iOSDCを支えるDrupal8 / Drupal 8 - backend of iOSDC

Transcript

1. iOSDCを支えるDrupal8 Drupal 8 - backend of iOSDC 長谷川智希 HASEGAWA Tomoki

2. この資料は後ほど公開します This slide will be published later.

3. ライフワーク: Web / iOSアプリ開発, ビール, 電子工作,
 サッカー観戦, レンタルカートレース, … 長谷川

   智希 Web / iOS App Development, Beer, IoT, Watch soccer match, Rental Kart Racing, … デジタルサーカス株式会社 副団長CTO Digital Circus, Inc. Vice-master CTO Tokyo, Japan Hobby: @tomzoh
4. None
5. None

6. WE ARE HIRING!! Web Development Mobile App Development （ ）

   （iOS, Android) http://www.dgcircus.com Omotesando, Tokyo

7. 今日のテーマ Drupal 8 - backend of iOSDC iOSDCを支えるDrupal8 Today’s theme

8. iOSDC https://iosdc.jp

9. 技術カンファレンス • スピーカーを募集して技術トークをする。 • チケットを販売。 • スポンサーを募集して快適度アップ。 • 運営は公募したボランティアスタッフ。 •

   開催情報は公式サイトにて告知。

10. 技術カンファレンス • スピーカーを募集して技術トークをする。 • チケットを販売。 • スポンサーを募集して快適度アップ。 • 運営は公募したボランティアスタッフ。 •

    開催情報は公式サイトにて告知。

11. 技術カンファレンス • スピーカーを募集して技術トークをする。 • チケットを販売。 • スポンサーを募集して快適度アップ。 • 運営は公募したボランティアスタッフ。 •

    開催情報は公式サイトにて告知。

12. 技術カンファレンス • スピーカーを募集して技術トークをする。 • チケットを販売。 • スポンサーを募集して快適度アップ。 • 運営は公募したボランティアスタッフ。 •

    開催情報は公式サイトにて告知。

13. 技術カンファレンス • スピーカーを募集して技術トークをする。 • チケットを販売。 • スポンサーを募集して快適度アップ。 • 運営は公募したボランティアスタッフ。 •

    開催情報は公式サイトにて告知。

14. 募集

15. 数多くのフォーム

16. トーク応募フォーム

17. スポンサー申込フォーム

18. 当日スタッフ募集フォーム

19. スピーカーディナー参加フォーム

20. フォームが増えるたびに いちいちプログラムを作るのか…

21. 否

22. ではどうするか

23. None
24. None

25. iOSDCを支える技術

26. iOSDCを支える技術

27. 今日のテーマ Drupal 8 - backend of iOSDC iOSDCを支えるDrupal8 Today’s theme

28. Googleフォーム & スプレッドシート

29. Google フォーム • フォームを作るサービス。 • いくつかの入力形式。 • テキスト入力 • チェックボックス

    • ラジオボタン • 複数ページ対応なども可能。 • アンケート的な集計も可。

30. Google スプレッドシート • Excel • 複数人での同時編集可。 • Googleフォームの入力内容を 流し込める •

    APIからアクセスできる。

31. • 開催が決まる • 各種募集を行う • コアスタッフ • トーク • スポンサー

    • デザインができる • Webサイトができる カンファレンス × CMS

32. • 開催が決まる • 各種募集を行う • コアスタッフ • トーク • スポンサー

    • デザインができる • Webサイトができる カンファレンス × CMS

33. • 開催が決まる • 各種募集を行う • コアスタッフ • トーク • スポンサー

    • デザインができる • Webサイトができる カンファレンス × CMS オンラインコラボレーション

34. • 開催が決まる • 各種募集を行う • コアスタッフ • トーク • スポンサー

    • デザインができる • Webサイトができる カンファレンス × CMS オンラインコラボレーション 情報公開
35. None

36. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録

37. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募

38. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ

39. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ 参加者 アイコン

40. Case 1: Googleフォーム → Drupal

41. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ 参加者 アイコン

42. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ 参加者 アイコン Google

    API + CRON

43. Googleスプレッドシートアクセス • 2通りの方法: • Google Developers Consoleで認証情報を設定して、OSSの PHP用モジュールをインストール • データ取得用のURLからデータ取得

    • iOSDCでは後者を使用。 • データが読めれば良かった。（書き込みは不要） • 後者は認証が不要でラク。 • どちらにしても値のアクセスはやや面倒。

44. function get_cfps(){ $url = 'https://spreadsheets.google.com/feeds/cells/xxx/yyy/public/values?alt=json'; $json = file_get_contents($url); $data =

