разумно ли защищать клиентскую часть контента drm'd?

Question

Обновление: Этот вопрос специально посвящен защите (шифрованию/обфускации) клиентской части контента против ее выполнения перед передачей с сервера. Каковы плюсы и минусы при подходе к подходу, подобному iune, в котором файлы не зашифрованы/запутаны перед передачей.

Как я добавил в своем примечании в исходном вопросе, существуют контракты, которые нам необходимо выполнить (в качестве примера для большинства служб, реализующих drm). Мы настаиваем на drm free, и большинство сделок с контент-провайдерами находятся на нем, но это не освобождает нас от обязательств, уже существующих.

---

Я недавно прочитал some information о том, как ITunes/FairPlay подходов МОК, и не ожидал увидеть сервер на самом деле обслуживает файлы без какой-либо защиты.

Цитата в этом answer, кажется, отражает дух проблемы.

Целью должно быть просто «сохранить честных людей честными». Если мы идем дальше, чем это, только две вещи случаются:

1. Мы воюем бой мы не можем выиграть. Те, кто хочет обмануть, добьются успеха.
2. Мы повредили честным пользователям нашего продукта, сделав его более сложным в использовании.

Я не вижу никакого влияния на честных пользователей в здесь, файлы будут привязаны к пользователю - независимо от того, если это происходит на клиенте или на стороне сервера. Это дает еще один шанс тем, кто находится в 1.

Дополнительная информация: клиентская среда - это adobe air, несколько типов контента (музыка, видео, флэш-приложения, изображения).

Итак, разумно ли это делать, как itplay's fairplay, и защищать сторону клиента мультимедиа.

Примечание: Я думаю, что нерушимая DRM является unsolvable problem и как большинство ищет ответ на это, потребность в ней относится к нему уже будучи в договоре с поставщиками контента ... в подобных разумных усилий лучших ,

Answer 1

Чтобы ответить на вопрос «это разумно», вы должны быть ясно, когда вы используете слово «защита», что вы пытаетесь защитить от ...

Например, вы пытаетесь:

1. авторизованных пользователи с помощью своего загруженного контента через вашего приложение при определенных обстоятельствах (например, срок аренды истекает, скопированный на другой компьютер, и т.д.)?
2. авторизованные пользователи могут использовать их загруженный контент через любое приложение при определенных обстоятельствах (например, срок истечения срока аренды, копирование на другой компьютер и т. Д.)?
3. неавторизованные пользователи используют контент, полученный от авторизованных пользователей, через ваше приложение?
4. неавторизованные пользователи используют контент, полученный от авторизованных пользователей через любое приложение?
5. Известные пользователи получают доступ к невостребованному/несанкционированному контенту из медиатеки на вашем сервере через ваше приложение?
6. Известные пользователи получают доступ к невостребованному/несанкционированному контенту из медиатеки на вашем сервере через любое приложение?
7. неизвестных пользователей от доступа к медиа-библиотеке на вашем сервере через ваше приложение?
8. неизвестных пользователей от доступа к медиа-библиотеке на вашем сервере через любое приложение?

и т.д ...

«Любое приложение» в выше, может включать в себя такие вещи, как:

• других программ, предназначенных для игроков взаимодействовать/взаимодействовать с вашего сайта (например,for flickr)
• программы, предназначенная для преобразования контента в другие форматы, возможно, не DRM форматы
• враждебных программ, предназначенных для

---

Из статьи вы связаны, вы можете начать видеть некоторые из возможных ограничения применения DRM на стороне клиента ...

• Третий, первоначально используемый в PyMu sique, клиент Linux для iTunes Store, претендует на ITunes. Он запросил песни с серверов Apple, а затем загрузил купленные песни без блокировки их, как и iTunes.

• Четвертый, используемый в FairKeys, также претендует на ITunes; он запрашивает ключи пользователя от серверов Apple, а затем использует эти ключи для , чтобы разблокировать существующие купленные песни.

Ни один из этих подходов требуется разорвать DRM применяется, или даже взлом любого из продуктов, участвующих; они могут быть сделаны просто путем пассивного наблюдения за задействованными протоколами, а затем имитирования.

Итак, возникает вопрос: пытаетесь ли вы защитить от этих видов нападений?

• Если да, то клиент-прикладному DRM является не разумно.
• Если нет (например, вас беспокоят только пользователи, использующие ваше приложение, например Apple/iTunes), то это может быть так.

(повторить этот процесс для каждой ситуации вы можете думать. Если adig nswer всегда либо «клиент-прикладному DRM защитит меня» или «Я не хочу, чтобы защититься от этой ситуации», затем с помощью клиента-прикладного DRM является доступным.)

