Tworzenie i łamanie ochrony Hotlink

Witam, od jakiegoś czasu borykam się z kradzieżami mojego transferu przez różne złodziejskie (nie tylko polskie) portale. Na moim serwerze mam ok 5000 filmów związanych ze sportem - relacje, wywiady itd. Jako, że ruch na stronie mam bardzo duży, transfer leci szybko więc staram się robić wszystko, aby go zaoszczędzić. Mimo ochrony hotlinkowej cały czas różni złodzieje kradną mój transfer...

Początkowo po prostu kradli link do .flv i umieszczali w playerze na swoich stronach. Jak ukryłem linki do plików .flv to zaczęli iframować do playera na mojej stronie... jak już poradziłem sobie z iframami to w jakiś sposób wyczaili linki - mimo wprowadzenia przeze mnie kluczy z ważnością czasową i znów zaczęli hotlinkować...

Tak się zastanawiam jakich metod oni używają... jak sądzę kombinują z REFERER'em... tylko kompletnie nie wiem w jaki sposób... tego posta napisałem po to, aby dowiedzieć się w jaki sposób oni to mogą robić - jak poznam metodę ich "ataku" to będę mógł wymyślić jakąś linię obrony... więc może mi ktoś zdradzić jak oni to robią - może być w teorii ale najlepiej jakiś kawałek kodu.

Pozdrawiam, Adam S.

Jeżeli nie wymyślisz czegoś innego to mogę polecić Adobe Flash Media Streaming Server. Kosztuje co prawda 1000 dolarów, ale jeżeli na przestrzeni czasu uda ci się zaoszczędzić tyle pieniędzy na transferze to może warto. Nie jest niemożliwy do złamania, ale stosują tam lepsze zabezpieczenia niż klucze czasowe i referrery.

zrób dostęp do filmów tylko dla zalogowanych userów, co pewien czas zmieniaj sposób weryfikacji zalogowania i/lub nie pozwól na odtwarzanie przez użytkownika więcej niż jednego filmu naraz. co do hotlinkowania - jeśli wywołania idą spoza Twojej strony, to weryfikacja referrera powinna wystarczyć (z tego co pamiętam przeglądarka dokłada do requesta jako referrer adres, z którego załadowany został player - to powinno wystarczyć). jeśli omijają to używając Twojego playera osadzonego w iframe, to wtedy trzeba z as przez js (ExternalInterface) sprawdzić, czy player jest załadowany w iframe i jeśli jest, to zablokować odtwarzanie, a jeśli allowScriptAccess blokuje wykonywanie js przez as, to również należy zablokować odtwarzanie. jeśli nie umiesz tego zrobić, to zatrudnij programistę z prawdziwego zdarzenia, jeśli już masz programistę i nie umie tego zrobić, to patrz poprzedni punkt.

nie wiem, jak jak działają ci "złodzieje", ja bym przeanalizował wychodzący z playera/przeglądarki ruch, widząc gdzie i z jakimi danymi player stuka oraz jakie otrzymuje odpowiedzi miałbym szansę zrozumieć mechanizm pobierania danych i odtworzyć go po mojej stronie. ponadto - aplikacje flash można dekompilować niemal do pierwotnego kodu źródłowego (nie są zachowane jedynie nazwy zmiennych lokalnych),; mając odpowiednio dużo czasu większość zabezpieczeń po stronie klienta da się złamać analizując źródło playera.