2

更新:这个问题专门关于保护(加密/混淆)内容客户端与在从服务器传输之前进行。采用像 itune 这样的方法的优点/缺点是什么 - 其中文件在传输之前没有被加密/混淆。

正如我在原始问题的注释中添加的那样,我们需要遵守一些合同(对于大多数实施 drm 的服务来说就是这种情况)。我们推动免费的drm,大多数内容提供商的交易都在上面,但这并不能免除我们已经承担的义务。


我最近阅读了一些有关 itunes / fairplay 如何接近 drm 的信息,并且没想到会看到服务器实际上在没有任何保护的情况下提供文件。

这个答案中的引用似乎抓住了这个问题的精神。

目标应该只是“让诚实的人保持诚实”。如果我们走得更远,只会发生两件事:

  1. 我们打了一场我们无法赢得的战斗。想作弊的人会成功。
  2. 我们让产品更难使用,从而伤害了我们产品的诚实用户。

我看不到对这里的诚实用户有任何影响,文件将与用户相关联——无论这种情况发生在客户端还是服务器端。这确实为 1 中的人提供了另一个机会。

额外的一点信息:客户端环境是 adobe air,涉及多种内容类型(音乐、视频、flash 应用程序、图像)。

那么,像 itune 一样公平竞争,保护媒体客户端是否合理。

注意:我认为牢不可破的 DRM 是一个无法解决的问题,因为大多数人都在寻找这个问题的答案,所以对它的需求与它已经与内容提供商签订了合同......在合理的最大努力中。

4

7 回答 7

9

我想你可能在这里遗漏了一些东西。用户讨厌,讨厌讨厌讨厌DRM。这就是为什么没有一家媒体公司在尝试使用它时获得任何牵引力。

于 2009-11-30T20:57:15.993 回答
6

这里的关键是合同上写着“合理的最大努力”,而我对这在法庭上意味着什么一无所知。

您想要做的是让您的客户对您使用的 DRM 感到满意。我不知道您的客户认为 DRM 是什么、可以做什么、资源成本,或者您的客户是否真的意识到 DRM 真的很烦人。你必须回答这个问题。您可以尝试教育客户,但这可能被视为试图解释不合格的工作。

如果客户不满意,下一个后备位置是在没有诉讼的情况下获得报酬,而要做到这一点,合同必须相当明确。不幸的是,“合理的最大努力”并不清楚,所以你可能会在法庭上告终。您可能能够以客户的利益重新谈判合同的某些部分,或者您可能不会。

如果一切都失败了,你希望赢得官司。

我不是律师,这不是法律建议。我确实认为这更像是一个期望问题和可能的法律解释问题,而不是一个技术问题。我想我们在这里帮不了你。你应该咨询专门从事这种事情的律师,我什至不知道该推荐什么专业。如果您在美国,请致电您当地的律师协会并要求推荐。

于 2009-12-01T14:41:27.843 回答
5

我看不到对这里的诚实用户有任何影响,文件将与用户相关联——无论这种情况发生在客户端还是服务器端。这确实为 1 中的人提供了另一个机会。

与用户绑定的文件需要某种方法来验证是否存在用户。当您的验证服务器出现故障(或像沃尔玛那样中断)时会发生什么?

没有任何级别的 DRM 至少不会影响一些“诚实的用户”。

于 2009-11-30T21:01:15.640 回答
4

数据可以复制 只要客户端硬件,独立,无法区分“好”和“坏”副本,您最终将限制所有通用副本和复制机制。大多数 DRM 公司通过告诉我这项技术让我获得了多少自由来处理这个事实。几乎就像人们经常听到同样的事情时会开始相信一样......