---

_{Обратите внимание, что за последние четыре мои примеры, в то время как DRM будет защищать от тех ситуаций, как побочный эффект, это не самое лучшее место для обеспечения эти ограничения. Эти ограничения применяются на сервере в процессе авторизации/авторизации.}

Answer 2

Думаю, что вам здесь что-то не хватает. Пользователи ненавидят, hate, hate, Ненавижу DRM. Вот почему ни одна медиакомпания никогда не испытывает тяги, когда пытается ее использовать.

Answer 3

Если сервер обслуживает контент без защиты, это связано с тем, что шифрование является клиентом.

Говоря об этом, wirehark сфокусирует ваши лучшие планы.

Answer 4

Я не вижу никакого влияния на честных пользователей здесь, файлы будут привязаны к пользователю - независимо от того, происходит ли это на стороне клиента или сервера. Это дает еще один шанс тем, кто в 1.

Файлы, привязанные к пользователю, требуют некоторого метода проверки того, что есть пользователь. Что произойдет, когда ваш сервер проверки снизится (или прекращен, как это сделал Wal-Mart)?

Уровень DRM не влияет, по крайней мере, на некоторых «честных пользователей».

Answer 5

Данные может быть скопирован Пока клиент оборудованием, автономный, не может различать между «хорошим» и «плохой» копией, вы в конечном итоге всех ограничений общих копий, а также копировать механизмы. Большинство компаний DRM занимаются этим фактом, рассказывая мне, насколько эта технология меня освобождает. Почти так, как будто люди начинают верить, когда они слышат одно и то же достаточно часто ...

Код не может быть защищен на клиенте. Защита кода на сервере в значительной степени решена. Защита кода на клиенте - нет. Все текущие подходы имеют скудные ограничения.

Ударные работы тонким образом. По крайней мере, у вас есть дополнительные затраты на реализацию клиентского DRM (и все последующие расходы, включая орду адвокатов «DMCA»), трудно доказать, что вы будете компенсировать эту стоимость с помощью увеличение доходов.

---

Это не только код и крипто. После того, как вы внедряете DRM на стороне клиента, вы раскрываете цепочку событий в области маркетинга, связей с общественностью и правового регулирования. До тех пор, пока они не перестанут отчуждать пользователей, вам не нужно беспокоиться.

Answer 6

Кикер здесь заключается в том, что в контракте говорится «разумные лучшие усилия», и я не имею ни малейшего представления о том, что это будет означать в суде.

Что вы хотите сделать, так это сделать вашего клиента счастливым с DRM, который вы надели. Я не знаю, что ваш клиент считает DRM, может делать, стоит ресурсов, или если ваш клиент действительно знает, что DRM может быть очень раздражающим. Вы должны были бы ответить на это. Вы можете попытаться обучить клиента, но это можно рассматривать как попытку объяснить некачественную работу.

Если клиент недоволен, следующая резервная позиция должна быть оплачена без судебного разбирательства, и для этого контракт должен быть достаточно ясным. К сожалению, «разумные лучшие усилия» не ясны, поэтому вы можете оказаться в суде. Вы можете пересмотреть части договора в пользу клиента, иначе вы не сможете.

Если все остальное не удается, вы надеетесь выиграть судебное дело.

Я не юрист, и это не юридический совет. Я рассматриваю это как скорее вопрос ожиданий и возможную юридическую интерпретацию, чем технический вопрос. Я не думаю, что мы можем помочь вам здесь. Вам следует проконсультироваться с адвокатом, который специализируется на таких вещах, и я даже не знаю, какую специальность рекомендовать. Если вы находитесь в США, позвоните в местную ассоциацию адвокатов и попросите направление. одна

Answer 7

Шифрование обычно так же хорошо, как отправка логическое говорю вам, если вы разрешили использовать содержание, так как перепускной обычно только изменение ввода/вывода на один шифровального API вызова ...

Вы хотите использовать тяжелую бинарную обфускацию на стороне клиента, если вы хотите, чтобы защита буквально удерживалась более 5 минут.Используя дешифрование на стороне клиента, убедитесь, что данные не могут быть воспроизведены и что единственный способ обойти систему - это перепроектировать всю схему двоичной защиты. Правильно сделано, это остановит всех детей.

С другой стороны, если это продукт, который будет запускаться в операционной системе, не используйте специфичные для процессора или операционной системы аномалии, такие как проблемы с Windows PEB/TEB/syscalls и процессоры, это приведет только к еще менее переносимая программа, чем DRM.

О, и для ответа на вопрос: Нет. Это пустая трата времени и денег, и ваш продукт не будет работать на моей закаленной системе Linux.