| From: | Alvaro Herrera <alvherre(at)alvh(dot)no-ip(dot)org> |
|---|---|
| To: | Rafael Martinez <r(dot)m(dot)guerrero(at)usit(dot)uio(dot)no> |
| Cc: | Lista PostgreSQL <pgsql-es-ayuda(at)postgresql(dot)org> |
| Subject: | Re: Missing or erroneous pg_hba.conf file |
| Date: | 2009-09-09 16:41:29 |
| Message-ID: | 20090909164129.GM4132@alvh.no-ip.org |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
Rafael Martinez escribió:
> Alvaro Herrera wrote:
> > ¿Por qué no? Se podría usar en un ataque de "replay", ¿no?
>
> Yo creia que esto no se podia hacer. ¿No manda el servidor postgres un
> token/salt al cliente, el cual es usado por el cliente, junto al valor
> md5 de la clave+usuario, para generar un nuevo valor md5 que es mandado
> de vuelta al servidor para comprobacion?
>
> Aunque capturen el valor md5 usado en una conexion, no podran usar este
> valor en otra conexion posterior.
>
> servidor ------------ 4-byte token ------------------------> cliente
> servidor <--- "md5" + md5(md5(clave + usuario) + token)" --- cliente
Uh, vaya, sí que lo hace!
--
Alvaro Herrera Valdivia, Chile ICBM: S 39º 48' 55.3", W 73º 15' 24.7"
"Los trabajadores menos efectivos son sistematicamente llevados al lugar
donde pueden hacer el menor daño posible: gerencia." (El principio Dilbert)
| From | Date | Subject | |
|---|---|---|---|
| Next Message | Jaime Casanova | 2009-09-09 16:49:24 | Actualizaciones de seguridad: 8.4.1, 8.3.8, 8.2.14, 8.1.18, 8.0.22 y 7.4.26 |
| Previous Message | Alvaro Herrera | 2009-09-09 16:31:12 | Actualizaciones de seguridad del 9 de Septiembre de 2009 |