Rails 3+の環境変数の一部をフィルタリングする

基本設定と動作

Rails にはもともと log などに sensitive な情報が残らないようにするための設定がある

Ruby on Rails Guides: Configuring Rails Applications

config/application.rb 内の

config.filter_parameters += [:password]

この設定は最終的に ActionDispatch::Http::FilterParameters の中の

  • filtered_parameters
  • filtered_env

に適用されて、不必要な情報をフィルタした結果を取得できるようになっている。

環境変数の除外設定は単に変数名を指定するだけ

この filtered_env に渡したくない環境変数を設定するには単に名前を指定するだけでよい。例えば AWS 関連の複数の環境変数の値をフィルタリングしたければ以下のようにすればよい。

config.filtered_parameters += [/^AWS/]

AWS 関連の情報を AWS_* という名前で環境変数にセットしているものとする。例えば AWS_S3_BUCKET, AWS_REGION みたいな感じ。1

development環境で環境変数が確認できないので意図せず秘密情報が漏洩してるかも

ところがこの環境変数を除外できたかどうかが development 環境2での request.env と request.filtered_env の比較では確認することができなかった。確認する方法をご存知の方はぜひ教えてください。これ、割と困ります。3

rack に入っている HTTP_* や SERVER_* は確認できるんだけど、rails server を起動する shell で export した環境変数の値は、何も除外していないはずの env でも取得できない。ENV からは取得できるんだけど。

上の方法では development 環境で確認することができないが、例えば Apache + Passenger の production 環境では Apache から渡している環境変数の中からちゃんと除外してあげないと filtered_env の中に AWS 関連の設定が全部残ってしまう。

環境変数は普通 log に残らないし、別にいいんじゃないのと思うかもしれないが、これで何が困るのかというと、Exception Notification などに丸ごとの環境の情報が渡ってしまう。本来あちこちに残ると好ましくない情報が拡散されてしまうのでこれはフィルタリングしておきたい。

その他にも Exception Notification にはデフォルトの設定が緩いのではないかという指摘があったりする

By default the environment section leaks sensitive data, including Rails secret_token · Issue #182 · smartinez87/exception_notification

ので、AirBrake など他のサーバを利用した監視を行っている人も環境変数の値などが不必要に渡っていないか確認した方がいいかも。

  1. \AAWS にすると読みにくいので ^AWS にしてある。 

  2. WEBrick / thin両環境で実験 

  3. もしかするとプロセスや環境変数のことを自分が分かってないだけかもしれない。 

iPod touch用H.264ムービー出力設定メモ

いつも以前どうやったのか覚えてないのでメモ。

iPod touch のスペック的には

iPod touch (2nd generation) - Technical Specifications

にあるように

  • 1.5Mbps ( H.264 LC ) / 2.5Mbps ( H.264 ) 640x480

までってなってるんだけど、まぁだいたい

  • 1Mbps 480x320 ( 480x288 )
  • H.264 ( baseline )
  • 128kpbs AAC-LC ( 44.1KHz )

くらいにしておこうかなと思う。H.264 の profile を baseline のみにしておかないと 2nd ( 2008 ) で再生できないので注意が必要。

素材用はなんか 853x480 ( 720x480 ) で 3Mbps にしてあった。これは iMovie のメニューの [ ムービーを書き出す ] の [ 大 ( 960x540) ] とは違うらしい。どこから出てきたんだろう。

こいつらをいずれも multi pass で。

URIベース pear package を管理しやすくする Capistrano レシピ

09:09:35 wtnabe< 思いついたけど pear channel server なくても rake ベー

スで管理すれば upgrade も downgrade も自在にできそうだな。
10:02:28 wtnabe< terminal で引ける xpath cheat sheet ってないかな
10:11:13 wtnabe< いつも XPath で正規表現マッチさせる方法が分からなくな
るな。いい加減学習しろよ、オレ。
10:17:31 wtnabe< @checkela XPather のヘルプをいつも使ってるんだけど、
正規表現そのものの説明はあるのにどうやってマッチさせるのか分からないん
すよw
10:55:35 wtnabe< 違うのかな、これ。正規表現マッチの機能はJavaScript の
機能なのか?
11:10:35 wtnabe< 最終的には Hpricot が対応していませんのワナ。何度とな
く同じことをやっている気がする。
11:18:57 wtnabe< jQuery と Hpricot を混同している
11:25:24 wtnabe< Array.reject の反対ってなんだ
11:31:55 wtnabe< map と compact を組み合わせればなんとかなるのか
11:35:41 wtnabe< ほんと、どんどん Ruby を使い始めた初期の頃には忌み嫌っ
ていた書き方に近づいて行くな
11:37:11 wtnabe< Apache のソートって前からバージョン番号をそれっぽく解
釈してくれる形だっけ。
11:40:06 wtnabe< お、オプションがあるな。いつからか V=1 がデフォルトに
なったってことかな。
11:45:41 wtnabe< ということはソートは Apache に任せるのがいいな
12:13:44 finalfusion> @wtnabe 人は、変わっていくのね…(笑)
12:16:18 wtnabe< @finalfusion ですねぇ(笑) そっちの方が短いし楽だし
Ruby っぽいんですよね。コードによって教育されたとも言えるかなぁ。
17:17:41 wtnabe< 朝言ってた pear package 管理の Rakefile できた。
packaging と deploy は自動化できてないけど、upgrade, downgrade は引き
継ぎしやすくなった。

