| From: | "David Prieto" <davidp(at)sgth(dot)es> |
|---|---|
| To: | "'Alvaro Herrera'" <alvherre(at)surnet(dot)cl>, "'Manuel Sugawara'" <masm(at)fciencias(dot)unam(dot)mx> |
| Cc: | "'Maritza Parra'" <database_tallersoftware(at)yahoo(dot)es>, <pgsql-es-ayuda(at)postgresql(dot)org> |
| Subject: | RE: Solucion a Conexiones desde destinos desconocidos. |
| Date: | 2005-05-20 06:08:48 |
| Message-ID: | 00f601c55d02$62f665c0$1701a8c0@pcdavid |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
>Una nota adicional: me parece mucho que en realidad el digerido es lo
unico que se necesita >para autenticarse (no la contraseña en claro).
Por lo tanto el atacante ni siquiera
>necesita aplicar fuerza bruta para descubrir la contraseña en claro :-(
>Efectivamente se va a necesitar para atacar otros sistemas donde uses
la contraseña ...
> pero ya conectado a la base de datos es bastante el daño que se puede
hacer.
¿Esto es realmente así?
Es decir: ¿al identificarse un cliente mediante MD5 simplemente manda el
digest MD5 de la contraseña? De ser así... El cliente siempre tiene que
enviar lo mismo, con lo que sería fácil capturar eso por la red y que
otra persona se identificase por ti.
No se el caso de PostgreSQL como será, pero en otros sistemas, cuando
intentas acceder, el servidor te envía una cadena (que cada vez es
distinta) y tú le devuelves el digest MD5 de la cadena formada por esa
primera cadena+tu contraseña, con lo que ese digest MD5 no va a ser
siempre el mismo, y si otro usuario lo captura, no le va a servir para
nada porque cuando él intente conectar el servidor le manda una cadena
distinta.
Como digo: no sé exactamente cómo funciona PostgreSQL en este sentido.
¿Alguien lo sabe?
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Jaime Casanova | 2005-05-20 06:15:43 | Re: Folio de facturas |
| Previous Message | Alex Concha | 2005-05-20 03:15:09 | Re: coneccion de PostgreSQL con .net |