ReDos攻撃対応 #19
Comments
|
Rustの正規表現って後方参照とか先読みのない素朴な正規表現なんだけど、潜在的に危険な機能の制限のおかげで線形時間での実行が保証されてるらしい(=redos攻撃の可能性がない?) https://gihyo.jp/dev/serial/01/perl-hackers-hub/007402 C++の安全な正規表現の実装がnode.isにも移植されてるらしいから、今ある正規表現をそれに変換するのが根本的な解決策になるかもしれない |
|
ほえー |
|
Discordは最近デフォルトの荒らし対策みたいなやつが導入されて、ユーザーが正規表現書けるようになったんだけどそれはrustの正規表現使うのと、コンパイルサイズ制限で安全にしてる でも安全な正規表現を使うなら、マッチリスト/マッチさせないリストの両方を用意するのと、それぞれ複数の正規表現を入れられるようにしないと表現力が落ちる。 |
Sign up for free
to join this conversation on GitHub.
Already have an account?
Sign in to comment
https://twitter.com/kawaz/status/1477809915729448961?t=yDJcv4_ZsnpbLKiBoUmpbw&s=19
正規表現登録時に時間計算して長過ぎたら弾くバリデーションとか入れる……?
The text was updated successfully, but these errors were encountered: