Rafael Martinez escribió: > Alvaro Herrera wrote: > > ¿Por qué no? Se podría usar en un ataque de "replay", ¿no? > > Yo creia que esto no se podia hacer. ¿No manda el servidor postgres un > token/salt al cliente, el cual es usado por el cliente, junto al valor > md5 de la clave+usuario, para generar un nuevo valor md5 que es mandado > de vuelta al servidor para comprobacion? > > Aunque capturen el valor md5 usado en una conexion, no podran usar este > valor en otra conexion posterior. > > servidor ------------ 4-byte token ------------------------> cliente > servidor <--- "md5" + md5(md5(clave + usuario) + token)" --- cliente
Uh, vaya, sí que lo hace! -- Alvaro Herrera Valdivia, Chile ICBM: S 39º 48' 55.3", W 73º 15' 24.7" "Los trabajadores menos efectivos son sistematicamente llevados al lugar donde pueden hacer el menor daño posible: gerencia." (El principio Dilbert) -- TIP 10: no uses HTML en tu pregunta, seguro que quien responda no podrá leerlo
