は
{
ruby: 'ruby',
perl: 'PERL',
'go-lang': 'go',
d: true
}
こんな値が得られます。便利ですね。
サンプルソースコードとテストケースは以下にあります(主に test/unit を使ってみたかっただけw)。
https://github.com/sugamasao/optparser_ruby24_into_sample
*1:実際のところはどうなんでしょうか?
3DS LLがWifiを見つけられなくなった(解決済み→ではなかった)
ある日気がつくとインターネットに繋がらなくなった
我が家の環境は以下のような流れで接続している(細かくいうともうちょっとあるけど)
- 各機器
- AirMac (https://www.apple.com/jp/airmac-express/)
- インターネット
そして、他の機器は問題なく接続できているにも関わらず、3DSだけ、ある日突然繋がらなくなった。
具体的にいうと、アクセスポイントを見つけることが不可能になってしまい、結果としてインターネットに繋がらなくなった。
2年くらい前にも同じ現象が発生したが、気がついたら解消していた。だがしかし、また発生してしまった。普段インターネットに接続することはないけど、ゲームを購入するときにダウンロードで購入できないのは困る。
具体的には👇の発売日までにはどうにかする必要があって、すわ修理や買い替えが必要か!と思ったけど、自力で解決できた。
対応方法
まず、Wifi側の再起動や3DS本体の再起動、3DSについてるWifiのスイッチなどは何度かON/OFFを試したが効果はなかった。 何度やっても「アクセスポイントが見つかりませんでした」と表示される。
3DS側のインターネット接続を見直す
3DSのインターネット接続で、新規登録→アクセスポイントを検索でも上記と同じ結果。 その他、手動でSSIDやセキュリティを入力する方式で試してもアクセスポイントが見つからない状態は変わらない*1。
必死にググっていたところ、検索結果のうちの一つに、接続先の詳細設定でIPアドレスなどを手動で入力すると繋がったという情報が載っていたのを発見した。
モノは試しということで、 IPアドレス と DSN を手動で設定したところ、無事にインターネットに繋がるようになった。
なぜ自動取得だとうまくいかないのかはよくわからないのだけど、ハード的にWifi部分がぶっ壊れているとかではなくてよかった。
設定メモ
繋がるようになった3DSのネットワーク設定をメモしておく
- Wifiルーター : Air Mac
- SSID : 自分のWifiルーターのやつ
- セキュリティ :
WPA2-PSK(AES) - IPアドレス(詳細設定)
- DNSの設定(詳細設定)
- Proxyの設定 :
使用しない(デフォルト) - MTU値 :
1400(デフォルト)
繋がるようになったことで、ファイアーエムブレム Echoesの無料コンテンツが届いていることに気がつけてとてもお得でした。
ファイアーエムブレム Echoes もうひとりの英雄王 |オンラインコード版
- 出版社/メーカー: 任天堂
- 発売日: 2017/04/19
- メディア: Software Download
- この商品を含むブログを見る
追記:なんか明らかに繋がっていたのだが、数分後にはアクセスポイントが見つかりません状態に戻ってしまった。あれは一体何だったんだ……
*1:ここまでは今まで何度も試したが解決しなかった
エラスティックリーダーシップを読んだ
読んだと言うかもちろん読んだのですが訳者の島田( @snoozer05 )さんからご恵贈いただきました(ありがとうございます!!)。
- 作者: Roy Osherove,島田浩二
- 出版社/メーカー: オライリージャパン
- 発売日: 2017/05/13
- メディア: 単行本(ソフトカバー)
- この商品を含むブログ (1件) を見る
ちょっとずつ読み進めていましたが、先日、ようやく読み終えました*1。
あまりリーダー向けの本などを読んだことがなったので、なんとなく「こうやったほうが良さそうだなぁ」と雰囲気で思っていたことに対して名前がつけられていたり、かなり具体的に書かれているのがとてもよかった*2。
以下は印象に残った部分について簡単に書いた内容です。
6章 コミットメント言語
章自体の趣旨としては、章のタイトル通りミーティングなどでこれからやることを決めた際に、タスクとしては上がっているにも関わらず「なる早で対応します〜」のような期日や成果に対してふんわりとした言い方をせずに、具体的な言い方をしましょうという話です。
コミットメント言語でやることを明確にしましょうと言われれば「そりゃそうだ」と思う反面、予定外のものや想定以上の問題があったりして簡単にコミットできないよねというのもまた事実ですよね。ではどうすれば良いのか?ということが具体的に述べられていて、例えば、「来週中にバグを直します」ではなく、「来週は毎日5時間バグを修正するために使います」のように、自分が制御できる内容に落とし込んでコミットしましょうということが書いてあって、とてもよかった。
何が良いって、これ、上っ面だけ読んで「〜します」と言わせるようにした結果「なんでできないんだ」とならないように現実に即している内容が書いてあるのが良いです。
