Независимые браузеры более не конкурентоспособны
В 2017 году консорциум W3C принял стандарт Encrypted Media Extensions (EME), тем самым положив конец конкуренции со стороны независимых браузеров.
Теперь невозможно выпустить свой браузер, который будет воспроизводить некоторые из самых популярных материалов в интернете. Сайты вроде Netflix, Hulu, HBO и др. требуют защиты лицензионного контента. Доступ к ним возможен только по лицензионному соглашению с крупными корпорациями.
Во время разработки своего браузера Metastream я упёрся в стену, когда Google отклонил мою заявку на использование их DRM-движка Widevine для воспроизведения зашифрованного медиа. Эта проблема затрагивает и других разработчиков, и обойти её невозможно.
Подобные технологические блокировки введены в первую очередь для того, чтобы успокоить медиаиндустрию.
Капитализм, распространение медиа и пиратство
Все хотят зарабатывать, а дистрибьюторы вроде Netflix зарабатывают на продаже доступа к своему контенту. Конечно, если вы продаёте контент, кто-нибудь захочет получить его бесплатно.
How to Encrypt a USB Stick with McAfee File and Removable Media Protection YouTube
Чтобы защититься от цифровых пиратов, дистрибьюторы используют инструменты под названием Digital Rights Management (DRM).
DRM в программном обеспечении обычно представляет собой чёрный ящик, который контролирует способ доступа к контенту, затрудняя его копирование и распространение. Это не всегда работает на 100%, и цифровое пиратство по-прежнему существует, но DRM мешает большинству людей сохранить фильм, который они смотрят, и поделиться с другими.
Это может показаться разумным в том смысле, что ценный товар должен быть оплачен, но DRM зачастую вызывает дополнительные проблемы для потребителей и авторов контента.
DRM в браузерах
Браузеры в первую очередь стремятся обеспечить всеобщий доступ к контенту в Сети. Блоги, социальные сети, видео, музыка, фотографии и т.д. Расцвет интернета стал возможен благодаря открытой веб-платформе (Open Web Platform).
Открытая веб-платформа — это совокупность открытых (бесплатных) технологий, которые позволяют работать в интернете. Используя открытую веб-платформу, каждый имеет право реализовать программный компонент веб-сайта, не требуя каких-либо согласований или выплаты лицензионных платежей.
Консорциум World Wide Web (W3C) занимается стандартизацией этих технологий, помогая им распространиться в открытом вебе.
До недавнего времени всё работало хорошо. Универсальный доступ ко всей информации осуществлялся через браузеры, такие как Firefox, Chrome, Safari и многие другие. Но с 2013 года W3C начал попытки стандартизировать DRM в веб-браузерах — при поддержке Google, Microsoft и Netflix — внедряя технологию, противоположную открытой веб-платформе.
Исторически, зашифрованный контент воспроизводился в браузерах плагинами вроде Adobe Flash и Microsoft Silverlight. Это привело к дырам в безопасности вне контроля разработчиков браузеров. Чтобы устранить эти проблемы и включить больше технологий в открытую веб-платформу, W3C предложил стандарт Encrypted Media Extensions (EME).
An introduction to Encrypted Media Extensions (EME)
Encrypted Media Extensions (EME) обеспечивает совместимость, лучшую конфиденциальность, безопасность, доступность и удобство просмотра фильмов в интернете.
EME предоставляет общий API, который используется для обнаружения, выбора и взаимодействия с модулями расшифровки контента (Content Decryption Modules, CDM). Браузер должен предоставить совместимый CDM для воспроизведения зашифрованного контента.
Выбор CDM
Предположим, мы придумали отличную новую функцию для браузеров и решили реализовать её в своём браузере — либо на основе существующего проекта с открытым исходным кодом, либо иным образом.
Мы хотим, чтобы эта функция работала на всех сайтах, поэтому нужно предоставить CDM для таких сайтов, как Netflix. Если мы этого не сделаем, пользователям придётся постоянно переключаться на другой браузер только для этих сайтов. Нехорошо.
