| ||||||||
| ||||||||
|
|
|||||||||||||||||
|
|
05.02.2010, 20:37
|
|
||||
|
Регистрация: Feb 2010
Сообщений: 3
|
Crenth, URLLoader, ссылка на страничку плеера, дальше думаю объяснять не нужно.
kackbip, поведение плеера тоже раскалывается просто (достаточно вспомнить не так уж давние события с icq) В данном случае нужно генерировать плеер на сервере и вшивать этот самый ключ в сам плеер. Воспользуются Loader для загрузки такого плеера, наткнутся на грабли с кроссдоменом. Если URLLoader, то придется колупаться с форматом флешки. Ну и для надежности вшиваемый ключ делать переменной длинны и с разным именем. |
|
06.02.2010, 07:28
|
|
||||
 Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
Цитата:
|
|
07.02.2010, 15:13
|
|
||||
|
Регистрация: Jan 2010
Сообщений: 44
|
Можно в зависимости от даты + (любой код) генерить уникальный md, при запросе проверять пришедший идентификатор. Если кто и сопрет идентификатор, проработает он не больше установленного Вами времени. как пример
|
|
05.02.2010, 12:02
|
|
||||
 Регистрация: Sep 2007
Адрес: Tomsk
Сообщений: 943
|
Абсолютной защиты нет и вы ее не придумаете.
Берите что по-проще типа сессии или что-нибудь не очень логичное - типа ваш клиент отличается тем, что промеж nc.connect и ns.play есть время не меньше секунды. Если клиент не подождал секунду то он не ваш и его обламывать. Ну или что-то такое... без явных паролей и сессий. |
|
06.02.2010, 15:53
|
|
||||
|
Регистрация: Feb 2010
Сообщений: 3
|
Crenth, скачиваем страничку, выковыриваем ключик, идем к серверу с видео и прикидываемся правильным плеером
|
|
06.02.2010, 17:56
|
|
||||
|
Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
bti, ssid то одноразовый. вы только одно видео получите по нему. а чтобы качать без ограничений, надо стыривать все сиды с правильного сервера
|
|
06.02.2010, 19:37
|
|
||||
|
Регистрация: Feb 2010
Сообщений: 3
|
Crenth, и в чем собственно проблема?
захотели видео? 1) скачать страничку с плеером 2) выковырять из нее сид 3) обратится к серверу с видео и прикинутся правильным 4) захотели еще? повторить с п.1 |
|
06.02.2010, 22:22
|
|
||||
 |
@Crenth
Смысл в том, что скачивая страничку через URLLoader, вы не скачиваете сам плеер. Только ssid, который вписан в тэгах <Object> и <Embed>. Так как вы не скачиваете плеер, то обращения с данным ssid в базу не поступает => есть вариант притвориться "правильным", как и сказал bti @Taner Как вариант - компилировать swf на лету и отдавать его с вписанным внутри адресом видео. Тогда злоумышленник должен скачать Ваш плеер, распарсить байткод, вынуть адрес и только тогда он получит видео. Если компилировать со случайным именем переменной, содержащей адрес - фиг чего получится автоматизировать. Если же по тому же алгоритму еще и ssid прикрутить, то вариантов станет вообще немного.
__________________
...вселенская грусть |
|
06.02.2010, 23:16
|
|
||||
|
Регистрация: Aug 2009
Адрес: UTC+2
Сообщений: 353
|
да, bti, я понял замысел.
однако, компиляция на лету увеличит время отклика. если клиентов у этого плеера не много - никто этого не почувствует. а если тыщи - то компиляция загрузит мозги сервера по самые помидоры... что если компилить не при каждом запросе на загрузку, а раз в T секунд, например. а в теле плеера использовать функцию преобразования resp=F(ssid) и на сервер слать не ssid, а resp. например, сейчас мы скопилили плеер со встроенным механизмом resp=MD5(ssid) через минуту функция будет уже resp=MD5(ssid+ssid) еще через минуту функция resp=MD5(MD5(ssid)) а интервал перекомпилиции Т выбрать такой, чтобы он был меньше, чем теоретическое время на парсинг кода |
|
07.02.2010, 22:16
|
|
||||
 |
Но ведь можно вскрыть флешку и увидеть, как идентификатор составляется.
Защиты нет - если ваше приложение станет НАСТОЛЬКО популярным, что к нему будут писать палёные клиенты - я лично вам только позавидую.
__________________
Тут мужик танцует и поёт про флэш |
 |
 |
Часовой пояс GMT +4, время: 18:41. |
|
|
« Предыдущая тема | Следующая тема » |
|
|
Комбинированный вид
