  |
はてなキーワード: メンテナンスとは
みんな、どのくらいまでセキュリティ対策してる?
俺の場合は、、、
使用するパラメータ(標準入力(POST)、環境変数、クエリストリング)を全てチェックして、
必要に応じてパラメータを削除/エスケープ/クォート/サニタイズすればいいのかなあなんて、思ってるんだけど、
実際のところ、どこまでやればいいのか検討つかないや。
DOS攻撃にそなえて、アクセスしてきたIPアドレスは常に解析して、動的にアクセス拒否する必要があるのかとか、
アクセス集中にそなえて動的コンテンツをキャッシュするだの、サーバのクラスタリングだの、ロードバランサー設置とか、
バックアップは何分おきにやるのかとか、
午前三時にメンテナンスのために作業するのかとか、
地震地帯を避けつつ、法律問題を回避できる国で、税金とエネルギーの安い土地にサーバルームを作って、
サーバを鎖で縛って、電磁波遮断して、部屋にかぎ掛けて、クーラー効かせて、元特殊部隊の人をガードマンに雇って、
最終的にはサーバを核シェルターに入れて、あらゆる攻撃から守らなくちゃいけないのかなあ。
ああ、憂鬱だ。
同意だよ。
初心者が本当に注意しなければいけないのは、スクリプトの脆弱性よりもサーバーのセキュリティ。
PHPなら大抵どこのレンタルサーバーも利用可能なので殆ど問題がない。
なにがいいって現段階においてはPHPは非常に多くの人に使われている。
だからもし見当違いなことをやっていたら注意してくれる人がいっぱいいる。
そして何よりも大きいのはサーバー運営業者などがノウハウを吸収しているということ。
PHPでシステムコマンドなんかは大体止められているしRFIなんかの攻撃に対しても不正なファイルが埋め込まれたりすたら通報してくれるところもある。
現段階のRubyでそれができるだろうか?
大手のレンタルサーバーでさえまだ設定があやふや。
そのままじゃ動かなかったりしている。
じゃぁ自前サーバーならいけるのかというと、正直初心者には無理なんじゃないの?
Mongrelあたりを入れて、あれ、これメモリ漏れてねぇ?とかそういう心配をしたり、24時間監視できるわけがない。
まだ「いいえ」なんじゃないの?
Rubyをちゃんとできる人や教えられる人はまだ少なすぎる。
PHPをぐだぐだ言うひとはちゃんとできるひとなのかな?
どうなのよ?
まあ異論はあるかもしれないが。。
あと、こっちは、一般的に同意をえられるとおもうんだけど、
スクリプトが垂れ流す脆弱性よりもroot権限のっとられたマシンの方が怖くね?
んでもって、遥かに有害だよね。
そんなに言うならSQLインジェクションの穴のひとつでも見つけて報告してごらんよ。
SQLインジェクションなんて、DBに接続ができるようなレベルになれば最近のマニュアル本には当たり前に書いてあるじゃない。しかもこれは何もPHPに限った話しじゃないじゃない。
穴なんて時間の経過とともに増えるんだから、メンテナンスされてないサービスのほうが怖いわけですよ。
ローカル言語やサーバー使ってそのままになってしまうほうが最悪なんじゃないかな。
もし、素人がぐだぐだにつくったPHPサービスとかで問題があるとすれば・・・
・SQLインジェクションで中の情報が漏れる(そんなサービスに漏れて大切な情報登録するなよ)
・メール送信系でヘッダー偽装でスパムの踏み台にされる(これは意外と多いかもしれないね)
・クローラーが他のサーバに負荷をかけまくる
まあどれもPHP”だから”というわけでもないよね。
97年頃にはperlだって掲示板やアップローダーだって穴だらけだったじゃない。
coderedがでるまでiisで建ってたサーバーだって山ほどあった。
そのころにはSQLインジェクションに対応していないサイトは本当に簡単に見つけられた。
初心者は主流からはいるのがいろんな意味でみんなのためじゃない。
今の主流はphpということでいいんじゃないの?
