Sto pensando di registrarmi con un provider SIP a basso costo che, secondo un attuale white paper, non supporta (ancora) SIPS (Secure Session Initiation Protocol). Capisco che questo significa che il mio nome utente e password SIP dovranno essere trasmessi in chiaro su TCP ogni volta che il mio softphone si registra su questo provider.
Si tratta di una bandiera rossa o di una restrizione che è abbastanza comune tra gli altri (anche rinomati) provider SIP?
In realtà è molto comune non supportare SIPS.
user name and password will have to be transmitted unencrypted
SIP utilizza Digest MD5 per l'autenticazione, che è un protocollo di risposta alle sfide in cui le password non vengono trasmesse in chiaro. Quindi non è possibile spezzare la password sniffando la connessione a meno che l'attaccante non abbia accesso a un numero enorme di autenticazioni fatte dallo stesso utente. La forzatura brutale della password di solito ha più successo.
L'uso dell'autenticazione del digest significa anche che la password deve essere memorizzata dal server in testo chiaro o in qualche forma equivalente o crittografata reversibile, vale a dire che il solito hashing a senso unico non è possibile.
Leggi altre domande sui tag sip