<h3>Rack のセキュリティフィックスと Timing Attack の話し</h3>
<p>さきほど Rack にセキュリティフィックスバージョンが出たんだけど、セキュリティ的に何故に問題があるのかわからなった(Timing Attack をよく解ってなかった) のでメモ。</p>
<ul>
<li><a href="https://github.com/rack/rack/commit/0cd7e9aa397f8ebb3b8481d67dbac8b4863a7f07">https://github.com/rack/rack/commit/0cd7e9aa397f8ebb3b8481d67dbac8b4863a7f07</a></li>
<li>このコミットで直った。HMAC で生成するハッシュ値の比較チェックを == から別のメソッドで行うようになった。</li>
<li><a href="https://github.com/rack/rack/blob/master/lib/rack/utils.rb#L399-L408">https://github.com/rack/rack/blob/master/lib/rack/utils.rb#L399-L408</a></li>
<li>え、これ戻り値の bool は Ruby の String#== と同一じゃん、なにが問題なんだろう？</li>
<li>攻撃者が指定した digest により、== の比較速度が異なり、HMAC が推測可能になるのが問題
<ul>
<li>これが Timing Attack か！</li>
<li>Response Header で X-Runtime を出してると usec 単位で処理時間がばれる</li>
</ul>
</li>
<li>secure_compare だとバイト列の比較で最後まで舐めるため、処理速度にばらつきが無くなる</li>
</ul>
<p>ﾅﾙﾎﾃﾞｨｳｽﾃﾞｽｿﾞ~。mrkn / miyagawa さんに教えて貰った。</p>
<p>なお Rails は</p>
<pre><code>use ActionDispatch::Cookies
use ActionDispatch::Session::CookieStore
</code></pre>
<p>な別の middleware で処理をしてるため、Rack の影響は受けない、と。</p>

Rack のセキュリティフィックスと Timing Attack の話しさきほど Rack にセキュリティフィックスバージョンが出たんだけど、セキュリティ的に何故に問題があるのかわからなった(Timing Attack をよく解ってなかった) のでメモ。https://github.com/rack/rack/commit/0cd7e9aa397f8ebb3b8481d67dbac8b4863a7f07このコミットで直った。HMAC で生成するハッシュ値の比較チェックを == から別のメソッドで行うようになった。https://github.com/rack/rack/blob/master/lib/rack/utils.rb#L399-L408え、これ戻り値の bool は Ruby の String#== と同一じゃん、なにが問題なんだろう？攻撃者が指定した digest により、==

Rack のセキュリティフィックスと Timing Attack の話しさきほど Rack にセキュリティフィックスバージョンが出たんだけど、セキュリティ的に何故に問題があるのかわからなった(Timing Attack をよく解ってなかった) のでメモ。https://github.com/rack/rack/commit/0cd7e9aa397f8ebb3b8481d67dbac8b4863a7f07このコミットで直った。HMAC で生成するハッシュ値の比較チェックを == から別のメソッドで行うようになった。https://github.com/rack/rack/blob/master/lib/rack/utils.rb#L399-L408え、これ戻り値の bool は Ruby の String#== と同一じゃん、なにが問題なんだろう？攻撃者が指定した digest により、== の比較速度が異なり、HMAC が推測可能になるのが問題これが Timing Attack か！Response Header で X-Runtime を出してると usec 単位で処理時間がばれるsecure_compare だとバイト列の比較で最後まで舐めるため、処理速度にばらつきが無くなるﾅﾙﾎﾃﾞｨｳｽﾃﾞｽｿﾞ~。mrkn / miyagawa さんに教えて貰った。なお Rails はuse ActionDispatch::Cookies
use ActionDispatch::Session::CookieStoreな別の middleware で処理をしてるため、Rack の影響は受けない、と。

