第2回まっちゃ445勉強会に参加してきました。
今回はワッフルを食べながらわっふるわっふるという事らしいです。

●散文まとめ
　・大阪で第13回 Admintech.jpが同日開催。【ブラウザ祭り】だったようです。
　　あれ、Webアプリ開発者的にはあっちもありだったか。
　・参加者さんの1/3ほどの目当てはわっふるわっふる（甘くて美味しい）
　・まっちゃさんと竹迫さんは【撮影自由】（定常自由かは不明（笑))
　・むずかしいけど開発者には限界があるよなあと再認識なセキュリティ。
　・yamagataさんはデフォ21番。
　・勉強会に参加するとやっぱり欲しくなるUMPC。
　・あとちっちゃいプロジェクタも欲しくなる。使い道はない。
　・WlistとBlist、難しいなあ。開発者的には両方使わないと
　　にっちもさっちもかなあと思いますた。

スタッフの皆様、講師の皆様、今回もお疲れ様でした&ありがとうございました。

長くなったのでふつーの感想は以下です。

前回同様朝一で、LTから参加です。

「CVE-2008-1447を踏まえたDNS」（hitoさん）
誰もが知ってるPHP4.4.9の脆弱性(大垣さん)
リバースエンジニアリングの何か？（ゆまのさん）

・hitoさんのDNSキャッシュポイズニングのお話。
　トーク後半の部分が非常に怖いなあと感じました。
　資料公開されたら細かく感想を追記したいと思います。

・大垣さんのphp脆弱話
　遠距離ご苦労様です。
　php4.4.9、5.2（こっちはちょっと）の脆弱性のお話。
　お話は聞きやすく、ためになりました。というか、気になるものばっか。
　資料公開されたら割とホンキで調査が必要かも。
　phpをそこまで利用しているわけでもないので、勉強にもなりました。

　PHP4じゃなくて5にすれば問題ないよ！！
　っていう話はありますが、それだとびっみょーに厳しいですよね。
　例えば、個人でレンタルサーバーなどを借りたりしている場合、自分では
　如何ともしがたい状態になってしまうわけですし。
　レンタルサーバー側からしたら、php4で現状動かしている全ての
　ユーザーのphpソースがphp5で動く保障がうんぬんかんぬんとか
　言いだしたらなかなか厳しい。
　（もちろんVerUPやっているレンタルサーバーもいっぱいあるでしょう）
　まあ、他のところでも色々書いてあるでしょうからこんな感じで。

・ゆまのさんのリバースエンジニアのお話。
　現場で「こんなのがあるよ！！」って周知しておきながら、
　自分ですっかり忘れていた【リバースエンジニアリングチャレンジ】のお話。
　ゆまのさんが実際に1問目をクリアするまでの流れを説明してくださいました。
　なんか、現場で自分の知らないアプリのバグを、
　デバック文と勘で探り当てる時に似たような事してるよなあ、と思いました。
　ゆまのさんが利用したツール（【紙・えんぴつ】【勘】を含む）も
　紹介してくださっていましたので、問題が公開されている間に
　時間をとって一回チャレンジしてみようかと思いました。

・まっちゃさんのWAF話
　当日の隠し玉！！
　まっちゃさんのWAFについての簡単なＬＴです。
　WAFをググった時にどんな製品があるのか、という簡単な
　リストを提示されていました。
　英語版googleで検索すると、あんまり引っかかってこないらしいです。
　海外ではWAFで通用しないかも？
　
　数枚のスライドで、「こんな感じの量でもLT大丈夫ですよ」とおっしゃっておられました。
　
　情報量を考えると、『これなら確かに自分でも・・・』と
　思えなくもないですが、人一杯いる前で話せるだけのネタも、
　ネタを引っ張ってこれるスキルもないのが問題ですね。要修行。

　あんまり寝てないとのことで、おつかれさまでした。

ご飯を食べて、午後の部に。

WAF入門　〜原理、効果、限界〜（HASHコンサルティング徳丸さん）
現実的なWAFモジュールの実装とその運用 - wafful.org の今後の展開 （サイボウズ・ラボ 竹迫さん）
WAFについてのパネルディスカッション(大垣さん、園田さん、竹迫さん、徳丸さん）

ゆうめいじんがいっぱいだー

・まずは自己紹介
　2回目という事で、前回よりは緊張せずに一言しゃべれました。
　が、やっぱり慣れませんね。面白い事も言えないようでは。

・徳丸さんのWAF入門の話
　実際にデモを行いながら説明をしてくださったので、とてもわかりやすかったです。
　時間があれば家でやろうとしていた事の70%以上が解決しました（笑
　
　自分で調べてるときにも思いましたが、どうもWAFって小規模環境だと
　割と導入はしやすそうだけど、大きいECサイトだと、色々と厳しそうですね
（この辺りはお話にもあったような）
　ただ、小規模サイトだとそもそも（有料の)WAFは導入自体に二の足を踏みそうな。
　自分で小規模に作る社内用アプリとか、特定者限定利用可能なアプリとかに
　入れるのは、全然ありなきはしますが（無料の）

　ネックは金か（当たり前）

・ここでわっふる休憩
　今回メイン（？）のわっふるわっふる。
　種類も豊富、数も豊富でした。
http://www.rl-waffle.co.jp/
ここのお店の奴のようです。

　数名の方がわっふるの写真撮影をしていたので、流れで撮って見ました。
　が、斜めから撮ってみたら非常に微妙な写真になってしまったので
　綺麗に調整できたら後日ＵＰ。

・竹迫さんのWAF話
　なんでスライドの流れが「●●●●●」！！
　（遇えて伏せてみました。資料公開されたら見て笑ってください）
　会場爆笑のスタート。あれ、授賞式が24日のはずで、それ以降にネット上で
　盛り上がっている気がするんで、資料最後に手直ししたのかなあ、とか聞きたかった・・・。
　や、どこで聞くんだよって気はしますが。

　mod_wafful、自分で使う分にはすごく使いやすそうで【興味があります】

・WAFについてのパネルディスカッション
　ネット上でのディスカッションからリアルディスカッションに遷移っていう
　なかなか面白い経緯を経た(そんな珍しくないのかな?）本日のメインイベントです。
　なんでしょう、日本語って難しいですよね。
　なんか、続きはWeb懇親会で、っていう感じでしたが、これ、ちょっと気になりました。
　懇親会で何か白熱の議論が行われたのかどうか。
　まあ、気になるなら懇親会に参加しないと、ですね。

・まあ懇親会には参加したんですが（笑
　勉強会は2回目ですが、懇親会は初めてです。
　その緊張+周りの方は基本的に技術力など高い方ばかりですので、
　もう聞きに回る事が多かったです。テーブルも動けなかったし。
　講師の方々が座っていた席の話を聞きにいけるほどのＬＶはありませんし、
　知り合いがいるわけでもありません。
　反省・・・というか、これはまあ反省よりも
　徐々に慣れていくしかないと思っています。
　勉強会で友達100人できるかな（違）

とりあえず、第3回は11月。
次回も参加できるかな。