Charsbar::Note

2005/12/23

Wiki小話Vol4

妻子が熱を出して寝込んでいるなか、懇親会まで参加するのってどうよと思いつつ、以下感想その他をつらつらと。

  • id:wakatonoさんのお題は「Wiki処理系を作る前に〜歴史に学ぼう -Changelogは教訓の宝庫?」から「Wikiセキュリティオムニバス〜下(インフラ)から上(Wiki)まで〜」に変わってしまったのですが、これ、個人的にはちょっと残念でした。たしかにセキュリティを語る上ではWiki(Webアプリ)部分だけ見てりゃいいってものではありませんが、インフラまで語るんだったら、もうひとつ、その先にある人間というセキュリティホールについても語ってほしかったですし、Wiki小話レベルとしては、アプリレベルのセキュリティだけでも十分間が持ったんじゃないかなあ、と。いくつかのWiki処理系(じゃなくてもいいですが)のChangeLogを並べて、「この時期にはこんな事件があったからこんな修正が続いてますねえ」と俯瞰するような話になるのかなと思っていただけに――当日のセッションもそれはそれで十分楽しめたんですが――なんとなくもやもやっとしたものが残った感じ。まあ、ChangeLogの比較くらい自分でやっとけ、ということですね。
  • 国分さんのお題も、思っていたよりはあっさりと終わった印象。攻撃者の観点という意味では「そもそも最初に狙うのはアプリケーションなんかじゃない」なんて話が出てくるのかなあとも思ったのですが、この辺はwakatonoさんがインフラの話をするときに触れていましたし、監査という点では最初からアプリケーションを狙うのが大前提だから、気を回しすぎだったようで。いずれにしても、こちらが軽いものになるのは想定内でした。というか、最初のトークではたぶんそんなにおもろいネタが出てくることはあるまいな、と。
  • 案の定、質問タイムではなかなか答えづらい質問なども出て面白うございました。積極的にメモをとりたいほどのやりとりはありませんでしたが、文字コードの問題は某m...のバグ発見コミュあたりでそれっぽいことが話題になっていたっけなあとか、プラグインを管理する仕組みという意味ではやっぱりCPANが一歩抜きんでているよなあとか、そんなことを思ったり。なんにしても結局は誰を、何を信じるか、というところに行き着くんですよね。プラグインのレイヤーでも、アプリのレイヤーでも、OS、ネットワーク、あるいはその外にあるレイヤーでも。その意味で、ChangeLog重要という話はもっと強調されてもよかったかなと思いましたし、ブログや、Wiki(のログ機能)もChangeLogのひとつとして有効に活用しましょう、という話になっていったらセッションとして美しかったかな、と。
  • あと、ちらりとは触れられていましたが、セキュリティってある種の開き直りも必要なんですよね。全員が宮大工のつくった家に住めるわけでも、住もうと思うわけでもない。ネット世界は現実世界より悪人の姿が見えづらいとか、国境がない分、日本基準で暮らしてると危険でしょうがないとか、あるけれど、危険地帯に掘っ建て小屋建てて住んだからって、一概に駄目だとは言い切れないし、その辺のリスク評価なしに危険危険と言い立てたって意味がない。極論してしまえば、自分のサイトがネットワーク越しに攻撃を受けて手痛い被害を受ける可能性より、もしかしたら関東が大地震に見舞われて会社がビルごとぶっつぶれる可能性の方が高いかもしれないし、そんな天変地異を待たずとも、会社が破綻したり、自分の一生が終わったりする方が早いかもしらん。業界人としては手抜き工事と言われないよう努力していきましょうとは言えるけど、やりすぎて、ウェブサイトの値段がすべからく高級住宅の値段と同じになるようではまた困る人も大勢出てくるわけで。「二割の努力で八割カバー」という言葉が出ていましたが、理論はさておき、現場の感覚としては、たいていの場合はほどほどにしておくのも重要だろうな、と。

思い出した、あるいは思いついたことがあったらまた書き足すかもしれませんが、詳細なまとめはたぶんどなたかがしてくださるでしょう。

(2005/12/26追記)

wakatonoさんの資料+α。

(2005/12/27追記)

国分さんの資料+α

投稿したコメントは管理者が承認するまで公開されません。

スパム対策のためのダミーです。もし見えても何も入力しないでください
ゲスト


画像認証

トラックバック - http://d.hatena.ne.jp/charsbar/20051223/1135274773