    json_decode($json, true); // CfP parser used as generator function sheet_parser($data){ $row_cursor = 1; $cols = []; foreach ($data['feed']['entry'] as $cell){ $c = $cell['gs$cell']; $row = intval($c['row']); if ($row !== $row_cursor){ yield $cols; $cols = []; $row_cursor = $row; } $cols[] = trim($c['$t']); } } $rows = sheet_parser($data); $cfps = []; foreach ($rows as $row){ if (! trim(implode('', $row))){ break; } $cfps[] = $row; } array_shift($cfps); return $cfps; }

45. function get_cfps(){ $url = 'https://spreadsheets.google.com/feeds/cells/xxx/yyy/public/values?alt=json'; $json = file_get_contents($url); $data =

    json_decode($json, true); // CfP parser used as generator function sheet_parser($data){ $row_cursor = 1; $cols = []; foreach ($data['feed']['entry'] as $cell){ $c = $cell['gs$cell']; $row = intval($c['row']); if ($row !== $row_cursor){ yield $cols; $cols = []; $row_cursor = $row; } $cols[] = trim($c['$t']); } } $rows = sheet_parser($data); $cfps = []; foreach ($rows as $row){ if (! trim(implode('', $row))){ break; } $cfps[] = $row; } array_shift($cfps); return $cfps; } JSONでデータ取得

46. function get_cfps(){ $url = 'https://spreadsheets.google.com/feeds/cells/xxx/yyy/public/values?alt=json'; $json = file_get_contents($url); $data =

    json_decode($json, true); // CfP parser used as generator function sheet_parser($data){ $row_cursor = 1; $cols = []; foreach ($data['feed']['entry'] as $cell){ $c = $cell['gs$cell']; $row = intval($c['row']); if ($row !== $row_cursor){ yield $cols; $cols = []; $row_cursor = $row; } $cols[] = trim($c['$t']); } } $rows = sheet_parser($data); $cfps = []; foreach ($rows as $row){ if (! trim(implode('', $row))){ break; } $cfps[] = $row; } array_shift($cfps); return $cfps; } JSONでデータ取得 セルが1つずつJSONデータに 入っているのですべてループし て取り出す。
47. None

48. 列: 1, 行: 1, データ形式: テキ スト, データ: “タイムスタンプ”

49. 列: 2, 行: 1, データ形式: テキ スト, データ: “トーク時間”

50. 列: 3, 行: 1, データ形式: テキ スト, データ: “トークタイトル”

51. 列: 3, 行: 1, データ形式: テキ スト, データ: “トークタイトル” TSURAI

52. Drupalのcronタスク <?php function cfp_importer_cron() { // Calculate latest hour. $the_hour

    = intval(REQUEST_TIME / 3600) * 3600; $last_run = Drupal::state()->get('cfp_importer.cron_last_run'); Drupal::logger('cfp_importer')->debug( 'Now: '.date('Y/m/d H:i:s', REQUEST_TIME)."\n". 'Last run : '.date('Y/m/d H:i:s', $last_run)."\n". 'Latest hour: '.date('Y/m/d H:i:s', $the_hour)); // Skip this cron if cron run after latest hour. if (($last_run) and ($last_run > $the_hour)){ //Drupal::logger('cfp_importer')->debug('Skip cron'); //return; } （略） // Update cron_last_run to next time. Drupal::state()->set('cfp_importer.cron_last_run', REQUEST_TIME); }

53. Case 2: PassMarket (CSV) → Drupal

54. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ 参加者 アイコン

55. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ 参加者 アイコン +

    モジュール
56. None
57. None
58. None

59. PassMarket(CSV) → Drupal • 参加者データ（CSV）ダウンロードにパスワード を要求される。 • TSURAI • Guzzleとかcurlとかで頑張ってやれば出来なくは

    ない。 • 時限でしか使わないモノで「頑張る」のも
 TSURAI。

60. 頑張らない

61. こうした • 手動でCSVダウンロード • 諸般の事情で複数のイベントがあるので6回ほど同じ手順を繰 り返してダウンロード • Dropboxで本番サーバに同期 • Dropbox

    for Linuxを使う。 • ローカルPCに置いたデータが本番サーバに同期される • 自作モジュールでインポート • Drupalユーザを作成する • 特定のディレクトリのCSVを全部開いてインポート

