Re: Seguridad en PostgreSQL

On 03/11/06, Alvaro Herrera <alvherre(at)commandprompt(dot)com> wrote:
> Alejandro Gasca escribió:
>
> > Por otro lado, que tanto afecta el descubrimiento de vulnerabilidad que
> > se habla por ahi del md5? digo porque un usuario cuaquiera podria ver
> > los md5 de los passwords, si no se le restrige el select a los
> > catalogos para usuarios... o todo esto es pura paranoia?
>
> No afecta en nada. Si quieres hablar de una amenaza real, estoy
> dispuesto a escuchar la modalidad de ataque que tienes en mente. Si

poder realizar ese tipo de ataque es muy dificil y costoso (en
dinero y en tiempo). Los doctores que lo hicieron se tardaron varios
meses (años quizas) tratando de poder quebrarlo y se hizo en
determinadas circuntancias. Pero claramente no es un bug de PostgreSQL
y hasta donde se, tampoco se va a cambiar.

Como decia Alvaro, si tienes alguna idea o codigo escrito que
permita cambiar el backend de autentificacion, cambiando MD5 por SHA
por ejemplo u otro tipo, creo que estaremos gustosos de leerlo.

> solo tienes una idea vaga de que se usa MD5 y ademas te enteraste que
> MD5 fue "roto" hace algun tiempo atras, eso no es suficiente material
> como para hacer un analisis de amenaza (o analisis de riesgo).
>
--
http://www.advogato.org/person/mgonzalez/