<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<html>
<head>
  <meta content="text/html;charset=ISO-8859-1" http-equiv="Content-Type">
</head>
<body bgcolor="#ffffff" text="#000000">
Peter Saint-Andre wrote:
<blockquote cite="mid43F117C2.5070906@jabber.org" type="cite">
  <pre wrap="">-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

<a class="moz-txt-link-abbreviated"
 href="mailto:dirk.griffioen@voipster.com">dirk.griffioen@voipster.com</a> wrote:

  </pre>
  <blockquote type="cite">
    <blockquote type="cite">
      <blockquote type="cite">
        <blockquote type="cite">
          <pre wrap="">as
secure as both XMPP and SIP are.
    
          </pre>
        </blockquote>
      </blockquote>
    </blockquote>
    <pre wrap="">SIP is secure? Authentication is OPTIONAL. From addresses are not
validated and checked. Interdomain communications ("federation") is
still a mess. Sure you can use sips: URIs (forcing TCP and TLS) but most
implementations out there will still use the old sip: URIs (UDP, no
TLS). It's like Jabber in the jabberd 1.0 days (1999-2000) when we
didn't have dialback.

  
    </pre>
    <blockquote type="cite">
      <pre wrap="">Does jabber then validate 'from' - in a way more than syntactically
checking if things are ok? Maybe I am missing the point, but why is this
so important? 
      </pre>
    </blockquote>
  </blockquote>
  <pre wrap=""><!---->
Makes it relatively to do the following:

1. Send unsolicited communications.

2. Launch deregistration attacks.

3. Perform call flooding.

4. Terminate calls from a third party.

5. Hijack sessions.

6. Perform unauthorized call transfers.

7. Register unauthorized devices.

And yes I consider those fairly serious.
  </pre>
</blockquote>
You are absolutely right.<br>
<br>
But, and I hope this shines through from my other mails a well, for
pc2pc your list does not hold, since all issues are XMPP related - SIP
is used for state and session parameters etc, not the addressing part.<br>
<br>
For pc2pstn (and vice versa) the Jingle-SIP  gateway would face the
same problems, so maybe we should solve those?<br>
<br>
Is there a Jingle-SIP gateway available? I believe someone mentioned
this here on the mailing list...<br>
<br>
We are in the process of making a SIP-XMPP gateway (most likely GPL
too) and maybe we can compare notes here?<br>
<br>
Dirk<br>
<blockquote cite="mid43F117C2.5070906@jabber.org" type="cite">
  <pre wrap="">Peter

- --
Peter Saint-Andre
Jabber Software Foundation
<a class="moz-txt-link-freetext"
 href="http://www.jabber.org/people/stpeter.shtml">http://www.jabber.org/people/stpeter.shtml</a>

-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.4.1 (Darwin)
Comment: Using GnuPG with Mozilla - <a class="moz-txt-link-freetext"
 href="http://enigmail.mozdev.org">http://enigmail.mozdev.org</a>

iD8DBQFD8RfCNF1RSzyt3NURAnViAJ9Whinuq1QAyCGmmz3O5zWwv1Mg5gCfU9fk
MbNEyJHmFuUEJdzRgKNGLQM=
=eZl4
-----END PGP SIGNATURE-----
  </pre>
</blockquote>
<br>
</body>
</html>