PHPカンファレンス2015に行ってきた話 #phpcon2015
に行ってきた!思った以上に女性の参加者、カップルでの参加者が多くてビックリした。(それでも男性or男性組みの参加者が8割くらいww)
それだけPHPという言語が広まってきているんだなー、と実感した。まぁ、WordPress
のお陰じゃの!
しかしPHPでできることも増えてきているし、今回のテーマである「7」も出てくるし、今後のPHPが楽しみですわ(*^^)v
今更だけど、まとめまーす!
参加したイベント
- オープニング
- PHPの今とこれから2015
- いまどきのSQLインジェクションの話題総まとめ
- 基調講演 Rasmus Lerdorf
- いまどきのPHP開発現場-2015年秋-
- 脆弱性もバグ、だからテストしよう!
- ライトニングトーク
いまどきのSQLインジェクションの話題総まとめ
徳丸先生による、最近のSQLインジェクションまとめ。
www.slideshare.net
途中PHP
だけでなく、Ruby
のライブラリやPerl
のSQLメーカーのSQLインジェクションの話もあり、非常に面白かった。
詳しくはスライドを見てください!
しかし、一番面白くかつ心に残ったのは、最初にお話いただいた
「SQLインジェクションが発生したさい、責任は『開発者』か『発注者』どちらにあるか」
というお話だった。具体的に、ある家具インテリアECサイトにてクレジットカード情報が漏れた事件を題材にされていた。 ざっくりと背景を言うと、
- 発注者側がセキュリティ対策について具体的に指示をしていなかった
- 開発者側は指示がなかったのでセキュリティ採択をしていなかった
- SQLインジェクション、XSSの脆弱性があった
- 管理画面のログイン情報が「admin/password」だった
- 個人情報含むログ情報が外部から閲覧可能
- ECサイトにクレカ情報(セキュリティコード含む)も保持
- 最大7316件のクレカ番号が漏れた
- 発注者側は1億913万円の損害賠償を請求し、東京地裁に起訴 ⇒ 2014年1月判決
まぁ上の項目から予想は付くが、「開発者側にある」という判決が下ったそうだ。事例として、東京地裁に判決が下されたある事件を基にお話されたんだが、 まぁ説得力ある。今後はより一層、開発者としてセキュリティ対策をしないといけない。 仮に発注者側の要件に具体的にセキュリティ対策の指示がなかったとしても、今後は開発者側に責任を問われることになるからだ。 上の事件の判決の一部を抜粋すると、
SQLインジェクション対策を怠ったことは重過失
専門家として当然はたすべき責務をはたしていなかった
とのこと。自分たち開発者は「専門家」としてしっかり安全なシステム・アプリケーションを作っていく責務があるということを、
肝に命じていかなければならない。
ではどのように対策をすればいいのか?
基調講演 Rasmus Lerdorf
言わずと知れたPHPの産みの親であるRasmus Lerdorf氏によるお話。英語での講演だったため、通訳の時間も含まれるので気持ち短めだったが、とても面白かった!
内容は、「PHP7を使うとWEBサイトのスピードがアップするよ!」といった感じ。
さらに
「Vagrant
のboxも公開しているから、みんなドンドンテストしてね!」
「テストしてバグが見つけられなかったら、バグの修正も手伝って欲しいな!」
ってめっさ押されたwwでも実際にテストしてみたいわ。実際にすごく速くなったみたいじゃけ。
余談だけど、講演後の質疑応答がまた面白かった。ある人が「PHPにはいろんなフレームワークが存在しますが、どんなフレームワークを使ってコーディングをするのがいいですか?」このような質問をしていたけど、この回答が
「私にPHPのコーディングの質問をするのは間違っている。私はPHPのコーディングをしていなく、C言語で仕事をしている。だからPHPのコーディングは分からない。」
正確な言葉は違うけど、だいたいこんな回答だった。まぁ、PHPはC言語で作られている件、この発言は確かにと思ったww
最後にRasmus氏とツーショットで記念撮影もしていただいたので満足!
いまどきのPHP開発現場-2015年秋-
www.slideshare.net
お次はちょっと技術的には内容が薄いけど、とても便利なツールをご紹介してくださった、こちらの講演に参加。
PhpStorm
うん、最近初めて誰かが使い始めてたなーVagrant
さすがにこれはよく使ってる(でも俺は業務ではVMWare Player
を使ってる)Travis CI
よく耳にするけど、ウチの会社では導入しないじゃろうなー- フレームワーク
Symfony, Zend Framework, Laravel
などあるが、まぁ一長一短です Scrutinizer
初耳
うん。自分はまだまだ作業を効率化できるし、無駄な作業をしていることが多いと思った。
発表者の方のまとめ
ツールやサービスに任せる
やるべきことに集中
これらの言葉が凄く胸に響いたし、納得。自分たちはクリエイティブな仕事をしているけん、なるべくそちらに時間と頭を使えるように工夫する。
脆弱性もバグ、だからテストしよう!
www.slideshare.net
ある意味でこの講演が一番ウチの会社に必要かなーと思った。ウチは有償のセキュリティテストツールを使ってセキュリティチェックを行っているが、 これが一度に一つのサーバーにしか利用できず、ログインも1度に1ユーザしかできないため、別の人がシステムにログインされると、 今ログインしている人は強制的にログアウトさせられる。非常に使い勝手が悪い。
この方が作られたVAddyというツールならば、サーバごとにテスト実施できるし、GUIで簡単に実行できるのでだれでもすぐにテストできる! また無料で利用可能なのが魅力。もちろん有料の方がより精確なテストを実施できるが高くても月額$300程度だけん、お手頃。
欠点を挙げると、テスト結果をPDFやワードなどの文書として出力できないことが残念。。。今後はこの機能を実装するそうなので、その時に使ってみたい。
ライトニングトーク
はい、ある意味で一番のお楽しみであるLT!
個人的に面白かったのは、以下。
- ランダムデータをPHPで作る
- PHPでRubyのゲームを攻略する PHPWarrior
- サンタクロースを支えるIT技術 チャリティーサンタ
- phpと夫婦生活
- (あなたにもできるかもしれない)ローカルPHPカンファレンスの作り方
- THE NEW PERFECT PHP WILL BE COMING SOON
- ISUCON2015 PHPで予選を戦ってみた
「phpと夫婦生活」は、リアルなプログラマーの夫婦生活の大変さを語ってくださって、すごく共感できるものだった。 「ローカルPHPカンファレンスの作り方」が一番笑ったw あとは「THE NEW PERFECT PHP WILL BE COMING SOON」かな。あの「パーフェクト PHP」がリニューアルされる!しかも今年! いやぁ、すごく楽しみですわ。
最後に
今回このカンファレンスの開催に関わってくださった、
全ての方に感謝申し上げます。この素晴らしいカンファレンスの開催、本当にありがとうございました!また、大成功本当におめでとうございます! また来年も参加させて頂きます。できれば、今度はボランティアでいいので、主催側で何かしらの恩返しができればと思います。
今後は、ここで発表者として登壇できるように精進する。