PHPは発展期
RonRは成長期(すくなくともあと1年ぐらいは)
perlは爛熟期
あとは・・・
pythonからColdFusionのにおいしてない・・・?
あと、なんかLLってあったっけ?
curlがなんかいまさらだけど脚光をあびるような予感がしている。
ところでさ、
PHPを批判しているような人はPHP6の仕様とかちゃんとフォローしてるのかね?
そもそも何かを作り上げることができる人というのは非常に少ない希少種なのに、
そこに入ろうとする前途ある人達のモチベーションを使用言語がどうこうと、
挫こうとするのはなんか憤りを感じるよ。
Matzみたいな人がそれをやってどうするんだよとか、ちょっと思った。
管理が不徹底であった云々の糾弾は結構なのだが年金記録の問題の核心はヒューマンエラーと世代をまたぎかねないデータベースの維持に関する問題である。つまりこれは社会保険庁という不良官僚が引き起こした固有の問題ではなく、どのような会社でも今後起こりえる普遍的問題が根底にある。
これを贖罪の羊に満足して放置すれば遠からず同様の問題がまず類似する保険会社、大手企業などから順に噴出すだろう。
年金はその記録の始まり(加入)してから記録が利用(支給)されるまで45年ある。ピッチャーが腕を振ってから45年後にキャッチャーのミットにボールが入るようなものだ。
国民年金は1961年に制度が発足したのだが、45年も事業をやっていて何故ミスに気が付かなかったのかというよりも、団塊という世代ボリュームも迎えようやくミスがミスとして発現し始めたと考えるべきだろう。
例えば、自分がまとめたある仕様が100年後にどのように受け継がれているか想像してほしい。100年後は自分は当然居ない、引継ぎは少なく見積もっても5世代にわたり場合によっては数十世代過ぎていてもおかしくない。
そんな中で仕様は元の意味など失って様式として引き継がれるだけ。様式だから引継ぎにミスがあっても誰も気が付かない。設計者はとうの昔に死んでしまっているのだから現実の問題が発現するまで転載ミスですら誰も分からなかったとしても不思議では無い。そして問題が起こっても設計ミスなのかどうかも分からないのだ。
当事者の不在はエラーの修正を難しくする。ピッチャーが投げて45年経ち、ボールと審判されてもピッチャーが居ないならどうすればいいのだろう。
この案件の解決は大変貴重な事例となるはずである。新聞社様も少しは野次でなくて中身を見て盛り上げて分析と記録をしてはどうかと思う。
そしてITゼネコンの皆様には今後この手のデータメンテナンスのノウハウがドル箱になるだろう。歴史ある新聞社の年金記録やデータベース保守とかね。
http://blog.livedoor.jp/dankogai/archives/50979976.html
試訳 - コードをセキュアにする10の作法
セキュアとかいまだに和製単語がないの……? 根付かないわけだわ。
この10の作法みてても、まるっとただのwebコーディングの話しなのであまりピンとこなかった。
つーか、なんか、ほんとはてブってLLな人ばっかりだよね。
せっかくの内容なので、ちと裾野を広げて考えてみたよ。
どのような操作をうけつけるのか、どのようなデータをうけつけるのかまず最初に決めましょう。
そして受けとったものをもとになにをしたいのか明確になっているのはもっとも重要なことです。
お金のかわりに注文をうけるだけなんていうのもありますよね。
まず最初に決めておくのが重要なことです。
1で決めたように挙動の想定なしには規定外のデータの受け渡しなどは追うことができません。
想定内以外はすべて想定外に落とすのが悪意から身を守りやすいです。
構造的エラーはtryで括るなり、error procでおとすなりし、
構造エラーが起きたときにどこでどのようなエラーが起きたのかは最低限いつでも追えるようにしましょう。
(PHPとかでtryつかってるひといる?)
