Rails 3+の環境変数の一部をフィルタリングする

Jan 30, 2014

基本設定と動作

Rails にはもともと log などに sensitive な情報が残らないようにするための設定がある

Ruby on Rails Guides: Configuring Rails Applications

config/application.rb 内の

config.filter_parameters += [:password]

この設定は最終的に ActionDispatch::Http::FilterParameters の中の

filtered_parameters
filtered_env

に適用されて、不必要な情報をフィルタした結果を取得できるようになっている。

環境変数の除外設定は単に変数名を指定するだけ

この filtered_env に渡したくない環境変数を設定するには単に名前を指定するだけでよい。例えば AWS 関連の複数の環境変数の値をフィルタリングしたければ以下のようにすればよい。

config.filtered_parameters += [/^AWS/]

AWS 関連の情報を AWS_* という名前で環境変数にセットしているものとする。例えば AWS_S3_BUCKET, AWS_REGION みたいな感じ。¹

development環境で環境変数が確認できないので意図せず秘密情報が漏洩してるかも

ところがこの環境変数を除外できたかどうかが development 環境²での request.env と request.filtered_env の比較では確認することができなかった。確認する方法をご存知の方はぜひ教えてください。これ、割と困ります。³

rack に入っている HTTP_* や SERVER_* は確認できるんだけど、rails server を起動する shell で export した環境変数の値は、何も除外していないはずの env でも取得できない。ENV からは取得できるんだけど。

上の方法では development 環境で確認することができないが、例えば Apache + Passenger の production 環境では Apache から渡している環境変数の中からちゃんと除外してあげないと filtered_env の中に AWS 関連の設定が全部残ってしまう。

環境変数は普通 log に残らないし、別にいいんじゃないのと思うかもしれないが、これで何が困るのかというと、Exception Notification などに丸ごとの環境の情報が渡ってしまう。本来あちこちに残ると好ましくない情報が拡散されてしまうのでこれはフィルタリングしておきたい。

その他にも Exception Notification にはデフォルトの設定が緩いのではないかという指摘があったりする

By default the environment section leaks sensitive data, including Rails secret_token · Issue #182 · smartinez87/exception_notification

ので、AirBrake など他のサーバを利用した監視を行っている人も環境変数の値などが不必要に渡っていないか確認した方がいいかも。

\AAWS にすると読みにくいので ^AWS にしてある。 ↩
WEBrick / thin両環境で実験 ↩
もしかするとプロセスや環境変数のことを自分が分かってないだけかもしれない。 ↩

iPod touch用H.264ムービー出力設定メモ

Jan 30, 2011

いつも以前どうやったのか覚えてないのでメモ。

iPod touch のスペック的には

iPod touch (2nd generation) - Technical Specifications

にあるように

1.5Mbps ( H.264 LC ) / 2.5Mbps ( H.264 ) 640x480

までってなってるんだけど、まぁだいたい

1Mbps 480x320 ( 480x288 )
H.264 ( baseline )
128kpbs AAC-LC ( 44.1KHz )

くらいにしておこうかなと思う。H.264 の profile を baseline のみにしておかないと 2nd ( 2008 ) で再生できないので注意が必要。

素材用はなんか 853x480 ( 720x480 ) で 3Mbps にしてあった。これは iMovie のメニューの [ ムービーを書き出す ] の [ 大 ( 960x540) ] とは違うらしい。どこから出てきたんだろう。

こいつらをいずれも multi pass で。

URIベース pear package を管理しやすくする Capistrano レシピ

Jan 30, 2009

09:09:35 wtnabe< 思いついたけど pear channel server なくても rake ベー

スで管理すれば upgrade も downgrade も自在にできそうだな。
10:02:28 wtnabe< terminal で引ける xpath cheat sheet ってないかな
10:11:13 wtnabe< いつも XPath で正規表現マッチさせる方法が分からなくな
るな。いい加減学習しろよ、オレ。
10:17:31 wtnabe< @checkela XPather のヘルプをいつも使ってるんだけど、
正規表現そのものの説明はあるのにどうやってマッチさせるのか分からないん
すよw
10:55:35 wtnabe< 違うのかな、これ。正規表現マッチの機能はJavaScript の
機能なのか？
11:10:35 wtnabe< 最終的には Hpricot が対応していませんのワナ。何度とな
く同じことをやっている気がする。
11:18:57 wtnabe< jQuery と Hpricot を混同している
11:25:24 wtnabe< Array.reject の反対ってなんだ
11:31:55 wtnabe< map と compact を組み合わせればなんとかなるのか
11:35:41 wtnabe< ほんと、どんどん Ruby を使い始めた初期の頃には忌み嫌っ
ていた書き方に近づいて行くな
11:37:11 wtnabe< Apache のソートって前からバージョン番号をそれっぽく解
釈してくれる形だっけ。
11:40:06 wtnabe< お、オプションがあるな。いつからか V=1 がデフォルトに
なったってことかな。
11:45:41 wtnabe< ということはソートは Apache に任せるのがいいな
12:13:44 finalfusion> @wtnabe 人は、変わっていくのね…(笑)
12:16:18 wtnabe< @finalfusion ですねぇ(笑) そっちの方が短いし楽だし
Ruby っぽいんですよね。コードによって教育されたとも言えるかなぁ。
17:17:41 wtnabe< 朝言ってた pear package 管理の Rakefile できた。
packaging と deploy は自動化できてないけど、upgrade, downgrade は引き
継ぎしやすくなった。

ということでできた。

Rake で作り始めたんだけど設定をコードから追い出すために最後の最後で Capistrano にした。なので sudo を `` の中で生で叩いているとかあちこちおかしい。role とかセットしていけば関連するサーバ群の package を一気に upgrade とかできてウマーな気がする。

やっていることは実に単純で Apache の mod_autoindex の機能でパッケージファイルをバージョン番号順に整列させて、取得した HTML から必要な部分だけ scrape して利用する。また現在のインストール済みバージョンを pear コマンドから取得してこれを比較して upgrade や downgrade を行っている。

つまりパッケージを Apache の公開領域¹に置いてないと意味ないっす。

以下、1月31日の思いつき。

07:12:04 wtnabe< 昨日やってた URI ベースの pear package の install,
uninstall, upgrade, downgrade を支援する仕組みは、考えたらいわゆるダウ
ンロードページのスクレイプとアーカイブの展開さえできれば pear package
以外にも通用するような気がしてきた。
07:12:40 wtnabe< 問題は現在インストールしてあるバージョンを取得する汎
用の方法がないことと、ダウンロードページからのリンクがきれいにバージョ
ン番号順に並んでいるかどうか、かな？
07:18:02 wtnabe< まぁとりあえずは汎用にならなくてもよいわけで、pear
package にしないくせにリポジトリにちゃんと tag 打ってくれないようなア
プリ、ライブラリの管理も以前考えていたよりはもしかするとスマートにでき
るかもしれないな