Скорее всего, у вашего текущего браузера есть модуль CDM. Посмотрим, какой именно.
| Chrome | Widevine |
| Firefox | Widevine |
| Safari | FairPlay |
| Edge | PlayReady и Widevine |
| Internet Explorer | PlayReady |
| Opera | Widevine |
| Brave | Widevine |
| Vivaldi | Widevine |
| Yandex | Widevine |
Мы видим, что есть несколько вариантов: Widevine, PlayReady и FairPlay. Чтобы легально распространить один из этих CDM, мы должны подать заявку.
Google Widevine
На странице контактов Widevine мы видим ссылку на службу поддержки для заключения лицензионного соглашения. Форма запрашивает основную контактную информацию и требует указать название компании.
При подаче запроса на лицензионное соглашение автоматически высылается электронное письмо с сообщением, что запрос получен и направлен соответствующей команде.
А теперь… мы ждём. Возможно, больше четырёх месяцев, как я. Или они пришлют лицензионное соглашение, но затем будут игнорировать вас в течение года.
Даже разработчики Brave — браузера от создателя JavaScript — столкнулись с подобными паузами в общении.
И если нам когда-нибудь пришлют лицензионное соглашение, согласно castLabs (сертифицированный партнёр по внедрению Widevine), Google ещё должна удостоверить аутентичность нашего браузера, прежде чем мы сможем использовать модуль CDM.
После заключения лицензионного соглашения вам будет предложено предоставить CSR’ы для изготовления сертификатов VMP. Google подпишет и вернёт сертификаты, которые после этого можно использовать для VMP-подписи ваших приложений.
Microsoft PlayReady
Система Microsoft PlayReady требует собственных соглашений, которые чётко прописаны в разделе «Распространение загружаемого программного приложения для конечных пользователей» на странице лицензирования PlayReady.
Там много бумажной работы, но они хотя бы устанавливают временны́е рамки для всего процесса. 22 дня звучит гораздо разумнее, чем неизвестное количество времени.
Однако уже в промежуточном лицензионном соглашении (Intermediate Product License) упоминается поставка комплекта «PlayReady Device Porting Kit и PlayReady Documentation Pack» с предоплатой в размере $10 000. В случае продажи программного обеспечения конечным пользователям также взимается роялти в размере $0,35 за каждый экземпляр программы.
Apple FairPlay Streaming
По всей экосистеме Apple используется запатентованный CDM. Похоже, на сайте FairPlay нет никакой программы открытого лицензирования. В данный момент, перейдя по ссылке FairPlay Streaming Overview и войдя в систему с идентификатором Apple ID, мы видим ответ сервера HTTP 403 Forbidden.
Создание нового CDM
Но подождите, поскольку это Open Web, можно ведь просто создать свой собственный CDM! Из разъяснения W3C по поводу реализаций EME:
Сама спецификация может быть реализована в свободных проектах с открытым исходным кодом, поскольку EME не предписывает никаких конкретных реализаций CDM. [. ] Спецификация EME допускает создание будущих систем CDM, включая системы, более подходящие для проектов свободного программного обеспечения.
К сожалению, CDM — лишь малая часть того, что необходимо для работы DRM. Гораздо более монументальным требованием будет убедить дистрибьюторов доверять этому решению. На такой уровень доверия обычно может претендовать только крупная корпорация.
Обзор архитектуры Widevine DRM даёт более полную картину того, каких усилий требует создание полноценной системы. Трудно представить, что какой-то один человек или малый бизнес способен самостоятельно обеспечить воспроизведение DRM во всех веб-сервисах, которые его требуют.
Итак, какие у нас варианты?
В итоге есть два варианта: Widevine или PlayReady.
С Widevine мы застрянем на неопределённый срок в неизвестности, согласятся ли они предоставить своё решение.
В PlayReady нужно внести предоплату $10 000.
