將密碼放在SIPS URI中安全嗎？

Question

甲SIP或SIPS URI可以包含可選的密碼字段：

SIP：用戶：密碼 @host：端口; URI參數頭

RFC 3261表示，這大約在密碼的URI：

雖然SIP和SIPS URI語法允許該字段是存在，其 使用推薦，因爲認證的通過以明文形式提供的信息（例如URI）已被證明在幾乎所有使用它的情況下都存在安全風險。

但是，在SIPS中，如果流量是通過TLS加密的，則不會以明文形式傳遞信息。如果是這樣，爲什麼RFC不建議在SIPS URI中使用密碼？

Answer 1

安全性深入。通常您會以加密形式發送密碼。然後它通過https，這意味着它再次被加密。要獲得密碼，我需要破解https和原始加密。

如果您以明文方式發送密碼，那麼我所需要做的就是說服您的客戶端使用http發送數據並竊取密碼。或者安排一次中間人攻擊，並竊取密碼。或者破解https（如果你有一億美元的閒錢，並且有機構擁有這筆錢），或者說服你的客戶使用https等的40位加密等，那麼這個傳言是可行的。