気に入った記事をブックマーク
- 気に入った記事を保存できます
保存した記事の一覧は、はてなブックマークで確認・編集ができます
- 記事を読んだ感想やメモを書き残せます
- 非公開でブックマークすることもできます
エントリーの編集
エントリーの編集は全ユーザーに共通の機能です。
必ずガイドラインを一読の上ご利用ください。
記事へのコメント19件
- 注目コメント
- 新着コメント
tmtms
ReDoS という攻撃方法があるのか。/ [追記] それはそれとして正規表現がおかしくて「([\w+\-].?)」はたぶん「([\w+\-]\.?)」の間違い。そこを修正するとRubyでも一瞬で終わる。
shidho
ずいぶん前から「到達可能なメールアドレスを正規表現で判定するのは不可能」なのは常識だと思ってた。http://bit.ly/oocIec ドメインの有無すら正規表現で調べるのは不可能なわけで。
koseki
ユーザの入力に対して凝った正規表現を使う場合、長い入力をテストしたほうが良いということかなあ。/ 変な書き方をしてない正規表現が後から脆弱になるとしたら、正規表現エンジン側の問題だろうと思った。
shidho
ずいぶん前から「到達可能なメールアドレスを正規表現で判定するのは不可能」なのは常識だと思ってた。http://bit.ly/oocIec ドメインの有無すら正規表現で調べるのは不可能なわけで。
stealthinu
一番最初に@tmtmsさんが正規表現のミス指摘があるのにこんなにブクマがつくとは。ReDoS注意しないといけない、という趣旨自体は置いといて。/とみたさんの指摘は後から追記したとのこと。なるほど。
n2s
むしろそんなコードを人に書かせてはいけない、ライブラリ使わせるべきだ / JSでのチェックを迂回してサーバーに直接送られる可能性もあるんでサーバーサイドでのチェックは大事ですよ>id:fellfield
bottomzlife
無精で確認してないけどバックトラックとか起こさない正規表現で簡易チェックするのと、マッチングにタイムアウト制限つければ回避可能ってことないの?(RFC準拠原理主義アドレス嫌いマン)
itouhiro
「ReDoSとは正規表現のアルゴリズムを利用したDoS攻撃。PCRE(PHPだとpreg関数)にはバックトラック制限/スタック制限などの対策あり。Oniguruma(PHPのmb_ereg関数。Rubyなど)では壊滅的ReDoSが可能」
tmtms
ReDoS という攻撃方法があるのか。/ [追記] それはそれとして正規表現がおかしくて「([\w+\-].?)」はたぶん「([\w+\-]\.?)」の間違い。そこを修正するとRubyでも一瞬で終わる。
yohgaki
ちょっと休憩に正規表現の特性を考えて、ReDoSの効果を増す文字列を考えたら、直ぐに出来てしまいました。(考えた時間はほんの数秒)80文字のアドレスでCore i7+Ruby 2.3.1で7分の実行時間。かなりマズイです。
注目コメント算出アルゴリズムの一部にLINEヤフー株式会社の「建設的コメント順位付けモデルAPI」を使用しています
いまの話題をアプリでチェック!
- バナー広告なし
- ミュート機能あり
- ダークモード搭載
関連記事
正規表現でのメールアドレスチェックは見直すべき – ReDoS
(Last Updated On: 2018年8月13日)前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問... (Last Updated On: 2018年8月13日)前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS(十分短い文字列で指数関数的に実行時間が増加する)が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。(特にRubyユーザー) 追記:影響範囲はメールアドレスチェックに限らないので、正規表現チェックは全体的に見直さないと、どこが脆弱なのか判りません。見直してチェックしたとしても、それが完全であったと保証することは困難です。ネット検索して直ぐに見つかった検索パターンは非常に脆弱であったこと、メールアドレスのマッチパターンは脆弱になりやすい繰り返しの繰り返しが含まれること、これらがあったのでタイト
ブックマークしたユーザー
すべてのユーザーの
詳細を表示します
詳細を表示します
2017/01/24 リンク