{"id":1007,"date":"2026-03-05T13:00:00","date_gmt":"2026-03-05T05:00:00","guid":{"rendered":"https:\/\/www.ddosgj.com\/?p=1007"},"modified":"2026-03-05T13:00:00","modified_gmt":"2026-03-05T05:00:00","slug":"le-cdn-video-a-haute-securite-empeche-efficacement-le-vol-de-liens-et-le-vol-de-contenu-grace-a-lauthentification-du-referent-et-au-cryptage-de-lurl","status":"publish","type":"post","link":"https:\/\/www.ddosgj.com\/fr\/1007-html","title":{"rendered":"Le CDN vid\u00e9o haute d\u00e9finition emp\u00eache efficacement le vol de liens et le d\u00e9tournement de contenu gr\u00e2ce \u00e0 l'authentification du r\u00e9f\u00e9rent et au cryptage de l'URL."},"content":{"rendered":"<p>R\u00e9cemment, j'ai aid\u00e9 un client \u00e0 r\u00e9soudre le probl\u00e8me du vol d'une cha\u00eene vid\u00e9o. L'autre partie a utilis\u00e9 une petite usine CDN, la cha\u00eene antivol a simplement ouvert une v\u00e9rification Referer, les r\u00e9sultats du jour suivant le trafic comme d'habitude a \u00e9t\u00e9 bross\u00e9 \u00e9clat\u00e9. Une v\u00e9rification du journal, bon gars, l'attaquant a directement forg\u00e9 la t\u00eate de Referer, facilement tra\u00een\u00e9 les ressources vers le bas du ciel. De nos jours, m\u00eame les CDN doivent \u00eatre \u201canti-t\u00e9moins\u201d, en s'appuyant sur la configuration de base, ils ne peuvent vraiment pas faire mieux.<\/p>\n<p>En fait, le vol de cha\u00eenes vid\u00e9o n'est pas nouveau depuis longtemps, mais il a pris de l'ampleur au cours des deux derni\u00e8res ann\u00e9es. Des bandes de ma\u00eetres chanteurs ont m\u00eame mis au point des outils automatis\u00e9s, sp\u00e9cialis\u00e9s dans l'analyse des sites \u00e0 la recherche de vuln\u00e9rabilit\u00e9s contre le vol de cha\u00eenes. J'ai test\u00e9 et constat\u00e9 que les sites qui s'appuient uniquement sur l'authentification Referer, 90% ou plus, peuvent \u00eatre contourn\u00e9s - apr\u00e8s tout, l'en-t\u00eate HTTP, dans le client, est une petite fille \u00e0 habiller. Pire encore, certains crawlers simulent directement le comportement du navigateur, m\u00eame les Referer sont g\u00e9n\u00e9r\u00e9s pour vous conform\u00e9ment \u00e0 la sp\u00e9cification, et ne peuvent \u00eatre d\u00e9fendus.<\/p>\n<p>Une d\u00e9fense vraiment efficace doit \u00eatre multicouche ; l'authentification du r\u00e9f\u00e9rent est la base, mais elle doit \u00eatre associ\u00e9e au cryptage des URL et aux jetons dynamiques. Ne consid\u00e9rez pas ces deux astuces comme d\u00e9mod\u00e9es ; utilis\u00e9es correctement, elles peuvent permettre de d\u00e9jouer la plupart des attaques. En particulier le jeton de temps, j'ai utilis\u00e9 SHA256 comme signature, l'IP du client, les horodatages, les chemins d'acc\u00e8s aux ressources sont combin\u00e9s et crypt\u00e9s, le d\u00e9lai d'expiration est fix\u00e9 \u00e0 une dur\u00e9e plus courte, m\u00eame s'il est intercept\u00e9, il sera invalid\u00e9 tr\u00e8s rapidement.<\/p>\n<p>Ne croyez pas ceux qui disent que \u201cHTTPS est une cha\u00eene antivol naturelle\u201d, HTTPS peut seulement emp\u00eacher l'espionnage de l'interm\u00e9diaire, mais apr\u00e8s l'autorisation de la demande d'\u00eatre vol\u00e9 comme vol\u00e9. L'ann\u00e9e derni\u00e8re, il y a eu un cas, une vid\u00e9o de plateforme \u00e9ducative a \u00e9t\u00e9 nettoy\u00e9e, c'est \u00e0 cause de l'utilisation de jetons statiques dans le JS, les gens directement F12 a tourn\u00e9 \u00e0 l'envers.