3匹の子豚の童話をおもいだしてください。
ドアには鍵をかけられるようにして、暖炉には火をともせるようする必要があります。
そしてなによりその前提は建物が頑丈であることです。
その場所に狼が住んでいるのかいないのかは家の設計に大きな影響を与えます。
また狼がいるのがわかったら家を建てる必要があるのか吟味するのはとても重要なことです。
社内のLANで済ませれるシステムをわざわざon Webな設計で建てる必要はありませんよね。
部品が増えれば大工さんの工数は増えますし、住んだあともお掃除が大変です。
家を建てるのにいくら掛かるのか?
そのサイズの家を建てたら家政婦さんにはいってもらわなければならないのか?
家政婦さんがいいのかメイドがいいのか?
庭師をいれなければならない大きさなのか?
警備員を雇わなければいけないのか?
自宅警備員はやくにたつのかたたないのか?
お財布と相談するのは非常に重要なことです。
本当は1Kで十分なんじゃないですか?
見栄はときに判断を見誤らせます。
もしあなたが建てるのを手伝う側だとしてもお客さんを諭すのは大切な仕事です。
家を建てるまえにその地域にすんでみるのも必要です。
甘い言葉に騙されていきなり30年のローンとか抱えないでください。
完成例ばかりに目を奪われると完璧なものばかりに目がいき真似したくなります。
もしあなたが商売を始めようとして、そこに経験がなかったらどうしますか?
路面店を構える前に自転車の後ろに商材つんで売ってみてからでも遅くはないのでは?
最初からすべてを用意しようとすると取り返しがつきません。
「だってみんなやってるよ!」
そういったときに親からなんていわれたか思い出しましょう。
規模に応ずることは非常に重要なことです。
システムキッチンをつかったこともないのに新しく建てようとする家に入れたいのはどうしてですか?
ほんとうに自分にあった家をたてたいのであれば、まずはあれこれ使ってみることが重要です。
あなたのつくった木造の小屋がもし火事になった場合どのような被害を出すか考えておく必要があります。
どんなに頑丈な設計をしていたとしても、地震や台風、放火など”ありえない”なにかの災害はおきうることです。
そのときにあなたのつくったものはどうなりますか?
まわりの建物に火がまわってしまいませんか?
危険というものはすべてを排除しようとするのは困難です。
もしもの時にそなえる方法はいくつかあります。
火災保険にはいるだけではなく、消火器などを用意して被害を最低限に抑えるということも重要になります。
数千円の消火器で家の全焼が防げるならコストパフォーマンスは悪くないですよね。
Hedgeとassessmentは別々(並列)にもうけることができる性質のものです。
ヘッジばかりで満足していませんか?
あと、風の強い日に焚き火をしないとか、そういうわきまえも大切ですよね。
(risk deterって言葉ないね? こーゆーのなんていうん?)
割られてしまった窓ガラスはさらにわられないために早めに直しましょう。
できるだけ早く「対応した」と見せかけるだけで大きな効果があります。
次なる悪意から身を守る術はできるだけ早い対処です。
検収さえのりきって瑕疵責任だけまぬがれるような糞システムねじこんだらいいやとおもってるから、いつまでたっても糞なんだよだぼがぁあ!!
・・・ゴホン。
失礼しました。
つくったものは古くなります。
建物の場合だってニスを塗り替えるだけで経年劣化は相当防げます。
そのために既成関数などをラップ関数に差し替えて最初に書いておくのも実はメンテナンス効率をあげる手段だとおもいます。
全財産を引き出しに入れておくとか、そういうことはしてはだめですよ。
個人情報だってそもそも集めなければ取られる必要がありません。
不必要なものを保持しておくのは初期費用も保守費用も莫大に押し上げます。
使用用途ができてからでも遅くはありません。
部屋を綺麗にしておきたいなら要らないものは買うな!!
(部屋汚くてごめんなさい……。)
成功例、失敗例、参考にするのは非常に有意義なことです。
ですが、その意味もわからず模倣することほど意味もなく危険なことはありません。
あなたがだれかの真似をして飛ぼうとするまえに、自分の足元を確認する必要があります。
でも自分と他人というものは違います。
相手がどんなものであれ、それをもとに自分を磨かなければ意味がありません。
また相手がどんな体験をしたのであれ自分を磨くことの役に立てることはできます。
人のせいにするのは簡単な事です。×××でよんだから、×××で見たから。
でも、そもそもこの記事だって猫が偶然キーボードの上で暴れて書いたものかもしれないのですからニャー。
日本円を受けるところでインドルピーうけてちゃレートもわからなければ偽札も区別できないよ!
リスクアセスメント(リスクアクセスメントだと思ってたのは内緒)
いいえケフィアです
みんなってダレ?
ヨソはヨソ、ウチはウチ。
全焼
火の用心!
いいえ、あなたの心です
他山の石
”ホームページ製作業者”でいいよね?
ASPサービス提供事業者も含めようとするから複雑になってるんじゃないの?
自分はもともとIT業界にいて今はなぜか商店街に所属してるんだ。
で、隣の芝生の青さがうらやましくなってweb屋ってたのしそうだなって思って辞めたの。
正直webなんてやってもお金になんかならなそうだなとおもったんで、
シノギがひつようだとおもって、お店ももったんだ。
商店街のおっちゃんたちの話しを聞いていると世間のwebというかITに関する認識はこんなものだと痛感しますわ。
いやね、おっちゃんたちっていっても青年団の人たちなんだけどさ。
”親父さん”たちはそもそもインターネット(以前にパソコン)になんか興味すらないから。
で、お店でパチパチとSOHOでソフトの受託なんかもやっていると、
商店街の爺たちからあの店主はパソコンで遊んでばっかりだと陰口いわれたりするんだわ。
ようやく最近わかってもらえるようになってきて、
「おたくパソコンの仕事しているならホームページ作ってよ」と言われるように成長しましたよ。
いや、まるでわかってもらえてないんだけどw
ホームページっすか!?みたいな。
難しいというかしても無駄というか……。
自分は自分のお店のホームページだったら作れるんだけど人様のを請負するのを仕事にしてないわけですよ。
今までそういう業務をしてきたわけでもないしデザインが得意なわけでもないしね。
第一たいしたお金になるわけでもないし、それなりにめんどくさいじゃない。
正直そこらの商店のページだってHPつかってなにしようってんでもなく事業目的があるわけじゃないんで、
大学生あたりにアルバイトでちょっとペラのページをつくってもらうぐらいがちょうどいいと思っているんだけど・・・さ。
もうね、なんていうか説明がめんどくさい。
次から次に同じようなことを説明しなきゃいけなくてね・・・。
自分が講師になってセミナーしたいとかそういうモチベーションもっちあわせていないんだけど、
さすがに「ホームページ製作をやるつもりは無いけどホームページは欲しい商店主のためのホームページ講座」
とかいうセミナーでもやらずにはいられないのではないかと思うぐらいめんどくささが先立ってきました。
というのも彼らの話しを聞いてちょっと義憤にかられてきたんですよ。
自分もお店をやっているのでわかるんだけど、お店やってると営業の電話がいろいろ掛かってくるわけです。
「ホームページつくりませんか?」ってね。
ひどいところなんか「ホームページみて電話してるんですけど」とか。
おまえ誰がつくったページかわかって喧嘩うってんのかと内心思いながらね。
「反響はどうですか?もっと反響集めたいとおもいませんか?うちはSEOを(ry」
そんな感じのマニュアルどおりの営業が展開されるわけですよ。
本当に山と・・・。
ひどいところなんか
「うちはYahooの代理店をしているんですが、今キャンペーン中で…(ry Yahoo!に登録しませんか?」なんてのもあるぐらいさ。
でねー…。
こういうのに引っかかるバカいるのかなとおもってたんですよ。
いやほんと。
でもね、
「うちは月々1万5000円だよ。」
「うち2万5000円。まあ電話一本で雨の日サービスとか画像いれてくれるから満足してる。」
なんて話が目の前で展開されてるのを見てさ・・・
動的部分が何もないHPに数百万かけたとか、ほんと…、ちょっと待ってくれよと。
このHPに月々…… えーーーー!!? ちょっとほんとお願いだから待ってくれよと。
ただしホスティング費用が毎月**掛かりますとか。
サポートで…とか、
ほんと山ほどパターンがあるんですわ。
と商店主に何度言いたくなったことか。
もうやっちゃってるところには酷なので言えないんですが・・・
そういう業務をしているのがweb屋ということなのかな?
