Alvaro Herrera wrote: > Rafael Martinez escribió: >> Alvaro Herrera wrote: >> [...........] >>> (Aunque, en realidad, si no usan >>> SSL es posible que cualquiera otro de la red pueda capturar el tráfico y >>> quizás obtener la contraseña, con lo cual esta protección no serviría de >>> nada). >> Si utilizan md5 como metodo de autentificacion no les servira de nada el >> valor md5 de la clave que capturen ya que no podran utilizarlo para >> autentificarse. > > ¿Por qué no? Se podría usar en un ataque de "replay", ¿no? >
Yo creia que esto no se podia hacer. ¿No manda el servidor postgres un token/salt al cliente, el cual es usado por el cliente, junto al valor md5 de la clave+usuario, para generar un nuevo valor md5 que es mandado de vuelta al servidor para comprobacion? Aunque capturen el valor md5 usado en una conexion, no podran usar este valor en otra conexion posterior. servidor ------------ 4-byte token ------------------------> cliente servidor <--- "md5" + md5(md5(clave + usuario) + token)" --- cliente -- Rafael Martinez, <r.m.guerr...@usit.uio.no> Center for Information Technology Services University of Oslo, Norway PGP Public Key: http://folk.uio.no/rafael/ -- TIP 10: no uses HTML en tu pregunta, seguro que quien responda no podrá leerlo
