[aside] guest abuse 制御 v1 の hardening 余地(PR #259 スコープ外)

guest 投稿 surface(PR #259)の abuse 制御は v1 として機能するが、本番強度には 2 点の既知の緩さがある。どちらも今回は意図的に defer(spec も「IP/Turnstile を主に」と緩さを許容)、コメント / PR body には記録済。後から非破壊で足せる。

- **rate-limit が in-memory per-instance**: `GuestRateLimiter` はプロセス内 HashMap。Fly が複数 machine にスケールすると per-instance に分散して実効閾値が緩む。対策候補 = Cloudflare Rate Limiting binding(edge)/ Durable Object / 外部 KV に集約。
- **IP rate-limit が直結 Fly で spoof 可**: `CF-Connecting-IP` は Worker 経由なら本物だが、`quacker.fly.dev` 直 POST だと攻撃者が任意に詐称できる。Turnstile(server 検証 + token 単発)が primary gate なので致命的ではないが、IP throttle を効かせたいなら Worker → Fly 間に shared-secret header を要求し、guest path への非 Worker トラフィックを Fly 側で弾く手がある。

トリアージ: 本番で guest 投稿の量・悪用が観測されてから対応で十分(早すぎ最適化を避ける)。