אבטחה לסרטונים ברשת

רחמים

@חיבור פיתחתי מערכת שנקראת 'קל קורס' להפצת סרטוני וידאו ושמע בצורה מאובטחת, ראה באתר שלי כאן

תוכנה להפצת קורסים ושיעורי וידאו, ללא צורך בחיבור לאינטרנט, וללא חשש העתקה ללא קניית רשיון, וללא חשש הסרטת מסך פנימית במחשב

והיה בקשר במייל: yaakobov001@gmail.com

dovid

השאלה צריכה להיות מה אחרים עושים. למשל קורסים בתשלום במקומות הגדולים.
התשובה היא אחסון וידאו פרטי עם טוקן, כמו: s3 של אמזון.
איך זה עובד? מאחסנים בS3 את כל הוידאו במצב פרטי, ובעת ביקור של לקוח רשום באתר נוצר לו טוקן (קוד ייחודי זמני), ויותר נכון סדרת טוקנים, שמאפשר לו גישה לזרם הוידאו.

ככה עושים כל המקומות הגדולים של קורסים/תכנים לצפיה בתשלום.
האחסון וההזרמה זהים לשירות איכותי כמו יוטיוב והוידאו מוגן לגמרי - הלינק זמני.
זה מחייב כתיבת קוד תכנותי לזה, וקצת ידע להתעסק עם S3, זה השקעה חד פעמית שנדרשת.

אכן אפשר להוריד את הוידאו עם כלי הורדה כמו IDM, וגם לצלם את המסך, אבל שיטה זו מחייבת את הגנב להפיץ את הסחורה. אם יש כזה חשש, אולי תבדקו את הפתרון של @רחמים שהחיסרון הבולט שלו אפילו בלי לבדוק אותו זה ההפצה - חוויית הצפיה היא לא כמו לינק ליוטיוב אלא הם צריכים כנראה להוריד למחשב או לקבל מדיה עד הבית.

חוקר

@dovid אמר באבטחה לסרטונים ברשת:

s3 של אמזון.

ביקשו לי פעם לעזור לבקש לנטפרי לפתוח קורסים של האוניברסיטה הפתוחה, חקרתי קצת לעומק איך זה בנוי שם, והרעיון איך שזה בנוי שם הוא כמו שכתבת.
אך הם לא עבדו בצורה של S3, אלא משהו (שבאמת עניין אותי אך לא הגעתי לחקור אותו) ברמת השרת בתוך ה nginx.
הטוקן נמצא כמובן בלינק בסיומו, בערך md5=gheutruhreu4637
והראיה שלי שזה ברמת השרת היא כי כאשר שיניתי את הטוקן הוצגה לי קוד שגיאה של nginx של אין הרשאות (לא זוכר כרגע את קוד השגיאה).
נראה שיש איזה שהוא אפשרות לבנות בתוך nginx הגבלה ברמת בדיקה מול בסיס נתונים האם יש הרשאה לטוקן לפני שהוא ממשיך בהרצת הבקשה.

shraga

@dovid אמר באבטחה לסרטונים ברשת:

אכן אפשר להוריד את הוידאו עם כלי הורדה כמו IDM, וגם לצלם את המסך, אבל שיטה זו מחייבת את הגנב להפיץ את הסחורה. אם יש כזה חשש

זה בדיוק החשש שלו:
@חיבור אמר באבטחה לסרטונים ברשת:

נטפרי אמרו לי שההגנה שיש לי לא מספקת בכלל וכל אחד עם קצת ידע יכול להוריד את הסרטונים.

להגביל הורדה של סרטונים באמצעות הזרמת הוידאו בטכנולוגיה כזו או אחרת באתר זה מורכב מאוד ולא ממש אפשרי אם יש מישהו מאוד נחוש להפיץ את הסרטונים כי בכל מקרה המשתמש יוכל לבצע הסרטת מסך.
אבל כן אפשר להקשות ברמה מסוימת על אפשרות הורדה קונבנציונלית באמצעים תיכנותיים באמצעות הזרמת הוידאו בחלקיקים של מספר שניות באופן אקראי וכדומה, אולי ל @5566brs יש מידע מורחב בעניין. (לוימאו אין פתרון לזה, וכן לינק עם טוקן גם לא יעיל למניעת אפשרות הורדה אלא רק למניעת הפצת הקישור להמונים).

יש אפשרות נוספת של יצירת נגן מאובטח (תוכנה על המחשב) שמונע אפשרות להפעיל ניטור כלשהו על הרשת או לבצע הסרטת מסך, לpracticu יש משהו דומה (אם כי מישהו אמר לי שהצליח לשלוף מהם את כל ההדרכות). מעין התוכנה של רחמים אבל עם גישה מקוונת וללא צורך באונקי.

