明けましておめでとうございます。 2017年もすでに10日ほど経過してますが…。

一年半くらい書いてきた Effective Java シリーズが終わってしまって、イマイチ継続的にブログを書く感じにならない。 やっぱり、何かをシリーズ化してノルマにすることがブログを継続するコツですね。習慣付いてるとシリーズ以外のネタを書くことへの心理的障壁も下がるし。

The Pragmatic Programmer

以前から The Pragmatic Programmer は一度読んでみたいと思っていた。ちょうど rebuild で話題になってたし、これを読んで１章ずつまとめてみようと思う。rebuild では「古い部分が多い」という話だったので、なるべく「今ならどーするか」みたいな話を入れていきたい。

rebuild.fm

The Pragmatic Programmer は日本語版が pdf で読めるようになってるんだけど、残念ながら Kindle にはなかった。今回は、英語の勉強も兼ね原著を読もうと思う。（しかし、Kindleで4000円は高いと感じてしまうな…）

The Pragmatic Programmer: From Journeyman to Master

• 作者: Andrew Hunt,David Thomas
• 出版社/メーカー: Addison-Wesley Professional
• 発売日: 1999/10/20
• メディア: ペーパーバック
• 購入: 1人 クリック: 18回
• この商品を含むブログ (7件) を見る

The Cat Ate My Source Code

１章は Take Responsibility について述べてる。簡単にまとめると、

• Take Responsibility しろ
• 失敗と無知を認めることを恐れるな
• クソな言い訳をするな
• 失敗した時のために対案をもっておけ
• 無理なら断れ

というところか。言ってることは至極真っ当である。うんうん、そうだよね。誠実さ。大事だよね。

でも、ここにたどり着くために実践するべき日々の行動をもう少し書いてくれれば、と感じた。あるべき姿だけ書かれていると大抵の人が「うんうん、そうだよね。誠実さ。大事だよね。」で終わってしまうわけだ。たとえば、「アクション：明日から自分のミスを毎日一つ書いて同僚と共有してみよう！」のように書いてあると少し違うのではないか。

こういう点は『Soft Skills』の方が手厚い印象を受ける（同じく『情熱プログラマ』も）。『Soft Skills』だと、"Chapter 10. Being a professional" でまさに同じことが書かれているし、取るべきアクションについても書かれているし。

SOFT SKILLS ソフトウェア開発者の人生マニュアル

• 作者: ジョン・ソンメズ,まつもとゆきひろ(解説),長尾高弘
• 出版社/メーカー: 日経BP社
• 発売日: 2016/05/20
• メディア: 単行本
• この商品を含むブログ (5件) を見る

情熱プログラマー ソフトウェア開発者の幸せな生き方

• 作者: Chad Fowler,でびあんぐる
• 出版社/メーカー: オーム社
• 発売日: 2010/02/26
• メディア: 単行本（ソフトカバー）
• 購入: 24人 クリック: 683回
• この商品を含むブログ (126件) を見る

もちろん、『Soft Skills』や『情熱プログラマ』は The Pragmatic Programmer に多くの影響を受けている、と明確に書かれているので、元ネタを基にしてさらによい方法で書かれているのは当然なのだろうけれど。

そして、まだ一つしか読んでないのでこう判断するのは早いのかもしれない。もしかしたらこの後に出てくるのかもしれないし。

次章は "Software Entropy"。

Effective Java シリーズの各項目の一覧。

第１章：はじめに

• 第１章：はじめに

第２章：オブジェクトの生成と消滅

• 項目１：コンストラクタの代わりに static ファクトリーメソッドを検討する
• 項目２：数多くのコンストラクタパラメータに直面した時にはビルダーを検討する
• 項目３：private のコンストラクタか enum 型でシングルトン特性を強制する
• 項目４：private のコンストラクタでインスタンス化不可能を強制する
• 項目５：不必要なオブジェクトの生成を避ける
• 項目６：廃れたオブジェクト参照を取り除く
• 項目７：ファイナライザを避ける

