ต่อไป »

[okgofun]

ใครพอรู้เทคนิคบ้างครับ เรียกชื่อไฟล์เพลงไม่ใช่.wma แต่เป็น play.php แทนเฉยเลย??

ผมลอง view source เว็บนึงเพื่ออยากรู้ว่าไฟล์เพลง path เป็นยังไง ซึ่งเว็บส่วนใหญ่ก็เรียกชื่อไฟล์ปรกติ

ตรง src value="music/ruk_ter.wma" อะไรทำนองนี้ใช่ใหมครับ หรือกระทั่งไฟล์ flash embed src="gamejump.swf" ส่วนใหญ่ต้องเป็นแบบนี้ใช่ใหมคับ

แต่เว็บนั้นเขา protect โดยการเรียกชื่อไฟล์เป็น embed src="playfile.php?mode=play" หรือกระทั่งโค๊ดใส่เพลง ตรง url เพลงก็ยังเป็น value="playfile.php?mode=play" 

อะไรทำนองนี้ครับ พอเราลองเปิดไฟล์ playfile.php?mode=play หน้านั้นก็จะขึ้นประมาณว่าโดน protect เอาไว้แล้วพอใส่ค่า id=13422 เข้าไป (อ้างอิงจากเพจที่เขาเล่นเพลง ประมาณว่า playmusic.php?id=13422)  ระบบหน้านั้นก็ขึ้นประมาณว่าถูกป้องกันไว้

### คืออยากรู้มากๆเลยครับ เขาทำยังไงหละครับ ให้ไฟล์ playfile.php กลายเป็นไฟล์ flash หรือ wma

แล้วเขามีหลักการป้องกันไฟล์แบบนี้ได้ยังไงบ้างหละครับ ผมว่ามันป้องกันคนรู้ path file ได้ดีมากๆเลย  เพราะขนาดเราเรียกชื่อไฟล์นั้นตรงๆแล้วก็ใส่ค่าตัวแปร id ไปก็แล้วด้วย ระบบก็ยังรู้ว่าไม่ได้เรียกผ่านกล่องเล่นเพลงหรือ flash ?

[kennn]

รอคุณ bubbleball มาตอบ คนเก่ง Flash ผมขอตัวอย่าง Flash Fjax ด้วยนะครับ

[payu]

โดยหลักการก็คือว่า

- browser เมื่อแปล code html ที่อ่านมา เจอ tag <object> ก็จะ request ไปขอ "src" นั้นจาก server
- server เมื่อได้รับ request จาก client ก็จะไปเรียกโปรแกรม playfile.php + parameter ตามที่ถูกขอ
- โปรแกรม playfile.php ก็จะไปอ่านข้อมูลไฟล์เพลง .wma, .swf ที่ระบุมาใส่ใน stream
- จากนั้นก็ส่งค่า header มาบอก browser ว่า content ที่จะส่งมาเป็น mime type อะไร (wma, swf)
- เสร็จแล้วก็ส่ง stream ของข้อมูลเพลงกลับมาให้ที่ browser

browser ก็จะมองเหมือนว่าได้ัรับข้อมูลมา .. ก็จะจัดการไปเรียก engine ในการทำงาน (ซึ่งขึ้นอยู่กับ mime type ที่ได้รับ) แล้วก็ส่ง stream ให้ engine ทำงาน (โดยอาจจะ cache ไว้ก่อน หรือส่งแบบ streaming เลย)

สรุปก็คือว่า โปรแกรม playfile.php ก็แค่ไปอ่านไฟล์เพลงแล้วส่งกลับมาเป็น stream นั่นเอง
งงมั้ยเอ่ย 

[EThaiZone]

ลองอ่านนี้ดูละกันครับ

โค๊ด:

http://www.lunarforums.com/lunarpages_php_mysql/preventing_hotlinking_to_wmv_files-t22829.5.html;wap2=

 

[okgofun]

ขอบคุณทุกๆคนมากครับ

แบบนี้ถ้าเราใช้วิธีนี้ก็เยี่มเลยใช่ใหมครับ ประมาณว่าไม่มีใครสามารถเข้าถึงไฟล์เพลงหรือไฟล์ flash เราโดยเรียกตรงๆได้เลย

เป็นการป้องกันที่ดีมากใช่ใหมครับ แบบว่า hack เอา url เพลงไปไม่ได้ว่างั้น ถ้าเรียกผ่าน url โดยตรง

[amaudy]

ผมกำลังสงสัยว่ามันเขียน socket หรือ ใช้ Curl ดูดได้หรือเปล่า

ใครได้ลองแล้วเล่าให้ฟังหน่อยนะครับ

จะดูดจริงๆ มันก็ต้องมีวิธีสินะ แต่จะทำยังไงให้คนดูดมันออกแรงเยอะหน่อย

[jenovazac]

