能够识别防火墙的应用
之前所讨论的针对WebRTC的方法都是对应用透明的。另外一种升级的途径是企业网络应用与安全边界结合工作。这与游戏应用利用uPnP来识别防火墙上的孔洞十分相似。安全边界可能有一个网络接口,可以被企业应用开发人员用于验证末端用户以及从安全边界申请允许。所以,记录就在浏览器内被应用开发人员所执行了,之后上传到安全边界或者其他企业特殊存储,而不是在边缘设备上透明地记录会话。应用开发人员可以将JavaScript的所有控制信息传递给安全边界设备来使其能够验证,安装会话环境,并且打开孔洞,如图4所示。这样的设备会阻挡所有的WebRTC传输,除非应用明确的将其API用于安装媒体流环境上。
这个方法最大的好处就是,应用开发人员自愿地将媒体流环境传递到了安全边界。此方法需要安全边界API的标准化。
图4.一个可识别防火墙网络应用自愿将媒体流环境传递到安全边界,并使其打开防火墙孔洞。
策略服从
企业通常需要策略服从,就像对所有通信进行记录和写日志。一些要求对特定通话进行选择性认证,或者网络基于接口。尤其,过去电子邮件、备忘录、即时信息、通话、甚至访问网页的日志的记录,对于编辑都十分有用。这些洞察力的价值通常需要企业与发送或者接收信息的人进行共享记录。
在上文写了很多哪里策略可以得到应用的例子。除了上一个以外其他在上文描述到的所有例子,并没有一个已知的方式使安全边界知道应用策略的全部媒体流的环境。举个例子,即使知道那个网页或者应用产生流是很困难的,就像用户打开了很多的标签页,并且任何一个这些网站都可以激活WebRTC。如果单个WebRTC阻挡是需要的,那么整个网站也许都需要被阻挡,例如企业代理。
在边缘透明
在之前的讨论中,我们明确了由于端到端加密以及WebRTC媒体通道的安全性,没有扮演中间人的角色是不能在安全边界进行透明记录媒体通信的。不幸的是,这会给末端用户提示安全警告,会使用户感到烦躁。
损坏网络JavaScript
一个网络代理可以截获和过滤掉任何与WebRTC有关的JavaScript代码,或者强制使用媒体记录API。这能截获网站核实的处理,并且可以使整个网站不可使用或者不可预见其表现。第二,这种方法对于实践来说要么太困难要么根本不可能,因为其涉及到在模糊或者动态产生的JavaScript中检测相关代码,并且截获在TLS上的网页。