第３章：すべてのオブジェクトに共通のメソッド

• 項目８：equals をオーバーライドするときは一般契約に従う
• 項目９：equals をオーバーライドする時は、常に hashCode をオーバーライドする
• 項目１０：toString を常にオーバーライドする
• 項目１１：clone を注意してオーバーライドする
• 項目１２：Comparable の実装を検討する

第４章：クラスとインタフェース

• 項目１３：クラスとメンバーへのアクセス可能性を最小限にする
• 項目１４：public のクラスでは、public のフィールドではなく、アクセッサーメソッドを使う
• 項目１５：可変性を最小限にする
• 項目１６：継承よりコンポジションを選ぶ
• 項目１７：継承のための設計および文書化する、でなければ継承を禁止する
• 項目１８：抽象クラスよりインタフェースを選ぶ
• 項目１９：型を定義するためだけにインタフェースを利用する
• 項目２０：タグ付クラスよりクラス階層を選ぶ
• 項目２１：戦略を表現するために関数オブジェクトを利用する
• 項目２２：非 static のメンバークラスより static のメンバークラスを選ぶ

第５章：ジェネリックス

• 項目２３：新たなコードで原型を使用しない
• 項目２４：無検査警告を取り除く
• 項目２５：配列よりリストを選ぶ
• 項目２６：ジェネリック型を使用する
• 項目２７：ジェネリックメソッドを利用する
• 項目２８：API の柔軟性向上のために境界ワイルドカードを使用する（その１）
• 項目２８：API の柔軟性向上のために境界ワイルドカードを使用する（その２）
• 項目２９：型安全な異種コンテナーを検討する

（以下、ジェネリックスの補足記事）

• ワイルドカード型とは何か【前半】
• ワイルドカード型とは何か【後半】

第６章：enum とアノテーション

• 項目３０：int 定数の代わりに enum を使用する
• 項目３１：序数の代わりにインスタンスフィールドを利用する
• 項目３２：ビットフィールドの代わりに EnumSet を使用する
• 項目３３：序数インデックスの代わりに EnumMap を使用する
• 項目３４：拡張可能な enum をインタフェースで模倣する
• 項目３５：命名パターンよりアノテーションを選ぶ
• 項目３６：常に Override アノテーションを利用する
• 項目３７：型を定義するためにマーカーインタフェースを使用する

第７章：メソッド

• 項目３８：パラメータの正当性を検査する
• 項目３９：必要な場合は、防御的にコピーする
• 項目４０：メソッドのシグニチャを注意深く設計する
• 項目４１：オーバーロードを注意して利用する
• 項目４２：可変長引数を注意して使用する
• 項目４３：null ではなく空配列か空コレクションを返す
• 項目４４：すべての公開 API 要素に対してドキュメントコメントを書く

第８章：プログラミング一般

• 項目４５：ローカル変数のスコープを最小限にする
• 項目４６：従来の for ループより for-each を選ぶ
• 項目４７：ライブラリーを知り、ライブラリーを使う
• 項目４８：正確な答えが必要ならば、float と double を避ける
• 項目４９：ボクシングされた基本データより基本データを選ぶ
• 項目５０：他の型が適切な場所では、文字列を避ける
• 項目５１：文字列結合のパフォーマンスに用心する
• 項目５２：インタフェースでオブジェクトを参照する
• 項目５３：リフレクションよりインタフェースを選ぶ
• 項目５４：ネイティブメソッドを注意して使用する
• 項目５５：注意して最適化する
• 項目５６：一般的に受け入れられている命名規約を守る

第９章：例外

• 項目５７：例外的状態にだけ例外を使用する
• 項目５８：回復可能な状態にはチェックされる例外を、プログラミングエラーには実行時例外を使用する
• 項目５９：チェックされる例外を不必要に使用するのを避ける
• 項目６０：標準例外を使用する
• 項目６１：抽象概念に適した例外をスローする
• 項目６２：各メソッドがスローするすべての例外を文書化する
• 項目６３：詳細メッセージにエラー記録情報を含める
• 項目６４：エラーアトミック性につとめる
• 項目６５：例外を無視しない

