２０１６年０５月０１日のぽえむ

ここ数年来、課題であった「ぼくがかんがえたさいきょうの」Ｗｉｋｉサイトを立ち上げてみる。 準備するまでが「さいきょう」で、コンテンツがスカスカなのはお約束で:-)。 どれくらい「さいきょう」かと言うと、

1. ＷｉｋｉシステムにMoinMoinを採用。

   • 厳密な比較を行ったわけではないが、

     • WordPressはそれ自体（プラグインの場合もあるけど）のセキュリティホール対応がめんどい。

     • Perlで実装されたMovable Typeというのも悪くは無いんだけど、気が乗らない。

     • Tracはソースコード管理と合わせて…のシステムだから、ほとんどの機能使わないことになるし。Ｗｉｋｉ機能は若干弱い。

     • PukiWikiは昔使ってたけど、メンテナンスしてない感があって…。って、よく見るとメンテナンスしてるか:-)。

     • まぁPHPで実装してるのは、今度はPHPのお守りが大変で。

   • で、MoinMoinの場合、

     • 曲がりなりにも複数のＯＳＳプロジェクトで採用（実際 wiki.FreeBSD.orgで知った）されてるし～。

     • Pythonで実装されてるので、まぁ改造するなら手を出してみるのもいいかな。と。

     • 他よりもちょっとだけやる気が出たというあたりが理由かな。
2. IPv6 Ready!

   • さくらのＶＰＳ借りてるので、そのあたりの対応はジョーシキで。

3. Apache 2.4 ＋ Python 2.7 w/ mod_wsgi 4.4 で構成。

   • WWWサーバーにnginxとするか、悩むところだけど、一番重たい動的コンテンツ生成のバックエンドはApacheもnginxも同じモノ使うし、そうなるとnginxの利点というか謳い文句というか、比率低いのよねぇ。

   • 関連してVarnish＋Apache/nginxというのも検討したけど、コンテンツ的にキャッシュにのる比率が高くてもたかが知れてるし…で。

   • Apacheを保守的に選択してみた。

   • Pythonとmod_wsgiについては、MoinMoinの要件的な部分があるのでノーコメントで。

4. SSLサーバー証明書はRSA2048bit/SHA256を採用。
   • これは保守的に選択してみた。

   • ただし認証局は今流行のLet's Encryptを採用。

5. SSLクライアント我々証明書にはECDSA(prime256v1)/SHA256を採用。
   • 革新的すぎて Firefox 45 でインポートできなかった罠ｗ。
   • とりあえず Windows 10 ではインポートできたので、Edge で編集してみる。
   • Firefox 46 でインポートできるようになったので、今はそちらで作業してるけど。
6. Ｗｉｋｉのユーザー管理はSSLクライアント我々証明書と紐付け。
   • loginアクションもnewaccountアクションもつぶしてあるので、まず認証を抜くのは不可能！
7. 各種チューニング。
   • 暗号スイートに強力すぎるアルゴリズムを除外。
   • AES256-GCM-SHA384とか、誰得。

   • mod_wsgiはdaemonモードで立ち上げてみる。

   • embeddedモードで動かしてる案件あるけど、やっぱdaemonモードは速いね。

というわけで今日から始めてみました。