Вывод
После внедрения стандарта EME конкурентоспособность браузеров ограничена контролёрами-посредниками, что идёт вразрез с обещанием платформы Open Web:
Используя открытую веб-платформу, каждый имеет право реализовать программный компонент веб-сайта, не требуя каких-либо согласований или выплаты лицензионных платежей.
Да, стандарт EME может быть реализован кем угодно, но это спорный тезис, если требование CDM говорит об обратном.
Барьеры DRM затронули ряд браузерных приложений. Некоторые из них перечислены ниже:
- Brave — задержки в коммуникациях по Widevine.
- ElectronPlayer — нет ответа по Widevine.
- Fenêtre — нет ответа по Widevine.
- Metastream — отказ Widevine.
- Min
- Pennywise
- Wexond — нет ответа по Widevine.
- Если вы знаете о каких-то других проектах, добавляйте их в список пул-реквестом.
В конечном счёте, лучшее решение для общества — а не для прибыли — это вообще отказаться от DRM. Поскольку это маловероятно, Google, Microsoft и Apple должны работать над исправлением веб-платформы, которую они повредили.
Дополнительная литература
- W3C и совместимость. Защита будущего от настоящего
- Формальное возражение: новые браузеры и EME
- «Мысли о музыке» — Стив Джобс (2007)
Источник: habr.com
Encrypted Media Extensions: в HTML5 могут встроить защиту от копирования
Недавно я писал про изменение политики лицензирования популярного медиаплеера VLC. Крупным контент-провайдерам подобный способ решения проблемы не подходит, потому что для воспроизведения защищённого медиаконтента в браузере им приходится использовать разнообразные проприетарные плагины. Это не очень хороший вариант, но другого пока нет: в современных браузерах поддержка DRM (Digital Rights Management) отсутствует. На прошлой неделе Google, Microsoft и Netflix внесли на рассмотрение проект нового стандарта — Encrypted Media Extensions. Он позволит включить слой DRM в HTML5.
Речь идёт о создании универсального инструментария и API для подключения модулей, в которых реализуют механизмы авторизации, дешифровки контента и т.д. Encrypted Media Extensions представляет собой расширение интерфейса HTMLMediaElement, определяющего доступные для тегов audio и video свойства и методы. Подобный подход не так уж сильно отличается от использующихся сейчас плагинов.
Создавать полноценную платформу для воспроизведения защищённого при помощи механизмов DRM контента никто не собирается — модули будут предоставлять контент-провайдеры. Впрочем, головной боли для разработчиков после внедрения стандартизированных механизмов станет меньше, а контент можно будет встраивать в страницы стандартными средствами HTML5. Это положительный момент.
Отрицательных последствий тоже навалом, если судить по бурной дискуссии в рассылке W3C HTML, вызванной предложением Google, Microsoft и Netflix. Сразу возникли вопросы по поводу этичности подобного подхода (мне трудно понять, какие тут проблемы — мы ведь подключаем к браузерам проприетарные плагины, а модули в смысле этики мало чем от них отличаются), готовности технологии к стандартизации и, главное, её устойчивости ко взлому.
Представители Mozilla сразу заинтересовались возможностью реализации Encrypted Media Extensions в открытых браузерах. Речь в частности шла о том, что злоумышленники смогут «пропатчить» программный код и сбрасывать контент на диск в обход системы защиты.
Марк Уотсон (Mark Watson) из Netfix ответил, что в браузере с открытым кодом реализовать по-настоящему надёжную защиту невозможно, и предложил решить проблему на уровне аппаратного обеспечения, которое будут использовать все браузеры. Реакция Mozilla на подобное предложение была совершенно логичной: «Такой подход гипотетически возможен для мобильных и встраиваемых решений, но неясно, что он означает для настольных систем». Ещё один участник проекта Mozilla, Роберт O’Каллахан (Robert O’Callahan), опасается возникновения независимых союзов контент-провайдеров и разработчиков браузеров. Он предупреждает сообщество об опасности сегментации стандартов.