第10章：平行性

• 項目６６：共有された可変データへのアクセスを同期する（前半）
• 項目６６：共有された可変データへのアクセスを同期する（後半）
• 項目６７：過剰な同期は避ける
• 項目６８：スレッドよりエグゼキューターとタスクを選ぶ
• 項目６９：wait と notify よりコンカレンシーユティリティを選ぶ（前半）
• 項目６９：wait と notify よりコンカレンシーユティリティを選ぶ（後半）
• 項目７０：スレッド安全性を文書化する
• 項目７１：遅延初期化を注意して使用する
• 項目７２：スレッドスケジューラに依存しない
• 項目７３：スレッドグループを避ける

第11章：シリアライズ

• 項目７４：Serializable を注意して実装する
• 項目７５：カスタムシリアライズ形式の使用を検討する（前半）
• 項目７５：カスタムシリアライズ形式の使用を検討する（後半）
• 項目７６：防御的に readObject を書く
• 項目７７：インスタンス制御に対しては、readResolve より enum 型を選ぶ
• 項目７８：シリアライズされたインスタンスの代わりに、シリアライズ・プロキシを検討する

EFFECTIVE JAVA 第2版 (The Java Series)

• 作者: Joshua Bloch,柴田芳樹
• 出版社/メーカー: 丸善出版
• 発売日: 2014/03/11
• メディア: 単行本（ソフトカバー）
• この商品を含むブログ (11件) を見る

Kindle 版はこちら（ただし英語）

Effective Java: A Programming Language Guide (Java Series)

• 作者: Joshua Bloch
• 出版社/メーカー: Addison-Wesley Professional
• 発売日: 2008/05/08
• メディア: Kindle版
• この商品を含むブログを見る

Serializable を実装すると、バグやセキュリティ上の問題が発生する可能性が高くなります。 コンストラクタ以外でインスタンスが生成されるようになるからです。

これらの可能性を大幅に減らす技法が、シリアライズ・プロキシ・パターン（Serialization Proxy Pattern）です。

シリアライズ・プロキシ・パターン

シリアライズ・プロキシ・パターンの実装について、項目39と項目76で利用した Period クラスを例にして説明します。

ネストしたクラスを実装

プロキシパターンを実装するにはまず、対象となるクラス内にシリアライズ可能な private static ネストクラスを追加します。

ネストしたクラスには、シリアライズ対象のクラスのシリアライズに必要な論理的な情報を保持させます。 対象のクラスのキャッシュプロパティなどはこれに含めないでください。

このネストしたクラスは、パラメータがシリアライズ対象クラスであるコンストラクタを持つべきです。 この際、防御的コピーを用いる必要はありません。

そして、単に Serializable を実装するだけでかまいません。すなわち、デフォルトのシリアライズ形式となります。

これらを実装したものは次のコードになります。

// ネストしたクラス。シリアライズ用の専用。
private static class SerializationProxy implements Serializable {
    // フィールドは final にできる
    private final Date start;
    private final Date end;

    SerializationProxy(Period period) {
        // 防御的コピーは必要はない
        this.start = period.start;
        this.end = period.end;
    }

    // UID を設定（項目75）
    private static final long serialVersionUID = 234098243823485285L;
}

writeReplace() の実装

次に対象のクラスに writeReplace() メソッドを追加します。 writeReplace() で返したインスタンスが、実際にストリームに書き込む際のインスタンスになります。

シリアライズ・プロキシ・パターンでは writeReplace() で、さきほど宣言したネストしたクラスのインスタンスを返します。 シリアライズ時には writeReplace() が呼び出され、ネストしたクラスのインスタンスがシリアライズ化されます。 すなわち、シリアライズ対象クラスが自体がシリアライズされることはなくなります。

しかし、攻撃者によって改ざんされたストリームを防ぐ必要があります。 そのため、シリアライズ対象クラスに readObject メソッドを実装し、例外が発生するようにしておきます。

