mixi Scrap Challenge 2012に参加してきた。

これ
↓
http://mixi.co.jp/event/challenge-2012/

腕に覚えのある学生が集まって仮想環境上のmixiをクラッキングして、
ポイントを競いあうイベントで毎年やっているようだ

参加者は25名程で学部の三年生と言いつつ学生ベンチャーのCTOとかベンチャーでバリバリ開発してる人とか
かなりレベルの高い（と言うか学生として扱っていいのか疑問）人が多かったように思う

タイムスケジュール

イベントの技術メンバーは

• ボイス
• メッセージ
• android
• iosアプリ
• アプリプラットフォーム
• 研究開発

と各部署から一人参加で新卒や今年入社のメンバーが多かったけど
スキルレベルは非常に高いと感じた

と言う感じで
午前中はmixiのWEBセキュリティについてのお話し

• mixiはユーザーのデータや投稿を強制されないように非常に配慮している
• perlのソースコードが丸見えになっていたことがあった
  • 暗号鍵や脆弱性が丸見えだったりしたので相当大変だったらしいが、perlだと設定的に結構起こりやすいことなのかな？
• メアド検索の仕様が残念だった⇒便利な機能でもユーザーが望んでないものもある
• セキュリティホールを作らないために複数名のレビューを受けないとリリースできない
• セキュリティで悩んだ際に相談するシステムがある
• 規模が大きい時はしっかりお金をかけて外部診断もしている
• WEBセキュリティを勉強する際に良い教材
  • IPAのサイト
  • 徳丸本 体系的に学ぶ 安全なWebアプリケーションの作り方　脆弱性が生まれる原理と対策の実践
  • Web::Security beyond HTML5

んでお腹いっぱいになった後の午後からは本番のScrap Challenge

接続方法を教えてもらって仮想mixiにログイン

mixiそっくり

こっからお題にそってクラックし、ターゲットの鴨葱男に怪しいメッセージを送りつけていく

その内容は・・・

残念ながら秘密にしてほしいとのことなので書けない(´・ω・｀)

けど、かなり難易度の高い項目も多かった

やり方的には3名程度のチームに分かれて、前半・後半の計3時間程ひたすらアタックする

前半の時点で1位50ポイント、ウチのチーム32ポイント…
かなり絶望的だったけど1位が後半で1ポイントも取れなかったようで、何とか優勝をゲット

そして帰りにはお土産をいっぱいもらった
Scrap Challengeの内容が書けないのでお土産を自慢することにしよう

ノートとペン
ノートはスマホで撮影してデータとして取り込めるやつで、
ペンのお尻っ側はスマホをタッチにできる感じの優れもの

ただのペンじゃない辺りがWEB系企業ですな

トートバッグとスマホの充電ケーブル

この充電ケーブルiphone用のアダプタを外してもくっついたままだからなくならないんだぜ？すごくね？

ブロックメモとブランケット

このブランケットは結構レア物だそうな
早速開発時に膝にかけさせてもらいます

mixiの技術系冊子とステッカーとクリアファイル

WEB+DB PRESSとかSoftware Designで掲載されていたmixiの開発や運用の裏側の話しをまとめて冊子にしたもの
エンジニアとしてはかなり嬉しいお土産
勉強になります

優勝のトロフィー？

クリスタルでやたらカッコいい
WEBセキュリティのイベントだけあって「">」から始まっている
刻まれてる文字が文字なので、発注時にちゃんと出来上がるか心配だったそうな

お土産いっぱいな上に交通費と2食出してくれて、
mixiの裏側や熱い話しを色々聞けた上に物凄い熱いバトルとめちゃめちゃ面白いイベントだった

ミクシィに就職した友達が「社内の雰囲気が良くてここに決めた」って言ってのが納得言った
技術があって緩い感じ、そしてユーザーと品質を大事にする

こんな企業で働けたら人生楽しいかもって思えた、そんな一日でした

ミクシィさん、ありがとうございました。

12/15に第二回があるらしいので上に覚えのある学生エンジニアは是非出てみるといいんじゃないかと
http://mixi.co.jp/event/challenge-2012/

• -

個人的にWEBセキュリティの良書が上に出てきてなかったので紹介
PHPサイバーテロの技法―攻撃と防御の実際

WEBサイトで起こりがちなセキュリティホールを項目ごとに原因と攻撃法、対処法でしっかりまとめていてわかりやすい
解説はPHPだけど言語に関係なくWEBエンジニアなら読んでおいた方がいいかも