在SIPS URI中输入密码安全吗？

Question

SIP或SIPS URI可以包含可选密码字段：

sip:user:password@host:port;uri-parameters?headers

对于URI中的密码，RFC 3261表示：

虽然SIP和SIPS URI语法允许出现此字段，但不建议使用它，因为在使用该字段的几乎每一种情况下，以明文(例如URI)传递身份验证信息都是一种安全风险。

但是，在SIPS中，如果流量是通过TLS加密的，那么信息就不会以明文形式传递。如果是这样的话，为什么RFC不建议在SIPS URI中使用密码？

Answer 1

深度安全。通常你以加密的形式发送密码。然后经过https，这意味着它又被加密了。要获得密码，我需要破解https和原始加密。

如果您以明文发送密码，那么我所需要做的就是说服您的客户端以http发送数据，并窃取密码。或者安排中间人攻击，然后窃取密码。或者破解https (谣传如果你有一亿美元的备用现金，并且有组织拥有这些钱的话，这是可行的)，或者说服你的客户对https使用40位加密等等。