Когда писал для Elink они ещё не умели в http

Приходилось ограничиваться локальной сеткой для безопасности


Кстати компиляция тоже не поможет. Логин и пароль это константный текст. Их будет отлично видно в скомпилированном файле

Да мне хотя бы циско 7942, он вроде только tftp Поддерживает

на самом деле если выйти за грани cisco всё проще, почти все последние телефоны могут по sip запрашивать путь к автопровижингу  широковещательным пакетом. это и yealink и grandstream, ну в общем все кроме старых циско, и почти все они могут получать свой конфиг через http.
А дальше можно играться, был широковещательный запрос, сделать временный конфиг с паролем http например и отправить телефон туда, как пароль получил, запретить новую выдачу пароля для него.

@b_aalexx , @ovoshlook, Ладно, спс за подтверждение, что с моей стороны никак защитить не получится.

@IgorrG тоже собаку съел на autoprovisioning на сколько я помню
мб у него есть чем поделиться

как насчет согласованного провижининга? Клиент с админом созваниваются, админ говорит - подключай, тот включает и провижинится. Т.е. провижининг не происходит когда ему вздумается, а когда админ активирует и активация на 10 минут допустим

плюс автоматическая блокировка после первого провижининга по этому маку

Вопрос был, есть от производителей телефонов что-нибудь, такие костыли да, можно напридумывать

это не костыль, это решение

а производитель что может?

Не знаю, зашить какой-нить ключик в телефон =)

это бесполезно

это как с RTP, открывается окно, затем происходит learning, и после этого фиксация по айпи. Тут примерно такой же метод

По сути мне нужно сделать не хуже чем в керио, клиент уверен что в керио всё супер, если я ему скажу что у меня можно пароль умыкнуть - это явно не понравится. В керио они не заморачиваются, просто телефон подключают и всё. Сказать что в керио тоже можно умыкнуть, это нужно доказать и вдруг керио что-нибудь придумал =)

что он может придумать? )

тут ничего не придумаешь

как минимум заложи такой режим как я тебе говорю

Вот и я о том, мог ли он что-нибудь придумать, есть у цисок что-нибудь

это невозможно, если в циске есть индетификатор, он будет известен хакеру

там защита может быть через защиту самой инфраструктуры, отдельные вланы, подсети и т.д.

поэтому цискари как правило настаивают на отдельном влане