mixi Scrap Challengeに参加しました #mixi_scrap

Scrap Challenge

Scrap Challenge | 株式会社ミクシィ 学生向けエンジニアイベント

11月ごろに告知が来ていて、募集があったのは知っていたんだけど当時はデスマーチまっただなかでそんな余裕がなかったのと、ESをかくのがクソだるかったので見送っていました。

そんな中 id:BLThunder1991 とか id:h0shim0 とかが行ってておもしろそうだなと思ったので次回は参加しようと思って参加決定しました。

セキュリティに関しては徳丸本はインターン先でちょっと読んだぐらいで、かつ講義でセキュリティの話はされたけど実際クラックしたことはないという感じです。

内容

最初にちょっとインプットがあって、みんなでチュートリアルやってクラックして、って感じです。

mixiといえばぼくはまちちゃん!なので、CSRFの話が気持ち多めでした。

ただ、トーシロだったので、それだけでも勉強しとかないと辛かったなーという感じでした。

クラック

問題についてはおそらく暗黙的な緘口令が敷かれていると思うので言及しませんが、基礎知識から体系的な知識、実際に触ったことがないと解ききれない問題だったと思います。トーシロだったのでDeveloper Toolsでリクエストヘッダとかを見ながらハックしたりしました。

同期と、もう一人北大のセキュアな人がいたので、彼からアドバイスをもらいつつ、自分の知っている知識ノウハウなどを総合して解いていきました。

結果

まああまり目立った結果はありませんでした。ただ、セキュリティを学ぶには十分すぎるきっかけだったなーと思います。

徳丸本を買わないといけないなと思いました。

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

体系的に学ぶ 安全なWebアプリケーションの作り方 脆弱性が生まれる原理と対策の実践

おもしろかったこと

自分のプロジェクトの闇の話をしたり、エディタの話をしたり、開発したものの話をしたり、就活の話をしたり、つくばの話をしたりで大変面白かったです。

最後に

大変良い経験をさせていただきました。ありがとうございました。

また積み本が増えて充実した日々をまた送れそうですね。これからも開発頑張ろうと思います。

最後に… ノベルティの中にプランニングポーカーが入っていなかったのがざんねんでした…

追記(2015/01/18 9:56 )

プランニングポーカーはアジャイルなイベントのときだけ配っているらしい。 言えばくれたんだって!いえばよかった!今度mixiのひととあったら要求します!!!

「エンジニアのための時間管理術」読了しました

読了

エンジニアのための時間管理術

エンジニアのための時間管理術

エンジニアと書いてありますが、この本ではSA(Service Administrator)のための時間管理術と書いてあります。
この本を 純粋に 活用しようとすると、大手SIerさんの管理職ぐらいじゃないと難しいんじゃないかなと思いました。 普通のエンジニアが時間をマネジメントするためのエッセンスは要所にあります。

  • 習慣をつくる
  • 習慣を作るには21日間かかる
  • 既存の習慣にフックさせれば3日間で済む
  • まず始めよう
  • モノを惜しむより自分の時間を惜しむ
  • PDA, PAAをいつも持ち歩く
  • 他人をうまく使う
  • 作業ログを残すことが作業マニュアルの第一歩
  • 手動でできないことは自動化もできない
  • まず手動でやった記録を残しておき、自動化はその後で考える

みたいな感じです。

PDAZaurusとかPalmとか)の名が平然と出てきますので、結構古い時代の話が多いかもしれません。うまく自分の状況と照らしあわせてうまく適用していくとより自分らしく動けるようになれると思いました。

余談ですが、本文中の挿絵の漫画の意味がアメリカンジョークのせいか半分ほどわかりませんでした。

JavaScriptにもmapとかfilterとかが存在していたというお話

チームメンバーがリファクタリングしてる最中に 「JSにmapとかfilterとかあったらいいんだけどなー」というぼやきをしていたんだけど、JSって関数型っぽさあるし、あるんじゃねーかなーと思ってぐぐったらありました。

Cre » JavaScriptのforEach,map,filter,every,some

目からうろこ。

range(0,100).map(hogehoge...)
とかやってfizzbuzzできたりできるのかなーと思ったけどもrangeはできないみたい。残念。

ProjectEuler

最近、Scalaを全然書いていないことに気付いたので、問題集としてProjectEulerを最初から解き直してみようと思い立ちました。

Hackの痕跡がなくなっててちゃんとしてました。 思い切って進捗もリセットしたのでやっちゃいましょう。

以前はJavaで書いてましたが、Scalaを使うと関数型の恩恵に預かれるのでよいですね。

とりあえずProblem1をさくっと終わらせたのでどんどん進めていきます。

アシュレイマディソンの偽サイトっぽいの見つけたけど存在意義が不明

たまたまSayMoveで淫夢の本編を見ていた時に興味本位でアシュレイ・マディソンのバナーをクリックしました。どんなもんかと思って。

そして飛ばされた先がここ。

【エロのため閲覧注意】http://www.ashleyrnadison.com/

 

ただの不倫サイトなのにこんなエロいトップページでいいのかと思いました。

気になって、Googleから「アシュレイ・マディソン」でググりました。

そして飛ばされたページがこっち。

https://www.ashleymadison.com/

違和感があったのは、Google Chromeだとhttpsで接続した時に認証した接続先名の緑色のバーがひゅんって出てくるのがわかると思いますが、そいつが出現しました。

あれ、と思って。アドレスを確認してみました

http://www.ashleyrnadison.com/
httpsじゃない    ↑r n になってる

https://www.ashleymadison.com/

 

ashleymadison だと思ったらashley r n adisonだったんですね

アドレス踏んだあとでも特にMacに影響はないし、Avastのアラートも出ていないのでマルウェアが入り込んだ感じではないんですが、明らかに怪しい。

 

ログインしようとすると、遷移先は全部本家のashleymadisonに遷移するようになっていました。

新規登録に関しても、ドロップダウンで自分の状況を入力して登録、とすると本家にクエリとともに転送する感じです。

 

URLハイジャッキングのような形なのに、マルウェアを仕込むためのサイトと思いきや特に怪しい動きが見られないので逆に怪しいサイトだと思いました。

へっぽこエンジニアの頭で考えるに

1. ただ本家へアフィリエイトするだけ
2. フィッシング

ぐらいしか思いつきませんでした。ソースを追うのも疲れたし、無意味なのでやめました。

 

rnとmの違いを見分けられなかったのがショックなだけでここまで書きましたがオチは特にありません。ツッコミ待ちです。