היי חבר'ה.

אני רוצה שרק משתמש מחובר יוכל לראות את הסירטון שלי.

הסירטון בפלאש ונטען בסטרימינג (מהקוד של קמטזיה סטודיו).

אז כמובן שאני עושה דף PHP שבו מוצג הסירטון ובודק אם המשתמש מחובר.

הבעיה שלי הינה שמשתמש שכבר ראה את הסירטון יוכל לקחת את המיקום שלו
www.mysite.co.il/movies/movie1.flv
ולהפיץ אותו ברשת וככה אנשים שאין להם משתמש יוכלו לגשת עליו.

פיתרון: שהסירטון עצמו יטען מקובץ PHP (בדומה לטעינת תמונה דינמית).

השאלה שלי איך אני עושה את זה עם סירטון (אילו Headers לתת? האם פשוט לפתוח את הקובץ ולהציג את תוכנו?)

והאם ניתן לעשות בצורה זו סטרימינג?

תודה !

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

אפשר לעשות את זה בכל מקרה.

כל עוד אתה נותן למשתמש אחר אפשרות לצפות בסרטון; כלומר אתה פולט את המידע של הסירטון, אז יהיה אפשר להפיצו.

סבבה זה נכון אבל אני מנסה לספק כמה שיותר אבטחה בקטע הזה.
הרבה יותר מסובך להוריד סירטון ולהעלות אותו לשרת (וגם אז אפשר לתבוע את האדם המעלה ולדרוש שיורידו אותו וכו') לעומת פשוט להפיץ קישור לסירטון על השרת שלי בפורומים וכו'..

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

הייתי אומר לך להשתמש בבדיקת referer, הבעייה היא שנדמה לי שנגני פלאש מפרים את ה"סטנדרט" ולא שולחים...

אפשר גם להסתכל על ה UA ...

אבל יש תוסף פשוט לפיירפוקס שמטפל בהכל

נמאס לכם לזכור סיסמאות? לחצו כאן!

לא כל כך ברורה לי התגובה שלך.
ניראה לי שהתבלבלת, אני לא מנסה להשיג סירטון מסויים ברשת, אני מנסה לדעת איך להגן על סירטון באתר שאני בונה.

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

לא התבלבלתי.

נתתי לך דרכים להתמודדות.

וגם ציינתי שאפשר לעקוף אותן בקלות. מה שאפשר להוריד, אפשר להוריד.

נמאס לכם לזכור סיסמאות? לחצו כאן!

סבבה, שוב, ברור לי שניתן להוריד את הסירטון. אבל לדעתי אם לא יהיה ניתן לתת קישור אליו ויהיה ניתן רק להוריד אותו פיזית למחשב ולהעלות אותו לשרת אחר, זה יקשה מאוד.

בהבטחת מידע אף פעם אי אפשר לכסות הכל..רק שואפים. ובמיקרה הזה אפשר ממש לראות שאין דרך להגן על הסירטון לגמרי, אבל לפחות אני לא אעשה חיים קלים למי שמנסה..


אז תודה על התגובות. האם מישהו יודע איך לעשות מה שכתבתי בהודעה הראשונה ?

תודה !

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

אם תדאג שקוד של סרטון יהיה זמין במשך זמן מוגבל
(נניח אורך הסרטון ועוד קצת)

כך שמי שירצה לראות אותו שוב יאלץ להכנס לאתר שלך ולקבל קישור חדש.

זה יקשה על הפצה של הסרטונים
(אנשים יתיאשו מהר מאוד)

למשל:
www.mysite.mil/m/play.php?code=123_1245227456

ינגן את סרטון 123 שנצפה לראשונה ב 1245227456
(כמובן שעל פי רישום שיש אצלך באתר)

_________________________________________________

אזהרה: משרד הבריאות קובע כי העישון מזיק לבריאות !
תראו, אפילו החייזר נהיה ירוק מזה

מנהל פורום מדע בדיוני ופנטסיה ופורום מדע טכנולוגיה וטבע בפרש

כן מה שאני רוצה לעשות דומה.
אני מספק את הסירטון דרך דף PHP ובכך מסתיר את המיקום האמיתי שלו על השרת ובנוסף רק משתמשים מחוברים יוכלו לראות אותו.

