| От | Oliver Jowett |
|---|---|
| Тема | Re: Two-phase commit security restrictions |
| Дата | |
| Msg-id | 416E0CD3.1030104@opencloud.com обсуждение исходный текст |
| Ответ на | Re: Two-phase commit security restrictions (David Garamond <lists@zara.6.isreserved.com>) |
| Список | pgsql-hackers |
David Garamond wrote: >> So it is possible for a user connected to the DB to send random commit >> or cancel commands, just in case she happens to hit a valid GID? > > > It is not essentially different from someone trying to bruteforce a > password. A 128bit value like a random GUID is as strong as a 16 char > password comprising ASCII 0-255 characters. And I would argue that this > is _not_ security through obscurity. Security through obscurity is > relying on unpublished methods/algorithms. This is not. You have no guarantees that GIDs generated by an external transaction manager are random. An obvious implementation is TM-identity plus sequence number, which is very predictable. -O
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера