RFC 7065 - 4. 安全考量 (Security Considerations)

4. Security Considerations (安全考量)

解析机制的安全考量见 [RFC5928] 第 5 节。请注意, 该节包含规范性文本, 规定在使用 TLS 时 turn 客户端应遵循的认证程序。

除 [RFC3986] 中讨论的安全考量外, "turn" 与 "turns" URI 方案不引入任何特有的安全问题。

尽管 "turn" 或 "turns" URI 本身不包含用于认证 TURN 客户端的用户名或密码, 在某些环境 (如 WebRTC) 中, 用户名与密码几乎肯定会在向客户端发送 "turns" URI 的同时, 由外部代理远程配置。因此, 在此类情形下, 若用户名与密码以明文收到, 则使用 "turns" URI 几乎无甚益处。有鉴于此, TURN 客户端在使用 "turns" URI 之前, 必须确保用户名、密码、"turns" URI 以及任何其他与安全相关的参数以同等安全程度收到。通过另一条 TLS 会话接收这些参数可提供适当级别的安全, 前提是两条 TLS 会话的参数设置类似, 例如采用强度相当的密码套件 (ciphersuites)。