| From: | Victor Lopez <v(dot)lopez(dot)s(at)ono(dot)com> |
|---|---|
| To: | pgsql-es-ayuda(at)postgresql(dot)org |
| Subject: | Re: Seguridad en PostgreSQL |
| Date: | 2006-11-26 14:55:36 |
| Message-ID: | 200611261555.36224.v.lopez.s@ono.com |
| Views: | Raw Message | Whole Thread | Download mbox | Resend email |
| Thread: | |
| Lists: | pgsql-es-ayuda |
El Viernes, 03 de Noviembre de 2006 19:25, AG nos dijo ...:
> Por otro lado, que tanto afecta el descubrimiento de vulnerabilidad que
> se habla por ahi del md5? digo porque un usuario cuaquiera podria ver
> los md5 de los passwords, si no se le restrige el select a los
> catalogos para usuarios... o todo esto es pura paranoia?
MD5 es un algoritmo, llamemosle, de un solo sentido.
Por eso, si encriptamos la 'clave, no conocemos esta ... solo el 'MD5'
resultante.
El funcionamiento es mas o menos, desde el punto de vista del gestor, así
(generalmente):
1-Me dan una clave.
2-La guardo temporalmente, mediante alguna variable que solo yo (el sistema
gestor) se donde está.
3-Le aplico la encriptación.
4-Comparo el resultado con lo que está almacenado en .... la base de datos, un
archivo de texto plano, etc.
5-Si coinciden, el usuario es valido.
De esta manera NADIE ve la clave, a partir de lo que lea en el 'almacén de
claves encriptadas'.
Tampoco puede utilizar las 'claves encriptadas' para darselas al gestor e
intentar engañarlo (puesto que cuando el gestor aplique la encriptación sobre
este 'engaño' el resultado no sera válido).
Y ya no me enrollo mas ... :-)
--
----o---( )---o----
Saludos de Victor Lopez Sabio
v(dot)lopez(dot)s(at)ono(dot)com
--------oooo--------
| From | Date | Subject | |
|---|---|---|---|
| Next Message | eduardo arenas | 2006-11-26 15:37:28 | Concatenar campos |
| Previous Message | Alvaro Herrera | 2006-11-25 16:45:57 | Re: Generar funcion en C++ para PostgreSql |