// シリアライズ対象クラスの readObject メソッド
private void readObject(ObjectInputStream stream) throw InvalidObjectException {
    throw new InvalidObjectException("Proxy required");
}

readResolve() の実装

最後に、readResolve() メソッド（項目77）を実装し、コンストラクタを使ってシリアライズ対象クラスのインスタンスを返します。 これでデシリアライズの時には、シリアライズ対象クラスが正しく返却されるようになります。

シリアライズプロキシパターンの利点はまさにここにあります。 この readResolve() メソッドでは、言語外のインスタンス生成機能を利用していません。 通常のコンストラクタ（または static ファクトリーメソッド）を利用して、インスタンスを生成しています。 これによって、通常のコンストラクタに実装されている不変式チェックを利用することができます。

実際の readResolve メソッドのコードは次のようになります。

private Object readResolve() {
    return new Period(start, end);
}

シリアライズ・プロキシ・パターンは防御的方法（項目76）と同様に偽りのバイトストリーム攻撃を防ぐことができます。 項目77で紹介したような内部フィールドの Steal 攻撃も防ぎます。

また、この方法を用いると他の手法と異なり、Period クラスを不変にすることができます。 これはとても重要な違いです。

EnumSet の実装例

このパターンの利点はもう一つあります。 これは、デシリアライズされた際のインスタンスとは異なるクラスのインスタンスを生成することができる点です。

EnumSet （項目32）では、Enum の要素の数によって異なるクラスのインスタンスが生成されます。 要素の数が 64 以下の場合には RegularEnumSet のインスタンスが生成され、64 を超過した場合には JumboEnumSet のインスタンスが生成されます。

もし、シリアライズ・プロクシ・パターンを使わないとすると、RegularEnumSet としてシリアライズされたストリームは、たとえ要素が増えても RegularEnumSet としてしかデシリアライズできません。 しかし、プロクシ・パーターンを使えば readResolve メソッド内で通常の static ファクトリーメソッドを利用できるため、要素に応じて異なるインスタンスを生成することができます。

実際、Java の EnumSet は次のように実装されています。

public abstract class EnumSet<E extends Enum<E>> extends AbstractSet<E>
    implements Cloneable, java.io.Serializable

...(省略)...

    // シリアライズプロキシ
    private static class SerializationProxy <E extends Enum<E>>
        implements java.io.Serializable
    {
        private final Class<E> elementType;

        private final Enum<?>[] elements;

        SerializationProxy(EnumSet<E> set) {
            elementType = set.elementType;
            elements = set.toArray(ZERO_LENGTH_ENUM_ARRAY);
        }

        @SuppressWarnings("unchecked")
        private Object readResolve() {
            // elementType の Enum の数に応じて noneOf は異なるインスタンスを返す
            EnumSet<E> result = EnumSet.noneOf(elementType);
            for (Enum<?> e : elements)
                result.add((E)e);
            return result;
        }

        private static final long serialVersionUID = 362491234563181265L;
    }

    Object writeReplace() {
        // 書き込む際には SerializationProxy を書き込む
        return new SerializationProxy<>(this);
    }

    // Enum 自体はデシリアライズさせない。
    private void readObject(java.io.ObjectInputStream stream)
        throws java.io.InvalidObjectException {
        throw new java.io.InvalidObjectException("Proxy required");
    }
}

制限

シリアライズ・プロキシ・パターンも万能ではありません。

まず、クライアントによって拡張可能なクラスとは互換性がありません。

また、オブジェクトグラフが循環しているようなクラスでは利用できません。 シリアライズプロキシの readResolve からオブジェクトのメソッドを呼び出そうとしても、シリアライズ対象のクラスのインスタンスが復元できていないので、メソッドを呼び出すことができません。

また、通常のシリアライズよりもパフォーマンスが劣化することに注意してください。

感想

ついに終わった…。

最初の記事が 2015 年の 7 月。

hjm333.hatenablog.com

1年5ヶ月かかった。

Effective Java を解説しているブログはけっこうあるけれど、最後までたどり着いているブログはほとんど見受けられないので、そういう意味ではがんばったほうかな。