ということでできた。

Rake で作り始めたんだけど設定をコードから追い出すために最後の最後で Capistrano にした。なので sudo を `` の中で生で叩いているとかあちこちおかしい。role とかセットしていけば関連するサーバ群の package を一気に upgrade とかできてウマーな気がする。

やっていることは実に単純で Apache の mod_autoindex の機能でパッケージファイルをバージョン番号順に整列させて、取得した HTML から必要な部分だけ scrape して利用する。また現在のインストール済みバージョンを pear コマンドから取得してこれを比較して upgrade や downgrade を行っている。

つまりパッケージを Apache の公開領域1に置いてないと意味ないっす。


以下、1月31日の思いつき。

07:12:04 wtnabe< 昨日やってた URI ベースの pear package の install,
uninstall, upgrade, downgrade を支援する仕組みは、考えたらいわゆるダウ
ンロードページのスクレイプとアーカイブの展開さえできれば pear package
以外にも通用するような気がしてきた。
07:12:40 wtnabe< 問題は現在インストールしてあるバージョンを取得する汎
用の方法がないことと、ダウンロードページからのリンクがきれいにバージョ
ン番号順に並んでいるかどうか、かな?
07:18:02 wtnabe< まぁとりあえずは汎用にならなくてもよいわけで、pear
package にしないくせにリポジトリにちゃんと tag 打ってくれないようなア
プリ、ライブラリの管理も以前考えていたよりはもしかするとスマートにでき
るかもしれないな
  1. アクセス制限は自由にしてもらえばいいとして 

Web検定のサイトが分からない

Webに関わるすべての人の基礎知識 - 社団法人 全日本能率連盟登録資格「Web検定」

まったく自分の欲しい情報にたどりつくことができない。書籍の情報は書籍の情報でまとめておいてください。欲しけりゃ自分でチェックできます。検定の情報を見ようとしてるのに書籍の情報が出てくるような構成は Web 検定的には無問題なんですか。

どうなんだそりゃ。

Fedora Legacy

http://www.fedoralegacy.org/

RedHat 7.2 と 8 のパッチを提供する。9 も RedHat の方でサポートが切れたら開始するらしい。

まー個人的には RedHat やめればいいのになぁと思うところですが、これはこれで面白い試みですな。

Project Orca 参戦中

もう一週間くらいになりますかねぇ。/.j に記事が出てすぐ始めたんですが。300 番代につけたときにスクリーンショット撮っておけばよかったなぁ。

http://www.project-orca.com/

帯に短しなんとやら

PukiWiki のように手軽にサイト構築のように使えて、ZWiki のようにサイトマップを自動的に生成してくれるような Wiki ってないですかね?

Windows 2000 の終了時間

http://homepage2.nifty.com/winfaq/w2k/boot.html#1445

こんな問題があるそうな。でもこの Hotfix、手元の機械ではアンインストールできなさげなのですが。まー Win98 と違って待ってりゃ終了する分ずいぶんマシだと思っております。

About

例によって個人のなんちゃらです

Recent Posts

Categories

Tool 日々 Web Biz Net Apple MS ことば News Unix howto Food PHP Movie Edu Community Book Security Text TV Perl Ruby Music Pdoc 生き方 RDoc ViewCVS CVS Rsync Disk Mail FreeBSD Cygwin PDF Photo Zebedee Debian OSX Comic Cron Sysadmin Font Analog iCal Sunbird DNS Linux Wiki Emacs Thunderbird Sitecopy Terminal Drawing tDiary AppleScript Life Money Omni PukiWiki Xen XREA Zsh Screen CASL Firefox Fink zsh haXe Ecmascript PATH_INFO SQLite PEAR Lighttpd FastCGI Subversion au prototype.js jsUnit Apache Trac Template Java Rhino Mochikit Feed Bloglines CSS del.icio.us SBS qwikWeb gettext Ajax JSDoc Rails HTML CHM EPWING NDTP EB IE CLI ck ThinkPad Toy WSH RFC readline rlwrap ImageMagick epeg Frenzy sysprep Ubuntu MeCab DTP ERD DBMS eclipse Eclipse Awk RD Diigo XAMPP RubyGems PHPDoc iCab DOM YAML Camino Geekmonkey w3m Scheme Gauche Lisp JSAN Google VMware DSL SLAX Safari Markdown Textile IRC Jabber Fastladder MacPorts LLSpirit CPAN Mozilla Twitter OpenFL Rswatch ITS NTP GUI Pragger Yapra XML Mobile Git Study JSON VirtualBox Samba Pear Growl Mercurial Rack Capistrano Rake Win RSS Mechanize Sitemaps Android JavaScript Python RTM OOo iPod Yahoo Unicode Github iTunes God SBM friendfeed Friendfeed HokuUn Sinatra TDD Test Project Evernote iPad Geohash Location Map Search Simplenote Image WebKit RSpec Phone CSV WiMAX USB Chrome RubyKaigi RubyKaigi2011 Space CoffeeScript Nokogiri Hpricot Rubygems jQuery Node GTD CI UX Design VCS Kanazawa.rb Kindle Amazon Agile Vagrant Chef Windows Composer Dotenv PaaS Itamae SaaS Docker Swagger Grape WebAPI Microservices OmniAuth HTTP 分析基盤 CDN Terraform IaaS HCL Webpack Vue.js BigQuery Middleman CMS AWS PNG Laravel Selenium OAuth OpenAPI GitHub UML GCP TypeScript SQL Hanami Document SVG AsciiDoc Pandoc DocBook Develop Jekyll macOS Node.js Vite Heroku Transformer AI Data Cloud Wasm