Rack のセキュリティフィックスと Timing Attack の話し

<h3>GitHub Enterprise TechTalk に見る、各社の運用法</h3>
<p>弊社もバリバリ GHE を使ってるので落ちると開発が回らなくなる(pull request できないのは、master に merge できないのとほぼ等価)ので、他社どうやってるのかーと大変気になってたのでしれて良かった。</p>
<p>間違ってたら教えてくだしぃ</p>
<ul>
<li>クックパッド
<ul>
<li>開発者は GHE へ push, webhook でメインの git サーバに同期</li>
<li>GHE の git レポジトリは本番からは利用しない</li>
<li>GHE が死んだ場合はメインの git サーバを向けることで継続開発・デプロイ可能</li>
</ul>
</li>
<li>はてな社
<ul>
<li>開発者は GHE に push したり場合により別のサーバに push したり</li>
<li>GHE から webhook でミラーリング</li>
<li>GHE / 別 git を開発者がうまく使いこなす必要がある。混乱するので git-hatena コマンドを用意してよしなにラップしてる</li>
<li>GHE のサーバは Active Standby 構成らしいけどどうやってるのか聞きそびれた！</li>
</ul>
</li>
<li>DeNA 社
<ul>
<li>開発者は GHE へ push</li>
<li>GHE から各種 ghe- ツールを使いバックアップ</li>
<li>repos は巨大すぎるので ghe- ツールで無くて rsync
<ul>
<li>某権限でｺﾞﾆｮｺﾞﾆｮ…仮想マシン上のｳﾌﾞﾝﾂですし…</li>
</ul>
</li>
<li>構成は Cold Standby 構成</li>
</ul>
</li>
<li>- VMWare の仮想冗長化はお値段が…</li>
<li>GREE 社
<ul>
<li>大場さんがんばって(´；ω；｀)</li>
</ul>
</li>
</ul>
<p>というわけで</p>
<ul>
<li>GHE が死んで pull request できなくなると死ぬ
<ul>
<li>DeNA でやってる Cold Standby 構成で</li>
</ul>
</li>
<li>本番に deploy やレポジトリ参照できなくて死ぬ
<ul>
<li>参照するのは GHE レポジトリで無く別のメインのレポジトリで</li>
</ul>
</li>
</ul>
<p>が良さそうだナーと思いました。へーしゃも DeNA 社的なアプローチとりたいなぁ。あと GHE も日々進化してるので、そのうちきっと低コストな手法で SPOF が排除される機能がつく…はず…といいなぁ…</p>
<p>あと感想で GHE 使うの苦行だけじゃ、って話しを何件か見たけど、実際 github.com の運用だけで問題ない会社なら</p>
<ul>
<li>github.com を使ったときのセキュリティリスクをとれる</li>
<li>github.com が死んでてもなかない</li>
</ul>
<p>なら、github.com を使うべきですよ。GHE に github.com で実装された機能が入ってくるのにも時差あるし、github .com を使わない理由は無いです。安易に GHE を使うと運用をしっかりしないと死ぬので。</p>

GitHub Enterprise TechTalk に見る、各社の運用法弊社もバリバリ GHE を使ってるので落ちると開発が回らなくなる(pull request できないのは、master に merge できないのとほぼ等価)ので、他社どうやってるのかーと大変気になってたのでしれて良かった。間違ってたら教えてくだしぃクックパッド開発者は GHE へ push, webhook でメインの git サーバに同期GHE の git レポジトリは本番からは利用しないGHE が死んだ場合はメインの git サーバを向けることで継続開発・デプロイ可能はてな社開発者は GHE に push したり場合により別のサーバに push したりGHE から webhook でミラーリングGHE / 別 git を開発者がうまく使いこなす必要がある。混乱するので git-hatena コマンドを用意してよ

GitHub Enterprise TechTalk に見る、各社の運用法弊社もバリバリ GHE を使ってるので落ちると開発が回らなくなる(pull request できないのは、master に merge できないのとほぼ等価)ので、他社どうやってるのかーと大変気になってたのでしれて良かった。間違ってたら教えてくだしぃクックパッド開発者は GHE へ push, webhook でメインの git サーバに同期GHE の git レポジトリは本番からは利用しないGHE が死んだ場合はメインの git サーバを向けることで継続開発・デプロイ可能はてな社開発者は GHE に push したり場合により別のサーバに push したりGHE から webhook でミラーリングGHE / 別 git を開発者がうまく使いこなす必要がある。混乱するので git-hatena コマンドを用意してよしなにラップしてるGHE のサーバは Active Standby 構成らしいけどどうやってるのか聞きそびれた！DeNA 社開発者は GHE へ pushGHE から各種 ghe- ツールを使いバックアップrepos は巨大すぎるので ghe- ツールで無くて rsync某権限でｺﾞﾆｮｺﾞﾆｮ…仮想マシン上のｳﾌﾞﾝﾂですし…構成は Cold Standby 構成- VMWare の仮想冗長化はお値段が…GREE 社大場さんがんばって(´；ω；｀)というわけでGHE が死んで pull request できなくなると死ぬDeNA でやってる Cold Standby 構成で本番に deploy やレポジトリ参照できなくて死ぬ参照するのは GHE レポジトリで無く別のメインのレポジトリでが良さそうだナーと思いました。へーしゃも DeNA 社的なアプローチとりたいなぁ。あと GHE も日々進化してるので、そのうちきっと低コストな手法で SPOF が排除される機能がつく…はず…といいなぁ…あと感想で GHE 使うの苦行だけじゃ、って話しを何件か見たけど、実際 github.com の運用だけで問題ない会社ならgithub.com を使ったときのセキュリティリスクをとれるgithub.com が死んでてもなかないなら、github.com を使うべきですよ。GHE に github.com で実装された機能が入ってくるのにも時差あるし、github .com を使わない理由は無いです。安易に GHE を使うと運用をしっかりしないと死ぬので。