กำหนด HTTP_USER_AGENT  ให้อ่านได้ เฉพาะ windows media player ครับ

[payu]

ใช้พวกโปรแกรม capture streaming media ก็ดูดได้อยู่ดีครับ

[icez]

ก็... check referer / user agent
2 อย่างเองมั้ง

[amaudy]

ู^
^
นึกว่าคุณ icez จะมาปล่อยการคอนฟิกเด็ดๆ

[icez]

จริงๆ ระบบพวกนี้ไม่ต้องไปตั้งใน apache หรอกครับ
เขียน script ธรรมดาก็ได้แล้ว

สำหรับ php:

1. $_SERVER["HTTP_REFERER"] ตรวจสอบค่านี้ ว่ามาจากเว็บเราใช่มั้ย
2. $_SERVER["HTTP_USER_AGENT"] ตรวจสอบค่านี้เหมือนกัน ว่าเป็น windows media player มั้ย (จำไม่ได้แล้วฮะว่ามันขึ้นว่าอะไร ขออภัยด้วย)

ถ้าไม่ใช่ก็ฟ้องตามที่ต้องการ ถ้าใช่ก็สั่ง readfile เอาเลย

[jenovazac]

if (strpos(strtolower($_SERVER['HTTP_USER_AGENT']),"windows-media-player")===false){

           ................
}

จัดไป

[amaudy]

ถ้าเกิดปลอม user agent ล่ะครับ
จะกันยังไง?

อันนี้ผมอยากรู้จริงๆ แต่โดยส่วนตัว ก็ยังไม่ได้ทดลองปลอม user agent แล้วเข้าไปดึงข้อมูลที่เป็น streaming  นะครับ (พวกข้อความ, รูปภาพ เคยปลอม header, user agent ก็ดูดได้หมด lwp, curl ผมใช้ทั้งสองตัวครับ)

[icez]

ถ้าปลอมได้เหมือนกับที่ media player ส่งไปทั้งหมดก็อ่านได้หมดครับ
ไม่ว่าจะตัวไหนหรือป้องกันแบบไหน ถ้าปลอมได้ชนิดที่เหมือนเป๊ะๆ ก็โดนหมด

[amaudy]

ถ้าปลอมได้เหมือนกับที่ media player ส่งไปทั้งหมดก็อ่านได้หมดครับ
ไม่ว่าจะตัวไหนหรือป้องกันแบบไหน ถ้าปลอมได้ชนิดที่เหมือนเป๊ะๆ ก็โดนหมด

โดยทฤษฎี ผมก็คิดอย่างงั้นครับ แต่ปฏิบัตินี่ ยังไม่ได้ลงมือทดลองครับ

เลยไม่สงสัย ทำไม mcot.net ถึงให้ติดตัว de-code ก่อน ถึงจะเข้าไปดูรายการย้อนหลังได้

[okgofun]

อ่า ได้ความรู้เยอะมากๆเลยครับ เอ? windows media มีชื่อ user agent เป็น windows-media-player ใช่ใหมครับ เอ?

มีคำสั่งอะไรบ้างอะครับ ที่เช็คว่าไฟล์รูปแบบใหนเป็น user agent อะไร? ขอบคุณครับ

[amaudy]

อ่า ได้ความรู้เยอะมากๆเลยครับ เอ? windows media มีชื่อ user agent เป็น windows-media-player ใช่ใหมครับ เอ?

มีเยอะมากครับ เท่าที่เจอนะ ค้นคร่าวๆ ไม่ได้ลงรายละเอียดนะครับ

Windows-Media-Player/7.10.00.3059
NSPlayer/4.1.0.3925
NSPlayer/11.0.5358
NSPlayer/7.10.0.3059
Windows-Media-Player/7.00.00.1441
Windows-Media-Player/10.00.00.3802
NSPlayer/9.0.0.2980_WMFSDK/9.0
Windows-Media-Player/9.00.00.3344
NSPlayer/8.0.0.4487
NSPlayer/10.0.0.3802_WMFSDK/10.0
Windows-Media-Player/10.00.00.4036
Windows-Media-Player/9.00.00.3250
Windows-Media-Player/10.00.00.3704
NSPlayer
NSPlayer/4.1.0.3856
NSPlayer/10.0.0.3646
NSPlayer/10.0.0.3802
NSPlayer/9.0.0.2980
NSPlayer/9.0.0.3250
NSPlayer/9.0.0.3250_WMFSDK/9.0
Windows-Media-Player/11.0.5721.5145
Windows-Media-Player/8.00.00.4477
NSPlayer/10.0.0.3646_WMFSDK/10.0
Windows-Media-Player/11.0.5705.5043