Мне кажется, что представитель Netfix глубоко заблуждается. Инициаторы идеи предлагают заменить «зоопарк» плагинов средствами HTML5, проприетарными модулями для авторизации/расшифровки и неким стандартным механизмом их подключения. Использовать такой подход можно и в открытых, и в закрытых браузерах с одинаковым успехом. Расшифрованный поток данных в любом случае воспроизводится штатным проигрывателем браузера (это главное отличие от существующих сегодня схем) и может быть сохранён на диск, и никакая аппаратная защита и закрытый код от этого не спасут. Бинарные «хаки» (а то и просто расширения для перехвата потока при использовании тегов audio/video) для браузеров напишут очень быстро в любом случае.
С другой стороны, использующиеся сегодня механизмы также не являются надёжными. Главная проблема DRM заложена на уровне архитектуры и в принципе нерешаема: шифрованный контент и средства его расшифровки находятся у потенциального злодея (потребителя).
Для некоторых мобильных и встраиваемых платформ такой вариант подходит (тут представители Mozilla правы), но если говорить о десктопе — это в любом случае защита от честного человека. Единственный вариант — применить в настольных системах те же методы, которые используются в мобильных решениях, то есть разрешить запуск только подписанных приложений из благонадёжного источника. Это сильно ограничит пользователей свободного ПО и, боюсь, именно по этому пути пытаются направить развитие отрасли разработчики проприетарных программ и контент-провайдеры. Надеюсь, что у них ничего не выйдет. Тем более что «мобильный» подход тоже не даёт полной гарантии, а только делает процесс взлома более трудоёмким.
Источник: www.computerra.ru
Feature-Policy: encrypted-media
Experimental: Это экспериментальная технология .
Перед использованием в производственной среде внимательно проверьте таблицу совместимости браузеров.
Директива encrypted-media заголовка HTTP Feature-Policy определяет, разрешено ли текущему документу использовать Encrypted Media Extensions API (EME). Когда эта политика включена, Promise возвращаемое Navigator.requestMediaKeySystemAccess() будет отклонено с DOMException .
Syntax
Feature-Policy: encrypted-media ;
Список источников, для которых разрешена функция. См. Feature-Policy .
Default policy
Список разрешенных по умолчанию для encrypted-media — ‘self’ .
Specifications
| Расширения зашифрованных носителей # permissions-policy-integration |
Источник: runebook.dev
Расширение файла ENCRYPTED
Полное имя формата файлов, которые используют расширение ENCRYPTED: KeRanger OS X Ransomware Affected Format. Файлы с расширением ENCRYPTED могут использоваться программами, распространяемыми для платформы Windows. ENCRYPTED формат файла, наряду с #NUMEXTENSIONS # другими форматами файлов, относится к категории Другие файлы.
Emsisoft Decrypter for ApocalypseVM поддерживает ENCRYPTED файлы и является наиболее часто используемой программой для обработки таких файлов, но 1 могут также использоваться другие инструменты. Программное обеспечение с именем Emsisoft Decrypter for ApocalypseVM было создано Emsi Software GmbH. Чтобы найти более подробную информацию о программном обеспечении и ENCRYPTED файлах, посетите официальный сайт разработчика.
Программы, которые поддерживают ENCRYPTED расширение файла
Программы, которые могут обрабатывать ENCRYPTED файлы, следующие. Файлы с расширением ENCRYPTED, как и любые другие форматы файлов, можно найти в любой операционной системе. Указанные файлы могут быть переданы на другие устройства, будь то мобильные или стационарные, но не все системы могут быть способны правильно обрабатывать такие файлы.
Программы, обслуживающие файл ENCRYPTED
Windows
Updated: 11/12/2020
Как открыть файл ENCRYPTED?
Проблемы с доступом к ENCRYPTED могут быть вызваны разными причинами. К счастью, наиболее распространенные проблемы с файлами ENCRYPTED могут быть решены без глубоких знаний в области ИТ, а главное, за считанные минуты. Мы подготовили список, который поможет вам решить ваши проблемы с файлами ENCRYPTED.