הסתדרתי כבר, זה נורא פשוט:
readfile עם header שמתאים לסירטון. מיקום הסירטון על שרת נלקח מDB לפי הID של הסירטון שמועבר כפרמטר.


בקיצור תקנו אותי אם אני טועה, הדרך היחידה כעת להפיץ את הסירטון הינה להוריד אותו להמחשב אמצעים שונים ולהעלות לשרת אחר, נכון?

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

בפתרון שלך, מה ימנע ממשתמש לא מחובר לראות את הסרטון?
(פשוט להשתמש בלינק לPHP במקום לקובץ)

_________________________________________________

אזהרה: משרד הבריאות קובע כי העישון מזיק לבריאות !
תראו, אפילו החייזר נהיה ירוק מזה

מנהל פורום מדע בדיוני ופנטסיה ופורום מדע טכנולוגיה וטבע בפרש

בוודאי. בקובץ PHP לפני שאני עושה readfile אם בודק אם המשתמש מחובר..

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

אבל עדיין אפשר להוריד אותו... כלומר משתמש מחובר יוכל להוריד וזה לא טוב.

עצה שאני חושב שמיושמת באתר יוטיוב:

הקישור לסירטון יבנה למעשה קוד של נגן פלאש שמבקש אותו מהשרת עם token מסוים. ה-token מצביע גם על המידע של הסירטון (המיקום שלו בשרת), וגם על מחרוזת רנדומלית - הכל בתוך HASH אחד.
ה-token הזה בצד השרת יאפשר שימוש אחד בלבד להורדת המידע ע"י שליפת המידע הרצוי מטבלת cache ומחיקת הרשומה הזאת.

מקווה שלא פיספסתי כאן משהו, זה הרעיון...

זה עדיין ניתן לעקיפה כמובן, אם הבקשה לא תישלח ע"י נגן הפלאש, ואז אתה יכול לבצע את הבקשה החד-פעמית בעצמך דרך ה-address bar. אבל זאת גם דרך להקשות על משתמשים קשיי הבנה :/

ד"א גם מאתר כמו יוטיוב והמון אתרים אחרים אפשר להוריד בקלות את ה-stream עם תוסף דפדפן.

עריכה:

בעצם בדקתי הרגע את יוטיוב, וגם הם לא הכי מאובטחים:
בדקתי עם התוסף Live HTTP Headers איזה בקשות HTTP נשלחו, נכנסתי לאחד מה-URL'ים שהופיעו, והנה עכשיו אני מוריד את הקובץ...

אם יש לך לינוקס, תתקין youtube-dl. תן לו URL של יוטיוב והסרט אצלך תוך שנייה.

נדמה לי שיש תוסף לפיירפוקס שעושה את זה, אבל לא חפרתי לעומק. אני גם לא חושב שזה כל כך בעיה לכתוב סקריפט של גריסמונקי שיוסיף לינק להורדה בעמוד.

יש לי XP, אבל בע"ה אני מתכוון לעבור בעתיד ללינוקס. יש ל-FF תוסף שנקרא RealPlayer Browser Record Plugin. התוסף הכי נוח ופשוט שיש. הרוב המוחלט של הסרטים הוא הצליח להוריד ע"י pop-up קטן שמופיע מעל הסירטון וכתוב בו Download. החיסרון היחיד שהוא מוריד את זה בפורמט flv אבל ניחא...

בנוסף למה שאמרתי בהודעה שאני מגיב אליה:

תכתוב קוד JS של פונקציה קצת מורכבת ומלאה שטויות, והפונקציה הזאת תצטרך לבנות איזשהו token שאתה תהיה חייב לשלוח ב-URL בבקשת ה-HTTP עבור הסירטון. ה-token הזה יהיה תלוי\מבוסס על token שצריך בעזרתו להשיג את קובץ הפלאש בצד השרת.

