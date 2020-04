Inhaltsverzeichnis Regex-Katastrophen: Wenn reguläre Ausdrücke Software lahmlegen Das Schweizer Messer der Textanalyse Fallstricke zwischen Quantoren und Backtracking Was Cloudflares Server in die Knie zwang Artikel in iX 5/2020 lesen

Am 2. Juli 2019 traf es Cloudflare: Innerhalb weniger Minuten verlor der Dienstleister 80 Prozent seiner Serverkapazität, Tausende Webseiten waren nicht mehr erreichbar. Dropbox, Cloudbase, Discord, Shopify und Zendesk gehören zu den betroffenen Cloudflare-Kunden, die erst durch den Ausfall einen neuen Single Point of Failure kennenlernten, den sie offensichtlich vorher nicht oder nicht ausreichend auf dem Radar hatten. Cloudflare brauchte Stunden, um die Infrastruktur wieder hochzufahren – alles nur wegen weniger eigentlich korrekter Zeichen. Die technischen Hintergründe erwiesen sich als Lehrstück für den richtigen Umgang mit regulären Ausdrücken.

Einen Angriff von außen konnte die Firma schnell ausschließen, das Aufspüren und Beheben der Ursache dauerte jedoch ein wenig länger. Besonders erschwerend wirkte es sich aus, dass Cloudflare seine eigenen Produkte nutzt, die zum damaligen Zeitpunkt kaum noch arbeitsfähig waren. Schließlich stellte sich heraus, dass ein nachlässig formulierter regulärer Ausdruck einen der größten Internetdienstleister in die Knie gezwungen hatte.

Reguläre Ausdrücke (Regular Expressions, kurz RE) sind im Prinzip seit den 1940er-Jahren bekannt. Populär wurden sie mit dem von Ken Thompson geschriebenen Editor QED, der viele seitdem in regulären Ausdrücken verwendete Konstrukte einführte. Heute sind RE in allen verbreiteten Programmiersprachen wie PHP, JavaScript und Python verfügbar sowie in einigen Textverarbeitungen und vielen IDEs. Etliche werten die Muster mit der Open-Source-Bibliothek PCRE aus.