| From: | Alvaro Herrera <alvherre(at)surnet(dot)cl> |
|---|---|
| To: | Manuel Sugawara <masm(at)fciencias(dot)unam(dot)mx> |
| Cc: | Maritza Parra <database_tallersoftware(at)yahoo(dot)es>, pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: Solucion a Conexiones desde destinos desconocidos. |
| Date: | 2005-05-19 23:55:43 |
| Message-ID: | 20050519235543.GA21079@surnet.cl |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
On Thu, May 19, 2005 at 06:17:02PM -0500, Manuel Sugawara wrote:
> Maritza Parra <database_tallersoftware(at)yahoo(dot)es> writes:
>
> > Hola Manuel,
> >
> > ¿a que te refieres con "exponiendo el digest de forma
> > transparente en una red potencialmente poco amigable"? ¿digest?.
> >
> > Saludos, Maritza.
>
> md5 es un algoritmo digestor, y lo que estas haciendo es exponiendo el
> resultado de dicho algoritmo digestor y por lo tanto exponiendo la
> seguridad de tu base de datos y otorgando información para que un
> agente malicioso realize ataques de fuerza bruta para descubrir tu
> contraseña,
Una nota adicional: me parece mucho que en realidad el digerido es lo
unico que se necesita para autenticarse (no la contraseña en claro).
Por lo tanto el atacante ni siquiera necesita aplicar fuerza bruta para
descubrir la contraseña en claro :-(
Efectivamente se va a necesitar para atacar otros sistemas donde uses la
contraseña ... pero ya conectado a la base de datos es bastante el daño
que se puede hacer.
--
Alvaro Herrera (<alvherre[a]surnet.cl>)
"La tristeza es un muro entre dos jardines" (Khalil Gibran)
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Roberto Andrade Fonseca | 2005-05-20 00:03:23 | Folio de facturas |
| Previous Message | johnf martinez | 2005-05-19 23:51:07 | ClassNotFoundException: org.postgresql.Driver |