Шаг 1. Получить Emsisoft Decrypter for ApocalypseVM
Основная и наиболее частая причина, препятствующая открытию пользователями файлов ENCRYPTED, заключается в том, что в системе пользователя не установлена программа, которая может обрабатывать файлы ENCRYPTED. Наиболее очевидным решением является загрузка и установка Emsisoft Decrypter for ApocalypseVM или одной из перечисленных программ: AVG Decryptor for Apocalypse. В верхней части страницы находится список всех программ, сгруппированных по поддерживаемым операционным системам. Самый безопасный способ загрузки Emsisoft Decrypter for ApocalypseVM установлен — для этого зайдите на сайт разработчика (Emsi Software GmbH) и загрузите программное обеспечение, используя предоставленные ссылки.
Шаг 2. Обновите Emsisoft Decrypter for ApocalypseVM до последней версии
Если у вас уже установлен Emsisoft Decrypter for ApocalypseVM в ваших системах и файлы ENCRYPTED по-прежнему не открываются должным образом, проверьте, установлена ли у вас последняя версия программного обеспечения. Иногда разработчики программного обеспечения вводят новые форматы вместо уже поддерживаемых вместе с новыми версиями своих приложений. Это может быть одной из причин, по которой ENCRYPTED файлы не совместимы с Emsisoft Decrypter for ApocalypseVM. Все форматы файлов, которые прекрасно обрабатывались предыдущими версиями данной программы, также должны быть открыты с помощью Emsisoft Decrypter for ApocalypseVM.
Шаг 3. Настройте приложение по умолчанию для открытия ENCRYPTED файлов на Emsisoft Decrypter for ApocalypseVM
Если у вас установлена последняя версия Emsisoft Decrypter for ApocalypseVM и проблема сохраняется, выберите ее в качестве программы по умолчанию, которая будет использоваться для управления ENCRYPTED на вашем устройстве. Метод довольно прост и мало меняется в разных операционных системах.
Процедура изменения программы по умолчанию в Windows
- Нажатие правой кнопки мыши на ENCRYPTED откроет меню, из которого вы должны выбрать опцию Открыть с помощью
- Нажмите Выбрать другое приложение и затем выберите опцию Еще приложения
- Последний шаг — выбрать опцию Найти другое приложение на этом. указать путь к папке, в которой установлен Emsisoft Decrypter for ApocalypseVM. Теперь осталось только подтвердить свой выбор, выбрав Всегда использовать это приложение для открытия ENCRYPTED файлы и нажав ОК .
Процедура изменения программы по умолчанию в Mac OS
- Нажав правую кнопку мыши на выбранном файле ENCRYPTED, откройте меню файла и выберите Информация.
- Перейдите к разделу Открыть с помощью . Если он закрыт, щелкните заголовок, чтобы получить доступ к доступным параметрам.
- Выберите подходящее программное обеспечение и сохраните настройки, нажав Изменить все
- Если вы выполнили предыдущие шаги, должно появиться сообщение: Это изменение будет применено ко всем файлам с расширением ENCRYPTED. Затем нажмите кнопку Вперед» , чтобы завершить процесс.
Шаг 4. Убедитесь, что ENCRYPTED не неисправен
Если проблема по-прежнему возникает после выполнения шагов 1-3, проверьте, является ли файл ENCRYPTED действительным. Проблемы с открытием файла могут возникнуть по разным причинам.
1. ENCRYPTED может быть заражен вредоносным ПО — обязательно проверьте его антивирусом.
Если файл заражен, вредоносная программа, находящаяся в файле ENCRYPTED, препятствует попыткам открыть его. Рекомендуется как можно скорее сканировать систему на наличие вирусов и вредоносных программ или использовать онлайн-антивирусный сканер. Если сканер обнаружил, что файл ENCRYPTED небезопасен, действуйте в соответствии с инструкциями антивирусной программы для нейтрализации угрозы.