62. こうした • 手動でCSVダウンロード • 諸般の事情で複数のイベントがあるので6回ほど同じ手順を繰 り返してダウンロード • Dropboxで本番サーバに同期 • Dropbox

    for Linuxを使う。 • ローカルPCに置いたデータが本番サーバに同期される • 自作モジュールでインポート • Drupalユーザを作成する • 特定のディレクトリのCSVを全部開いてインポート 職人の手による暖かみのある手作業

63. : foreach ($lines as $line){ if (! $line){ continue; }

    $cols = explode(",", $line); $email = substr($cols[6], 1, -1); $order_no = substr($cols[0], 1, -1); $nids_order_no = \Drupal::entityQuery('user') ->condition('field_ticket_order_no', $order_no) ->execute(); $nids_email = \Drupal::entityQuery('user') ->condition('mail', $email) ->execute(); if ((count($nids_order_no) > 0) or (count($nids_email) > 0)){ // Existing user : } else { // New user. : } } :

64. : foreach ($lines as $line){ if (! $line){ continue; }

    $cols = explode(",", $line); $email = substr($cols[6], 1, -1); $order_no = substr($cols[0], 1, -1); $nids_order_no = \Drupal::entityQuery('user') ->condition('field_ticket_order_no', $order_no) ->execute(); $nids_email = \Drupal::entityQuery('user') ->condition('mail', $email) ->execute(); if ((count($nids_order_no) > 0) or (count($nids_email) > 0)){ // Existing user : } else { // New user. : } } : ファイルを開いて 行でループ

65. : foreach ($lines as $line){ if (! $line){ continue; }

    $cols = explode(",", $line); $email = substr($cols[6], 1, -1); $order_no = substr($cols[0], 1, -1); $nids_order_no = \Drupal::entityQuery('user') ->condition('field_ticket_order_no', $order_no) ->execute(); $nids_email = \Drupal::entityQuery('user') ->condition('mail', $email) ->execute(); if ((count($nids_order_no) > 0) or (count($nids_email) > 0)){ // Existing user : } else { // New user. : } } : 繰り返し実行するので 存在チェックが必要。 ファイルを開いて 行でループ

66. Case 3: Drupal → Local PC

67. iOSDCサイト •応募されたトーク •採用されたトーク •チケットを購入したユーザ •写真登録 トーク応募 購入者データ 参加者 アイコン API

    + CRON + モジュール

68. Drupal → Local PC • ユーザにフィールドタイプ「画像」のフィールドを 追加。 • 画像ファイルのアップロード先からDropbox対象の ディレクトリにシンボリックリンク。

    • アップロードされた画像が何もしなくてもローカルPCに！ • 何も考えずに作るとファイル名=アップロードされ たファイル名。これでは誰だかわからない

69. アップロードファイル名を変更する • ユーザが画像ファイルをアップロードした時に ユーザにユニークなファイル名にリネームする。 function user_image_rename_file_insert($file){ $parts = pathinfo($file->getFilename()); $order_no

    = get_order_no_by_user_id($file->getOwnerId()); $filename = $order_no.".".$parts['extension']; $uri = 'public://avatars/' . $filename; $file = file_move($file, $uri); }

70. アップロードファイル名を変更する • ユーザが画像ファイルをアップロードした時に ユーザにユニークなファイル名にリネームする。 function user_image_rename_file_insert($file){ $parts = pathinfo($file->getFilename()); $order_no

    = get_order_no_by_user_id($file->getOwnerId()); $filename = $order_no.".".$parts['extension']; $uri = 'public://avatars/' . $filename; $file = file_move($file, $uri); } フック

71. まとめ • iOSDCはDrupalが支えている • サイトが無い状態でデータが発生する場合: • Googleフォーム & スプレッドシートを使うと、
 後が（比較的）ラク。