ユーザー教育じゃないけど、ほんと早急に手をうたねばと思ったよ。
デザインの手間とかバカにならないし、メンテナンスまで面倒みきれないので、
自分はホームページ製作業をやるつもりはないんだけど・・・
商店街の中でバイト5??6人囲ってまわせば済む話しじゃんね・・・。
そんなわけで、だれかバイトでホームページとかつくりたい子いない?
つか、ほんと・・・もう、なんとかしたい。
前時代的な職業っていういうけど、なんていうか日本ではそれが全盛期ですよ。
ちょっとほんと助けて。
あと、ちょっとこれの反論まじえとく。
http://d.hatena.ne.jp/waseda23/20071225/1198573722
自分がSOHOなので弁明するけど、SOHOを地方って括っちゃいけないよ!
あと、SOHO同士でアライアランスくんで億単位の案件も食えるように準備してるんだぜ。
(・・・成功するかは知らん。)
PHPが馬鹿にされる一番の要因ともなっているんだけども、セキュリティの「セ」の字も理解していない「なんちゃってプログラマー気取りのwebデザイナー(?)」が、XSS,SQLInjection,CSRF,SessionHijack等々考えうる全ての脆弱性を垂れ流してるのはどういう訳?
考えうる全ての脆弱性を垂れ流してるのは別に垂れ流したところで問題ないような情報しか扱わないからでは?
さすがにカード番号とか扱うような業者でそんなところはないんじゃね?
あんの・・・?(なんかありそうで怖くなってきた…)
ま、それは発注側の意識が前述のレベルなので…本末転倒ですがユーザー教育が急務です。
らしいね。
でも正直日本国内にはいってきているインド人は相当少ないのでまだ数年は平気かな。
今の日本の仕事のやりかただと開発室の一部をカレー臭くするぐらいの働きぐらいしかできないとおもう。
オフショアというか呼んで来てるだけだしw
それよりも今の日本において深刻さをましたのは中国だとおもう。
ほんとその通り。
ずいぶん単価はあがって日本の1/2-1/3ぐらいなんだけど、かなり質があがってきているらしい。
一時期日本でどっぷり開発していた連中が帰国したからかもしれない。
多分同価格で捜すより中国に出したほうが楽というところまできてると聞くようになった。
自分も何か損害かぶれるぐらいの案件があったら一回試してみたいとおもってる。
オフショアブリッジの人に聞くと、日本のカレンダーに合わせてくれるし、日本語ができるひとが会社に1人以上いるそうだ。
スカイプで進捗の日時確認ができて、緊急の場合には携帯に電話が掛かってくる。
インドかー…。
昔いったときは市民レベル的に中国よりも30年ぐらい遅れてるとおもってたのでこの速度は予想外。
昔はムンバイとかの方だけだとおもってた。南のほうの人は質がすこし違うのかもしれないね?
