TRE Python-Binding demonstriert Schutz vor ReDoS-Angriffen
Simon Willison experimentiert mit Ville Laurikaris TRE Regular Expression Engine über Python-Bindings. Die Tests zeigen, dass TRE dank fehlendem Backtracking deutlich robuster gegen malicious Regular Expression-Angriffe ist als Pythons Standard-Implementierung.
Einordnung
Diese Untersuchung ist relevant für die Sicherheit von Anwendungen, die Regular Expressions verarbeiten. ReDoS (Regular Expression Denial of Service) Angriffe können durch speziell konstruierte Regex-Patterns zu exponentieller Laufzeit führen und Services lahmlegen. Die TRE-Engine, die bereits in Redis verwendet wird, bietet durch ihren Verzicht auf Backtracking einen natürlichen Schutz vor solchen Angriffen.
Die praktische Demonstration mit Python-Bindings zeigt einen möglichen Weg auf, wie Entwickler ihre Anwendungen gegen ReDoS-Angriffe härten könnten, ohne die Regex-Funktionalität aufzugeben. Dies könnte besonders für sicherheitskritische Anwendungen interessant sein, die nutzereingaben mit Regular Expressions verarbeiten.