次の課題図書は何にしようかな～。

シングルトンのクラスをシリアライズする場合、readResolve メソッドを使ってインスタンス制御するよりも enum 型による実装を選ぶべきです。

readResolve メソッド

まず readResolve メソッドについて説明します。

例えば、次のようなシングルトンクラスを考えます。

public class Elvis {
    public static final Elvis INSTANCE = new Elvis();

    private Elvis() {
    }
}

この Elvis クラスをシリアライズできるようにしたいとします。

この時、単に implements Serializable としただけではシングルトンとして不完全です。 デフォルトシリアライズ形式かカスタムシリアライズ形式かに関係なく、シングルトンとして不適切な実装です。

なぜなら、Serializable を implements したクラスの readObject メソッドは常に新しいインスタンスを生成するからです。 このインスタンスは public static final Elvis INSTANCE = new Elvis(); で生成されているインスタンスとは異なるため、シングルトンにおけるインスタンスの唯一性を満たすことができません。

これに対し readResolve メソッドを使うと、readObject によって生成されたインスタンスを交換することができます。

デシリアライズされたクラスが readResolve を持っている場合、次のように機能します。

• readObject() によって新たなインスタンスが生成される
• そのインスタンスに対して readResolve() が呼び出される
• このメソッドが返すオブジェクトが、新たに生成されたオブジェクトの代わりとなる
  • この際、元々のオブジェクトへの参照は保持されません。

Elvis クラスの場合、次のようにしてシングルトン特性を持つ readResolve を実装できます。

private Object readResolve() {
    // 唯一の正しいインスタンスを返す
    return INSTANCE;
}

ここで注意が必要です。

インスタンス制御を行うクラスではすべてのプロパティは transient と宣言する必要があります。 そうしない場合、次の項目で説明する攻撃を用いると、シングルトンの特性である「インスタンスが一つしかない」という不変性を破ることができてしまうからです。

Stealer 攻撃

Serializable を実装しているシングルトンが非 transient のプロパティを含んでいる場合、シングルトン特性を破壊する攻撃が可能です。 この攻撃は少し複雑です。

シングルトンが非 transient のプロパティを含んでいる場合、シングルトンの readResolve() が実行される前に、その非 transient のプロパティがデシリアライズされます。 プロパティがデシリアライズされる時、そのプロパティの readObject() が呼び出されます。

この時、シングルトンのダミーのインスタンスを保持しておけば、INSTANCE とは別のインスタンスを保持したままにできます。

サンプルコード

具体的なコードを見ていきます。 まず、非 transient なプロパティを含む不完全なシングルトン Elvis クラスです。

// 非 transient プロパティを含む不完全なシングルトン実装
public class Elvis implements Serializable {
    public static final Elvis INSTANCE = new Elvis();

    private Elvis() {
    }
　
    // 非 transient なプロパティ
    private String[] favoriteSongs = {"Hound Dog", "Heartbreak Hotel"};

    public void printFavorites() {
        System.out.println(Arrays.toString(favoriteSongs));
    }

    private Object readResolve() {
        return INSTANCE;
    }
}

次にこの不完全なシングルトンコードを攻撃するコードです。

// Elvis クラスを攻撃するクラス
public class ElvisStealer implements Serializable {
    // シングルトン以外のインスタンスを保持しておくための static フィールド
    static Elvis impersonator;

    // もう一つの Elvis インスタンス
    private Elvis payload;

    private Object readResolve() {
        // payload に保持されている Elvis インスタンスを impersonator に保持しておく
        impersonator = payload;

        // このプロパティを文字列配列として偽装するので文字列配列を返す
        return new String[]{"A Fool Such as I"};
    }

    private static final long serialVersionUID = 0;
}

そして、Elvis をシリアライズしたバイトストリームを改変します。 favoriteStrings のプロパティ領域には本来、String[] 型のインスタンスが含まれていますが、これを ElvisStealer に変更します。

