SIP或SIPS URI可以包含可选的密码字段:
SIP:用户:密码 @host:端口; URI参数标头
RFC 3261说明了URI中的密码:
虽然SIP和SIPS URI语法允许此字段存在,但是它 使用是不推荐的,因为认证的通过 明文信息(例如URI)已被证明是一种安全性 在几乎所有使用它的情况下都存在风险。
但是,在SIPS中,如果流量是通过TLS加密的,则信息不会以明文形式传递。如果是这样,为什么RFC不建议在SIPS URI中使用密码?
答案 0 :(得分:-1)
深度安全。通常您以加密形式发送密码。然后它通过https,这意味着它再次加密。要获取密码,我需要破解https和原始加密。
如果您以明文形式发送密码,那么我需要做的就是说服您的客户端以http发送数据并窃取密码。或安排中间人攻击,并窃取密码。或破解https(如果您有多亿美元的备用现金,有传言说这是可行的,并且有组织有这些钱),或者说服您的客户使用40位加密来进行https等。