    • モジュールを少し作るのがお勧め。難易度低め。 • Drupal 8はもう使えるか。 • ふつうに使える。 • Drupal 7の知識は半分使える感じでは。

72. Thanks WE ARE HIRING @tomzoh

73. …

74. おや…？

75. Drupalの様子が…？

76. ！！

77. None

78. SA-CONTRIB-2016-039 • バリデーションが不十分でPHPコードが実行され る可能性がある。 • モジュールが有効化されていなくても影響を受け る。

79. SA-CONTRIB-2016-039 • バリデーションが不十分でPHPコードが実行され る可能性がある。 • モジュールが有効化されていなくても影響を受け る。

80. どういう修正が当たっているか • coder_upgrade/scripts/coder_upgrade.run.php にこの対策としてパッチが当たっている。 • 実行環境がCLI（Command Line Interface）
 でなければ終了する。 •

    つまりApacheから実行されると都合が悪い。

81. パッチが当たっていないとどうなるか

82. パッチが当たっていないとどうなるか ここに http://example.com/poison.txt とかを突っ込める

83. どこだ！？ $parameters = unserialize(file_get_contents($path)); : // Extract individual array items

    by key. foreach ($parameters as $key => $variable) { $$key = $variable; } : // Load coder_upgrade bootstrap code. $path = $_coder_upgrade_modules_base . '/coder/coder_upgrade'; $files = array( 'coder_upgrade.inc', 'includes/main.inc', 'includes/utility.inc', ); : foreach ($files as $file) { require_once DRUPAL_ROOT . '/' . $path . "/$file"; }

84. どこだ！？ $parameters = unserialize(file_get_contents($path)); : // Extract individual array items

    by key. foreach ($parameters as $key => $variable) { $$key = $variable; } : // Load coder_upgrade bootstrap code. $path = $_coder_upgrade_modules_base . '/coder/coder_upgrade'; $files = array( 'coder_upgrade.inc', 'includes/main.inc', 'includes/utility.inc', ); : foreach ($files as $file) { require_once DRUPAL_ROOT . '/' . $path . "/$file"; } 既存のクラスのデストラクタが動く

85. どこだ！？ $parameters = unserialize(file_get_contents($path)); : // Extract individual array items

    by key. foreach ($parameters as $key => $variable) { $$key = $variable; } : // Load coder_upgrade bootstrap code. $path = $_coder_upgrade_modules_base . '/coder/coder_upgrade'; $files = array( 'coder_upgrade.inc', 'includes/main.inc', 'includes/utility.inc', ); : foreach ($files as $file) { require_once DRUPAL_ROOT . '/' . $path . "/$file"; } 既存のクラスのデストラクタが動く うまく文字列を作ればローカルファイルを実行できる

86. デモ IUUQESVQBMTJUFTBMMNPEVMFTDPEFSDPEFS@VQHSBEF TDSJQUTDPEFS@VQHSBEFSVOQIQ pMFIUUQ"' 'ESVQBM'QPJTPOUYU IUUQESVQBMTJUFTBMMNPEVMFTDPEFSDPEFS@VQHSBEF TDSJQUTDPEFS@VQHSBEFSVOQIQ

87. もう1つありましたね。

88. None

89. まくらばなし • 太古の昔から、UNIXでは環境変数にシステムの設 定を入れるという習慣があった。 • システムのプロキシ設定は環境変数 HTTP_PROXY に入れることになっていた。 • UNIXにCGIの仕組みが出来たときに、HTTPリクエ

    ストの各種パラメタを環境変数としてプログラム に受け渡すことになった。

90. httpoxyは なぜヤバい？ • 外部から、HTTPリクエストヘッダに Proxy ヘッダ を付けてリクエストすると、Apacheは環境変数 HTTP_PROXY にその中身を展開してプログラムを 実行する。

    • 攻撃者が指定したプロキシを使わせることができ る。

91. 攻撃対象 決済サービス

92. 攻撃対象 攻撃者 決済サービス

93. 攻撃対象 攻撃者 Proxy: x.x.x.x 決済サービス

94. 攻撃対象 攻撃者 Proxy: x.x.x.x 決済サービス

95. 攻撃対象 攻撃者 Proxy: x.x.x.x 決済サービス 攻撃者の設置した プロキシ x.x.x.x

96. Thanks WE ARE HIRING @tomzoh