את הקוד הזה תעביר דרך תוכנה שמצמצמת אותו וגורמת לקוד ה-JS להיראות מבולגן לעין ולא ברור.

ככל שהקוד ה-JS יהיה ארוך ומסובך יותר, כך זה יותר טוב.

כדי להימנע משימושים בתוסף גריסמונקי, תצטרך לשים את הפונקציה הנ"ל בתוך הפונקציה שבונה את קוד הפלאש.

אבל שוב, עדיין אפשר לעקוף את זה. יש תוסף שנקרא Tamper Data, והוא עוצר בקשות HTTP לפני שהן נשלחות, כך שהמשתמש יכול לשנות את הפרמטרים\כותרים של הבקשה וגם הוא יכול לבקש שלא לשלוח אותה. נשאר רק לדעת איך לעקוף את הבעיה הזאת והצלחת... למעשה לא רק שהצלחת, אלא הצלחת לפתור בעיה שהרבה מתכנתים מנסים.

לא ילך , יש דפדפנים שלא שולחים REFER...
מה שאני ההיתי עושה (אני לא בטוח עד כמה זה יעיל , אבל בכל זאת) זה דבר כזה:
בודק את אורך הסרטון , לדוגמא 3 דקות , ומבצע HEADER של אחרי 3 דקות לדף אחר...
אבל , זה לא נשמע יעיל כשחושבים על זה , כי מה אם אני נכנס לדף הסרטון ועוד לא לחצתי PLAY?ע"פ השיטה הזאת אני לא אספיק לראות את כל הסרטון...
עריכה:
ראיתי שאתה עובד עם משתמשים , אז ההיתי נותן לכל משתמש אפשרות לצפות בסרטון פעם אחת ולאמת את זה מול המסד...

היי,
שמי דן , ואשמח לעזור לכם בכל פנייה שהיא
ניתן ליצור איתי קשר באיימיל (DanDan@walla.com) במסנג'ר (DanDan@walla.com) ובאיסיקיו (12348188)

גלישה נעימה...

אולי דווקא להסתמך על זה שלא נשלח - ייתכן ופלאש דווקא לא שולח. צריך לבדוק את העניין. הוא רוצה להקשות. הוא מבין שזה בלתי אפשרי לחסום, אז הוא מנסה להקשות... וגם אם יש דפדפנים שלא שולחים, זה אמור להיות עניין של הפלאש לדעתי.

דבר נוסף שכן אפשר לעשות, הוא סוג של הצפנה, ואת זה באמת אי אפשר יהיה לפרוץ. השאלה היא אם פלאש מאפשר. קודם כל, מעבירים את התעבודה ב HTTPS (כדי שלא יוכלו להשתמש בסניפר...)

לאחר מכן, בתוך הפלאש, שמים מפתח פרטי של הצפנת PKI.

הלקוח מבקש מהשרת את הסרט

השרת מוציא token חד פעמי (ודואג למחוק אותו אחרי השימוש הראשון בו, על ידי נגן הפלאש...)

השרת מצפין את ה token עם המפתח הציבורי שמתאים למפתח הפרטי שיש בתוך נגן הפלאש ושולח את המידע המוצפן לנגן הפלאש

נגן הפלאש מפענח את המידע באמצעות המפתח הפרטי שלו, ועכשיו יש לו סיסמת גישה. באמצעותה הוא פונה לשרת שוב, ומבקש את הקובץ, עם סיסמת הגישה החד פעמית. השרת מספק את הקובץ ומוחק את ה token.

נא להתחשב שהשעה 1 בלילה ולכן יש מצב שפספסתי משהו, אבל אני מקווה שהעברתי את הרעיון בכללי.

וכן, אני יודע שהגזמתי

נמאס לכם לזכור סיסמאות? לחצו כאן!

