é razoável para proteger lado do cliente conteúdo drm'd
https://stackoverflow.com/questions/1822309
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Update: esta questão é especificamente sobre a proteção (encipher / Ofuscação) o conteúdo vs. lado do cliente a fazê-lo antes da transmissão do servidor. Quais são as vantagens / desvantagens em ir em uma abordagem como iTune de um -. Em que os arquivos não são cifradas / ofuscado antes da transmissão
Como eu adicionei em minha nota na pergunta original, existem contratos em vigor que precisamos cumprir para (como o caso para a maioria dos serviços que implementam DRM). Nós empurrar para drm livre, ea maioria dos provedores de conteúdo ofertas estão sobre ele, mas isso não nos livra das obrigações já em vigor.
Eu li recentemente algumas informações a respeito de como itunes / fairplay aproxima drm, e não esperar para ver o servidor na verdade serve os arquivos sem qualquer proteção.
A citação neste resposta parece capturar o espírito da questão.
O objetivo deve ser simplesmente "manter as pessoas honestas". Se formos mais longe do que isso, apenas duas coisas acontecer:
- Nós lutar uma batalha que não podemos vencer. Aqueles que querem enganar terá sucesso.
- Nós ferir os usuários honestos de nosso produto, tornando-o mais difícil de usar.
Eu não vejo qualquer impacto sobre os usuários honestos aqui, arquivos seriam vinculados ao usuário - independentemente se isso acontecer do lado do cliente ou servidor. Isso dá outra chance para aqueles em 1.
Um pouco mais de informação:. Ambiente cliente é Adobe AIR, vários tipos de conteúdo envolvidos (músicas, vídeos, aplicativos em flash, imagens)
Assim, é razoável fazer como fairplay iTune de e proteger o lado do cliente mídia.
Nota: Acho DRM inquebrável é uma problema insolúvel e como a maioria à procura de uma resposta para isso, a necessidade de que se refere à já estar em um contrato com provedores de conteúdo ... nos gostos de melhor esforço razoável.
Solução
Para responder à pergunta "é razoável", você tem que ser claro, quando você usa a palavra "proteger" o que você está tentando proteger contra ...
Por exemplo, você está tentando:
- usuários autorizados de utilizar o seu conteúdo baixado via seu aplicativo em determinadas circunstâncias (por exemplo, aluguer de validade período, copiados para um computador diferente, etc)?
- usuários autorizados de utilizar o seu conteúdo baixado via qualquer app em determinadas circunstâncias (por exemplo, aluguer de validade período, copiados para um computador diferente, etc)?
- utilizadores não autorizados utilizem o conteúdo recebido de usuários autorizados via seu aplicativo ?
- utilizadores não autorizados utilizem o conteúdo recebido de usuários autorizados via qualquer app ?
- usuários conhecidos de acessar o conteúdo não compradas / não autorizada a partir da biblioteca de mídia no servidor através de seu aplicativo ?
- usuários conhecidos de acessar o conteúdo não compradas / não autorizada a partir da biblioteca de mídia no servidor através de qualquer app ?
- usuários desconhecidos acessem a biblioteca de mídia no seu servidor via seu aplicativo ?
- usuários desconhecidos acessem a biblioteca de mídia no seu servidor via qualquer app ?
etc ...
"Qualquer app" no exemplo acima pode incluir coisas como:
- outros programas jogador projetado para interoperar / cooperar com o seu site (por exemplo para flickr )
- programas projetados para converter o conteúdo para outros formatos, possivelmente formatos não-DRM
- programas hostis projetados para
A partir do artigo é ligada, você pode começar a ver algumas das possíveis limitações da aplicação do lado do cliente DRM ...
O terceiro, originalmente usado no PyMusique, um cliente Linux para o iTunes Store, finge ser iTunes . Solicitou músicas de servidores da Apple e, em seguida, baixado as músicas compradas sem prendê-los , como iTunes faria.
A quarta, usado em FairKeys, também finge ser iTunes ; ele solicita as chaves de um usuário a partir de servidores da Apple e, em seguida, usa essas chaves para desbloquear músicas compradas existentes .
Nenhuma destas abordagens necessário quebrar o DRM está sendo aplicado, ou até mesmo cortar qualquer um dos produtos envolvidos; que poderia ser feito simplesmente observando passivamente os protocolos envolvidos, e, em seguida, imitá-los.
Portanto, a questão torna-se: você está tentando proteger contra esses tipos de ataque?
- Se sim, então DRM cliente-aplicada é não razoável .
- Se não (por exemplo, você está apenas preocupado com as pessoas que utilizam a sua aplicação, como a Apple / iTunes faz), então ele pode ser.
(repetir este processo para cada situação que você pode pensar. Se o nswer ADIG é sempre quer "DRM cliente-aplicada vai me proteger" ou "Eu não estou tentando proteger contra esta situação", então usando DRM cliente-aplicado é razoável .)