<\/p>\n<p>En ce qui concerne le choix des fournisseurs de services CDN, j'en ai compar\u00e9 trois : CDN5, CDN07 et 08Host. La configuration de la cha\u00eene antivol de CDN5 est la plus flexible, elle prend en charge le cryptage variable personnalis\u00e9, mais le prix est \u00e9lev\u00e9 ; l'interface de CDN07 est infaillible, elle convient aux novices, mais les fonctionnalit\u00e9s avanc\u00e9es doivent \u00eatre plus co\u00fbteuses ; le rapport qualit\u00e9-prix de 08Host est le meilleur, avec l'int\u00e9gration du WAF, mais il peut \u00e9galement \u00eatre configur\u00e9 en fonction de la r\u00e9gion de la politique diff\u00e9rente de la cha\u00eene antivol, j'ai donc d\u00e9cid\u00e9 de l'utiliser pour les projets de petite et moyenne envergure. Il est utilis\u00e9 \u00e0 80 % par les petits et moyens projets.<\/p>\n<p>Il y a un pi\u00e8ge \u00e0 \u00e9viter lors du d\u00e9ploiement : n'utilisez pas de param\u00e8tres explicites dans l'URL pour v\u00e9rifier les autorisations ! J'ai vu des gens ins\u00e9rer l'identifiant de l'utilisateur directement dans l'URL, et le r\u00e9sultat est que toutes les vid\u00e9os d'utilisateurs sont parcourues et explor\u00e9es. L'approche correcte consiste \u00e0 placer la logique de v\u00e9rification \u00e0 la p\u00e9riph\u00e9rie du n\u0153ud CDN, en utilisant des relations de mappage variables. Par exemple, l'arri\u00e8re-plan de configuration de CDN07 peut d\u00e9finir la fonction de p\u00e9riph\u00e9rie pour v\u00e9rifier directement la validit\u00e9 du jeton :<\/p>\n<p>Voici un autre conseil : le d\u00e9coupage vid\u00e9o est plus s\u00fbr en cas d'analyse m\u00e9dico-l\u00e9gale. D\u00e9coupez les fichiers volumineux en segments et autorisez chaque segment individuellement. Bien que cela ajoute un peu de temps, le facteur de s\u00e9curit\u00e9 est doubl\u00e9. Lorsqu'un client s'est fait voler sa cha\u00eene, gr\u00e2ce \u00e0 l'utilisation du d\u00e9coupage et du jeton dynamique, l'attaquant n'a emport\u00e9 que 5 minutes de contenu et a \u00e9t\u00e9 arr\u00eat\u00e9 par le m\u00e9canisme de d\u00e9faillance du jeton ; la perte est directement contr\u00f4l\u00e9e dans les limites du seuil.<\/p>\n<p>Enfin, le secteur est en plein chaos. Certains fournisseurs de CDN ont fait exploser l'anti-vol de cha\u00eene de base, en fait, m\u00eame l'attaque par relecture de l'horodatage ne peut pas \u00eatre emp\u00each\u00e9e. Si vous voulez vraiment assurer une d\u00e9fense efficace, vous devez v\u00e9rifier si le fournisseur de services prend en charge la rotation des cl\u00e9s, s'il fournit une surveillance en temps r\u00e9el du vol de cha\u00eene. 08Host dans ce travail est tout \u00e0 fait r\u00e9el, l'arri\u00e8re-plan peut directement voir la tentative de vol de la carte de la cha\u00eene, et m\u00eame la source de l'attaque, le num\u00e9ro AS, sont marqu\u00e9s pour vous.<\/p>\n<p>Pour \u00eatre honn\u00eate, il n'existe pas de solution unique en mati\u00e8re de s\u00e9curit\u00e9. J'ai v\u00e9rifi\u00e9 chaque semaine les journaux des liens antivol du site web du client et, bien s\u00fbr, j'ai trouv\u00e9 quelques requ\u00eates anormales : certaines utilisant des IP proxy \u00e0 l'\u00e9tranger, et d'autres choisissant les premi\u00e8res heures du matin pour faire un essai. Maintenant, j'ai simplement \u00e9crit un script pour extraire automatiquement le mod\u00e8le d'anomalie noir, combin\u00e9 avec la liste noire CDN5 API mise \u00e0 jour en temps r\u00e9el. Cet ensemble de coups de poing combin\u00e9s, les six derniers mois et puis aucun cas r\u00e9ussi de vol de cha\u00eene.