אופציה נוספת היא ליצור וידאו ייחודי לכל לקוח ובפריים כלשהו באמצע לשים את המספר זהות שלו וכדומה, וכך במידה והוידאו מופץ ניתן בנקל לגלות מי האחראי על הפצתו.

aaron

@dovid אמר באבטחה לסרטונים ברשת:

איך זה עובד? מאחסנים בS3 את כל הוידאו במצב פרטי, ובעת ביקור של לקוח רשום באתר נוצר לו טוקן (קוד ייחודי זמני), ויותר נכון סדרת טוקנים, שמאפשר לו גישה לזרם הוידאו.

אחסון בS3 וייצור של טוקן זה לעשות חיים קלים למי שירצה להוריד..
3 שניות ויש לך קישור תקין להורדה..

@dovid אמר באבטחה לסרטונים ברשת:

השאלה צריכה להיות מה אחרים עושים.

הפלטפורמות שמכבדות את עצמם מפתחות תהליך הצפנה עצמאי, ע"ע נטפליקס..
כל השאר - בוחרים כנראה בCDN משולב עם הגנה בשם DRM, שבגדול זה (עד כמה שידוע לי) חלוקה של הוידאו לקבצים קטנים, (HLS) והצפנה של כל חלק עם מפתח יחודי.. גם זה לא ממש יעיל, ויש אפשרויות להוריד עם כלים מתאימים..

@חוקר אמר באבטחה לסרטונים ברשת:

והראיה שלי שזה ברמת השרת היא כי כאשר שיניתי את הטוקן הוצגה לי קוד שגיאה של nginx של אין הרשאות (לא זוכר כרגע את קוד השגיאה).

לכאורה מדובר בreverse proxy שמחזיר סטטוס 403 וגורם לnginx להציג לפי זה את הדף ברירת מחדל?

@shraga אמר באבטחה לסרטונים ברשת:

אופציה נוספת היא ליצור וידאו ייחודי לכל לקוח ובפריים כלשהו באמצע לשים את המספר זהות שלו וכדומה, וכך במידה והוידאו מופץ ניתן בנקל לגלות מי האחראי על הפצתו.

זה שיטה מגניבה שמשתמשים בה הרבה להגנה על PDFים וכדומה..
אבל צריך לקחת בחשבון שיש סיכוי שהמרה או משהו דומה תפגע ב"חתימה" הזאת..

nigun

@shraga אמר באבטחה לסרטונים ברשת:

יש אפשרות נוספת של יצירת נגן מאובטח (תוכנה על המחשב) שמונע אפשרות להפעיל ניטור כלשהו על הרשת או לבצע הסרטת מסך, לpracticu יש משהו דומה (אם כי מישהו אמר לי שהצליח לשלוף מהם את כל ההדרכות). מעין התוכנה של רחמים אבל עם גישה מקוונת וללא צורך באונקי.

נשמע מוזר
כי לכאורה לא יכול להיות דרך למנוע האזנה של התעבורה
מקסימום להצפין את התעבורה כשלמאזין אין את המפתח.

חיבור

@dovid אמר באבטחה לסרטונים ברשת:

אכן אפשר להוריד את הוידאו עם כלי הורדה כמו IDM,

זו תוכנה דיי מוכרת. אז לכאורה זה לא מהווה פיתרון.

@shraga אמר באבטחה לסרטונים ברשת:

אולי ל @5566brs יש מידע מורחב בעניין.

איך ניתן להשיג אותו? יש לכם כתובת מייל שלו?

@aaron אמר באבטחה לסרטונים ברשת:

הפלטפורמות שמכבדות את עצמם מפתחות תהליך הצפנה עצמאי, ע"ע נטפליקס..

זה משהו שאני יכול להזמין אצל מתכנת? או שזו המצאה ייחודית של נטפליקס שאחרים לא יודעים לשכפל את זה?

upsilon01

למיטב ידיעתי אין דרך למנוע הורדה לגמרי
מ udemy ניתן להוריד באמצעות תוסף ל chrome
מ vimeo private ניתן להוריד באמצעות תוסף ל chrome
אפילו מנטפליקס ניתן להוריד באמצעות תוכנה ייעודית

מה שניתן לעשות, זה לסבך את ההורדה ככל שניתן
וכן (כמו שהזכירו למעלה) ליצור חתימה ויזואלית יחודית
על גבי הסרטון (דבר שמצריך לפתח\לתחזק שרת סטרימיניג עצמאי)

השאלה היא עסקית
כמה התועלת - מניעה חלקית של הורדה\הפצה
מול הנזק - עלות הפיתוח והתחזוקה

חיבור

@upsilon01 אמר באבטחה לסרטונים ברשת:

השאלה היא עסקית
כמה התועלת - מניעה חלקית של הורדה\הפצה
מול הנזק - עלות הפיתוח והתחזוקה

התועלת רבה מאוד. ויש חשש מהותי לנזק.
אשמח לקבל מכם הצעות מחיר או הפניה לאנשי מקצוע מתאימים.

