플래쉬 (음악/동영상) 플레이어와 보안
글쓴이: kkb110 / 작성시간: 일, 2010/03/07 - 7:51오후
안녕하세요,
재미로 요 몇일간
Naxos Music Library
http://www.naxosmusiclibrary.com/
Classical Music Library
http://clmu.alexanderstreet.com/
(두군데 모두 음악 감상할 수 있는 사이트입니다.)
에서 사용하고 있는 플래쉬 플레이어 디컴파일을 해봤는데
swf 파일에는 엑션 스크립트가 그대로 들어가있군요;;
다운로드를 막고싶었는지 swf 플레이어마다 고유 access id를 부여하고 여기저기 서버 접속해서 최종호출 url을 복잡하게 바꾸고 1초마다 바뀌는 encryption key 받아오고 등등등 별짓을 다 하던데..
이건 뭐.. 그걸 실행하는 소스(액션스크립트파일들)이 있으니 리버싱하는건 누워서 떡먹기더라구요. 디컴파일부터 시작해서 다운로드 스크립트 만들때까지 몇시간도 안걸렸습니다.
해보고나니, 이건 뭐 플레쉬 플레이어는 안뚫리는게 없겠는데요? 소스가 훤히 다 보이니...
active X에 대안으로 유력하게 꼽히는게 플레쉬인데...
소스를 볼 수 있고 리버싱이 쉽다는 점이 도입하는 입장에서는 부담이 될 수도 있겟네요.
정녕 플레쉬를 사용하면서 이런걸 막는건 불가능한걸까요?
Forums:
스트리밍 서버를
스트리밍 서버를 쓰면 어느 정도 막을 수 있는 것 같긴 하더군요.
---8< 서명 -----------------
애니메이션 감상 기록 http://animeta.net/
하지만 그
하지만 그 스트리밍도 프로토콜이 대부분 공개되어 있고 라이브러리도 이미 다 있을텐데요.
예로 위에서 classic music library 사이트는 rmtp://를 사용하던데
flvstreamer 커맨드 명령어 깔고 파이썬 스크립트에서 url을 flvstreamer로 넘기는 형식으로 처리했습니다.
그리고 설령 프로토콜이 공개되있지 않다고 해도.. 그걸 받아오는 액션 스크립트를 볼수있으니.. 고대로 만들 수 있거나..
혹은 액션 스크립트의 그 function만 따와서 음악파일을 받는 엑션 스크립트를 만들면 됩니다 -_-;;;;;;;
리눅스라면 대부분의
리눅스라면 대부분의 경우 cache에서 내용물 노획(?)이 가능합니다.
리눅스용 플래시 플레이어 자체의 문제입니다 - _-);
펄스
펄스 오디오소스로부터 pacat으로 카피하거나 알사 아웃풋을 파일로 리다이렉트해도 되죠. hdmi처럼 출력단까지 막지 않고선 헛짓인데 hdmi도 결과적으론 출력 직전 단계에서 lvds로 나올 수 밖에 없고, 그 전에도 뚤려있는 구멍들이 한 둘이 아니구요. 애초에 뭔가를 주면서 이걸 니가 보고 들을 순 있는데 그 외의 것은 못해라고 하는게 기술적으로 지저분해질 수 밖에 없는 거 같아요. 돈내는 사용자들만 불편하죠. 음원시장처럼 장기적으론 정리되지 않을까 생각합니다.
SWF 용 Obfuscator 들도
SWF 용 Obfuscator 들도 많이 있습니다.
-------------------------------------------------
$yes 4 8 15 16 23 42
-------------------------------------------------
$yes 4 8 15 16 23 42
Flash에도 (진짜) DRM이
Flash에도 (진짜) DRM이 있지만 여러가지 제약 때문에 활성화되지 못하였죠.
하지만 위 내용대로라면 사실상 아무런 보안이 걸려 있지 않아 보입니다. Flash Media Server 3.5만 해도
swf verification, rtmp+SSL, rtmpe, access control plugin등 여러가지 보안 관련 기능(단 RTMP를 쓸 때만)을
제공하는데 위의 하나라도 제대로 걸려 있으면 actionscript 보고 그대로 따라하는 일은 불가능합니다.
물론 그냥 패킷 캡처한다든가 PC의 디바이스 수준에서 빼돌리면 아무런 소용 없겠습니다만...
--
익스펙토 페트로눔
--
익스펙토 페트로눔