<\/p>\n<p>En bref, le vol en cha\u00eene est un jeu du chat et de la souris, l'id\u00e9e centrale \u00e9tant d'augmenter le co\u00fbt de l'attaque. L'authentification du r\u00e9f\u00e9rent est la premi\u00e8re porte, le cryptage de l'URL est la deuxi\u00e8me, le jeton dynamique est la troisi\u00e8me. Les trois lignes de d\u00e9fense sont superpos\u00e9es + des ajustements r\u00e9guliers de la strat\u00e9gie, afin de faire sentir aux voleurs en cha\u00eene qu'en rongeant ce morceau d'os, ils feraient mieux d'aller chercher un kaki plus tendre. Apr\u00e8s tout, les droits d'auteur vid\u00e9o sont de l'argent r\u00e9el \u00e0 acheter, ils ont \u00e9t\u00e9 mis \u00e0 nu, mais il ne reste m\u00eame pas le pantalon.<\/p>","protected":false},"excerpt":{"rendered":"<p>R\u00e9cemment, j'ai aid\u00e9 un client \u00e0 r\u00e9soudre le probl\u00e8me du vol d'une cha\u00eene vid\u00e9o. L'autre partie a utilis\u00e9 une petite usine CDN, la cha\u00eene antivol a simplement ouvert une v\u00e9rification Referer, les r\u00e9sultats du jour suivant le trafic comme d'habitude a \u00e9t\u00e9 bross\u00e9 \u00e9clat\u00e9. Une v\u00e9rification du journal, bon gars, l'attaquant a directement forg\u00e9 la t\u00eate de Referer, facilement tra\u00een\u00e9 les ressources vers le bas du ciel. De nos jours, m\u00eame le CDN doit \u201cpr\u00e9venir les co\u00e9quipiers\u201d, se contenter de la configuration de base ne peut vraiment pas faire mieux. En fait, le vol de cha\u00eenes vid\u00e9o n'est pas nouveau depuis longtemps, mais il est de plus en plus r\u00e9pandu depuis deux ans. Les gangs de chantage ont m\u00eame lanc\u00e9 des outils automatis\u00e9s, sp\u00e9cialis\u00e9s dans le balayage des sites \u00e0 la recherche de vuln\u00e9rabilit\u00e9s contre le vol de cha\u00eenes. J'ai d\u00e9couvert que le test proprement dit, s'appuyant simplement sur le site d'authentification Referer, 90% ou plus peut \u00eatre contourn\u00e9 - apr\u00e8s tout, l'en-t\u00eate HTTP cette chose, dans le client est de laisser les gens s'habiller la petite fille. Pire encore.<\/p>","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"","sticky":false,"template":"","format":"gallery","meta":{"_seopress_robots_primary_cat":"","_seopress_titles_title":"","_seopress_titles_desc":"","_seopress_robots_index":"","footnotes":""},"categories":[150],"tags":[],"collection":[],"class_list":["post-1007","post","type-post","status-publish","format-gallery","hentry","category-updates","post_format-post-format-gallery"],"_links":{"self":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1007","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/comments?post=1007"}],"version-history":[{"count":1,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1007\/revisions"}],"predecessor-version":[{"id":1118,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/posts\/1007\/revisions\/1118"}],"wp:attachment":[{"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/media?parent=1007"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/categories?post=1007"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/tags?post=1007"},{"taxonomy":"collection","embeddable":true,"href":"https:\/\/www.ddosgj.com\/fr\/wp-json\/wp\/v2\/collection?post=1007"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}