GitHub Enterprise TechTalk に見る、各社の運用法

<p>miyagawa さんの podcast が毎回面白い、Web っ子ならあーそれそうだよね〜的な相づちを頭の中でうちつつにやにやと聴いてしまう。しかしそれだけだとなんか言い足りない気分、なんか言いたい！と言うわけで、今回の江島さんとの podcast の話題に勝手に乗っかかってみます試み。</p>
<ul>
<li><a href="http://podcast.bulknews.net/post/43535683799/podcast-ep2-2013-02-19-kenn-ejima">http://podcast.bulknews.net/post/43535683799/podcast-ep2-2013-02-19-kenn-ejima</a></li>
</ul>
<h2>マシン環境のセットアップの話し</h2>
<div class="photos photos-medium photos-hatena"><span itemscope="" itemtype="http://schema.org/Photograph"><a href="http://cdn-ak.f.st-hatena.com/images/fotolife/s/secondlife/20120912/20120912182002_original.jpg"><img src="http://cdn-ak.f.st-hatena.com/images/fotolife/s/secondlife/20120912/20120912182002.jpg" class="photo" itemprop="image"></a></span></div>
<p>開発環境をどう整えどう保つか。これはエンジニアそこそこいる会社だと必ず考える話で。マシンセットアップの初期化コストを減らし、その後どう継続するか。</p>
<p>miyagawa さんが言う、うちの会社というのは弊社(クックパッド)のことで、エンジニアの開発環境 OS は Mac。 Mac の上にとりわけ仮想環境の Linux などを構築してるわけでは無く、直接 Mac を使って開発している。</p>
<p>Mac には homebrew というパッケージ管理システムがあり、それを利用してる。しかしながら、自社向けのパッチを当ててたり、特定のバージョン固定が必要なパッケージ、というのがどうしても出てきてしまう。その問題を解決するために、homebrew 0.9 から入った <a href="https://github.com/mxcl/homebrew/wiki/Homebrew-0.9">tap</a> を利用して、自社向けの formula を用意している。まぁなんてかわいい機能なのでしょう。tap かわいいよ tap。べんりです。</p>
<p>それらを調理するために cpad という自社の環境構築ツールがあり、初期のマシンセットアップ時には、homebrew + 自社 tap + 各種必要な formula のインストール + その他細かいこと諸々を行ってくれる。また、必須ライブラリが増えたり、開発環境を変更したりするときも、cpad を通して自動でアップデートされる。たとえば先日は開発者の手元の rvm から rbenv へ切り替えるための設定が反映されたりした。</p>
<p>しかしながら、開発者手元のマシンの条件は使えば使うほど様々な差違がでてくるため(たとえば、Apple Store 経由でアップデートされる Xcode による gcc の差違とかね)完璧では無い。開発者の複数人がハマるような問題は cpad で吸収、一人がおきてるような問題ないならサポートしてカバー、のような方法で対応している。完璧は求めていない。</p>
<h2>Boxen</h2>
<p>便利そうだよねぇ、今 Mac の統一した環境を用意するなら始めに試しすこと間違いなし。こういう Web っ子が欲しがるツールを汎用化して公開しちゃうあたり、GitHubber はいつもクールだなぁ。プロモーションもうまいよね。</p>
