Il provider SIP non supporta SIPS

0

Sto pensando di registrarmi con un provider SIP a basso costo che, secondo un attuale white paper, non supporta (ancora) SIPS (Secure Session Initiation Protocol). Capisco che questo significa che il mio nome utente e password SIP dovranno essere trasmessi in chiaro su TCP ogni volta che il mio softphone si registra su questo provider.

Si tratta di una bandiera rossa o di una restrizione che è abbastanza comune tra gli altri (anche rinomati) provider SIP?

    
posta Drux 12.08.2016 - 13:14
fonte

1 risposta

2

In realtà è molto comune non supportare SIPS.

user name and password will have to be transmitted unencrypted

SIP utilizza Digest MD5 per l'autenticazione, che è un protocollo di risposta alle sfide in cui le password non vengono trasmesse in chiaro. Quindi non è possibile spezzare la password sniffando la connessione a meno che l'attaccante non abbia accesso a un numero enorme di autenticazioni fatte dallo stesso utente. La forzatura brutale della password di solito ha più successo.

L'uso dell'autenticazione del digest significa anche che la password deve essere memorizzata dal server in testo chiaro o in qualche forma equivalente o crittografata reversibile, vale a dire che il solito hashing a senso unico non è possibile.

    
risposta data 12.08.2016 - 14:03
fonte

Leggi altre domande sui tag