<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Thu, Mar 13, 2014 at 8:26 AM, Pedro Niņo <span dir="ltr"><<a href="mailto:nino.pedro@gmail.com" target="_blank">nino.pedro@gmail.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">The 
other (ugly) option, is to remove the auth from the phone, for the Sip Provisioning, but that 
would leave and open door to a reboot attack without auth needed from 
any IP. And I dont like that option.<br></div></blockquote></div><br></div><div class="gmail_extra">This might not be as bad of an option as you think. If the SPA is behind a stateful firewall then that firewall should allow the NOTIFY from the registrar due to the REGISTER and NAT keep-alive packets opening the firewall, but disallow SIP from any other source. I would recommend verifying that before you deploy it though as I haven't tested it myself.<br>
<br></div><div class="gmail_extra">Corey<br><br></div></div>