正規表現でのメールアドレスチェックは見直すべき – ReDoS

(Last Updated On: 2018年8月13日)前のエントリでStackExchangeがReDoSで攻撃されサイトがダウンした問題を紹介しました。少しだけ掘り下げて見たところ、正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS（十分短い文字列で指数関数的に実行時間が増加する）が可能なことが判りました。 結論を書くと、正規表現でのメールアドレスチェックは見直すべき、です。（特にRubyユーザー） 追記：影響範囲はメールアドレスチェックに限らないので、正規表現チェックは全体的に見直さないと、どこが脆弱なのか判りません。見直してチェックしたとしても、それが完全であったと保証することは困難です。ネット検索して直ぐに見つかった検索パターンは非常に脆弱であったこと、メールアドレスのマッチパターンは脆弱になりやすい繰り返しの繰り返しが含まれること、これらがあったのでタイト

[n2s]

むしろそんなコードを人に書かせてはいけない、ライブラリ使わせるべきだ / JSでのチェックを迂回してサーバーに直接送られる可能性もあるんでサーバーサイドでのチェックは大事ですよ＞id:fellfield

[tmtms]

ReDoS という攻撃方法があるのか。/ [追記] それはそれとして正規表現がおかしくて「([\w+\-].?)」はたぶん「([\w+\-]\.?)」の間違い。そこを修正するとRubyでも一瞬で終わる。

[tailriver]

MTA作ってるとかならともかく、個々のアプリケーションが躍起になってアドレスを検証する価値ってあるんだろうか。文字の並びが正しいことは届くための条件のひとつでしかない。

[tsutsumi154]

正規表現処理する前に@が存在するかどうかとか文字長で先にスクリーニングしたほうがいいのかもな

[shidho]

ずいぶん前から「到達可能なメールアドレスを正規表現で判定するのは不可能」なのは常識だと思ってた。http://bit.ly/oocIec ドメインの有無すら正規表現で調べるのは不可能なわけで。

[koseki]

ユーザの入力に対して凝った正規表現を使う場合、長い入力をテストしたほうが良いということかなあ。/ 変な書き方をしてない正規表現が後から脆弱になるとしたら、正規表現エンジン側の問題だろうと思った。

[komagata]

気をつけよう

[azumakuniyuki]

RFC5322の定義に近い正規表現で実装した記憶がある

[stealthinu]

一番最初に@tmtmsさんが正規表現のミス指摘があるのにこんなにブクマがつくとは。ReDoS注意しないといけない、という趣旨自体は置いといて。／とみたさんの指摘は後から追記したとのこと。なるほど。

[pullphone]

表示するときにエスケープすりゃええやん

[terazzo]

処理切り上げてアンマッチ扱いにする系の回避策の場合は受理できないメールアドレスが生じるのだがそれは大丈夫なのかな。

[rti7743]

PHPの場合どうするのが正解なんだろう？filter_var関数にまかせる？それとも何かいい方法があるのかな？

[indication]

簡易にするのはよいが、+や-が使えないサービスってだけで使わない価値がある。@の前とうしろで分割チェックでよいと思う。(ipアドレスもいけるから、ややこしい)

[masudaK]

初めて聞いた

[bottomzlife]

無精で確認してないけどバックトラックとか起こさない正規表現で簡易チェックするのと、マッチングにタイムアウト制限つければ回避可能ってことないの？（RFC準拠原理主義アドレス嫌いマン）

[itouhiro]

「ReDoSとは正規表現のアルゴリズムを利用したDoS攻撃。PCRE（PHPだとpreg関数）にはバックトラック制限／スタック制限などの対策あり。Oniguruma（PHPのmb_ereg関数。Rubyなど）では壊滅的ReDoSが可能」

[maraigue]

"正規表現だけでメールアドレスをチェックしている場合、壊滅的なReDoS（十分短い文字列で指数関数的に実行時間が増加する）が可能なことが判りました"

[t-tanaka]

うわお。

[yohgaki]

ちょっと休憩に正規表現の特性を考えて、ReDoSの効果を増す文字列を考えたら、直ぐに出来てしまいました。（考えた時間はほんの数秒）80文字のアドレスでCore i7+Ruby 2.3.1で7分の実行時間。かなりマズイです。