[OpenSER-Users-ES] Seguridad en cabeceras y parámetros
Iñaki Baz Castillo
ibc at in.ilimit.es
Tue Jan 8 12:08:10 CET 2008
Hola, si llega un INVITE con la cabecera:
Call-Info:;answer-after=0
algunos UAS descolgarán automáticamente la llamada.
Pues hombre, está bien pero representa a todas luces un posible problema de
seguridad y privacidad (¿¿espionaje?? XD).
Tal vez el proxy sólo debería permitirse este tipo de cabeceras en ciertas
condiciones (llamada desde el B2BUA y cosas así). De hecho así lo prevee el
RFC 3261 respecto de las cabeceras Call-Info y Alert-Info.
El caso es que en Asterisk éste problema no existe puesto que del INVITE que
le llega al que Asterisk genera no se parece ni el "From" (y no es coña).
Pero sé que otros B2BUA actúan de manera más transparente replicando las
cabeceras desconocidas.
En este último caso me pregunto si existe algún listado de cabeceras o
parámetros que deba vigilar a parte de los mencionados. Se me ocurren:
- Call-Info
- Alert-Info
- RPID
- PAI
¿Alguno más?
Gracias.
--
Iñaki Baz Castillo
ibc at in.ilimit.es
More information about the Users-es
mailing list