2. Проверьте, не поврежден ли файл
Если вы получили проблемный файл ENCRYPTED от третьего лица, попросите его предоставить вам еще одну копию. В процессе копирования файла могут возникнуть ошибки, делающие файл неполным или поврежденным. Это может быть источником проблем с файлом. Если файл ENCRYPTED был загружен из Интернета только частично, попробуйте загрузить его заново.
3. Проверьте, есть ли у пользователя, вошедшего в систему, права администратора.
Существует вероятность того, что данный файл может быть доступен только пользователям с достаточными системными привилегиями. Переключитесь на учетную запись с необходимыми привилегиями и попробуйте снова открыть файл KeRanger OS X Ransomware Affected Format.
4. Убедитесь, что в системе достаточно ресурсов для запуска Emsisoft Decrypter for ApocalypseVM
Если в системе недостаточно ресурсов для открытия файлов ENCRYPTED, попробуйте закрыть все запущенные в данный момент приложения и повторите попытку.
5. Проверьте, есть ли у вас последние обновления операционной системы и драйверов
Современная система и драйверы не только делают ваш компьютер более безопасным, но также могут решить проблемы с файлом KeRanger OS X Ransomware Affected Format. Возможно, что одно из доступных обновлений системы или драйверов может решить проблемы с файлами ENCRYPTED, влияющими на более старые версии данного программного обеспечения.
Вы хотите помочь?
Если у Вас есть дополнительная информация о расширение файла ENCRYPTED мы будем признательны, если Вы поделитесь ею с пользователями нашего сайта. Воспользуйтесь формуляром, находящимся здесь и отправьте нам свою информацию о файле ENCRYPTED.
Источник: www.file-extension.info
Как обеспечить авторизованный доступ к видеоконтенту
В период тотального коронавирусного локдауна потребление онлайн-видео достигло пика. И сейчас этот тренд только набирает обороты. Так, по данным Emarketer, в сравнении с 2020 годом средний объём просматриваемого видеоконтента в США вырос с 133 до 140 минут. А к концу 2022 года прогнозируется более 145 минут в день. При этом стремительно растёт потребление контента по подписке.
Чуть менее трети (30,8%) всех доходов от подписок на видеосервисы в США приходится на Netflix, более четверти (25,9%) на Disney и 13,2% на YouTube Premium.
Чтобы разрабатывать качественные видеосервисы, за подписку на которые зрители будут готовы платить, необходимо не только предложить непревзойдённый пользовательский опыт, но и обеспечить одновременно комфортную и безопасную дистрибуцию видео. В статье поговорим о последнем — как и какие IT-решения помогают реализовывать авторизованный доступ к видеоконтенту.
Несанкционированный доступ к контенту
Существует несколько вариантов получения доступа к закрытому контенту. Самые популярные способы можно поделить на две категории.
Первая: на уровне авторизации
- Через передачу данных учётной записи третьим лицам. К ним относим родственников, друзей, коллег и аудиторию публичных сообществ и форумов.
- Продажа или лизинг, когда пользователи перепродают или временно предоставляют доступ к своему аккаунту.
- Утечки и кража данных учётных записей.
Вторая: на уровне доставки контента
- Несанкционированная загрузка видео: по прямой ссылке из кода страницы или консоли инструментов разработчика; с помощью плагинов браузера для скачивания с видеохостингов; через использование отдельного софта (например, VLC или FFmpeg);
- Скринкаст с помощью как программных, так и аппаратных средств.
Если на уровне авторизации более-менее понятно, как обеспечить защиту (например, через блокировку двух и более одновременных сессий от одного пользователя, использование технологии единого входа (SSO), мониторинг подозрительной активности), то со вторым вариантом могут возникнуть проблемы. Остановимся подробнее собственно на защите контента.
Эволюция защиты контента
Массовое распространение видео по запросу (VoD) началось задолго до того, как браузеры могли проигрывать видеопотоки в защищённом виде. Первыми, кто дал доступ к контенту и столкнулся с его защитой, стали кабельные сети. Для них были созданы механизмы защиты, за 30 лет продемонстрировавшие определённую степень надежности.