תן לפלאש URL שהוא קובץ PHP וקובץ הPHP יעשה readfile לקובץ flv בהתאם להרשאות של ה Session...
רק אל תשכח שבמצב כזה שני הרצות של סקריפטים לא יכולים לגשת לאותו קובץ session (בהנחה שאתה עובד עם קבצים). ז"א שיוזר שירצה לטעון שני סרטים בו זמנית יצטרך לחכות שסקריפט אחד יסיים את הריצה שלו. אפשר לפתור את זה באמצעות session_write_close לפני ה readfile...

ואם אתה צריך לדעת אילו כותרים לשלוח. פשוט תעשה סניפינג ותחקה אותם.
בקשר לסטרימינג, או לתת ליוזר את האפשרות לקפוץ לאמצע הסרטון. בשביל זה תצטרך לחקות את הפעולה של Byte Serving... וזה קצת יותר מסובך אבל ניתן לביצוע. תצטרך לעבור על כמה עמודים בפרוטוקול HTTP כדי לדעת איך בדיוק לענות לקליינט. או למצוא אחד מוכן באינטרנט

היי.
תודה על הדיון הרחב.
GreenBerret, זה בדיוק מה שבחרתי לעשות.
אל תשכחו שאת הסטרימינג קובץ הפלאש של קמטזיה עושה לי לבד.
כעת את הסירטון עצמו שהוא מוריד אני מעביר דרך דף PHP שרץ רק אם משתמש מחובר. ככה אי אפשר לדעת את המיקום האמיתי של הסירטון ורק משתמשים מחוברים יכולים להוריד.

האופציה היחידה לגנבה הינה שמשתמש מחובר יוריד את הסירטון פיזית ויפיץ אותו.
מכיוון שיש מעקב על כל משתמש ואני חושב שמצאתי אחלה דרך להוסיף סימן ייחודי לכל סירטון שיאפשר לי לדעת איזה משתמש הפיץ אותו במידה וזה יקרה, נדמה לי שהגנתי ככול הניתן.

למרות שהרעיון שהיה פה לגביי ההצפנה נשמע מעניין אך שוב, אינני מתעסק עם פלאש, זה אפשרי בתאוריה אך זו מערכת הרבה יותר מורכבת שבאמת דורשת לדעתי גם לטפל בפלאש ובסטרימינג.

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

תוכל לתת קישור לנגן הקמטזיה הזה?

תודה
(!)

קמטזיה זוהי תוכנה לעריכת ווידאו ויצירת מדריכים.
Camtasia Studio 6
כששומרים סירטון ניתן לייצא אותו קקובץ HTML שיוצר נגן פלאש אוטומטי שמנגן את הסירטון בסטרימינג.

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

אה אוקיי....
פשוט אמרת בהודעה הראשונה שהסרטון נטען על ידי הקוד של קמטזיה ורציתי להשוות בין קוד PHP של שליחת קובץ FLV בסטרימינג של קמטזיה לבין קוד אחר שאני משתמש בו...
http://www.flashcomguru.com/index.c...ia-PHP-take-two

לפי דעתי, שמור את הסרטונים שלך בתיקיה שלא ניתן להגיע אליה, שנמצאת מעל public_html, ככה שלא ניתן לגשת לקבצים האלה.

אחר כך, במקום לשים לינק לקובץ בנגן שלך, תשים לינק לPHP שיפעל עם SESSION, שבעצם יטען את הFLV אליו, וישים HEADER של FLV, ככה שתקבל קובץ FLV לכל דבר.
וכמובן, שגם בקובץ PHP תעשה את הבדיקה הזו, ככה שאם מישהו לא מחובר הוא יקבל שגיאה או כל דבר אחר.

זה באמת רעיון מעולה ! לא חשבתי על זה!
אם אני אשים את הקבצים בתיקיה מעל public_html באמת לא יהיה גישה ישירה לקבצים וזה בדיוק מה שרציתי !

איתי סלע,
פיתוח מערכות תוכנה ואינטרנט.

תנסה עכשיו לקפוץ לאמצע הסרטון...