From: | Rafael Martinez <r(dot)m(dot)guerrero(at)usit(dot)uio(dot)no> |
---|---|
To: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
Cc: | Lista PostgreSQL <pgsql-es-ayuda(at)postgresql(dot)org> |
Subject: | Re: Missing or erroneous pg_hba.conf file |
Date: | 2009-09-09 16:19:39 |
Message-ID: | 4AA7D59B.1080609@usit.uio.no |
Views: | Raw Message | Whole Thread | Download mbox | Resend email |
Thread: | |
Lists: | pgsql-es-ayuda |
Alvaro Herrera wrote:
> Rafael Martinez escribió:
>> Alvaro Herrera wrote:
>> [...........]
>>> (Aunque, en realidad, si no usan
>>> SSL es posible que cualquiera otro de la red pueda capturar el tráfico y
>>> quizás obtener la contraseña, con lo cual esta protección no serviría de
>>> nada).
>> Si utilizan md5 como metodo de autentificacion no les servira de nada el
>> valor md5 de la clave que capturen ya que no podran utilizarlo para
>> autentificarse.
>
> ¿Por qué no? Se podría usar en un ataque de "replay", ¿no?
>
Yo creia que esto no se podia hacer. ¿No manda el servidor postgres un
token/salt al cliente, el cual es usado por el cliente, junto al valor
md5 de la clave+usuario, para generar un nuevo valor md5 que es mandado
de vuelta al servidor para comprobacion?
Aunque capturen el valor md5 usado en una conexion, no podran usar este
valor en otra conexion posterior.
servidor ------------ 4-byte token ------------------------> cliente
servidor <--- "md5" + md5(md5(clave + usuario) + token)" --- cliente
--
Rafael Martinez, <r(dot)m(dot)guerrero(at)usit(dot)uio(dot)no>
Center for Information Technology Services
University of Oslo, Norway
PGP Public Key: http://folk.uio.no/rafael/
From | Date | Subject | |
---|---|---|---|
Next Message | Fernando Hevia | 2009-09-09 16:23:56 | RE: Problemas con el restore |
Previous Message | Agustin Casiva | 2009-09-09 16:15:24 | Re: Descargar postgresql 7.4.1 |