6. Considerazioni di sicurezza

I messaggi definiti hanno proprietà che implicano aspetti di sicurezza. Devono essere affrontati e tenuti conto dagli utenti di questo protocollo.

Il meccanismo di segnalazione di setup definito è sensibile ad attacchi di modifica che possono comportare creazione di sessione con configurazione subottimale e, nel peggiore dei casi, rifiuto della sessione. Per prevenire tale tipo di attacco sono richieste autenticazione e protezione dell'integrità della segnalazione di setup.

Messaggi di feedback contraffatti o creati in modo doloso del tipo definito in questa specifica possono avere le seguenti implicazioni:

a) bit rate media fortemente ridotto a causa di falsi messaggi TMMBR che impostano il massimo a un valore molto basso;

b) assegnazione della proprietà di un bounding tuple al partecipante sbagliato in un messaggio TMMBN, con possibile oscillazione non necessaria nel bounding set quando il proprietario erroneamente identificato segnala un cambio del proprio tuple e il vero proprietario può trattenere i cambiamenti finché un TMMBN corretto raggiunge i partecipanti;

c) invio di TSTR che producono una qualità video diversa dal desiderio dell'utente, rendendo la sessione meno utile;

d) invio di più comandi FIR per ridurre il frame rate e rendere a scatti il video, per l'uso frequente di decoder refresh point.

Per prevenire questi attacchi è necessario applicare autenticazione e protezione dell'integrita dei messaggi di feedback. Ciò può essere realizzato contro minacce esterne alla sessione RTP corrente usando il profilo RTP che combina Secure RTP [SRTP] e AVPF in SAVPF [SAVPF]. Nei casi con mixer si possono applicare contesti di sicurezza separati e filtraggio tra mixer e partecipanti, proteggendo altri utenti sul mixer da un partecipante che si comporta male.