Quali metodi vengono utilizzati dai siti Web per impedire l'accesso diretto ai media?

5

Spero davvero che questa domanda non sia fuori tema ...

Sfondo

La domanda riguarda la sicurezza dei media (video, audio, ecc.), in cui i media in questione sono protetti digitalmente (legalmente, in stile DMCA) o in altro modo (aperti al pubblico, ma non dovrebbero essere ridistribuiti secondo alcune licenze o un altro).

Ad esempio, un video su Youtube può essere aperto al pubblico (per la visualizzazione), ma non dovrebbe essere ridistribuito. Un video su PBS potrebbe condividere gli stessi regolamenti sul contenuto del sito, ma sono assicurato in modi molto diversi.

Non sono stato in grado di risolvere questo problema con Adobe Flash, ma con HTML5 sembra esserci un modo abbastanza semplice per ottenere il contenuto multimediale effettivo quando non è presente alcuna offuscazione.

Modifica : per chiarimenti, ti sto chiedendo nel contesto di utente medio che potrebbe probabilmente seguire il metodo riportato di seguito per il download di un video da PBS, ma chi lo troverebbe quasi impossibile da scaricare un video da Youtube.

Modifica 2 : YouTube interrompe il contenuto multimediale per le prestazioni in streaming video; questo può anche essere considerato un meccanismo di 'sicurezza', perché un utente dovrebbe scrivere software per ottenere tutti i pezzi e metterli insieme (il software esiste per questo scopo), il che lo rende difficile per le persone per ottenere l'accesso diretto ai media in questione. Tuttavia, usano anche meccanismi di validazione nella stringa di query per la richiesta GET (vedi sotto in Metodo ); questi meccanismi di validazione sono la preoccupazione principale per la domanda.

Metodo

Prenderò Youtube (HTML5) e PBS (JW Player 6.11.4920) come esempio per illustrare ciò di cui sto parlando.

La Famiglia sul sito web di PBS :

1.) Disabilita Adobe Flash (chrome: plugins - > Adobe Flash - > disabilita, ad esempio)

  • Ciò impone a JW Player di tornare a HTML5

2.) Apri Strumenti per sviluppatori - > guarda la scheda Rete

3.) Inizia a riprodurre il video

4.) Nota video/mp4 nella colonna Tipo :

5.)L'richiestaURLèilcollegamentodirettoalsupportocheèscaricabile.Voilà.

Chiaramentequestoèinsicuro.Sequestofossecontenutoprotettodacopyright,unapersonapotrebbefacilmentescaricarloeridistribuiretramitetorrent,sitidicaricamentofile,ecc.Noneccezionale!ConilettorimultimedialisoloAdobeFlash,questotipodimetodosembraimpossibile,mapotrebbeesseresololamiamancanzadicapacitàinvestigative.

Diamoun'occhiataa Haddaway - What Is Love su Youtube:

1.) Youtube ora è HTML5, ottimo, salta alcuni passaggi e vai direttamente a Strumenti per sviluppatori

2.) Cerca un formato video. Trovato un po '!:

3.)Obfuscation,adaltolivello

Comepossiamovedere,alcunisitiimplementanounaqualcheformadicontrollodell'accessoaimediaperimpedirel'accessononautorizzato.NelcasodiYoutube,potrebbeessereperl'efficienza,madall'aspettodelloroformatodiURLdellarichiesta:

https://r1---sn-hxgpu-a5oe.googlevideo.com/videoplayback?upn=_t-wCQzh3Ww&signature=A298625B841D2DD1A8A8BBCFAEE5FE80F9F8ED45.4AF128179F70E92385145290FEF6B1843D3E4047&itag=243&keepalive=yes&lmt=1414207260185348&key=yt5&pl=16&id=o-AFRnZLaRZX9g_lgGGgfcjzbUFLOu-PFx0EGukit2Z358&mime=video%2Fwebm&mm=31&ipbits=0&requiressl=yes&ip=148.61.167.67&ms=au&gir=yes&mt=1424731661&dur=241.040&initcwndbps=3913750&expire=1424753375&sver=3&fexp=3300103%2C3300103%2C3300130%2C3300130%2C3300137%2C3300137%2C3300161%2C3300161%2C3310704%2C3310704%2C3311902%2C3311902%2C3312210%2C3312210%2C905657%2C907263%2C924628%2C927622%2C931378%2C934954%2C9406486%2C9406573%2C9406921%2C943917%2C947225%2C947240%2C948124%2C948703%2C952302%2C952605%2C952612%2C952901%2C954815%2C955301%2C957201%2C957906%2C959701%2C961403&mv=m&sparams=clen%2Cdur%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&clen=8105881&source=youtube&cpn=S4VP0TLZXAoVAKuj&alr=yes&ratebypass=yes&c=WEB&cver=html5&range=7240268-8105880

Sembrachestianolimitandol'accessoinmoltimodi.Ilprocessoperrecuperareeffettivamenteilvideo(daYoutube)richiedeilreverseengineering( esempio ) l'URL costruito (URL richiesta), il download di ogni blocco e la costruzione incrementale dei dati. Google sembra stia facendo un buon lavoro per l'utente occasionale, ma uno sviluppatore può decodificare l'URL della richiesta e creare "downloader di YouTube", come sono molto comuni al giorno d'oggi.

Domande

Esiste un nome specifico per il metodo che YouTube sta usando (frammentazione + controllo accessi tramite parametri di querystring)?

Esistono metodi ampiamente usati / denominati per "offuscare" i media in questo modo?

È persino (tecnicamente) possibile impedire completamente l'accesso ai media non autorizzato? La mia ipotesi è no , a condizione che qualcuno sia disposto a dedicare il tempo necessario a decodificare i metadati necessari.

    
posta Chris Cirefice 24.02.2015 - 00:37
fonte

1 risposta

3

In realtà, Google sta rendendo molto più difficile per chiunque scaricare semplicemente un video perché Google sta analizzando il video intero e ti offre solo porzioni alla volta. Quindi il tuo ideale single "URL di richiesta" (AKA a GET request ) è in realtà più GET requests .

A causa di questo parsing, diventa difficile per creare uno script / programma che possa sistemare tutti insieme tutti questi pezzi.

Ho preso una schermata e ho evidenziato alcuni punti:

NotareilmultiploGETrequestsin*.googlevideo.com.

Seguardieffettivamenteresponsevedraiunurlcherestituisceunosnipdelfile.mp4.(diseguito,cosasuccederàsevaisemplicementearesponseurl)

Puoi cercare nella cache del browser per trovare lo snippet effettivo e concettualizzarlo concettualmente. (sotto c'è un'acquisizione del file cache stesso)

Ora, non so se è ancora necessario decrittografare ulteriormente il file stesso (uno ha inserito tutte queste cache).

Sono portato a credere no , perché il video è che gioca sul lato client. Devo solo confermarlo ...

    
risposta data 24.02.2015 - 01:32
fonte

Leggi altre domande sui tag