Re: Postgres: pg_hba.conf, md5, pg_shadow, encrypted passwords
В списке pgsql-hackers по дате отправления:
| От | Tom Lane |
|---|---|
| Тема | Re: Postgres: pg_hba.conf, md5, pg_shadow, encrypted passwords |
| Дата | |
| Msg-id | 11372.1114059278@sss.pgh.pa.us обсуждение исходный текст |
| Ответ на | Re: Postgres: pg_hba.conf, md5, pg_shadow, encrypted passwords ("Jim C. Nasby" <decibel@decibel.org>) |
| Список | pgsql-hackers |
"Jim C. Nasby" <decibel@decibel.org> writes:
> I would think it wouldn't be hard to change the protocol/code so that
> the response from providing an invalid user is the same as providing a
> valid one.
How would you do that? The response for a valid user will (a) include
the same salt on repeated trials (so no generating a random one); (b)
usually be different from the salt given for other usernames (so no
using the same one every time, either) and (c) probably be provided in a
measurably different time from the time taken by any algorithm that
manages to work around (a) and (b).
You could maybe work around (c) by delaying *all* password challenges to
take, say, 100 msec ... but that's hardly what I call a cost-free
solution either.
regards, tom lane
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера