В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

Asterisker-ы

2151 membersпожаловаться на группу
2021 April 17

YG

Yuriy Gorlichenko in Asterisker-ы
Это как раз самый правильный вариант относительно астериск - так как пароль для sip отлично видно в  js.

Авторизоваться во внешней системе, триггерить скрипт генерации пароля для webrtc клиента отдавать его. Убивать как только ws отваливается. Тут будет конечно ограничение на количество одновременных регистраций от одного клиента, но как показывает практика в случае с webrtc это даже правильнее.
источник
17:31пожаловаться#1

ДИ

Дмитрий Игнатенко... in Asterisker-ы
У меня все было проще, по сути астер находился за роутером, у астера был белый адрес, а на роутере было настроено правило, которое по белому адресу пускало только провов (тех с кем транки подняты) и по определенным портам, т.е., к примеру, 22 порт естественно был порезан и для них.
источник
17:38пожаловаться#2

OS

Oleg Shteinliht in Asterisker-ы
я передаю хеш, вместо пароля
источник
17:46пожаловаться#3

YG

Yuriy Gorlichenko in Asterisker-ы
А хэш на чем основан?
Он же все равно на каких то данных сессии должен быть основан. Иначе что мне мешает взять хэш и залогиниться с ним с другой машины?
источник
18:33пожаловаться#4

YG

Yuriy Gorlichenko in Asterisker-ы
Я зайду, сгенерю новый md5 и положу его в конфиг. Будет новый md5. От нового пароля.

Это никак не защищает.
Если кто то ломал сервер то он априори скомпрометирован. И все данные на нем. По факту тоже. Подмену данных конечно заметят, но сможно за это время натворитьуже много дел
источник
18:34пожаловаться#5

OS

Oleg Shteinliht in Asterisker-ы
ну как минимум нужно понимать, как этот хеш был собран. Его не нельзя так просто взять и вбить в софтфон
источник
19:05пожаловаться#6

YG

Yuriy Gorlichenko in Asterisker-ы
Ну то есть security основана на секретном ПО которое генерирует секретный hash)
источник
19:06пожаловаться#7

OS

Oleg Shteinliht in Asterisker-ы
не совсем. Данному пользователю уже дана возможность делать звонки. Если он воспользуется этим хешом (сможет его вытащить и применить, на другом устройстве), это не критично
источник
19:07пожаловаться#8

OS

Oleg Shteinliht in Asterisker-ы
это просто дополнение к общей безопасности
источник
19:07пожаловаться#9

YG

Yuriy Gorlichenko in Asterisker-ы
Ну так это никак не отрицает возможности перехвата и подмены данных. Суть безопасности в этом. И именно эта часть обычно критична для web приложений как раз. Они обычно session based и любой токен генерируется с примесью конечных данных пользователя, чтобы уникально его идентифицировать.

А так это просто усложнение for fun
источник
19:19пожаловаться#10

OS

Oleg Shteinliht in Asterisker-ы
перехват поверх tls?
источник
19:20пожаловаться#11

OS

Oleg Shteinliht in Asterisker-ы
ну ради бога
источник
19:20пожаловаться#12

OS

Oleg Shteinliht in Asterisker-ы
это меня вообще не смущает
источник
19:21пожаловаться#13

YG

Yuriy Gorlichenko in Asterisker-ы
Браузеру в командной строке вообще пофиг как там ему передовалось) там отлично все видно.
источник
19:23пожаловаться#14

OS

Oleg Shteinliht in Asterisker-ы
командная строка кого? авторизованного юзера?
источник
19:23пожаловаться#15

OS

Oleg Shteinliht in Asterisker-ы
и что?
источник
19:24пожаловаться#16

ВП

Валерий Петров... in Asterisker-ы
Что мешает поменять дома адресацию и не маяться?
источник
19:25пожаловаться#17

SL

Sergey L. Shirinyan in Asterisker-ы
Есть несколько устройств со статикой и без доступа.
источник
19:28пожаловаться#18

ВП

Валерий Петров... in Asterisker-ы
Э-э-э... Ну ладно...
🤓
источник
19:29пожаловаться#19

YG

Yuriy Gorlichenko in Asterisker-ы
Нет гарантии что в командную строкк авторизованнного пользователя не заглянет кто-то другой и потом с другой машины ывторизуется от его имени используя ваше ПО и ваш же хэш.

В общем это дыра в безопасности.
источник
19:37пожаловаться#20