<p>そういえば<a href="http://r7kamura.hatenablog.com/">中村君</a>が</p>
<ul>
<li><a href="https://github.com/blog/1345-introducing-boxen">https://github.com/blog/1345-introducing-boxen</a></li>
</ul>
<blockquote>
<p>We designed Boxen with teams that work like GitHub in mind. Boxen automatically updates itself every run and opens and closes GitHub Issues as problems arise and get fixed. With Boxen</p>
</blockquote>
<p>問題発生時に GitHub Issues に自動で登録・解決するとクローズされるの面白い、って言ってて、たしかに GitHub 的考方。</p>
<h2>コアコンピタンスでない物は、あり物のサービスを利用する</h2>
<p>これは全面的に頷ける話しで。メール送信、パフォーマンスやメトリクスの効果測定、ログ解析等、あり物のサービスで済ませられる部分は徹底的に外部の物を使った方が速くて効率が良いし、クオリティ自体も高いサービスが多い。良い時代になったものだ。</p>
<p>また個人に依存した物を作ってしまうと、その人が会社を辞めたり、仕事の内容が変わったりで、メンテナンスされなくなってしまうリスクもある。よほど必要である物で無い限り、もしくはそれ自体を社内、もしくは OSS としてうまくプロモーションしない限りは廃れてしまう。なのでできる限り、本質的に必要ない部分は外の物を使いたい。もちろん「本当に必要」な物は積極的に作っていきたいよね、フルスクラッチで創造する・コードを書く事は面白いし。</p>
<h2>New Relic</h2>
<p>New Relic は良く出来ていて結構使っているんだけど、Web サービス規模が巨大に・複雑になってくると、 何故重いかを解ってしまっている故、New Relic でのパフォーマンス問題点はすでに既知の事が多く、使いどころが難しくなってしまう。</p>
<p>重いページはしかるべき理由(例えばレガシーコードの仕様によるキャッシュの難しさ、インデクス更新やデータ分割がオンラインでは難しいデータベース、等々)により重く、またパフォーマンスチューニング時もどう改善していくか、を戦略的に考えていく必要があるため、New Relic 自体の重要性が薄れてしまう。</p>
<ul>
<li>New Relic『hey, このクエリー遅いよ』</li>
<li>自分『ごめん、知ってる』</li>
</ul>
<p>もちろんサービスが巨大になる前の、New Relic 見通しの良さはとても素晴らしいのだけどね。</p>
<h2>VPC の話し</h2>
<p>去年、AWS ネットワークを VPC に全面移行したんだけど、開発者視点で一番これは便利！って思えたのはセキュリティグループ(いわゆる iptables のネットワーク・ポート許可設定)をインスタンスの作り直し無しで付け替え可能になったことで。</p>
<p>VPC でない EC2 ではインスタンス作ってたちあげてサーバ設定していざ使おう！という段階でｱｯｰｰｰｯｯｯセキュリティグループ指定ミスってた…作り直し…マジ…となったことが何度あることか…。</p>
<p>そもそもEC2 でできないのがおかしいのでは…という話もあるけど…。</p>
<h2>ま、そんな感じで</h2>
<p>毎回あまりまとめられず、すぱっと podcast 終わるね :)</p>
<p>全然関係ないけど、はてなダイアリーからはてなブログへ移転した。それに伴いですます調を辞め、あこがれのブログぽい記事書きたいと思う。これがブログというやつか！</p>
<p>あとミーハーなので江島さんとごはんたべにいきたいです。</p>

