カラクリスタ・ソーシャル

猫、毛づくろいで揉めてる

猫です

そう言えば先日 NixOS の再インストールをして root on tmpfs with btrfs と言うファイルシステム構成にしたんですが、特段の問題なく動いてますね。

ちなみに root on tmpfs とは persist した partition や directory 以外、reboot するとすべてのファイルが蒸発する世界です

まぁでも最早 Twitter からはほぼ離れた人間なので、そう言う事を使うケースは無いですけどね。follow する人も厳選しているし

FGO のコヤンスカヤ、かなり的確かつ悪意を以って現実を突き付けることに長けているので、ｲﾝﾀｰﾈｯﾂの騒乱にはアレってかなり効果的では？説が自分の中にある

ﾂｲｯﾀﾗﾝﾄﾞのﾎﾟｲｽﾞﾝﾊﾟｰｿﾝへの対処、心の中のｺﾔﾝｽｶﾔを使えば良かった、と今さらながらに気がついた

FGO の lostbelt 7、徹夜して今日もプレイしてたらリリースされている前半のシナリオが終ってしまった……

それでこれ一応 macOS でも使えたらいいなーとか思ってたんだけど、macOS の docker って VM を使っているので、もしかするとあんまり意味が無いか、あるいはウィルススキャンをすり抜ける可能性があるよなーと今気がつきました。なので macOS では実用できないかもしれない……

今回作ったやつ、nvim で悪意あるプラグインのリスクをある程度緩和する為にエディタを起動する際にはネットワークに繋がってないコンテナを使う、と言う感じの代物なんだけど、ぶっちゃけノーガード戦法よりはマシと言うレベルの防壁でしかない（と思われる）ので、定期的なウィルススキャンとかは必須だと思う

neovim をコンテナに押し込んである程度のセキュリティリスクを減らすやつの基礎が出来た。ただし細かいところは詰めてない（lsp で textlint を走らせるとか）のでもうちょっと調整は必要そう：

https://github.com/nyarla/dotnvim-v2/commit/7cca4c6908df488b761c6e0176f5729e048cfec7

今週の振り返りを書いた：

https://the.kalaclista.com/echos/2022/12/24/214034/

あと自分の場合、自分自身のブログ生成で neovim の 2html.vim を使っているのもあって、なかなかコンテナ化しづらい部分もある

一応一つの案として、エディタでのソースコードの編集はインターネットに接続できないコンテナにソースを bind して行い、エディタのプラグインアップデート等はソースコードを bind してない環境でやる、と言うリスク軽減策は思いついてます。ただこれ Linux だとまだ良いんだけど、macOS で使いものになるか微妙な気がするんだよな……

Yubikey が届いて使いだしてから考えてる事ですが、(neo)vim とか VSCode のプラグインに悪意あるコードが含まれていた場合、業務開発の現場とかだとソースコードの流出する、と言う危険に晒されると思うんだけど、これを軽減する方法がイマイチ思い付かない……

水飲み場攻撃について考えている

寒くて精神がくたばっております

YAPC::Kyoto 2023 のチケット購入、後のことは買ってから考える、と言うメソッドで購入しました。

まぁ京都まで新幹線で日帰りで行けるし、懇親会で夜遅くなるならどっかのホテルで一泊だけすれば良いやろ的な考えです

YAPC::Kyoto 2023 のチケット買った

とは言え GitHub とか業務用の 2fa は GPG 鍵と同等の運用でも良いと思うんだけど、ただ環境によっては実現困難な場合もあり得るので、その辺りはまぁ加減するしかないなーと言う心持ちです

2fa を完全分離するのが何故クッソ面倒なのかと言えば、真に 2fa を独立させようと思うと厳密な GPG 鍵管理と同じことをせざるを得ず、ネットワークに繋がらないスマホを用意した上で一度もネットに繋がっていない PC も用意し、そこで初めて 2fa を設定する、と言う事をする必要があるためで、そこまでしてすべての 2fa を設定する、って言うのはあまり現実的じゃない