Recientemente para ayudar a un cliente para hacer frente al problema del robo de la cadena de vídeo, realmente estaba bastante echado a perder. La otra parte utiliza una pequeña fábrica de CDN, antirrobo cadena simplemente abrir un cheque Referer, los resultados del tráfico al día siguiente como de costumbre se cepilló ráfaga. Una comprobación del registro, buen tipo, el atacante directamente forjado Referer cabeza, fácilmente arrastrado los recursos a la parte inferior del cielo. En estos días, incluso el CDN tiene que “anti-teammates”, confiando en la configuración básica realmente no puede superar ah.
De hecho, el robo de cadenas de vídeo no es nada nuevo desde hace tiempo, pero en los dos últimos años se ha vuelto cada vez más rampante. Las bandas de extorsionadores incluso se dedican a utilizar herramientas automatizadas, especializadas en escanear sitios en busca de vulnerabilidades contra el robo de cadenas. Hice pruebas y descubrí que los sitios que se basan únicamente en la autenticación Referer, 90% o más pueden ser eludidos - después de todo, lo del encabezado HTTP, en el cliente es una chiquillada para vestir. Lo que es peor, algunos rastreadores simular directamente el comportamiento del navegador, incluso Referer se generan para usted de acuerdo con la especificación, no puede ser defendido.
Una defensa realmente eficaz tiene que ser multicapa; la autenticación de referencias es la base, pero tiene que ir unida al cifrado de URL y a tokens dinámicos. No veas estos dos trucos anticuados, usados correctamente pueden soportar la mayoría de los ataques. Especialmente el token de tiempo, yo solía usar SHA256 como firma, la IP del cliente, las marcas de tiempo, las rutas de recursos se mezclan encriptadas, el tiempo de expiración se establece para ser más corto, incluso si es interceptado, será invalidado muy rápidamente.
No creas a los que dicen “HTTPS cadena natural antirrobo” tonterías, HTTPS sólo puede evitar que el intermediario fisgoneo, pero después de la autorización de la solicitud para ser robado como robado. El año pasado, hubo un caso, una plataforma educativa de vídeo fue rastrillado limpio, es debido a la utilización de tokens estáticos en el JS, la gente directamente F12 al revés.
En la elección de los proveedores de servicios CDN, comparé tres: CDN5, CDN07 y 08Host. configuración de la cadena antirrobo de CDN5 es el más flexible, el apoyo a la costumbre de cifrado variable, pero el precio es alto; interfaz de CDN07 es infalible, adecuado para los principiantes, pero las características avanzadas tienen que aumentar el dinero; 08Host relación precio-rendimiento de los mejores, con la integración WAF, pero también se puede configurar de acuerdo a la región de la política de la cadena antirrobo diferentes, I Manejado por los proyectos pequeños y medianos ochenta por ciento con él.
Hay un problema que hay que tener en cuenta a la hora de desplegar: ¡no utilices parámetros explícitos en la URL para la comprobación de permisos! He visto a gente que introducía el userId directamente en la URL, y el resultado es que todos los vídeos de los usuarios son rastreados. El enfoque correcto es colocar la lógica de verificación en el borde del nodo CDN, utilizando relaciones de mapeo de variables. Por ejemplo, el fondo de configuración de CDN07 puede establecer la función de borde para verificar directamente la validez del token:
Otro consejo: el troceado de vídeo es más seguro con los forenses. Divida los archivos grandes en segmentos y autorice cada segmento individualmente. Aunque añade un poco de retraso, el factor de seguridad se duplica. Una vez que un cliente fue robado cadena, debido a la utilización de slicing + token dinámico, el atacante sólo arrastró 5 minutos de contenido fue detenido por el mecanismo de fallo de token, la pérdida se controla directamente dentro del umbral.
Por último, la industria es un caos. Algunos proveedores de CDN para el robo de anti-cadena básica volado por las nubes, de hecho, incluso los ataques de repetición de marca de tiempo no se puede prevenir. Si realmente quieres hacer alta defensa, usted tiene que ver si el proveedor de servicios soporta la rotación de claves, ya sea para proporcionar monitoreo en tiempo real del robo de la cadena. 08Host en esta pieza de trabajo es muy real, el fondo puede ver directamente el intento de robar el mapa de la cadena, e incluso la fuente del número AS ataque están marcados para usted.
Para ser sincero, no existe una solución única para la seguridad. Semanalmente he comprobado los registros de los enlaces antirrobo del sitio web del cliente, y efectivamente, he encontrado unas cuantas peticiones anómalas: algunas utilizando IPs proxy extranjeras, y otras escogiendo las primeras horas de la mañana para probarlo. Ahora simplemente escribió un script para tirar automáticamente de la anomalía negro Patrón, combinado con la actualización en tiempo real de la API CDN5 lista negra. Este conjunto de golpes combinados hacia abajo, los últimos seis meses y luego no hay casos exitosos de robo de cadena.
En resumen, el robo de cadenas es como el juego del gato y el ratón, la idea central es aumentar el coste del ataque. la autenticación de referenciadores es la primera puerta, el cifrado de URLs es la segunda, el token dinámico es la tercera. Las tres líneas de defensa se superponen + ajustes regulares de estrategia, para que los ladrones de cadenas sientan que royendo este trozo de hueso es mejor ir a buscar un caqui más blando. Después de todo, los derechos de autor de vídeo es dinero real para comprar, fue despojado desnudo, pero incluso los pantalones no se dejan.