こうすると、Elvis クラスは favoriteStrings をデシリアライズしているつもりで、ElvisStaler をディシリアライズしてしまうのです。

改変したバイトストリームと、それを利用してインスタンスを二つ得るコードは次の通りです。

public class ElvisImpersonator {
    // 改変した Elvis ストリーム
    private static final byte[] serializedForm = new byte[]{
            (byte) 0xac, (byte) 0xed, 0x00, 0x05, 0x73, 0x72, 0x00, 0x05,
            0x45, 0x6c, 0x76, 0x69, 0x73, (byte) 0x84, (byte) 0xe6,
            (byte) 0x93, 0x33, (byte) 0xc3, (byte) 0xf4, (byte) 0x8b,
            0x32, 0x02, 0x00, 0x01, 0x4c, 0x00, 0x0d, 0x66, 0x61, 0x76,
            0x6f, 0x72, 0x69, 0x74, 0x65, 0x53, 0x6f, 0x6e, 0x67, 0x73,
            0x74, 0x00, 0x12, 0x4c, 0x6a, 0x61, 0x76, 0x61, 0x2f, 0x6c,
            0x61, 0x6e, 0x67, 0x2f, 0x4f, 0x62, 0x6a, 0x65, 0x63, 0x74,
            0x3b, 0x78, 0x70, 0x73, 0x72, 0x00, 0x0c, 0x45, 0x6c, 0x76,
            0x69, 0x73, 0x53, 0x74, 0x65, 0x61, 0x6c, 0x65, 0x72, 0x00,
            0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x00, 0x02, 0x00, 0x01,
            0x4c, 0x00, 0x07, 0x70, 0x61, 0x79, 0x6c, 0x6f, 0x61, 0x64,
            0x74, 0x00, 0x07, 0x4c, 0x45, 0x6c, 0x76, 0x69, 0x73, 0x3b,
            0x78, 0x70, 0x71, 0x00, 0x7e, 0x00, 0x02
    };

    public static void main(String[] args) {
        Elvis elvis = (Elvis) deserialize(serializedForm);
        Elvis impersonator = ElvisStealer.impersonator;
        elvis.printFavorites();
        impersonator.printFavorites();
    }

    private static Object deserialize(byte[] stream) {
        try {
            InputStream inputStream = new ByteArrayInputStream(stream);
            ObjectInputStream objectInputStream = new ObjectInputStream(inputStream);
            return objectInputStream.readObject();
        } catch (Exception e) {
            throw new IllegalArgumentException(e);
        }

    }
}

このコードを実行すると、２つの Elvis インスタンスが存在していることが分かります。

[Hound Dog, Heartbreak Hotel]
[A Fool Such as I]

enum シングルトン

すべてを transient なプロパティに変更することで上記の攻撃は回避することができます。 しかし、よりよい方法は enum のシングルトンを使うことです。

enum のシングルトンについてはすでに項目３で述べました。 enum シングルトンは、通常のシングルトンパターンと違い、JVM によってインスタンスの唯一性が保証されるため非常に有利です。 また、enum はデフォルトでシリアライズ可能になっていることも重要です。

Elvis クラスを enum にすると次のようになります。

public enum Elvis {
    INSTANCE;
    private String[] favoriteSongs =
            {"Hound Dog", "Heartbreak Hotel"};

    public void printFavorites() {
        System.out.println(Arrays.toString(favoriteSongs));
    }
}

しかし、コンパイル時にインスタンスが分からないようなシリアライズ可能なシングルトンを書くためにはenum 型は使えません。

継承

final のクラスに readResolve() を書く際は private であるべきです。 一方、final でないクラスに readResolve() を書くときはそのアクセス可能性を検討する必要があります。

readResolve() が protected か public でサブクラスが存在してオーバーライドしていない場合、readResolve() がスーパークラスを返すことになるため ClassCastException を起こしやすいので注意が必要です。

感想

ついにあと１項目。 もっと感慨深いかと思ったけど、特にそんなこともなかった。。。