さすがにインドに対してはあと数年はアドバンテージがあると信じたい。
日本人が英語が無理っていうのはあるいみマルチバイト鎖国の成功。
絶対違う
あのさ、一人でアプリを開発しようとした時に、ざっくりと一通りの行程が学べるようなサイトってある?
たとえば、まず要求なんたらがある。要求元は自分(例:ブックマークを記録するアプリが欲しい)。タグがつけられるといいな、とか。
で、次は何?設計?簡単に状態遷移図でも書くのかな?
で、コーディング?最近はテストを先に書いたりするのが流行ってんのか?
デバッグがどこらへんに来るのかは分からん。
それからメンテナンスに移行か?バグの報告/修正や新しい機能などを記録したいな。trecがいいのか?
多分スゴく間違ってるんだろうけど、こういった感じの一連の流れを学べるサイトがあったら教えて下さい。
悲惨と表現するにはそれほど汚いソースでも無いよなぁ。(書き方ではなくて構造的に)
ただ、相変わらず開始タグと終了タグがちゃんと付けられて無い部分がちらほら。
テスト段階でチェックすればすぐにでも直せそうな箇所なんだし何でそのままになってるのかが気になるなぁ。
こういう確認も(吐かれる)ソースの汚さを改善する事で気付きやすくなるんだし色んな部分でメンテナンス性やら落としてそうだよなぁ。
あとやたらと多いspanは何なんだろう、cssはアレだから見る気にならないけどclassやidも無くて表示に大きく関わりそうな付けかたでもないっぽいしコレ削るだけでもそれなりにソース痩せると思うんだけど、なんだか色々と謎だわー。
前と比べればマシだけど、前の使い回しをしているmixiミュージックやレビューページの事もたまには思い出してあげてください。
http://anond.hatelabo.jp/20070909045644
人間って本当に良くできてるよなぁと思う。
一言で言えば機能美の極致。
これはもう間違いなく芸術品なんだと思う。
それを一番実感出来るのは、間違いなく育児中である。
だいたいにして、生まれてきた時に首が据わっていないってどういうことなんだと。
冷静に考えれば考えるほど、そんな生物アリか?って思う。
しかし、そんな疑問も、数時間おきの授乳も、うんちオムツ替えだって、ひとたび新生児微笑されると微笑み返さずにはいられない。
「うふふ」って声を出さずにはいられない。
すごいと思わないか?
自らの未熟さ故に相当な負担を親に掛けることは想像に難くない。
その親のストレスたるや相当のものである。
それを解決するために新生児に実装されたたった一つの機能。
それが新生児微笑だってんだから…私は驚きを禁じ得ない。
(余談だが、はてなのメンテナンス画面に表示されるしなもん会長にも言わば「しなもん微笑」とも言うべき効果があるからあそこに表示させているに違いない。はてなユーザはみんなあの顔を見て「うふふ」って声を出すに違いない)
毎日の生活の中に常にそれがある。
こんなに素晴らしいことは他には無いと思わないか?
@ITの回答者はへなちょこい奴ばっかりだな。これなら元増田の方がスマートだ。anond:20070903182121 の上位20件→下位10件がシンプルでよいと思うが。以下、1-10件目を「1ページ目」、11-20件目を「2ページ目」と呼称する。
リクエスト数は経験上、1ページ目が7-8割。ページ数が奥に行くにつれリクエストされなくなっていくので、一方を選ぶなら後者の方法が優れているといえる。理屈の上では、6ページ目以降は元増田の方法の方が速い。性能重視なら両方を実装してもいいだろうけど、メンテナンスする事まで考えたら後者だけを実装したほうが良い。そもそも100件程度で目に見えてパフォーマンスが変わるとも思えんが。
1ページ目を見ている間にランキングに変動があった場合どうすんだ的な話はどの方法でも同じなので割愛。ニコ動のタグ検索結果ソートはガンガン結果が動いてるから物凄く苦心してると聞いた(特に最新コメント動画一覧)。
