On Fri, 22 Oct 2010 18:00:06 +0200, BORONSKI MARTIN
<martin.boron...@m6.fr> wrote:
Le 22 oct. 2010 à 09:20, Pierre-Yves Kerembellec a écrit :
As-tu trouvé un moyen d'apporter un quelconque niveau de sécurité
sur du HTML5, en dehors d'un token ?
As-tu trouvé un moyen d'apporter un quelconque niveau de sécurité sur
du XXXX ?
(remplacer XXXX par une technologie qui permet à l'utilisateur de voir
une vidéo, et en particulier sur le web)
Oui bon, troll, mais c'est vendredi...
On y réfléchit et mes équipes me poussent pour qu'on fasse le saut,
mais sans sécurité "state of the art" et sans outils de
monétisation (oui, je sais, on en revient tjs à l'argent ...), c'est
pas simple.
Mon avis qui vaut ce qu'il vaut : de toute façon, le contenu est
diffusé illégalement (quoi que dans le cas de M6, pas tant que ça). Mais
ça veut dire que des réseaux "mafieux" se mettent en place pour diffuser
ce contenu hors de tout contrôle. Alors que s'il était diffusé
officiellement dans les mêmes conditions (gratuit, simple, pas de
client/plugin spécifique et lourd, toussa), le contrôle serait assuré
par la non nécessité de créer des réseaux alternatifs. Et les ayants
droit peuvent fournir un meilleur service que les pirates, avec une
qualité garantie, l'exhaustivité du contenu, ... Sans oublier la
monétisation, avec du contenu HD, l'accès aux historiques, le
téléchargement des contenus...
(oh, je viens de voir un bisounours chevauchant une licorne)
D'ailleurs, qu'est-ce que tu entends par "outils de monétisation"
exactement ? La pub ?
Sinon pour """sécuriser""" de la vidéo en HTML5, j'ai quelques idées à
la con, mais je vois assez bien comment les contourner :/ Dans la
catégorie contournable mais chiant à contourner : découper la vidéo en
petit morceaux, chiffrer chaque morceau avec une clef différente, et les
déchiffrer avec du Javascript. Pour le fun, changer l'algo de
chiffrement régulièrement (ou même, faire un générateur d'algo de
chiffrement qui en génère un nouveau pour chaque vidéo, mais ça devient
un peu gore). Pas besoin d'un chiffrement compliqué, le but du jeu est
juste de faire chier, donc mettre des bits en trop par ci par là, passer
des trucs au XOR, faire du chiffrement de César, ...
Une autre idée : toujours avec une vidéo en morceaux, ne donner le
morceau suivant que si le client donne une checksum calculée sur le
morceau précédent (même topo : on change l'algo souvent, et la clef est
donnée au JS en échange d'un token par exemple). Variante : un seul
morceau, mais tout les XXX octets le client envoi une requête avec la
checksum, sans quoi le téléchargement est coupé.
Ah et bien sûr, ça n'est pas la peine de le préciser mais je le fais
quand même, la base c'est de ne pas utiliser des URL prédictibles...
My 42 cents...
--
Rémy Sanchez
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/
