へろくしーの挫折
- 1. 「へろくしー」の挫折 Heroku-ja Meetup #1 2011年7月7日 @yebihara | 海老原 雄一郎
- 2. @yebiharaについて • キャリア 定職に就かず職を転々 日本オラクル → ソニー → IPLocks → Preferred Infrastructure (Railsでサービスをいくつか開発) → SaaS/PaaS系の某ドットコム企業 (Heroku勉強中) • 好きなもの – 巨人 – ビール – SQL • 「NoSQL入門」 http://www.slideshare.net/pfi/introductiontoonlysql
- 3. 最近困ったこと • 某SaaSアプリケーションの標準APIから取得できるユー ザー情報には、プライバシー情報が含まれる。 • 企業内ユースがメインなので通常は問題ないが、今 回だけは隠したかった。 User *id ! *email 標準 API *name { title id: 90053, address email: “[email protected]”, phoneNumber モバイル端末 name: “海老原 雄一郎”, ... title: “データベーススペシャリスト”, address: “東京都品川区・・・”, phoneNumber: “090xxxxxxxx”, ... } 某SaaSアプリケーション
- 4. 最初の解決案 • カスタムAPIを作る。 • けど、標準APIがそのままだと意味ない。 カスタムAPI User { *id id: 90053, name: “海老原 雄一郎”, *email title: “データベーススペシャリスト”, *name モバイル端末 } title ! address 標準API phoneNumber { ... id: 90053, 攻撃者 email: “[email protected]”, name: “海老原 雄一郎”, title: “データベーススペシャリスト”, address: “東京都品川区・・・”, phoneNumber: “090xxxxxxxx”, ... 某SaaSアプリケーション }
- 5. リバースプロクシー案 • 某SaaSアプリケーションは、アクセス可能なソースIPア ドレス範囲を制限する機能を持っている。 • 前段にリバースプロクシーを置いて、標準APIへのアク セスをブロックすればいい! カスタムAPI User Reverse Proxy *id *email *name モバイル端末 title address 標準API phoneNumber ... 攻撃者 某SaaSアプリケーション
- 6. どうやって実装しようか • PaaS屋さんにとって大切なこと。 • サーバーの構築や運用などしたくない! – たとえAmazon EC2だとしてもイヤ – アプリケーションサーバーより上のレイヤーしか 見たくない • Herokuでリバースプロクシーを作ろう!
- 7. Herokuについておさらい (誤)HerokuはRuby on RailsのためのPaaSである。 (正)HerokuはRackアプリケーションのための PaaSである。 つまり、リバースプロクシーをRackアプリ ケーションとして構築すれば、Herokuの上で 動かせる!
- 10. 最後にしたこと 後は某SaaSアプリケーションにへろくしー経由でしかアクセス できないようIPアドレスを登録するだけ! へろくしーのIPアドレスを調べるか! おや? 再起動するたびにIPアドレスが変わるぞ・・・ Heroku FAQ: Does my app have a static IP? http://devcenter.heroku.com/articles/does-my-app-have-a-static-ip 私のアプリは静的IPアドレスを持てますか? No!
- 11. 終了
- 12. まとめ • HerokuはRailsじゃなくても、Rackだったらなん でもホストできます。 • いい名前を思い付いただけで、うまくいくとい うわけではないようです。