Passa al contenuto principale

RFC 7065 - 4. Security Considerations

4. Considerazioni di sicurezza

Le considerazioni di sicurezza per il meccanismo di risoluzione sono discusse nella Sezione 5 del [RFC5928]. Tale sezione contiene testo normativo che definisce le procedure di autenticazione da seguire dai client turn quando si usa TLS.

Gli schemi URI « turn » e « turns » non introducono problemi di sicurezza specifici oltre a quelli discussi nel [RFC3986].

Sebbene un URI « turn » o « turns » non includa in sé il nome utente o la password usati per autenticare il client TURN, in ambienti come WebRTC nome utente e password saranno quasi certamente provisionati in remoto da un agente esterno contemporaneamente all'invio di un URI « turns » al client. In tali situazioni, se nome utente e password fossero ricevuti in chiaro, l'uso di un URI « turns » avrebbe scarso o nullo beneficio. Per questo motivo, un client TURN DEVE assicurarsi che nome utente, password, URI « turns » e qualsiasi altro parametro rilevante per la sicurezza siano ricevuti con sicurezza equivalente prima di usare l'URI « turns ». La ricezione di tali parametri su un'altra sessione TLS può fornire il livello di sicurezza appropriato se entrambe le sessioni TLS sono parametrizzate in modo analogo, ad esempio con suite crittografiche di forza comparabile.

Ultimo aggiornamento il