[Open-source] Need a little debuging and hits...

Mon Jan 24 22:06:10 EET 2011

Στις 24 Ιανουαρίου 2011 10:41 π.μ., ο χρήστης Panagiotis Astithas
<pastith at gmail.com> έγραψε:
>
> Αν ψάχνεις για URL regexp, δε νομίζω να βρεις καλύτερο από αυτό:
> http://daringfireball.net/2010/07/improved_regex_for_matching_urls

Και όμως έχει αρκετά προβλήματα το συγκεκριμένο...

α) [a-z][\w-]+: -> asdfasdfasdfasdfasdfasd: εγώ θέλω μόνο http: ή https:
β) /{1,3} -> Δε με ενδιαφέρει το file:/// πχ.
γ) www\d{0,3}[.]  -> κανένα νόημα :P
δ) [a-z0-9.\-]+[.][a-z]{2,4}/ -> asdfa--asd..--..adsfa.<κάτι από 2 εώς
4 γράμματα>/ δε μου πολυμοιάζει με domain name :P
ε) Δεν πιάνει local domains όπως πχ. http://localhost
ζ) Δεν θέλω commas στα URL, ούτε παπάκια, ούτε tilda (άσε που αν μπεις
στη διαδικασία να τα βάλεις πρέπει να το κάνεις
σωστά, όχι όπως αυτός γιατί πχ. θέλεις να είναι /~κάτι και όχι κ/α~τι).
η) Δε δουλεύει σε C γιατί χρησιμοποιεί classes όπως \w (words) με το
format της perl και γενικώς θέλω κάτι εντελώς απλό.

> Επίσης, μην κακολογείς τα HTTP redirects, φαντάσου πόσο χρήσιμο θα ήταν ένα
> file system χωρίς symlinks :-)
>

Στο filesystem δεν παίζουν τόσο man in the middle attacks (εκτός αν
έχεις χωθεί στον kernel ή παίζεις με το dazuko πχ.) γι' αυτό το
σκέφτεσαι έτσι, αν αφήσεις τα redirects μπορεί κάποιος πχ. να φτιάξει
ένα πλαστό root certificate (ευτυχώς αν είναι στο system trust store
θα προτιμηθεί εκείνο) ή/και CRL και είτε να σου κάνει DoS είτε (αν πχ.
έχει βουτήξει το private key της CA) να παρακάμψει όλη τη CA και να σε
κάνει accept ή ότι άλλο θέλει. Δεν είναι δύσκολο κάποιος να κάνει
inject ένα http redirect ή να σε χώσει σε redirect loop (άλλο είδος
DoS). Μέχρι ένα redirect είναι ΟΚ μετά καπούτ, δε το ρισκάρω.

> --
> Panagiotis Astithas
> http://astithas.com
>

-- 
GPG ID: 0xD21DB2DB
As you read this post global entropy rises. Have Fun ;-)
Nick