Gerade noch mal nachgesehen (Firebird 2.5, aktuelle .NET Provider)
Code:
...
0070 04 55 54 46 38 39 04 0f 00 00 00 1c 06 53 59 53 .UTF89.......SYS
0080 44 42 41 1d 09 6d 61 73 74 65 72 6b 65 79 47 04 DBA..masterkeyG.
...
Man sieht, dass SYSDBA und masterkey schön lesbar im Protokoll stehen. (Ich habe das mit der Standardkonfig getestet)
Oha!
Ich hatte mich auf diesen Artikel "verlassen":
Password hashes used in Firebird 1.5
Zitat:
"When I listen my network traffic (e.g. with wireshark) I see that after the
username a password hash follows. This password hash consists of 11 charakters."
Es scheint also einen Weg zu geben (oder in 1.5 gegeben zu haben?), Passwort-Hashes statt Klartext zu verwenden.
Auf dieser Seite -
Details of the Security Changes in Firebird 2.0 - werden für Firebird 1.5 clientseitig erzeugte Passwort Hashes erwäht - aber auch eine Änderung in 2.0, nach der die Hashes serverseitig (!) erzeugt werden. Nun klingt "serverseitige Hash-Erzeugung" wirklich so, als ob der Client dem Server ein Klartext-Passwort schickt und der Server es hasht (und den Hash in der security2.fdb speichert).
Damit wäre Firebird für Einsatz über unsichere Verbindungen (ohne VPN) eigentlich unbrauchbar...
p.s. auch innerhalb VPN besteht natürlich das gleiche Problem, sicher ist das Passwort nur zwischen den Netzen, denn beim VPN-Partner dann ist es es wieder unverschlüsselt.