Ryuzee.com

とあるサイトのセキュリティを見て欲しいといわれ、暇だったので見てみたが、なかなか素晴らしい出来であった。

・ssh経由でアクセスをしているが、rootでダイレクトでログインが可能だった。sshd_configを編集してPermitRootLogin noとしておくべし。
・suでrootアカウントになれるアカウントが限定されていない。login.defsを編集してSU_WHEEL_ONLY yesを追加し、/etc/groupのwheelグループにsuしてrootになれるアカウントを追加すべし。
・sshでアクセスできるホストが限定されていない。
・全体的にパッチが当たっていないものが多い割りに色々なサービスがあがっている。乗っ取ってくれといわんばかり。

どうもサーバのパッチ当てやセキュリティ管理は別見積もりの個別契約になっているらしく、予算の関係で何もやってなかったらしい。こんなの思い切り勘違いですわ。

セキュリティおざなりにするならWebサイトは開くな

上場している企業やある程度の規模の会社でもこんなもんなんだよな。万が一の時の失う信用考えたらもうちょっとリスクコントロールしておいても良いよ。もっともそうしたからといって確率が0になるわけじゃないので、そこんとこは理解してもらう必要がある。

■VMWare Playerがフリーで公開

これナイス。VMWareにて作成したOSイメージを再生するVMWare Playerが無料で公開されている。またOSイメージもいくつかサイト上で公開されているので、手軽に既存の環境を汚さず、色々なソフトウェアをテストすることが可能だ。
これ、OSのライセンスの問題さえクリアすれば、予め各OSや各ブラウザのバージョン等で仮想OSイメージを作成しておいて、テストはそのOSイメージを配布して各人で実施する、なんてことが可能なわけで、会社の確認端末が大幅に減らせるよ。素敵。

ちなみに今週wineのベータ0.9が公開されたが、これはLinux/Unix環境で、Windowsのソフトを動かすエンジンだ。俺的にはVMWareで良いのであまり用途はないのだが、Linux版一太郎では使われているらしい。

■不正侵入検知システム「Snort」に脆弱性

まぁありがち。バッファーオーバーフローだし。

■Catalyst5.49リリース

バージョンアップ早いな。DEVELOPER RELEASE なのでとりあえず様子見か。

■xoopsにXSS脆弱性

これもまぁありがち。Nさんが良くセキュリティがなっていないといっていたが・・・。でもXSSはどのアプリでもあるからな～。とりあえず俺自身はxoops使いでも無いし、他の客に入れたとかもないのでスルー。

■MySQL5.0リリース

すげぇ機能追加。MySQL Migration Toolkitが提供されており、OracleとかMSSQLServerからの移行が簡単らしい。個人的にはPostgreSQLの方が好き。

以前バグトラッキングシステムの話を書いたが、結果mantisを使っている。(日本語の紹介ページはこちら)。

mantisはPHP＋MySQLもしくはPostgreSQL(一応PostgreSQLはテスト中という位置づけのようだが)で動作するGPLのソフト。画面デザインが洗練されており、使い勝手が良いと思う。

画面のキャプチャはこんなかんぢ↓

昨年来アクセシビリティという単語がWebの世界を一人歩きしている。客までもがアクセシビリティチェックツールで高得点を取れるように対応しろ、というそれだけでは何も意味のない指令をしてくる。

アクセシビリティの目的は、障害を持った方にもなるべく等しくコンテンツに到達、取得できるようバリアフリー化することであり、この要件を満たすことがアクセシビリティの実現である。
もちろん障害を持った方、とひとくくりに言っても、視覚、色覚、聴覚、四肢など色々な方がいるわけで、それぞれどのレベルまでの方をサイトでカバーするかは、企業としては、費用対効果の観点、CSR、ブランドの観点から十分な戦略を立てなければならない。

戦略や計画がない、またはコンセンサスが取れていない行動は、無駄が多数発生し、最終的な目的に到達する前に横道にそれたり、何やってるんだかわからないことになることが多い。計画は通常、長期計画、中期計画、PJ計画など細分化して定めることが多いのだが、大本の計画が無ければ、個別計画も立たず、もう迷走するしかない状況である。この場合、金だけが湯水のごとく流れていくわけであるから、派遣業でもやっていると、人月いくらで長くお金がもらえるので素晴らしいのだが、うっかり青果物での契約を結ぼうものなら、客に振り回され、結局納品できないまま、人を大量にかかえて、赤字だけが残る、という素敵な状況になるわけですわ。
なので、契約するときは、リスクヘッジは十分に！

話がそれたが、アクセシビリティは企業の自己満足のためにあるものでもなく、対外的にアクセシビリティに対応してます！というためにやるものでも無い。企業が顧客に対してどのように接するか、という態度の表れである。点数がよければ良い、という企業は、表面的にはうまいこと言うが、結局売り上げさえ上がれば良い、という態度を表に出しているだけだと思われる。

実際こんな客もいるが、不快極まりないね。

昨日締め切りだったコラムをなんとか入稿。
結局書く時間がなくて横浜センターから東京に向かう電車の中でてきとーーに書いたけど、とりあえず上司からはOK貰う。あんま読んでないな。間違いない。
しかし、ちょっとしたCGIを一日で作れって言われたら喜んで作るが、一日で原稿をかけと言われたら、遠慮しとくわ。

それから会社では「暇」だったのでmojaviで遊ぶ。
くだらないが、mojaviでのアクセスURLをどれだけ短くできるかどうかを試して遊ぶ。ちなみに答えは

http://ホスト名/s/m/o/a/i

ちなみに
sの実体はindex.phpなので、httpd.confにAliasの設定をする。このとき、apache2.0系を使っている場合は、デフォルトでは動作しないので、PATH_INFOを受け付けるようapacheの設定を変更する必要があるので念のため。
mはmodule、aはactionの短縮名称をconfig.phpに設定。oはmodule名でiはaction名である。
上記の覚え方だが、

