网页实时通信:问题,成果,以及正在进行的标准化工作(五)

安全性的考虑

正如我们所描述的,RTCWeb方案和相关架构明确地体现了电信世界里新的挑战,因为它们允许网页浏览器之间,在没有或者很少的服务端介入的情况下,直接进行通信。这是非常有挑战性的一件事情,因为有我们考虑到的很多问题,在这其中是否信任和安全性扮演了很重要的角色。对与上面说的最后一点,当我们允许进行浏览器对浏览器的直接通信,一系列新的现在安全威胁涌现出来。目前基本的网页安全政策是基于适当的隔离准则(也称作沙箱),这些准则使用户能够保护他们的电脑免受恶意脚本和跨站点内容的攻击。靠着这个模型,安全政策与运行在浏览器中的JavaScript代码主要相关,这些代码其实是在访问网站中作为一个授信的计算基础。对浏览器对浏览器通信范围的扩展也揭开了很多全新安全性问题的面纱。

最先讨论且最为重要的,我们必须考虑到通信安全与我们为其他允许任意两个端点直接通信的网络协议(比如SIP)所做的事情非常相似—除非我们将中继的存在视为传输中间者一样。

其次,如果我们允许浏览器之间直接通信,那么允许用户在实际数据交换阶段开始之前就验证授权的机制必须存在。授权的验证工作不应该依赖于已经信任的服务器,而且应该直接由浏览器指向的与潜在对等端的起始通信来加强。最后但非不重要的,通过网页的RTC的环境很明确的要求浏览器在深层次与其处于的结点进行交互—例如,为了在与目标对等端进行多媒体对话之前接入本地音频和视频设备。接入政策必须得到定义,这样也就引出了一些全新的挑战。

RTCWeb的设想是使开源框架的基于浏览器到浏览器的,并且不需要安装插件的最直接多媒体应用得到标准化。两大主要的浏览器运营商已经在他们的开发者版本中使此框架能够进行使用。但是,其中并没有能够作为标准的完整体系,尽管他们都很期望尽快做出来。

在不远的将来,标准化工作会聚焦于拥塞控制,音频及视频编解码器的选择,远端临场感,以及对数据通道的加强使用。

(译者:至此由Salvatore Loreto, Simon Pietro Romano所撰写的Real-Time Communication in the Web: Issues, Achievements, and Ongoing Standardization Efforts全部更新完毕)

WebRTC 中文社区由

运营