Merhaba Arkadaslar,
Asagidaki gibi calisan bir sistemde neler yapilabilir? Konu hakkinda bilgi ve deneyimli arkadaslarla tartisalim istiyorum.
VODS= Video dosyalarimizi barindiran sunucumuz
WEBS= Video dosyalarini yayinlayan, ziyaretcinin muhattap oldugu site.
HS= VODS daki videolari, kendi uzerinden izletmek isteyen, sisteme disaridan dahil olmak isteyen site.
Z= WEBS gelen Ziyaretci, vidolarimizi izlemek isteyen sahis.
* Z, google dan WEBS`de yayinlanan abcxyz.mp4 adli kedi videosunu izlemek icin WEBS ziyaret eder.
* WEBS, Z nin IP adresini alir ve VODS`a Z sahsi su IP ile senden abcxyz.mp4 izlemek istiyor der. WEBS, abcxyz.mp4 dosyasinin VODS`da yuklu oldugunu biliyor ama tam erisim URLS yok, sadece aralarindaki API vari bir yapi ile konusuyorlar. Yani VODS daki iceril listesi daha once WEBS bildirilmis ve aralarinda dosya URL sifrelenmesi icin KEY bilgisi var.
* VODS, sadece Z nin IP adresinden geldiginde erisilebilcek ve X saat sonra kendini imha edecek /sifrelihash/abcxyz.mp4 seklinde bir erisim linki olusturur ve WEBS iletir.
* WEBS, VODS dan gelen linki embed olarak basar.
* Z, abcxyz.mp4 videosunu izler.
Simdi bu yukaridaki senaryoda HS nasil VODS dan video izletir?
Tahmini guvenlik aciklari:
1* HS nin botu Z taklidi yaparak, WEBS girer ve abcxyz.mp4 icin talepte bulunur. Talepte bulunana HS IP si oldugu icin VODS gonderecegi link Z de izlenemez.
2* HS, IFRAME vs icerisinde WEBS abcxyz.mp4 yuklu oldugu sayfayi acarak videoyu izletmeye calisabilir. Bu durumda WEBS iFrame breaker yada X-Frame-Options ile IFRame uzerinden calismayi engelleyebilir.
3* HS tersine muhendislik ile VODS un link uretme algoritmasini cozmeye calisir. Bu sayade kendisine gelen her Z icin WEBS gibi oda VODS dan link isteyebilir. Bunun cozumu yok ama becerecek adam da kisitlidir. Bunu engelemek icin VODS link olusturma algoritmasinda WEBS bildigi KEY belli araliklarla degistirilir. Bu sayede VODS urettigi linkler her seferinde farkli sekilde sifrelenir.
4* "sadece Z nin IP adresinden geldiginde erisilebilcek dosya linki" Bu tarz bir koruma, basir bir .htaccess ile dahi mumkun, Farkli Web Server yazilimlarinda da farkli cozumler vardir ama bunu asmanin bir yolu var mi? IP spoof ile istek gonderilse de cevap spoof edilen IP`ye donecegi icin bir ise yaramamali.
5* HS, WEBS den video talep eder, VODS HS nin IP icin video linki olusturur. HS videoyu kendi uzerinden stream ederek Z ye videoyu izletir. Burada HS nin bot mu gercek bir ziyaretcimi oldugunu anlamak icin turlu turlu islem yapilabilir, hatta basit sekilde Google ReCaptcha dan "Im not a robot" bu sisteme eklenir. HS bu guvenligi assa dahi, videolari kendi uzerinden stream edecegi icin bizim VODS kadar trafik harcayacak, buda HS istemiyecegi birsey. Ayrica ortalamanin uzerinde bir sayida yaptigi video izleme taleplerinden HS nin BOT oldugu anlasilabilir ve IPsi banlanabilir. HS botlari icin cok sayida IP kullanabilir fakat bu dagitik IP listesi bile bir sure sonra anlasilir ve banlanir.
Bu konuda bilgisi olan baska arkadaslar, bu senaryo icin cozum ve hack onerisini dinlemek isterim. En basit kisim burada 5. Madde ama yuksek trafik ve bir suru sorunu olcak.
Var mi baska cozum oneren?
IP`ye ozel Videoyu oynatma
12
●1.617
- 27-02-2016, 17:24:52Bu konuya cevap yazan bir kişi bile olmamış ama bu konu ile alakalı, konuyu okuyup, gerek Skype da, gerekse PM üzerinden defalarca soru ve görüş geldi. Burada konuşulup tartışılmasından mı çekiniliyor, anlamadım açıkcası.
İlginç bir durum.