无法在客户端上保护代码。保护服务器上的代码是一个很大程度上已解决的问题。保护客户端上的代码不是。当前所有的方法都带有吝啬的限制。

影响以微妙的方式起作用。至少,您有实施客户端 DRM 的额外成本(以及所有后续成本,包括成群的“DMCA” - 大喊大叫的律师大猩猩)很难证明您会用增加收入。


这不仅仅是关于代码和加密。一旦您实施了客户端 DRM,您就会在市场营销、公共关系和法律方面引发一系列事件。只要他们不停止疏远用户,您就无需费心。

于 2009-11-30T23:15:27.257 回答
3

要回答“是否合理”这个问题,当你使用“保护”这个词时,你必须清楚你试图保护的东西......

例如,您是否尝试:

  1. 授权用户在某些情况下(例如租期到期、复制到另一台计算机等)通过您的应用程序使用他们下载的内容?
  2. 授权用户在某些情况下(例如租期到期、复制到另一台计算机等)通过任何应用程序使用他们下载的内容?
  3. 未经授权的用户使用通过您的应用从授权用户那里收到的内容?
  4. 未经授权的用户使用从授权用户通过任何应用程序收到的内容?
  5. 已知用户通过您的应用程序从您服务器上的媒体库访问未购买/未经授权的内容?
  6. 已知用户通过任何应用程序从您服务器上的媒体库访问未购买/未经授权的内容?
  7. 未知用户通过您的应用访问您服务器上的媒体库?
  8. 未知用户通过任何应用程序访问您服务器上的媒体库?

ETC...

上面的“任何应用程序”可以包括以下内容:

  • 其他旨在与您的网站互操作/合作的播放器程序(例如flickr
  • 旨在将内容转换为其他格式(可能是非 DRM 格式)的程序
  • 恶意程序旨在

从您链接的文章中,您可以开始看到应用 DRM 客户端的一些可能的限制......

  • 第三种,最初用于 iTunes Store 的 Linux 客户端 PyMusique,伪装成 iTunes。它从 Apple 的服务器请求歌曲,然后下载购买的歌曲而不锁定它们,就像 iTunes 那样。

  • 第四个,用在 FairKeys 中,也伪装成 iTunes;它从 Apple 的服务器请求用户的密钥,然后使用这些密钥来解锁现有购买的歌曲

这些方法都不需要破坏正在应用的 DRM,甚至不需要破解任何涉及的产品;它们可以简单地通过被动地观察所涉及的协议,然后模仿它们来完成。

所以问题就变成了:您是否试图防范此类攻击?

  • 如果是,那么客户端应用的 DRM 是不合理的。
  • 如果不是(例如,您只关心使用您的应用程序的人,就像 Apple/iTunes 一样),那么它可能是。

(针对您能想到的每种情况重复此过程。如果答案始终是“客户端应用的 DRM 将保护我”或“我不想保护这种情况”,那么使用客户端应用的 DRM 是合理的.)


请注意,对于我的最后四个示例,虽然 DRM 可以防止这些情况作为副作用,但它并不是实施这些限制的最佳场所。这些类型的限制最好在登录/授权过程中应用于服务器。

于 2009-12-10T03:41:50.747 回答
1

如果服务器在没有保护的情况下提供内容,那是因为加密是针对每个客户端的。

话虽如此,wireshark 将挫败你最好的计划。

于 2009-11-30T20:59:43.543 回答
0

单独加密通常就像发送一个布尔值告诉你是否被允许使用内容一样好,因为绕过通常只是将输入/输出更改为一个加密 API 调用......

如果您希望保护实际上保持超过 5 分钟,您希望在客户端使用重度二进制混淆。在客户端使用解密,确保数据无法重放,绕过系统的唯一方法是对整个二进制保护方案进行逆向工程。如果做得好,这将阻止所有的孩子。

另一方面,如果这是要在操作系统上运行的产品,请不要使用特定于处理器或特定于操作系统的异常,例如 Windows PEB/TEB/系统调用和处理器错误,这些只会使程序的可移植性更差比 DRM 已经是。

哦,回答问题标题:不。这是浪费时间和金钱,并且会使您的产品无法在我强化的 Linux 系统上运行。

于 2009-12-09T18:35:00.603 回答