Regulárny výraz môže na bežných dátach fungovať okamžite a na jednom úmyselne zostavenom vstupe spotrebovať sekundy procesora. Katastrofický backtracking vzniká, keď engine nájde veľa spôsobov, ako rozdeliť rovnaký text, a zlyhá až pri konci. Potom skúša kombinácie jednu po druhej. V login, search alebo validation endpointe sa lokálna chyba patternu môže zmeniť na denial of service.
Backtracking je normálna vlastnosť mnohých enginov
Greedy quantifier najprv spotrebuje maximum. Ak ďalší token nesedí, vráti znak a skúsi pokračovať. Táto flexibilita umožňuje nájsť hranicu pred suffixom.
Problém vzniká, keď vnorené alebo susedné časti môžu konzumovať tie isté znaky. Každý neúspech otvorí viac alternatív.
Vnorené opakovanie je výrazné varovanie
Pattern podobný (a+)+ môže sériu písmen rozdeliť mnohými spôsobmi. Ak na konci očakáva znak, ktorý nepríde, preskúma takmer všetky rozdelenia.
Produkčné varianty sú menej nápadné: opakovaná skupina s optional whitespace, širokým wildcardom alebo prekrývajúcimi sa alternatívami vytvára rovnakú nejednoznačnosť.
Voľby majú byť navzájom rozlíšiteľné
Character class zastavujúca pred delimiterom je jasnejšia než dot-star nasledovaný delimiterom. Alternatívy by mali začínať odlišne a quantifiers používať reálne maximum.
Atomic groups a possessive quantifiers môžu zakázať vracanie znakov. Majú však vyjadrovať správne pravidlo, nie slepo maskovať chybný pattern.
Limit vstupu je prvá obranná vrstva
Ak username dovoľuje 64 znakov, dlhšia hodnota sa odmietne pred regexom. Limit chráni aj parser, log a databázu. Dokument alebo log možno spracovať po riadkoch namiesto jedného neobmedzeného stringu.
Limit sám neopraví exponenciálny pattern, ale zmenší maximálny dopad a jasne vyjadrí doménu.
Najhorší test je takmer úspešný
Vytvorte dlhý správny prefix a zlý posledný znak, chýbajúci terminátor, opakované delimitery a prázdne optional sekcie. Merajte čas pri rastúcej dĺžke.
Nelineárna krivka je varovanie aj vtedy, keď súčasné malé fixtures prejdú rýchlo. Fuzzing a statický analyzátor dopĺňajú ručné prípady.
Nie každý engine má rovnaké riziko
Niektoré enginy garantujú lineárny čas tým, že nepodporujú backreferences a ďalšie konštrukcie. Iné ponúkajú bohatú syntax, ale môžu patologicky backtrackovať.
Pattern bezpečný v jednom runtime nemusí mať rovnaký profil inde. Upgrade frameworku alebo enginu patrí do výkonových regresných testov.
ReDoS je bezpečnostný problém aplikácie
Útočník pošle málo requestov s drahým vstupom a vyčerpá worker threads alebo event loop. Rate limit pomáha, no jediný match môže trvať dlhšie než bežná kvóta predpokladá.
Obrana kombinuje jednoznačný pattern, length limits, timeout a izoláciu náročného spracovania. Regex výkon je forma resource validation.
Timeout obmedzí škodu, nie complexity
Platforma môže match po limite prerušiť. Aplikácia má vrátiť kontrolovanú chybu a zapísať metriku, nie automaticky skúsiť rovnakú operáciu znova.
Časté timeouty znamenajú, že pattern alebo vstupný model potrebuje opravu. Timeout nie je výhovorka pre nejednoznačnú syntax.
Monitoring nesmie logovať citlivý vstup
Metrika match latency, dĺžka, rule name a verzia stačia na odhalenie regresie. Konkrétny anonymizovaný tvar možno uložiť do bezpečného test fixture.
High-cardinality raw values nepatria do labels. Trace môže niesť bezpečný request ID na dohľadanie kontrolovaného logu.
Incident potrebuje dočasnú aj trvalú opravu
Počas útoku možno sprísniť limit, vypnúť problematickú funkciu alebo izolovať endpoint. Trvalé riešenie odstráni prekrývajúce sa cesty a pridá regresný benchmark.
Postmortem má skontrolovať podobné patterns v ďalších službách. Kopírovaná utility môže rozšíriť rovnaké riziko na viac hraníc.
Parser je niekedy jednoduchší a bezpečnejší
Ak výraz potrebuje dlhý dôkaz, prečo sa vnorené opakovania neprekrývajú, explicitný parser môže byť čitateľnejší. Rozdelí vstup deterministicky a poskytne doménové chyby.
Katastrofický backtracking nie je dôvod prestať používať regex. Je dôvod navrhovať jeho cestu jednoznačne, testovať nepriateľské zlyhania a považovať pattern za spustiteľný kód na nedôveryhodnej hranici.
Linear-time engine môže zmeniť trade-off
Engine založený na automatoch dokáže garantovať čas úmerný dĺžke vstupu, pretože nepreskúmava exponenciálny počet ciest. Cena je menší feature set: backreferences alebo niektoré lookaround konštrukcie nemusia byť dostupné. Pre validáciu na verejnom endpoint-e je predvídateľnosť často hodnotnejšia než expresívna syntax.
Migrácia potrebuje behaviorálne testy, pretože dva enginy môžu rozdielne chápať Unicode, anchors alebo captures. Nestačí, že source pattern kompiluje. Výsledky a replacement musia zostať zhodné na reálnych dátach.
Observability má ukázať rast, nie až timeout
Dashboard môže sledovať percentily match latency podľa názvu pravidla a bucketu vstupnej dĺžky. Postupné spomalenie po zmene dát sa tak objaví skôr, než requesty narazia na hard timeout. Sample rate zabráni drahej metrike na každom volaní.
Alert na priemer môže skryť malý počet extrémnych vstupov, preto sú dôležité vysoké percentily a počet prerušení. Zároveň treba merať queue time, aby sa CPU problém regexu nezamenil za preťaženie inej závislosti.
Bezpečnostný review hľadá celú cestu vstupu
Pattern môže byť bezpečný pri krátkom field-e a nebezpečný, keď ho iný endpoint použije nad celým request body. Review preto sleduje zdroj dát, všetky normalizácie, maximum a frekvenciu volania. Rovnaká utility nie je rovnako riziková v offline administratívnom jobe a anonymnom login endpoint-e.
Threat model zahŕňa aj náklad pred regexom a po ňom. Extrémny string môže už pri dekódovaní, logovaní alebo kopírovaní spotrebovať zdroje. Obrana musí byť vrstvená od HTTP limitu až po aplikačný timeout.
Každá nová verejná cesta potrebuje rovnakú kontrolu ešte pred spustením.
Výsledok patrí do pravidelného bezpečnostného review.