Ruby3.2.0でReDoS対策が入ったということで、2022年と2023年に報告したReDoSの脆弱性で公表されたものについて効果を確認してみました。 [1] [2] [3] [4] [5] [6] [7] [8] (2024年追記)Ruby3.3.xで確認したものはこちら Faraday Net::HTTP adapter PoC require 'benchmark' def attack_text(length) text = 'charset=' + "\t" * length + "a" + "\t" * length + "a" /\bcharset=\s*(.+?)\s*(;|$)/.match(text) end Benchmark.bm do |x| x.report { attack_text(10) } x.report { attack_text(100) }