naz*_*-pc 5 security sdp webrtc
SDP 中有ice-ufrag和ice-pwd参数,但是如果我可以确保 SDP Offer/answer 没有被修改(以数字签名为例),那么它们(或任何其他参数)真的需要私有才能实现安全的端到端连接吗?
用例是 P2P 系统,我有另一方的公钥,并希望确保我实际上安全地连接到它。然而,另一方没有我的公钥,也不关心我是谁。
WebRTC和相关规范太大,以至于我还没有找到这个问题的明确答案(到处都推荐HTTPS,但除此之外不多),而且我还没有找到任何从这个角度考虑WebRTC安全性的文章。希望对WebRTC有深入了解的人能够澄清这个问题。
此问题被标记为可能重复的问题不包含任何 SDP 起源的证明(以数字签名或其他方式的形式),这就是为什么此问题是唯一的。
绝对地!虽然 WebRTC 可以保护其数据通信,但 SDP 是给您打电话的免费门票。
如果您不保护您的信令通道,那么您最终可能会与攻击者进行完全安全的呼叫,攻击者在您不知情的情况下将数据包转发给您的预期呼叫接收者或从您的预期呼叫接收者转发数据包。
这是中间人攻击的一种变体。有关更多信息,请参阅security.stackexchange.com。