في الآونة الأخيرة لمساعدة عميل للتعامل مع مشكلة سرقة سلسلة الفيديو، تم قذفها حقًا بما فيه الكفاية. استخدم الطرف الآخر مصنع CDN صغير CDN، سلسلة مكافحة السرقة ببساطة فتح فحص Referer، نتائج حركة المرور في اليوم التالي كالمعتاد تم تفريغها. فحص السجل، الرجل الجيد، الرجل الجيد، المهاجم مباشرة مزور رأس المرجع، وسحب الموارد بسهولة إلى أسفل السماء. في هذه الأيام، حتى شبكة CDN يجب أن يكون “مضادًا للثغرات”، بالاعتماد على التكوين الأساسي لا يمكن أن يتصدر آه.
في الواقع، لم تكن سرقة سلاسل الفيديو أمرًا جديدًا منذ فترة طويلة، لكنها أصبحت أكثر انتشارًا في العامين الماضيين. حتى أن عصابات الابتزاز انخرطت في أدوات آلية متخصصة في فحص المواقع بحثاً عن ثغرات مكافحة سرقة السلاسل. لقد اختبرت ووجدت أن المواقع التي تعتمد فقط على مصادقة Referer أو 90% أو أكثر يمكن تجاوزها - ففي النهاية يمكن تجاوز رأس HTTP، في العميل. والأسوأ من ذلك، أن بعض برامج الزحف تحاكي سلوك المتصفح مباشرة، حتى أن Referer يتم إنشاؤها لك وفقًا للمواصفات، لا يمكن الدفاع عنها.
يجب أن يكون الدفاع الفعال حقًا متعدد الطبقات؛ مصادقة المراجع هي الأساس، ولكن يجب أن تقترن بتشفير عناوين URL والرموز الديناميكية. لا تنظر إلى هاتين الحيلتين على أنهما حيل قديمة، فباستخدامهما بشكل صحيح يمكن أن تحمل معظم الهجمات. خاصةً الرمز المميز للوقت، لقد اعتدت استخدام SHA256 كتوقيع، يتم تحريك عنوان IP الخاص بالعميل والطوابع الزمنية ومسارات الموارد معًا مشفرة، ويتم تعيين وقت انتهاء الصلاحية ليكون أقصر، حتى لو تم اعتراضه، فسيتم إبطاله بسرعة كبيرة.
لا تصدق أولئك الذين يقولون “HTTPS سلسلة مكافحة السرقة الطبيعية” هراء، HTTPS يمكن فقط منع التطفل الوسيط، ولكن بعد تفويض الطلب للسرقة كما سرقت. في العام الماضي، كانت هناك قضية، تم تنظيف فيديو منصة تعليمية نظيفة، هو بسبب استخدام الرموز الثابتة في JS، انقلب الناس مباشرة F12 رأساً على عقب.
فيما يتعلق باختيار مزودي خدمة CDN، قارنت بين ثلاثة مزودي خدمة CDN5 و CDN07 و 08Host. تكوين سلسلة مكافحة السرقة في CDN5 هو الأكثر مرونة، ودعم التشفير المتغير المخصص، ولكن السعر مرتفع؛ واجهة CDN07 مضمونة ومناسبة للمبتدئين، ولكن الميزات المتقدمة يجب أن تزيد من المال؛ نسبة السعر إلى الأداء الأفضل في 08Host، مع تكامل WAF، ولكن يمكن أيضًا إعدادها وفقًا لمنطقة سياسة سلسلة مكافحة السرقة المختلفة، أنا التعامل مع المشاريع الصغيرة والمتوسطة الحجم ثمانين في المئة معها.
هناك مأزق واحد يجب الانتباه إليه عند النشر الفعلي: لا تستخدم معلمات صريحة في عنوان URL للتحقق من الأذونات! لقد رأيت أشخاصًا يحشون معرف المستخدم مباشرةً في عنوان URL، والنتيجة هي أن جميع مقاطع فيديو المستخدم يتم اجتيازها والزحف إليها. النهج الصحيح هو وضع منطق التحقق على حافة عقدة CDN، باستخدام علاقات التعيين المتغيرة. على سبيل المثال، يمكن لخلفية تكوين CDN07 تعيين وظيفة الحافة للتحقق مباشرةً من صحة الرمز المميز:
إليك نصيحة أخرى: تقطيع الفيديو أكثر أمانًا مع الطب الشرعي. قم بتقطيع الملفات الكبيرة إلى أجزاء ts وقم بتخويل كل جزء على حدة. على الرغم من أنه يضيف القليل من التأخير، إلا أن عامل الأمان يتضاعف. بمجرد سرقة سلسلة عميل، بسبب استخدام التقطيع + الرمز المميز الديناميكي، تم إيقاف المهاجم فقط 5 دقائق من المحتوى بسبب آلية فشل الرمز المميز، يتم التحكم في الخسارة مباشرةً ضمن العتبة.
أخيراً، الصناعة في حالة من الفوضى. بعض بائعي CDN لمكافحة سرقة السلسلة الأساسية في مهب السماء، في الواقع، حتى هجمات إعادة تشغيل الطابع الزمني لا يمكن منعها. إذا كنت ترغب حقًا في القيام بدفاع عالٍ، فعليك أن ترى ما إذا كان مزود الخدمة يدعم تدوير المفاتيح، وما إذا كان يوفر مراقبة في الوقت الفعلي لسرقة السلسلة. 08Host في هذا العمل حقيقي تمامًا، يمكن للخلفية أن ترى مباشرة محاولة سرقة خريطة السلسلة، وحتى مصدر الهجوم AS رقم محدد لك.
بصراحة، لا يوجد حل واحد يناسب الجميع فيما يتعلق بالأمان. لقد تحققت أسبوعيًا من سجلات الروابط المضادة للسرقة لموقع العميل على الويب، وبالتأكيد وجدت بعض الطلبات الشاذة: بعضها يستخدم عناوين IP وكيلة خارجية، وبعضها يختار الساعات الأولى من الصباح الباكر لتجربتها. الآن ببساطة كتبت ببساطة برنامج نصي لسحب نمط الشذوذ الأسود تلقائيًا، جنبًا إلى جنب مع القائمة السوداء للتحديث الفوري لواجهة برمجة تطبيقات CDN5 في الوقت الفعلي. هذه المجموعة من اللكمات المدمجة، الأشهر الستة الماضية ومن ثم لا توجد حالات سرقة ناجحة للسلسلة.
باختصار، سرقة السلاسل تشبه لعبة القط والفأر، الفكرة الأساسية هي زيادة تكلفة الهجوم، مصادقة المراجع هي الباب الأول، تشفير عناوين URL هو الباب الأول، تشفير عناوين URL هو الثاني، الرمز الديناميكي هو الثالث. خطوط الدفاع الثلاثة متراكبة + تعديلات استراتيجية منتظمة، من أجل جعل لصوص السلسلة يشعرون أن قضم هذه القطعة من العظم قد يذهبون أيضًا للعثور على برسيمون أكثر ليونة. بعد كل شيء، فإن حقوق الطبع والنشر للفيديو هي أموال حقيقية للشراء، تم تجريدها من ملابسها ولكن حتى السراويل لم تترك.