Note-se que durante os últimos quatro dos meus exemplos, enquanto DRM iria proteger contra essas situações como um efeito colateral, não é o melhor lugar para impor essas restrições. Esses tipos de restrições são melhor aplicados no servidor no processo de login / autorização.
Outras dicas
Eu acho que você pode estar faltando alguma coisa aqui. Usuários odeiam, ódio , ódio , ÓDIO DRM. É por isso que nenhuma empresa de mídia que nunca recebe qualquer tração quando eles tentam usá-lo.
O kicker aqui é que o contrato diz que "melhor esforço razoável", e eu não tenho a menor idéia do que isso significa em um tribunal de direito.
O que você quer fazer é fazer seu cliente feliz com o DRM você colocar. Eu não sei o que o seu cliente pensa DRM é, pode fazer, os custos em recursos, ou se o seu cliente está realmente ciente de que DRM pode ser realmente irritante. Você teria que responder a isso. Você pode tentar educar o cliente, mas que poderia ser visto como uma tentativa de explicar o trabalho precárias.
Se o cliente não está feliz, a próxima posição de recuo é para ser pago sem litígio, e para que isso aconteça, o contrato tem que ser razoavelmente claro. Infelizmente, "melhor esforço razoável" não é clara, então você pode acabar em tribunal. Você pode ser capaz de renegociar partes do contrato em favor do cliente, ou você não pode.
Se tudo isso falhar, você esperança de ganhar o caso em tribunal.
Eu não sou um advogado, e isso não é um aconselhamento jurídico. Eu vejo isso como mais uma questão de expectativas e possível interpretação jurídica do que uma questão técnica. Eu não acho que podemos ajudá-lo aqui. Você deve consultar com um advogado especializado neste tipo de coisa, e eu não sei mesmo o que especialidade para recomendar. Se você estiver nos EUA, ligue para o seu Ordem dos Advogados local e pedir uma referência.
Eu não vejo qualquer impacto sobre os usuários honestos aqui, arquivos seriam vinculados ao usuário - independentemente se isso acontecer do lado do cliente ou servidor. Isso dá outra chance para aqueles em 1.
Os arquivos ser amarrado para o usuário requer algum método de verificação de que existe um usuário. O que acontece quando o servidor de verificação vai para baixo (ou seja descontinuado, como Wal-Mart fez)?
Não existe um nível de DRM que não afeta, pelo menos alguns "usuários honestos".
Os dados podem ser copiados Enquanto hardware do cliente, independente, não pode distinguir entre um "bom" e um "mau" cópia, você vai acabar limitando todas as cópias gerais, e copiar mecanismos . A maioria das empresas DRM lidar com este fato por um me dizendo o quanto essa tecnologia me liberta. Quase como se as pessoas iriam começar a acreditar quando ouvem a mesma coisa com bastante frequência ...
Código não pode ser protegido no cliente. Proteger código no servidor é um problema em grande parte resolvido. Proteger código no cliente não é. Todas as abordagens atuais vêm com restrições mesquinho.
Impacto funciona de maneiras sutis. No mínimo, você tem o custo adicional de implementação do lado do cliente-DRM (e todos os custos de acompanhamento, incluindo a horda de "DMCA" -shouting gorilas advogado) é difícil provar que você irá compensar este custo com o aumento das receitas.
Não é apenas sobre o código e criptografia. Depois de implementar DRM do lado do cliente, você desencadear uma cadeia de eventos em Marketing, Relações Públicas e Legal. A contanto que eles não param para usuários Alienar, você não precisa se preocupar.
Se o servidor serve o conteúdo sem proteção, é porque a criptografia é por cliente.
Dito isto, wireshark vai frustrar seus melhores planos.
Encryption sozinho normalmente é apenas tão bom quanto o envio de um boolean dizendo que, se você está autorizado a usar o conteúdo, uma vez que o desvio é geralmente apenas mudando a entrada / saída para uma encriptação de chamadas API ...
Você quer usar ofuscação binário pesado no lado do cliente, se quiser a proteção para literalmente segure por mais de 5 minutos. Usando descriptografia no lado do cliente, certifique-se os dados não podem ser reproduzidos e que a única maneira de contornar o sistema é fazer engenharia reversa de todo o sistema de protecção de binário. Feito corretamente, isso vai parar todas as crianças.
Em outra nota, se este é um produto para ser executado em um sistema operacional, não use específica processador ou específica do sistema operacional anomalias como as / TEB / syscalls e processador de erros do Windows PEB, aqueles só vai fazer o programa ainda menos portátil do que DRM já é.
Oh e para responder à pergunta título: Não. É um desperdício de tempo e dinheiro, e fará o seu produto não trabalho no meu sistema Linux endurecido