8章 クリアリングミーティング
恥ずかしながらこのような言葉を知らなかった。 本文中の定義を引用すると、以下のようなこと(本ではもっと詳しく書いてあるよ!)。
クリアリングミーティグと呼ぶ理由は、うまくいっていないこと、仕事についてしまいこんでいる悪い感情、共有すべき情報など、チームが知っていること全てを明らか(クリア)にするからだ。そして、それに対処する。
具体的にどういうことをやり取りするかはぜひ本書を手に取ってもらうとして、うまくいっていないことを引き出し方や話を終わらせるポイントなどが載っていて、やっぱりこれも単にやり方だけあって「ギスギスしちゃう・・・」みたいにならないようなケアがされてるのがとても良い。
そのほか
後半の第4部、第5部は色々な人のリーダーシップに関するエッセイになっているのだけど、第5部は国内の著名なエンジニアによるエッセイになっている。国内のエンジニアのエッセイになるとグッと身近な感じが*3してきて、刺激的だったりする。
エラスティックリーダーシップを少しずつ読んでたのだけど、40章リーダーシップは誰のためのものかというエッセイがすごく良い……もちろん、他の部分にもたくさん良いこと書いてあるんだけど
— でも幸せなら🆗です (@sugamasao) 2017年6月24日
総じて、あまり知らなかったり、自分の中で明文化されていないような考え方が非常に具体的に*4載っているのがよかったと思う。 多分、ふだんチームメンバーを抱えているリーダーだけではなく、ミーティングでファリシテーションするような人とかが読んでも有用だと思う。もちろん、メンバーという立場でも自分から発言する形を見直していくというのもすごく良いと思う。
とにかく、語彙がなくて良かったしか書けないけどこういう内容はなかなか見ない種類の本だったのでとにかくよかった。
- 作者: Roy Osherove,島田浩二
- 出版社/メーカー: オライリージャパン
- 発売日: 2017/05/13
- メディア: 単行本(ソフトカバー)
- この商品を含むブログ (1件) を見る
どうしても書かなくてはいけない宣伝
先日発売した改訂2版パーフェクトRubyですが、なんとKindle版も発売しているのでよろしくお願いいたします(下の方がkindle版です)。
- 作者: Rubyサポーターズ
- 出版社/メーカー: 技術評論社
- 発売日: 2017/05/17
- メディア: 大型本
- この商品を含むブログ (1件) を見る
- 作者: Rubyサポーターズ
- 出版社/メーカー: 技術評論社
- 発売日: 2017/05/17
- メディア: Kindle版
- この商品を含むブログを見る
今回はちゃんとリフロー型になっているので、お使いのデバイスでもおよそ見やすい形になっていると思います。 もちろん、gihyo.jpからであればEPUB/PDFのどちらも購入することが可能です。
本日(5/17)改訂2版 パーフェクトRubyが発売されます
パーフェクトRubyの改訂をしていました
既に技術評論社さんのサイトやAmazonにも載っているのでご存知の方も多いかもしれませんが、最近はパーフェクトRubyの改訂をしていました。
目次などの詳しい情報はgihyo.jpの公式サイトをご覧ください。
書籍版はAmazonでも購入できます。ついうっかり初版を買わない様に注意してください(ヒント:今回のモチーフは鳥です)。
ところで私は見本誌を送付してもらう住所を書き間違えて不達になってしまったため、未だに見本誌が手元にありません😇
初版持ってるんだけど違いはあるの?
いろいろ誤字やなんとも言えないサンプルコードなどを直しているので書籍としてのクオリティは上がってると思うのですが、内容的に大きく変わったところを簡単に書くとこんな感じです
- Ruby 1.9時代などに使われた旧時代の便利テクなどは控えめです
- 初版で対応していたRuby 2.0以降(もちろん2.3, 2.4も)で追加されたメソッドなどにも可能な限り対応しています
- 元々Sinatraを紹介していた章をtest-unitの章に置き換えました
- capistranoには消えてもらいました*1
テストとsinatraにまつわるお気持ちの供養(ただのポエムです)
「パーフェクトRubyはテストがあればパーフェクトなのに」誰だってそー思う。俺だってそー思う。本当にそうだと思うのですが、実は初版の執筆時点ではテストの章はあったんですよね。
15章のツールに対してRSpecでテストを書くというのをやっていたのですが、紙面の都合で泣く泣く削ってしまったのです。
また、当時はシリーズとしてパーフェクトRuby on Railsが無かったため、Rubyの書籍としてWebアプリに関する説明がほぼ無いのはどうなのだ、という懸念があってWebアプリの習作としてSinatraを採用しました。まぁここら辺は私の趣味なんですけどね。
という経緯から数年経ち、Ruby標準で付いてくるテスティングフレームワークも落ち着いた*2*3のもあり、Webアプリに関することはパRailsに任せれば良いかなというところで今回の構成になったのでした。
電子書籍について
gihyo.jpからのPDFなら今すぐ買えます!!!
Amazonでの販売についてはしばしお待ちください😅
