WebRTC 和安全 - 拦截连接？答案

【问题标题】：WebRTC and security - intercepting connections?WebRTC 和安全 - 拦截连接？
【发布时间】：2016-03-31 05:30:42
【问题描述】：

我有一个关于 WebRTC 及其安全性的问题。我一直在阅读 WebRTC，如果使用 STUN 服务器首先由服务器直接获取一些元数据，那么它就是用户与用户之间的连接。 TURN 用于通过服务器中继/代理的连接。

我的问题是 WebRTC 是否可以以 ANY 方式被拦截？

我正在尝试在我的服务器中实现一个 rfc5766-turn-server 程序，或者我可以使用 coturn 甚至 resund。但我的主要问题是如何保护它？有没有可以使用的加密机制？阻止例如 MITM 攻击？

感谢您的帮助！对 WebRTC 来说真的很陌生。

【问题讨论】：

【解决方案1】：

在建立呼叫时（在会话描述协议有效负载内），WebRTC 媒体连接的证书指纹会发送给每个对等方。如果用于建立 DTLS 连接的证书与指纹不匹配，则 WebRTC 对等点将拒绝它。

中间人很难攻击 WebRTC 媒体通道，即使用 TURN 服务器。最简单的方法是让攻击者拦截用于设置 WebRTC 调用的信令交换并替换他们自己的证书指纹和连接地址。如果您对信令通道的安全性感到满意，那么您应该对 WebRTC 呼叫媒体与浏览器的 TLS 流量一样安全感到满意。

【讨论】：

关于 TURN 服务器的快速问题，这是否意味着让应用程序代理通过您的服务器的流量？我一直在寻找类似 stun 的东西，但有安全性......我想这应该是可能的，但是我让用户对 MITM 攻击持开放态度，不是吗？我确信 WebRTC 已经内置了指纹识别，即使它是一个 STUN 服务器，我对此是否正确？
SRTP 对于 WebRTC 是强制性的，因此所有媒体流量都在对等方之间进行加密，无论它是否通过 TURN 服务器。换句话说，如果我想拦截你的 WebRTC 调用，我会专注于破坏你的信令通道，这样我就可以插入自己的密钥和证书。尝试对 SRTP 数据包进行暴力加密会在计算资源上花费大量金钱和时间。
不知道，非常感谢！减轻很多头痛和担忧:)