| От | Andrew Dunstan |
|---|---|
| Тема | Re: [pgadmin-hackers] Client-side password encryption |
| Дата | |
| Msg-id | 43AC22DF.80108@dunslane.net обсуждение исходный текст |
| Ответ на | Re: [pgadmin-hackers] Client-side password encryption (Stephen Frost <sfrost@snowman.net>) |
| Список | pgsql-hackers |
Stephen Frost wrote: >Is it actually doing challenge-response where the challenge is different >each time? > The docs say: AuthenticationMD5Password The frontend must now send a PasswordMessage containing the password encrypted via MD5, using the 4-character salt specifiedin the AuthenticationMD5Password message. If this is the correct password, the server responds with an AuthenticationOk,otherwise it responds with an ErrorResponse. A little investigation reveals that this is port->md5salt which is 4 random bytes set up fresh per connection (see src/backend/libpq/auth.c and src/backend/postmaster/postmaster.c). So it seems indeed to be a true (small) one time challenge token, unless I've missed something. cheers andrew
В списке pgsql-hackers по дате отправления:
Сайт использует файлы cookie для корректной работы и повышения удобства. Нажимая кнопку «Принять» или продолжая пользоваться сайтом, вы соглашаетесь на их использование в соответствии с Политикой в отношении обработки cookie ООО «ППГ», в том числе на передачу данных из файлов cookie сторонним статистическим и рекламным службам. Вы можете управлять настройками cookie через параметры вашего браузера