日々の破片

_ 企業用ファイアウォール

googlesyndication.comへのリンクがどんどんエラーになるのだが、おそらく短いピリオドの間に特定のURLへリクエストが集中すると殺す仕組みがあるらしい。もちろん透過プロクシだ。

企業用ファイアウォールとしてHTTPプロクシが持つべき機能を管理者目線で考えてみる。

・不要トラフィックの除去

-外部ホストに対するIMGタグはすべて殺す（altがあればそれだけ表示する。アンカーを殺すかどうかは微妙かも）。さすがにページと同一ドメインの場合、テキストを補うグラフや図表がありえるからIMGタグ全殺しは無謀だろう（だから、静的コンテンツを別ホストにしていると全滅したり）

-別ファイルとなっているcssへのlinkrelも殺したり

-拡張子ico,avi,mov,swf,pdf(!)のgetは無条件に叩き落とす

-レスポンスのmimeタイプがtext/*でなければ即時シャットダウン

・危険防止

極端なことを言えば、すべてのobjectタグとscriptタグを殺す。imgタグ殺しは上でもしている。

レスポンスのmimeタイプによるシャットダウンに加えてIE対策として先頭データがelfPEならシャットダウンとかいろいろ

クッキーのMaxAgeはすべて負値に変換。

・謎通信の禁止

-hrefのhttpsはhttpに変換。あるいはアプリケーション的な中継方法を取るとか

-inputのtype=passwordを持つフォーム送信はすべて叩き落とす

・ハラスメントの元を絶つ

-あらゆるNGワードを?に置換する（ページブロックだともしかしたら重要な情報を落とすかも知れないのでこのあたりが落としどころ。セキュメモにamlネタがある場合とか。戦争ワードがNGってのでブロックされたことがある）

プロクシっていろいろできるもんだ。

_ GCと参照カウンタ

参照カウンタ式自己削除はGCとは呼ばないと仮定して（というのは知らないからだけど）、何が違い、何が問題か？

違いは、特権者の不在だ。参照カウンタ方式は自分がカウンタを繰り上げて、自分がカウンタを繰り下げる。

class IUnknown {
    int count;
    public int addRef() {
        count++;
    }
    public int release() {
        int c = --count;  // なぜこれが重要かわかる？
        if (!c) delete this;
        return c;
   }
   ...
}

でもGCの場合は、ガベッジコレクターという特権者が集めて回る。

それで、どういう差がでるか？

その差がおそらく、IEのメモリーリーク問題にからんでいるのではないかなと直観的に思った。で、そうならば、これは解決しないだろう。

でもそれだけ。