#副本部長_sushi

azu @azu_re

#副本部長_sushi クロージャーテンプレートの安全性は型で保証する。

azu @azu_re

#副本部長_sushi SQLInjection 対策もSQLを組み立てるより、ActiveRecordを使ったほうが楽に書けるようにできてる。 正しい方法がコストが下がるようにできてるのがRails

azu @azu_re

#副本部長_sushi CSRF 対策(protect_from_forgery)はRailsによく溶け込んでる。 HTMLを書かないので、Controllerのレベルで上手くできる

azu @azu_re

#副本部長_sushi 他のフレームワークは明示的な指定が必要だったりCSRF対策を透過できなくて、忘れる可能性がある

azu @azu_re

#副本部長_sushi Mass Assignmentの問題とGitHubでの脆弱性をついた話

azu @azu_re

#副本部長_sushi むかしのRailsにはパスワードのハッシュ、ソルトのチュートリアルがあったけど、ある程度標準的な方法が決まってきたので、has_secure_passwordというオプション一行でRails4はできるようになった。

azu @azu_re

#副本部長_sushi 安全によくある例を上手くレールに載せた例 > has_secure_password

azu @azu_re

#副本部長_sushi ログとパスワードと権限

azu @azu_re

#副本部長_sushi RailsがつけてるHTTP ヘッダ一覧

azu @azu_re

#副本部長_sushi "IE8 XSS Filterの仕様が微妙に変更されていた。 - 葉っぱ日記" d.hatena.ne.jp/hasegawayosuke…

azu @azu_re

#副本部長_sushi IEだとデフォルトXSSフィルターON。 有効だと誤検知でXSSが発生 d.hatena.ne.jp/hasegawayosuke… ### でフィルタしない、単純に真っ白になるオプションとしてblock X-Xss-Protection: 1; mode=block

azu @azu_re

#副本部長_sushi "JavaScript - ES6 でこのように書いている - Qiita" qiita.com/mohayonao/item…

azu @azu_re

#副本部長_sushi RailsでCSPデフォルトの夢。 report onlyを上手くレールに載せてくれると良いのでは

Teppei Sato @teppeis

XSSフィルタmode=blockについて熱く語った #副本部長_sushi

azu @azu_re

#副本部長_sushi 「現場の意見」

azu @azu_re

#副本部長_sushi scalaのsqlを透過エスケープ、コンパイル時検証

azu @azu_re

#副本部長_sushi 副本部長によるsecure-handlebarsの話。 yahooのやつ

azu @azu_re

テンプレートはコンテキスト的なエスケープよりも、型による安全保障をするというニューアンスへの移行 #副本部長_sushi

azu @azu_re

#副本部長_sushi 一方クロージャテンプレートは型をもっと精査してた

azu @azu_re

#副本部長_sushi TypeScript +core.js問題。 compatおじさん

azu @azu_re

#副本部長_sushi MSの言い分 型付言語としては、コンパイルが通る + 変換の2段階がある。 TypeScriptとしてはcore.jsのやつも型のコンパイルは通る-> なのでcompat%あげてよ

Kiyoshi Nomo 🐟☔️🍈🍋🍜 @kysnm

#副本部長_sushi かー。Rails 勢いるみたいだけど誰だろう？CTO？

azu @azu_re

#副本部長_sushi 読者の気持ちとあわないcompat table

azu @azu_re

#副本部長_sushi 俺の最強のJavaScript on core.js

azu @azu_re

#副本部長_sushi 1.0で丸くなったcore.js