Et, rien n'empeche de l'executer ton JS ;-)

C'est le même principe qu'en flash où est inclus dans le .swf une
routine appelée par le serveur lui permettant de savoir si le player
est bien le bon (et pas un lecteur tiers).
Mais du swf ça s'analyse/exécute aussi ... :-).

Intel a bien essayé avec le HDCP de continuer la chaine de confiance
jusqu'au diffuseur (on pourrait donc aussi imaginer que ce soit
l'écran qui déchiffre le contenu et pas la machine) ... mais la
master-key HDCP a été leaké :/

Le 22 octobre 2010 19:56, Rémy Sanchez <remy.sanc...@hyperthese.net> a écrit :
>
> On Fri, 22 Oct 2010 18:00:06 +0200, BORONSKI MARTIN <martin.boron...@m6.fr>
> wrote:
>>
>> Le 22 oct. 2010 à 09:20, Pierre-Yves Kerembellec a écrit :
>> As-tu trouvé un moyen d'apporter un quelconque niveau de sécurité
>> sur du HTML5, en dehors d'un token ?
>
> As-tu trouvé un moyen d'apporter un quelconque niveau de sécurité sur du
> XXXX ?
>
> (remplacer XXXX par une technologie qui permet à l'utilisateur de voir une
> vidéo, et en particulier sur le web)
>
> Oui bon, troll, mais c'est vendredi...
>
>> On y réfléchit et mes équipes me poussent pour qu'on fasse le saut,
>> mais sans sécurité "state of the art" et sans outils de
>> monétisation (oui, je sais, on en revient tjs à l'argent ...), c'est
>> pas simple.
>
> Mon avis qui vaut ce qu'il vaut : de toute façon, le contenu est diffusé
> illégalement (quoi que dans le cas de M6, pas tant que ça). Mais ça veut
> dire que des réseaux "mafieux" se mettent en place pour diffuser ce contenu
> hors de tout contrôle. Alors que s'il était diffusé officiellement dans les
> mêmes conditions (gratuit, simple, pas de client/plugin spécifique et lourd,
> toussa), le contrôle serait assuré par la non nécessité de créer des réseaux
> alternatifs. Et les ayants droit peuvent fournir un meilleur service que les
> pirates, avec une qualité garantie, l'exhaustivité du contenu, ... Sans
> oublier la monétisation, avec du contenu HD, l'accès aux historiques, le
> téléchargement des contenus...
>
> (oh, je viens de voir un bisounours chevauchant une licorne)
>
> D'ailleurs, qu'est-ce que tu entends par "outils de monétisation" exactement
> ? La pub ?
>
> Sinon pour """sécuriser""" de la vidéo en HTML5, j'ai quelques idées à la
> con, mais je vois assez bien comment les contourner :/ Dans la catégorie
> contournable mais chiant à contourner : découper la vidéo en petit morceaux,
> chiffrer chaque morceau avec une clef différente, et les déchiffrer avec du
> Javascript. Pour le fun, changer l'algo de chiffrement régulièrement (ou
> même, faire un générateur d'algo de chiffrement qui en génère un nouveau
> pour chaque vidéo, mais ça devient un peu gore). Pas besoin d'un chiffrement
> compliqué, le but du jeu est juste de faire chier, donc mettre des bits en
> trop par ci par là, passer des trucs au XOR, faire du chiffrement de César,
> ...
>
> Une autre idée : toujours avec une vidéo en morceaux, ne donner le morceau
> suivant que si le client donne une checksum calculée sur le morceau
> précédent (même topo : on change l'algo souvent, et la clef est donnée au JS
> en échange d'un token par exemple). Variante : un seul morceau, mais tout
> les XXX octets le client envoi une requête avec la checksum, sans quoi le
> téléchargement est coupé.
>
> Ah et bien sûr, ça n'est pas la peine de le préciser mais je le fais quand
> même, la base c'est de ne pas utiliser des URL prédictibles...
>
>
> My 42 cents...
>
> --
> Rémy Sanchez
> ---------------------------
> Liste de diffusion du FRnOG
> http://www.frnog.org/
>
>
---------------------------
Liste de diffusion du FRnOG
http://www.frnog.org/

Répondre à