渋谷でモアイ

と覚えていただきたい。
なお覚えても何も得しないが、俺のしったことではない。

会社のWebサイトに掲載するためのコラムを書かなければいけないのだが、全くネタが思いつかない。駄文、雑文ならなんとか思いつくのだが、会社がコーポレートサイトで公開する、となると、

「なにやってんだ、このタコ」

とかは書けないし、

「死刑！」

とかも書けないし(普段口にもしてないぞ。たぶん)、もちろん、巨大フォントにもできないので、見た目のスペースを稼ぐこともできない。
月曜日までに用意しなきゃいかんので、土日はつらいなぁ。
俺だけかもしれんが、無理して書いた文章をサイトに載せる意味があるのかな？？

それから来月会社で開催するセミナーのスピーカーをするので、ネタを考えなきゃいけない。来るのは広報部門とかの方が毎回多く、システム部門の人は来ないので、俺の守備範囲とは違うんだよな～。

プロジェクトの進め方とかソースの書き方で困る分には全然苦痛じゃないんだけど。。。

以上。駄文スマぬ

休日出勤して立会いしているが、ほとんど連絡作業だけなので、バグトラッキングシステムの調査をしている。

というのも今の職場では障害や不具合の管理が統一的な手法で行われていないため、どこの何を見てもステータスがよくわからないからだ。世間の会社を調べてみると、勢いのあるベンチャー企業なんかはこのあたりが徹底されているし、コミュニケーションのメソッドが確立されているようで素晴らしい。うちはダメなので、このあたりは真似して変えていかねば。。

コミュニケーションの成熟度＝品質

だと考えて良いのだろうね。ペアプロなんかもその手の話。

ということで、バグトラッキングシステムを調査してみたのだが、気になったプロダクトは２つ。Bugzillaと影舞。とりあえず使ってみるということであれば、サーバにrubyさえインストールされていれば良い影舞に軍配。デザインはいまいち気に入らないけど、カスタマイズ可能だし。俺はrubyは触ったことないけど、インストールは３分で終わったし、結構楽。

早速使ってみて評価レポートでも書いてみることにする。

三連休だというのに、移行作業のため、10/9の朝4時に会社に行かなければいけない。連休の真ん中ってのがナイス（殺。
行ってやることは定期的に状況を連絡する連絡係。実作業は他のメンバがやってくれるし。冷静に考えたらこの案件、自分がPMなんだが、PJ開始以来、本番機にFTPやTelnetしたことすらない。
だんだん立場が変わってきたってことかな。

10/6にまた一つ年とったし、35歳でSEは定年らしいので、3年かけて生き延びる道を探しますｗ

久々に九時前に帰宅した。
家族と酒を飲みながら食事。ダウンタウンのTVを見ていて、途中で飽きてきたので会社の携帯PCを取り出し、VPNで会社に接続。仕事を開始。普通にメール書いたり、ドキュメント書いたり。
たまに早く帰ってきたのに何やってるんだろう。。。

また酷い一週間だった。

タクシー帰り２回。しかも１回はクレジットカードリーダがエラーを出して夜中に現金で払え、と来た。仕方ないので寝てる妻に起きて貰い、現金払い。家に無かったらどうするつもりだったんだろ？ちなみに昨日はカードリーダ問題なかった。。

それはさておき、今週もリリース盛り沢山だった。というかさ、それを認識したのが、木曜日ってのが終わってる。
あるお客様の案件で、部下からアラートも無かったので、つつがなく進んでいるかと思いきや、何も詰めておらず、他人任せ(丸投げ)で、移行タイムチャートすら無い。客に呼ばれて私も行ってみたら、そんな壊滅的な状況。アホか？どうして握りつぶしの嵐なんでしょう？？入社15年以上で俺よりキャリア長いのに。。。。
仕方ないので、木曜日はタイムチャートの作成と役割分担の確認、手配状況の確認を俺様主導で実施。金曜日は朝からリリースの進行確認と連絡役＋打ち合わせやらなんやら。

リリースも品質に多くの問題があり、バッチ処理終了後に再RUNが必要な事態になりかけたり、数字が誤って表示されているように見えたり、悲惨な限り。これでお客様からは切られるかな（藁
やっと23時半ころ収束して、昨日で退職のA君と話しをしていたら、その間にこの件担当の部下は断り無く帰宅。俺に報告は？土日月の対応は？もう何を言っても無駄なんだろうけど、何様なんだろうねぇ。

教訓

他人は自分と同じ能力・モチベーションでは無い

＃知り合いも見ているかもしれないが、内に秘めておくのも癪に障るのでBlogに書いてやる（藁

ちなみに、もう１つのお客様のリリースは無事終了。自分でソース書いてたから忙しかったなぁ。mojaviのおかげで助かった（謎

 

日記 PHP オープンソース Linux Trac Perl wordpress フリーソフト Agile 自宅サーバ phpMyFaq Plugin 書評 Delphi apache プラグイン Subversion アジャイル mojavi セキュリティ Ruby Firefox Ajax/Web2.0 eclipse サーバ Zope フレームワーク CakePHP 文字化け scuttle OpenVZ 自宅 phpBB CMS 翻訳・日本語化 Excel ApacheDS 生産性向上 仮想化 hacks CodeIgniter XAMPP LDAP SBM taskfreak Ajax 修正 言語ファイル mod_security ダウンロード HTML::FillInForm 情報共有 格安 メンテナンス 移転 アンケート レンタル PhpScheduleIt 翻訳 API