¿Qué métodos utilizan los sitios web para evitar el acceso directo a los medios?

5

Realmente espero que esta pregunta no sea fuera de tema ...

Fondo

La pregunta se refiere a la seguridad de los medios (video, audio, etc.), donde los medios en cuestión están protegidos digitalmente (legalmente, al estilo de DMCA) o de otro tipo (abiertos al público, pero no deben ser redistribuidos según alguna licencia) u otro).

Por ejemplo, un video en Youtube puede estar abierto al público (para verlo), pero no debe ser redistribuido. Un video en PBS puede compartir las mismas regulaciones sobre el contenido del sitio, pero son asegurado de maneras muy diferentes.

No he podido resolver esto con Adobe Flash, pero con HTML5 parece que hay una forma bastante sencilla de obtener el contenido multimedia real cuando no hay una ofuscación.

Editar : para aclarar, estoy preguntando en el contexto del usuario promedio que probablemente podría seguir el método a continuación para descargar un video de PBS, pero ¿A quién le resultaría casi imposible descargar un video de Youtube?

Edit 2 : Youtube divide el contenido multimedia para obtener un rendimiento en la transmisión de video; esto también puede considerarse un mecanismo de "seguridad", ya que un usuario tendría que escribir software para obtener todas las piezas y juntarlas (el software existe para este propósito), lo que lo hace difícil para las personas Para acceder directamente a los medios en cuestión. Sin embargo, también utilizan mecanismos de validación en la cadena de consulta para la solicitud GET (consulte a continuación en Método ); estos mecanismos de validación son la preocupación principal de la pregunta.

Método

Tomaré Youtube (HTML5) y PBS (JW Player 6.11.4920) como ejemplo para repasar lo que estoy hablando.

La Famiglia en el sitio web de PBS :

1.) Deshabilite Adobe Flash (chrome: plugins - > Adobe Flash - > disable, por ejemplo)

  • Esto obliga a JW Player a volver a HTML5

2.) Abrir herramientas de desarrollo - > mira la pestaña de Red

3.) Comience a reproducir el video

4.) Observe video/mp4 en la columna Tipo :

5.)ElURLdesolicitudeselenlacedirectoalosmediosquesepuedendescargar.Voilà.

Claramenteestoesinseguro.Sisetrataradecontenidoconderechosdeautor,unapersonapodríadescargarlofácilmenteyredistribuirloatravésdetorrents,sitiosdecargadearchivos,etc.¡Noesgenial!ConlosreproductoresdemediossoloparaAdobeFlash,estetipodemétodopareceimposibledehacer,peroesapuedesermifaltadehabilidadesdeinvestigación.

Echemosunvistazoa Haddaway - What Is Love en Youtube:

1.) Youtube es HTML5 ahora, genial, omita algunos pasos y vaya directamente a las Herramientas del desarrollador

2.) Busque algún formato de video. ¡Encontré algunos !:

3.)Ofuscación,enunnivelalto

Comopodemosver,algunossitiosimplementanalgúntipodecontroldeaccesoalosmediosparaevitarelaccesonoautorizado.EnelcasodeYoutube,puedeserporeficienciaperoporelaspectodesuformatodeURLdesolicitud:

https://r1---sn-hxgpu-a5oe.googlevideo.com/videoplayback?upn=_t-wCQzh3Ww&signature=A298625B841D2DD1A8A8BBCFAEE5FE80F9F8ED45.4AF128179F70E92385145290FEF6B1843D3E4047&itag=243&keepalive=yes&lmt=1414207260185348&key=yt5&pl=16&id=o-AFRnZLaRZX9g_lgGGgfcjzbUFLOu-PFx0EGukit2Z358&mime=video%2Fwebm&mm=31&ipbits=0&requiressl=yes&ip=148.61.167.67&ms=au&gir=yes&mt=1424731661&dur=241.040&initcwndbps=3913750&expire=1424753375&sver=3&fexp=3300103%2C3300103%2C3300130%2C3300130%2C3300137%2C3300137%2C3300161%2C3300161%2C3310704%2C3310704%2C3311902%2C3311902%2C3312210%2C3312210%2C905657%2C907263%2C924628%2C927622%2C931378%2C934954%2C9406486%2C9406573%2C9406921%2C943917%2C947225%2C947240%2C948124%2C948703%2C952302%2C952605%2C952612%2C952901%2C954815%2C955301%2C957201%2C957906%2C959701%2C961403&mv=m&sparams=clen%2Cdur%2Cgir%2Cid%2Cinitcwndbps%2Cip%2Cipbits%2Citag%2Ckeepalive%2Clmt%2Cmime%2Cmm%2Cms%2Cmv%2Cpl%2Crequiressl%2Csource%2Cupn%2Cexpire&clen=8105881&source=youtube&cpn=S4VP0TLZXAoVAKuj&alr=yes&ratebypass=yes&c=WEB&cver=html5&range=7240268-8105880

Parecequeestánrestringiendoelaccesodemuchasmaneras.Elprocesopararecuperarrealmenteelvideo(desdeYoutube)requiereingenieríainversa( ejemplo ) la URL construida (URL de solicitud), descargando cada fragmento y construyendo los datos de forma incremental. Google parece estar haciendo un buen trabajo para el usuario ocasional, pero un desarrollador puede aplicar ingeniería inversa a la URL de solicitud y crear 'descargadores de YouTube', como es muy común en la actualidad.

Preguntas

¿Hay un nombre específico para el método que usa Youtube (fragmentación + control de acceso a través de los parámetros de la cadena de consulta)?

¿Hay métodos ampliamente utilizados / nombrados para 'ofuscar' los medios de esta manera?

¿Es posible (técnicamente) evitar completamente el acceso a los medios no autorizados? Mi conjetura es no , siempre que alguien esté dispuesto a pasar el tiempo para aplicar ingeniería inversa a los metadatos necesarios.

    
pregunta Chris Cirefice 24.02.2015 - 00:37
fuente

1 respuesta

3

En realidad, Google hace que sea mucho más difícil para cualquiera simplemente descargar un video porque Google está analizando el video completo y le está sirviendo solo porciones a la vez. Por lo tanto, su "solicitud de URL" ideal de soltero (AKA a GET request ) es en realidad múltiple GET requests .

Debido a este análisis, se vuelve difícil crear un script / programa que pueda juntar todas estas piezas.

Tomé una captura de pantalla y resalté algunos puntos:

ObserveelGETrequestsa*.googlevideo.com.

Sirealmenteobservaelresponse,veráunaURLquedevuelveunrecortedelarchivo.mp4.(acontinuaciónesloquesucederásisimplementevasalresponseurl)

Puede buscar en el caché de su navegador para encontrar el fragmento de código real y juntarlos conceptualmente. (a continuación se muestra una captura del propio archivo de caché)

Ahora, no sé si aún debe descifrar más el archivo en sí mismo (uno que ha creado todos estos cachés).

Me llevan a creer no , porque el video obviamente está reproduciéndose del lado del cliente. Solo necesito confirmar esto ...

    
respondido por el Matthew Peters 24.02.2015 - 01:32
fuente

Lea otras preguntas en las etiquetas