nigun

@חיבור
השאלה היא מי מנסה להעתיק, וכמה הוא משקיע בזה.
אתה יכול להשקיע 5K ש"ח לדוגמה, ואז לפורץ מתחיל יהיה קשה ולמיומן יהיה קל.
אתה יכול להשקיע 15K (לדוגמה), ואז גם פורץ מיומן יצטרך לעבוד כמה שעות טובות כדי לבנות כלי חדש שיצליח להוריד את הסרטון.
אתה יכול להשקיע 30K (לדוגמה) ואז כדי לפרוץ זה ידרוש הבנה יותר עמוקה של רשתות תקשורת וכו'
ולפורץ לא יהיה שווה להשקיע את הכסף/זמן .

nigun

הכיוון שנראה לי הכי מוגן, הוא לתת ללקוח תוכנה על המחשב
עם מפתח הצפנה מובנה בתוך התוכנה, ושהתוכנה תוריד את הסרטונים מאתר כשהם מוצפנים.
וכך לא יוכלו להאזין לתעבורה.
וכדי למנוע צילום מסך אפשר לשים מזהה יחודי על מסך התוכנה.
אבל הלקוח יכול להסריט את המסך ובעריכה לטשטש את המזהה
אז תצטרך לעשות גם מזהה קולי שישמיע ברקע (בשקט ) את המזהה באופן אקראי.
ואם מישהו באמת באמת רוצה הוא יכול לעשות סינון רעשים ולמצוא את ההקראות של המזהה
ובקיצור אין לדבר סוף.

A0533057932

@nigun אמר באבטחה לסרטונים ברשת:

הכיוון שנראה לי הכי מוגן, הוא לתת ללקוח תוכנה על המחשב
עם מפתח הצפנה מובנה בתוך התוכנה, ושהתוכנה תוריד את הסרטונים מאתר כשהם מוצפנים.
וכך לא יוכלו להאזין לתעבורה.

סטייל נטפליקס?

nigun

@a0533057932 אמר באבטחה לסרטונים ברשת:

@nigun אמר באבטחה לסרטונים ברשת:

הכיוון שנראה לי הכי מוגן, הוא לתת ללקוח תוכנה על המחשב
עם מפתח הצפנה מובנה בתוך התוכנה, ושהתוכנה תוריד את הסרטונים מאתר כשהם מוצפנים.
וכך לא יוכלו להאזין לתעבורה.

סטייל נטפליקס?

לא יודע איך הם עובדים.

A0533057932

@nigun בדיוק מה שאמרת
תוכנה המורידה למחשב קובץ
שרק היא יודעת לקרוא אותו

nigun

@a0533057932
אז מה זה התוכנה שהביאו לעיל שאמורה לפרוץ את זה?

A0533057932

@nigun היא לא פורצת את זה
ניתן לצפות גם דרך הדפדפן
והתוכנה את זה מצליחה לפענח

upsilon01

לאמזון יש כלי Elastic Video Transcoder שיכול לשמש להצפנה של הוידיאו
אתה יכול לקרוא על זה כאן (לקראת הסוף)

aaron

@upsilon01 אמר באבטחה לסרטונים ברשת:

לאמזון יש כלי Elastic Video Transcoder שיכול לשמש להצפנה של הוידיאו
אתה יכול לקרוא על זה כאן (לקראת הסוף)

הצפנה לא מגנה על הורדה.
לפחות בפעם האחרונה שבדקתי את החברה הזאת (foliovision) - להוריד היה עניין של דקות..

יש איזה אחסון שפרוג השתמשו בו שנראה לי שווה בדיקה..
(תבדקו את זה עם מישהו מצליח להוריד שיעדכן כמה זה היה מורכב..)

upsilon01

@aaron
אכן, הצפנה לא מגינה מהורדה
אבל היא לא תאפשר לתוספים להוריד

לגבי החברה foliovision הם לא מספקים הגנה
אלא רק web player
הבאתי את הכתבה לא בגלל החברה,
אלא בגלל שזו כתבה טובה

shraga

@aaron אמר באבטחה לסרטונים ברשת:

יש איזה אחסון שפרוג השתמשו בו שנראה לי שווה בדיקה..
(תבדקו את זה עם מישהו מצליח להוריד שיעדכן כמה זה היה מורכב..)

הם משתמשים בspotlightr.

אפשר להוריד את הוידאו הנ"ל עם התוסף הזה במצב Capture, נראה לי שאין וידאו שעומד בפניו...
אמנם לכאורה (לא בדקתי טכנית כיצד זה אכן מתבצע) זה יותר דומה להסרטת מסך מאשר ל"הורדה", אבל המינוח הטכני לא משנה בשביל אותו אחד שירצה להוריד...

עריכה: מעניין שבגירסה 1.2 (כעת 1.3.3) היה להם תמיכה בHLS-Encryption (כנראה גם לא דרך מצב Capture):

HLS-Encryption has been disabled; action on this feature is on hold until the Chrome Web Store policy is

עריכה נוספת: השגתי את גירסה 1.2, אבל גם שם יש צורך במצב לכידה, אז מה השתנה מ1.2 ל1.3.3 לגבי HLS-Encryption? לא ברור לי.