Écrire des motifs ReDoS-safe

Le ReDoS (Regular expression Denial of Service) est une classe d'attaques où une entrée soigneusement conçue fait exploser le temps de calcul d'une regex. Le moteur JS utilise le backtracking (retour en arrière) : si un motif est "ambigu", sur une entrée malheureuse, il peut effectuer un nombre exponentiel de tentatives.

Le motif catastrophique classique

Pattern: ^(a+)+$
Input:   "aaaaaaaaaaaaaaaaaaaaab"

Pour trouver une correspondance, le moteur essaie chaque partition possible de "a" entre les deux quantificateurs +. Sur 20 "a", cela représente 2^20 = ~1 million de tentatives. Sur 30 "a", un milliard.

D'autres exemples dangereux :

• (a*)*b -- "étoiles imbriquées".
• (a|a)* -- alternatives qui se chevauchent.
• (\w+)+@ -- groupes gourmands avec un quantificateur externe.

Comment repérer le danger

Recherchez ces structures :

1. Quantificateur à l'intérieur d'un quantificateur : (...+)+, (...*)*, (...{n,})+.
2. Alternatives chevauchantes sous un quantificateur : (a|ab)*, (\w|\d)+.
3. Lookahead/lookbehind avec des alternatives complexes répétées.

Réécriture défensive

Dangerous:  ^(\w+\s+)+$
Safe:       ^(?:\w+\s+)*\w+$

La version sûre sépare le cas de base du cas répété, éliminant ainsi l'ambiguïté. Autres techniques :

• Quantificateurs possessifs (a++) -- non pris en charge en JS, mais disponibles dans d'autres moteurs.
• Motifs atomiques ((?>...)) -- non pris en charge en JS.
• Limiter la longueur de l'entrée avant la recherche de correspondance.
• Timeout sur le calcul (l'éditeur de ce cours utilise un worker avec un délai d'expiration de 500 ms).

Recommandations pour des motifs sûrs contre le ReDoS

1. Assurez-vous que les options dans une alternance sont mutuellement exclusives (ex. n'utilisez pas (a|a+)).
2. Évitez d'appliquer des quantificateurs imbriqués à des expressions qui se chevauchent (ex. (\\s*)*).
3. Préférez toujours des classes de caractères négatives spécifiques ([^\\n]*) au point générique (.*).

À vous de jouer

Exercice de révision

Défi supplémentaire