На тот момент основной проблемой было то, что люди могли свободно подключаться к кабельным сетям и получать доступ к контенту, который изначально был для них закрыт или доступен только по подписке. В качестве решения были выпущены ТВ-приставки со специальными картами. Они идентифицировали пользователя и декодировали зашифрованный сигнал.
Карта декодирования в ТВ-приставке
В Интернете необходимость защиты контента также появилась не сразу. Первое время в сети размещался только бесплатный видеоконтент. А крупные правообладатели его не загружали, опасаясь отсутствия надёжных систем защиты. Уже с развитием платного видеостриминга площадки организовывать доступ к нему своими силами.
Сегодня практически любой сервис, предоставляющий доступ к контенту, использует CDN (Content Delivery Network). Это географически распределенная инфраструктура, которая обеспечивает быструю доставку контента пользователям веб-сервисов и сайтов.
Сервера, входящие в состав CDN, располагаются так, чтобы сделать время ответа для пользователей сервиса минимальным. При этом чаще всего это стороннее решение, и нередко используется сразу несколько провайдеров (Multi-CDN). В этом случае к контенту, размещённому на узлах провайдера, имеет доступ любой человек со ссылкой. Здесь и возникает необходимость разграничения прав доступа к контенту в распределённой и слабо связанной системе, которая, более того, открыта для всех в Интернете.
Одним из известных решений для защиты потокового видеоконтента стало шифрование протокола HLS (HTTP Live Streaming). Apple назвали его HLS AES и предложили для безопасной передачи медиафайлов по HTTP. Несмотря на шифрование сегментов видео по стандарту AES-128, сами ключи передавались в открытом виде, что позволяло перехватить их. Защиту этих ключей нужно было делать в любом случае (защищённый HTTPS-канал тогда ещё не был распространён). Поэтому каждый реализовал систему доступа по-своему.
В ландшафте технологий защиты мультимедийного контента от копирования прочно заняли позиции три основных технологии DRM (Digital Rights Management): PlayReady от Microsoft, Widevine от Google и Fairplay от Apple.
Сегодня широко используются два стриминговых протокола. Это HLS, представленный Apple в 2009 году, и более современный MPEG-DASH (Dynamic Adaptive Streaming over HTTP), который стал первым решением потоковой передачи видео с адаптивным битрейтом, получившим статус международного стандарта.
Сосуществование двух протоколов и возросшая потребность проигрывания онлайн-видео в браузерах подтолкнули к унификации системы защиты контента. Поэтому в сентябре 2017 года Консорциум Всемирной паутины (W3C) утвердил Encrypted Media Extensions (EME) — спецификацию о взаимодействии браузеров и модулей расшифровки контента, в основу которой легли пятилетние разработки Netflix, Google, Apple и Microsoft.
EME предоставляет плееру стандартизированный набор API для взаимодействия с CDM. Источник: OTTVerse
По своей сути, EME — это расширение для работы в браузерах с медиа, которое предоставляет API для работы с модулем шифрования. И оставляет при этом свободу в реализации серверной части и минимизирует риск несовместимости. То есть можно использовать как проприетарные DRM (Playready, Widevine, Fairplay), так и Open Source DRM или собственное решение.
Однако есть и противники шифрования контента и проприетарных DRM-систем. Так организация Free Software Foundation даже объявила 6 мая днём противостояния технологиям DRM, считая, что компании с помощью них покушаются на личную свободу пользователей. Стандартным браузерам есть альтернативы: например, EME-Free сборка от Firefox. В ней нет плагина Widevine, который Firefox использует в своих обычных версиях, поэтому файлы, защищённые от копирования, не будут воспроизводиться.
Существуют и варианты DRM-решений, которые базируются на Open Source. К примеру, в Китае реализуется спецификация системы ключей China DRM, которая предназначена для работы со схемой защиты ISO Common Encryption (CENC) и EME.
Полноценная DRM-система и три кита шифрования контента
Внедрение DRM и механизмов авторизации — наиболее надёжный способ защиты от несанкционированного доступа к видеоконтенту. При этом чтобы избежать проблем совместимости и минимизировать дыры, важно соблюдать три рекомендации.
