Bestanden afschermen op webserver *

Allereerst lijkt mij dit iets wat je bedenkt voor dat je gaat bouwen, maar goed.

Ik denk dat ik het ongeveer zo zou oplossen :
Maak een tabel met een koppling naar de user, film en een geheime token. Die token lees je uit in de url en controleert of de ingelogde user wel overeenkomt met die uit de database en als dat klopt kun je ze de film laten downloaden.

[ Voor 6% gewijzigd door daniëlpunt op 28-11-2008 14:22 ]

Een complete gebruikersomgeving is het meest handig. Zorg ervoor dat ze moeten registreren met gebruikersnaam wachtwoord, en toon de films alleen als de betalende gebruiker ingelogd is. Dat lost al heel wat op. Het enige waar je dan nog naar moet kijken is account sharing, maar dat valt misschien met ip-restricties of een maximum aantal views wel gedeeltelijk af te vangen.

Je kan drm gebruiken, of een script dat de film doorstuurt vanuit een map die niet via het web te benaderen is. Gebruik dan de techniek van daniëlpunt om te controleren of het een legitieme download is.
Jouw twee methoden in de OP zijn beiden te spoofen.

Mogen ze de film fysiek downloaden of bedoel je streamen?

Wat heeft dit te maken met het beveiligen van films?

Dimby schreef op vrijdag 28 november 2008 @ 16:13:
Bedankt, mede door Arjan Kapteijn heb ik het probleem opgelost.
Ik heb de map beveiligt via CPanel en het bestand wordt nu gedownload met de volgende code:

code:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

<?php $bestand = $_GET['bestand']; $map = '/var/www/bestanden/'; // Eerste kijken of het bestand uberhaupt bestaat. if(file_exists($map.$bestand)) { // Force the download header("Content-Disposition: attachment; filename=\"" . basename($map.$bestand) . "\""); header("Content-Length: " . filesize($map.$bestand)); header("Content-Type: application/octet-stream;"); //Dit om gezeik met IE en HTTPS te voorkomen header('Cache-Control: private'); header('Pragma: private'); //Dit omdat we niet willen cache'n header("Cache-Control: no-cache, must-revalidate"); header("Expires: Mon, 26 Jul 1997 05:00:00 GMT"); readfile($map.$bestand); }else{ echo '<p>Sorry, dit bestand bestaat niet!</p>'; } ?>

Kan dus een slotje op

Ermmm waar zit de security?
En je weet dat je via dit script elk bestand kan downloaden die je maar wil?

En wie is Arjan Kapiteijn?

[ Voor 5% gewijzigd door LuCarD op 28-11-2008 16:25 . Reden: was de commentaar vergeten :) ]

Door een andere $_GET['bestand'] mee te geven kan je ook terug in de directory.

?bestand=..\config.php
Woehoe.

Dimby schreef op vrijdag 28 november 2008 @ 16:31:
Tuurlijk zitten er beveiligingen op, dit is het script wat ik heb gekregen op een ander forum. Ik heb het helemaal ingebouwd en beveiligd

Dan hoop ik dat je bovenstaand ook hebt afgevangen, want dat script is geenszins een beveiliging verder. Als je de bestandsnaam weet (en die geef je mee..) dan kan je alsnog gewoon het bestand downloaden (Al weet ik niet op wat voor manier je een "CPanel" (.htaccess prolly)-beveiliging hebt ingesteld)

[ Voor 105% gewijzigd door krvabo op 28-11-2008 16:37 ]

link naar draadje op ander forum. Niet netjes..

ajax is geen beveiliging eh: die code draait op de client en kan dus gerust gesniffed worden of aangepat worden naar eigen smaak... (goeie rant op TS: waar the hell haalde het btw vandaan dat ajax = security ?)

je hebt nu wel een serieus gat geslagen in de security van je server (en/of je php-scripts)

$bestand = $_GET['bestand'];
$map = '/var/www/bestanden/';

// Eerste kijken of het bestand uberhaupt bestaat.
if(file_exists($map.$bestand))

readfile($map.$bestand)

als ik een ?bestand=../'naam php file'.php doe, dan lees ik je code, en kan ik zo nog verder ....
(of in't slechtste geval zelfs een ../../etc/'pasword-file' enzo ...)

je moet altijd je $_GET variabelen controleren op valid-input en niet pas bij een 'als bestand bestaat'...

doe dat bv met een post - ik kan die get sniffen en replayen en diezelfde file ook binnenhalen, of als de bestandnaam raadbaar is de ?bestand=... aanpassen naar wat ik wil en ik haal nog alles binnen
(met post kan dat ook,maar is toch iets lastiger)

doe het bv via een database:
userid 'heeft betaald voor' 'lijst film-id's' en dan bij
get (userid, filmid): heeft user er voor betaald ? en zo ja waar zit die file eigenlijk ? (en mss tellertje bijhouden: 'al zoveel keer afgehaald' )
als je dan ook nog werkt met een goede implementatie van sessie's zodat een reply niet kan, is het al een pak veiliger. (je kan met sessieid ipv userid werken, en iemand die gaat gokken op userid's en filmid's kan geen lijst genereren wie welke film heeft aangekocht of hem alsnog op iemand anders rekening afhalen)

en als je dan nog wat controle doet bij 'user-input' - en dus alles wat of $_post, $_get, ( ev. ook $_cookie en ev. $_sessie) dan spijker je al veel 'exploitbare' gaten dicht

verdomme veel te laat, en ik zeg hetzelfde als de laatste in het hierboven gepost topic
btw aan TS: leuk dat je crosspost op verschillende fora, maar dat wilt nog niet zeggen dat je copy-past alles moet herhalen eh je had hier kunnen zeggen dankzij x via forum ...
nu is hier telkens exact hetzelfde gezegd als op dat phphulp-topic en dus verloren moeite en tijd voor ons ...

en TS: weet ons hier gerust de link door te spelen zodra die site online is eh

[ Voor 18% gewijzigd door soulrider op 28-11-2008 16:55 ]

Vertrouw de client nooit!

Dit is een vuistregel die je bij alles moet aanhouden als je op het web werkt.

Ik heb dat andere topic ook ff gelezen, en hij heeft die GET helemaal niet aangepast terwijl de persoon aangeeft dat dat 100% noodzakelijk is

De opmerking van de TS is wel het mooist:

Bedankt voor de reacties, ik denk dat ik Arjan Kapteijns reactie neem. Maar wat gebeurt daar precies?

Ik kopier wat, en hoop dat er wat gebeurt, zonder ook maar iets ervan te weten.

Zoals al gezegd word. Het is geen nette oplossing. Verdiep je eens in wat je gaat proberen te doen ipv zomaar wat code kopieren. Daar heb je zelf natuurlijk niets aan. Dan kan je beter op zoek gaan naar een softwarepakket die alles al doet wat je wilt.

Als ik iemand een link wil sturen met de film, dan kan ik ook wel even mijn inlog gegevens sturen. Dat zal je toch ook allemaal moeten beveiligen. Slechts 1 download per dag bv, linken aan IP, etc etc. Ach, en dan down je gewoon zelf de film (pr0n? ) en zet je het op je torrent server.

Lijkt me dat je iedere gebruiker die recht op de film heeft een eigen dedicated URL ter beschikking wil stellen, die verwijst naar de echte film data. Dat kun je bijvoorbeeld doen met een voldoende lange hash, of je checkt op je session of de user ingelogd is (of beiden).