blog.risouf.net

YAPC の記録(2014年版)

YAPC::Asia Tokyo 2014 が終わったので、自分用のまとめ。

応募したトーク

例年通り応募して、今年はリジェクトとなりました。話そうと思っていたことは、需要がありそうというよりは、自分が話したかった(そして他の人の意見を聞きたかった)ことなので、他の場所でトークとかする予定はなしです。

印象に残ったトーク

諸事情あって自分の聞きたいトークの全ては聞けていません。公開可のトークについては動画がアップされているのでそちらを確認する予定。ここでは(まだ動画が公開されていないので)当日に聞いたトークから一部を記録しておきます。

Go For Perl Mongers

Go は過去に一度だけ使ったことがある言語なのだけれど、それだけなので当然詳しくないわけで。ハマるほど使っていない人間から見て、ハマりどころを解説してもらえるというのは、今後使う機会が来た時のためになるかな、という目論見もあって見に行きました。

内容としては、自分が聞きたかったことにピッタリで大満足でした。もし Go を本格的に使っていくとしたら、たぶん同じ失敗をしたりすると思うけど、そのときにこのトークのことを思い出せれば、自分としては十分です。

JSON SQLインジェクション脆弱性と、そこから学ぶセキュアプログラミングの原則

JSON SQLインジェクションについては、以下のページを見ていただくのが早いと思います。

不正なJSONデータによるSQL Injectionへの対策について (Json.pm+SQLクエリビルダー)

通常のSQLインジェクションは入力の値をエスケープしないことで発生する脆弱性ですが、JSON SQLインジェクションは入力の値ではなく型によって発生する脆弱性です。入力の値の形式を元に型を認識する場合、生成されるクエリは予測しづらくなります。

この手の、フレキシブルにクエリを生成してくれるモジュールなどを使っている場合は注意が必要という話で、トークの中で取り上げられた言語、モジュールとは異なるものでも、一概に安心はできそうにありません。実際、自分が関わっているシステムでも同様の脆弱性がありそうだな、というものがあります。

入力の内容をしっかり検証していれば防げる問題ではあるので、堅く実装していればそうそう問題にはならないと思いますが、他人事ではないぞという感覚が今も残っています。

Civic Hacking

これは LT ですが、印象に残っています。というのも、諸事情でこの LT について詳しく理解する必要があったのですが、英語でのトークだったため、話についていけなかったからです。結局、その後 HUB で色んな人に助けてもらって、ご本人に詳しく説明していただきました。

最初に会場で聞いた印象よりも実際の内容はすごくて、Civic Hackerたちの手によって、大気汚染マップや政治献金のリストなど、様々な情報が見やすい形で公開されていることを教えていただきました。技術をこういう方向で役立てていくのはとても楽しそうだなという思いと、こういう活動に政治家たちも協力していることに対する驚きが今も残っています。

HUB

今年は1日目、2日目ともに夕方以降、会場近くの HUB が貸し切られていたので、もちろん行きました。前夜祭は貸切じゃなかったけど、結局貸切かどうかなんて関係なくて、3日とも HUB にいました。

3日間でどれくらい飲んだかというと、ソフトドリンクを数杯飲んだだけ。どちらかというと誰かと話している時間が長かった。

諸事情で3日ともだいたい同じ人と一緒に飲んでいたのだけれど、結果的に色んな人たちと話ができて、自分一人だと話しかけられなかったりするので、得をした気分です。

夏の終わり

というわけで、例年通り YAPC の終了とともに僕の夏が終わりました。得たものは近いうちにどこかで活かしたい、という気持ちを残しつつ。

ちなみに、諸事情については以下をご参照ください。

YAPC::Asia 2014 スペシャルレポート:レポート|gihyo.jp … 技術評論社

2014-09-10 12:46:44.367591 JST

Tweet $B$3$N%(%s%H%j!<$r$O$F$J%V%C%/%^!<%/$KDI2C(B