1. Шифровать видеоконтент несколькими ключами
Как это работает? Исходный видеофайл делится на несколько небольших частей, каждая из которых шифруется отдельным ключом. Чтобы дешифровать контент, который можно свободно перехватить с CDN, недостаточно получить ключи. Устройство должно их запросить. При этом полученные ключи подходят не ко всем, а только к нескольким видеофайлам.
С пользовательской стороны никаких изменений нет: плеер получает ключи дешифрования по мере того, как юзер просматривает видео.
Этого уже достаточно, чтобы видео нельзя было скачать наиболее очевидными для обычных пользователей способами, например, через VLC-плеер, FFmpeg или соответствующие расширения, которые встроены в браузер.
2. Получать ключи для дешифровки контента через сервер лицензий
Как минимум, все запросы к серверу лицензий должны идти по защищенному HTTPS-каналу для предотвращения MITM attack (перехвата ключей). Как максимум, в этом случае стоит использовать одноразовый пароль (OTP, One Time Password).
Выдавать ключи по запросу ID-контента или ID-ключа — плохая защита. Для разграничения доступа, как минимум, необходимо авторизовать пользователя на сайте — чтобы идентифицировать его по ID-сессии. В этом случае вместе с ID-контентом или ID-ключом также передаётся токен пользователя. Это может быть сессия или любой другой идентификатор, который позволит однозначно определить юзера. Сервер лицензий запрашивает информацию о том, есть ли доступ к контенту для данного токена, и только в случае положительного ответа отдаёт ключи шифрования.
Обычно сервер лицензий обращается в ваш API и запоминает у себя в сессии результат ответа, чтобы снизить нагрузку на сервис.
3. Ограничивать время жизни ключей
Для этого используется non-persistent лицензия, которая действует только в рамках текущей сессии. Устройство пользователя запрашивает лицензию перед каждым воспроизведением или по мере воспроизведения видео.
При использовании persistent-ключей пользователь получает доступ к контенту даже тогда, когда его уже отозвали (за исключением видео, которые доступны оффлайн).
Схема работы DRM=системы. Источник: OTTVerse
Другие способы защиты контента
Защита видеоконтента не ограничивается только шифрованием и внедрением DRM-системы. К ним можно добавить ещё несколько способов.
- Наложение динамических водяных знаков оверлеем в плеере или при транскодировании видео. Это может быть логотип компании, или ID пользователя, по которому можно его идентифицировать. Сама по себе технология не способна предотвратить утечку видеоконтента, а скорее носит психологический характер.
- DNA coding, когда видео кодируется в 4-5 разных вариантах и для каждого пользователя формируется своя последовательность вариантов. Этот процесс можно разделить на две части. В начале цепочка видео генерируется через встраивание символов в каждый кадр исходного несжатого контента. Кадры кодируются и отправляются на хранение на сервер. Далее пользователь запрашивает защищенный контент у поставщика, который связывает с клиентом цифровой отпечаток. Он может быть создан в реальном времени или его можно взять из базы данных, которая содержит строку символов, относящуюся к цепочкам видео. Эти символы используются для создания видео с водяными знаками путем переключения между группами изображений из цепочек видео.
Процесс DNA coding для двух символов в случае двоичного цифрового отпечатка. Источник: ResearchGate
Подводя итог
Вышеперечисленные способы защиты не могут дать 100% гарантии от несанкционированного доступа и распространения видеоконтента. Однако комплексное внедрение инструментов защиты данных, включая шифрование, поможет организовать безопасный авторизованный доступ к видео. И содействовать защите авторского права.
Технологии защиты становятся совершеннее, не создавая дополнительных помех пользователю, и упрощают жизнь разработчикам. Так что делая ставку на удобство продукта, доступность и высокое качество контента, со временем можно рассчитывать, что подписка станет реальной альтернативой открытым источникам.
Источник: tproger.ru