miyagawa さんの podcast が毎回面白い、Web っ子ならあーそれそうだよね〜的な相づちを頭の中でうちつつにやにやと聴いてしまう。しかしそれだけだとなんか言い足りない気分、なんか言いたい！と言うわけで、今回の江島さんとの podcast の話題に勝手に乗っかかってみます試み。http://podcast.bulknews.net/post/43535683799/podcast-ep2-2013-02-19-kenn-ejimaマシン環境のセットアップの話し開発環境をどう整えどう保つか。これはエンジニアそこそこいる会社だと必ず考える話で。マシンセットアップの初期化コストを減らし、その後どう継続するか。miyagawa さんが言う、うちの会社というのは弊社(クックパッド)のことで、エンジニアの開発環境 OS は Mac。 Mac の上にとりわけ仮想環境の Linux などを構築

miyagawa さんの podcast が毎回面白い、Web っ子ならあーそれそうだよね〜的な相づちを頭の中でうちつつにやにやと聴いてしまう。しかしそれだけだとなんか言い足りない気分、なんか言いたい！と言うわけで、今回の江島さんとの podcast の話題に勝手に乗っかかってみます試み。http://podcast.bulknews.net/post/43535683799/podcast-ep2-2013-02-19-kenn-ejimaマシン環境のセットアップの話し開発環境をどう整えどう保つか。これはエンジニアそこそこいる会社だと必ず考える話で。マシンセットアップの初期化コストを減らし、その後どう継続するか。miyagawa さんが言う、うちの会社というのは弊社(クックパッド)のことで、エンジニアの開発環境 OS は Mac。 Mac の上にとりわけ仮想環境の Linux などを構築してるわけでは無く、直接 Mac を使って開発している。Mac には homebrew というパッケージ管理システムがあり、それを利用してる。しかしながら、自社向けのパッチを当ててたり、特定のバージョン固定が必要なパッケージ、というのがどうしても出てきてしまう。その問題を解決するために、homebrew 0.9 から入った tap を利用して、自社向けの formula を用意している。まぁなんてかわいい機能なのでしょう。tap かわいいよ tap。べんりです。それらを調理するために cpad という自社の環境構築ツールがあり、初期のマシンセットアップ時には、homebrew + 自社 tap + 各種必要な formula のインストール + その他細かいこと諸々を行ってくれる。また、必須ライブラリが増えたり、開発環境を変更したりするときも、cpad を通して自動でアップデートされる。たとえば先日は開発者の手元の rvm から rbenv へ切り替えるための設定が反映されたりした。しかしながら、開発者手元のマシンの条件は使えば使うほど様々な差違がでてくるため(たとえば、Apple Store 経由でアップデートされる Xcode による gcc の差違とかね)完璧では無い。開発者の複数人がハマるような問題は cpad で吸収、一人がおきてるような問題ないならサポートしてカバー、のような方法で対応している。完璧は求めていない。Boxen便利そうだよねぇ、今 Mac の統一した環境を用意するなら始めに試しすこと間違いなし。こういう Web っ子が欲しがるツールを汎用化して公開しちゃうあたり、GitHubber はいつもクールだなぁ。プロモーションもうまいよね。そういえば中村君がhttps://github.com/blog/1345-introducing-boxenWe designed Boxen with teams that work like GitHub in mind. Boxen automatically updates itself every run and opens and closes GitHub Issues as problems arise and get fixed. With Boxen問題発生時に GitHub Issues に自動で登録・解決するとクローズされるの面白い、って言ってて、たしかに GitHub 的考方。コアコンピタンスでない物は、あり物のサービスを利用するこれは全面的に頷ける話しで。メール送信、パフォーマンスやメトリクスの効果測定、ログ解析等、あり物のサービスで済ませられる部分は徹底的に外部の物を使った方が速くて効率が良いし、クオリティ自体も高いサービスが多い。良い時代になったものだ。また個人に依存した物を作ってしまうと、その人が会社を辞めたり、仕事の内容が変わったりで、メンテナンスされなくなってしまうリスクもある。よほど必要である物で無い限り、もしくはそれ自体を社内、もしくは OSS としてうまくプロモーションしない限りは廃れてしまう。なのでできる限り、本質的に必要ない部分は外の物を使いたい。もちろん「本当に必要」な物は積極的に作っていきたいよね、フルスクラッチで創造する・コードを書く事は面白いし。New RelicNew Relic は良く出来ていて結構使っているんだけど、Web サービス規模が巨大に・複雑になってくると、 何故重いかを解ってしまっている故、New Relic でのパフォーマンス問題点はすでに既知の事が多く、使いどころが難しくなってしまう。重いページはしかるべき理由(例えばレガシーコードの仕様によるキャッシュの難しさ、インデクス更新やデータ分割がオンラインでは難しいデータベース、等々)により重く、またパフォーマンスチューニング時もどう改善していくか、を戦略的に考えていく必要があるため、New Relic 自体の重要性が薄れてしまう。New Relic『hey, このクエリー遅いよ』自分『ごめん、知ってる』もちろんサービスが巨大になる前の、New Relic 見通しの良さはとても素晴らしいのだけどね。VPC の話し去年、AWS ネットワークを VPC に全面移行したんだけど、開発者視点で一番これは便利！って思えたのはセキュリティグループ(いわゆる iptables のネットワーク・ポート許可設定)をインスタンスの作り直し無しで付け替え可能になったことで。VPC でない EC2 ではインスタンス作ってたちあげてサーバ設定していざ使おう！という段階でｱｯｰｰｰｯｯｯセキュリティグループ指定ミスってた…作り直し…マジ…となったことが何度あることか…。そもそもEC2 でできないのがおかしいのでは…という話もあるけど…。ま、そんな感じで毎回あまりまとめられず、すぱっと podcast 終わるね :)全然関係ないけど、はてなダイアリーからはてなブログへ移転した。それに伴いですます調を辞め、あこがれのブログぽい記事書きたいと思う。これがブログというやつか！あとミーハーなので江島さんとごはんたべにいきたいです。

A Day in the Life

Rack のセキュリティフィックスと Timing Attack の話し

Rack のセキュリティフィックスと Timing Attack の話し

関連するかもエントリー

書いている人

おたよりを送る