Konu yanlış yerde mi acaba? - 29-02-2016, 00:13:19
Üyeliği durdurulduÇok uzun ....Ufkabakan adlı üyeden alıntı: mesajı görüntüle - 04-03-2016, 20:42:23Cok mu uzun? Teknik bir konu hakkinda aciklamasi ve ornegi ile beraber 450~ kelimelik bir metin "uzun" bulup, okumak istemeyen kisi, bir zahmet programci olmaya hic calismasin. Programciligin temelinde cok cok okumak, arastirmak ve okuduklarini, ogrendiklerini deneyerek kendini gelistirmek yatar.VATANSUNUCUM adlı üyeden alıntı: mesajı görüntüle
@jRMix
Ucretli dahi olsa bu duruma NET cozum sunacak olan varsa tekliflere acigim. Fakat bu senaryoda asilmasi gereken engel/guvenlik pek mumkun degil gibi duruyor. Benzeri bir guvenligi kullanan bir kac site biliyorum, asilsa idi onlarda olurdu bu durum. Yinede yorumunuz icin tesekkur ederim. - 04-03-2016, 21:12:27birçok video barındıran siteler yazdığınız maddeleri (3. hariç) kullanarak videolarını çalabiliyorken suanda sadece ok.ru da çalınmama söz konusu.
Ok.ru yu biraz incelemek lazım
Mesala;
http://ok.ru/videoembed/33703987850
Network kısmını incelediğinizde;
http://vd15.mycdn.me/?sig=01b9f99b54398dde4e205c5672eb42fd060a1753&ct=4&urls=217.20.145.36%3B217.20.157.208%3B217.20.145.48&expires=1457204548881&srcIp=78.161.254.XXX&srcAg=CHROME&clientType=0&id=59617577610&type=0&bytes=12945407-13346422
İncelersek eğer;
sig=01b9f99b54398dde4e205c5672eb42fd060a1753 = her kişiye çıkarılan bir çeşit izin aynı kişi refresh yaptığında bile değişen bir kod.
217.20.145.36%3B217.20.157.208%3B217.20.145.48 = ok.ru nun yayın yaptığı cdn lerin iplerinin bir kısmı
srcIp=78.161.254.XXX = benim İP
Burda sıkıntı çıkartan kısım SIG kısmıdır. Çoğu video sitelerinde bunlar var ama bir çeşit ince ayarlı proxy sistemleri ile çözebiliyorsun.
Burdaki sig kısmı refresh yapıldığında değiştiği için hatta her kaliteye ayrı sig ler verildiği için çalınamamaktadır.
Burdaki srcIp=78.161.254.XXX mail.ru da 127.0.0.1 olduğu ve sigi bir kere aldığınızda aynı ipte değişmediği için çalınabiliyor.
Eğer yapılacaksa OK.ru daki gibi bir sistem yapılması daha mantıklı oluyor. - 04-03-2016, 22:11:11Ufkabakan adlı üyeden alıntı: mesajı görüntüle
Biraz karmaşık gibi geldi ama.
Benim aklıma gelen şu var. Php ile
Örn videolar erişim kısıtlamalı ise gelen ip adresinin bilgisini alırsın. explode ile parcalarsın. sonrasında hangi ip aralıgındakiler izlesin istiyorsan o ip aralıgına izin verirsin. Sonrasında gelen ip bloklarını bilmek adına her gelen ip blogunu kayıt altına alırsın. bu izledi bu izlemedi gibisinden. Bunu yazılım ile yapabilirsin diye düşünüyorum.
Gelen kişinin ip adresini al kendi admin paneline yansıt yada ip adres aralıgı belirler o aralıktakiler girsin vs. - 24-03-2016, 22:19:30Ok.ru bir sekilde kiriliyor ama uptobox daha komplike bir sistem
asagidaki link te bulanan filmin kaynagina baktigimiz zaman direk MP4 adresi veriyor ok.ru gibi kisiye ozel hash olayi da yok ama 120dk sure limitini direk ip adresi uzerinden yapiyor. bence ok.ru dan cok daha guvenlikli bir sistem.
http://uptostream.com/y9q95phgrvwz
<source src='//www52.uptostream.com/16o8c785739/360/0' type='video/mp4' data-res='360p' data-default="true" lang='French' idLang='0'/>
<source src='//www52.uptostream.com/16o8c785739/480/0' type='video/mp4' data-res='480p' lang='French' idLang='0'/>
<source src='//www52.uptostream.com/16o8c785739/720/0' type='video/mp4' data-res='720p' lang='French' idLang='0'/>
<track type='srt' kind='subtitles' src='//www52.uptostream.com/subtitles/2c92a307863f183695d44bb438d44cb1_1.srt' srclang='fr' label='French'></track>
</video> - 30-03-2016, 00:28:09uptostream kullandığı sistem benim yukarı bahsettiğim, direk IP adresine özel Link sistemi. Kırabilen buyursun kırsın.metinaktas adlı üyeden alıntı: mesajı görüntüle