มีคำสั่งอะไรบ้างอะครับ ที่เช็คว่าไฟล์รูปแบบใหนเป็น user agent อะไร? ขอบคุณครับ

ไฟล์รูปแบบไหน รูปแบบอะไร? อันนี้ต้องศึกษาเรื่อง MIME-TYPE ครับ
แต่ถ้าอยากรู้ว่า client ที่เรียกเข้ามาเป็นอะไร สำหรับ php ก็

$_SERVER['HTTP_USER_AGENT']


อยากรู้รายละเอียด
เรื่องการปลอม header หาหนังสือเก่าๆของอาจารย์ ทรงเกียรติ ภาวดี ชื่อหนังสือ เขียน cgi ส่ง เพจ อะไรนี่แหละ จำชื่อหนังสือเป๊ะๆไม่ได้ครับ แต่ออกมานานมากแล้ว ของค่ายวิตตี้
อธิบานแนวคิดได้ทะลุปรุโปร่งมาก

ถ้าคิดจะป้องกันโจร เราก็ต้องคิดแบบโจร ทุกอย่างมีสองด้านเสมอครับ

[okgofun]

อ่า ได้ความรู้เยอะมากๆเลยครับ เอ? windows media มีชื่อ user agent เป็น windows-media-player ใช่ใหมครับ เอ?

มีเยอะมากครับ เท่าที่เจอนะ ค้นคร่าวๆ ไม่ได้ลงรายละเอียดนะครับ

Windows-Media-Player/7.10.00.3059
NSPlayer/4.1.0.3925
NSPlayer/11.0.5358
NSPlayer/7.10.0.3059
Windows-Media-Player/7.00.00.1441
Windows-Media-Player/10.00.00.3802
NSPlayer/9.0.0.2980_WMFSDK/9.0
Windows-Media-Player/9.00.00.3344
NSPlayer/8.0.0.4487
NSPlayer/10.0.0.3802_WMFSDK/10.0
Windows-Media-Player/10.00.00.4036
Windows-Media-Player/9.00.00.3250
Windows-Media-Player/10.00.00.3704
NSPlayer
NSPlayer/4.1.0.3856
NSPlayer/10.0.0.3646
NSPlayer/10.0.0.3802
NSPlayer/9.0.0.2980
NSPlayer/9.0.0.3250
NSPlayer/9.0.0.3250_WMFSDK/9.0
Windows-Media-Player/11.0.5721.5145
Windows-Media-Player/8.00.00.4477
NSPlayer/10.0.0.3646_WMFSDK/10.0
Windows-Media-Player/11.0.5705.5043

มีคำสั่งอะไรบ้างอะครับ ที่เช็คว่าไฟล์รูปแบบใหนเป็น user agent อะไร? ขอบคุณครับ

ไฟล์รูปแบบไหน รูปแบบอะไร? อันนี้ต้องศึกษาเรื่อง MIME-TYPE ครับ
แต่ถ้าอยากรู้ว่า client ที่เรียกเข้ามาเป็นอะไร สำหรับ php ก็

$_SERVER['HTTP_USER_AGENT']


อยากรู้รายละเอียด
เรื่องการปลอม header หาหนังสือเก่าๆของอาจารย์ ทรงเกียรติ ภาวดี ชื่อหนังสือ เขียน cgi ส่ง เพจ อะไรนี่แหละ จำชื่อหนังสือเป๊ะๆไม่ได้ครับ แต่ออกมานานมากแล้ว ของค่ายวิตตี้
อธิบานแนวคิดได้ทะลุปรุโปร่งมาก

ถ้าคิดจะป้องกันโจร เราก็ต้องคิดแบบโจร ทุกอย่างมีสองด้านเสมอครับ

ขอบคุณมากๆเลยครับ ไว้ผมจะลองหาหนังสือมาศึกษาเพิ่มเติมดูครับ

[EThaiZone]

จะเอาป้องกันมากกว่านี้ก็อัพ cookie หรือ session ไปเลย

แล้วจำกัดเวลาด้วยให้มีการหมดอายุ (กรณี session ก็ทำอีกค่าเก็บเวลาเอาไว้)

มีหลายวิธีครับเยอะแยะ

แต่ก็อย่างหลายคนพูด ไม่มีอะไรสมบูรณ์ 

[icez]

กรณีน่าสนใจ... อยู่ที่เว็บฝากไฟล์เหมือนกันครับ

พูดถึง session นี่ จะใช้ป้องกันได้เยอะกว่าที่ว่าอีกครับ
1. เข้าเว็บ song.php?id=111
2. song.php สร้าง session เก็บ id ของเพลง, ip กะเวลาที่เข้าไว้ใน mysql (กำหนดอายุ 1 นาที)
3. song.php เอา session id ที่ได้ไปใส่ใน embed src => play.php?id=111&session=XXX แล้วตั้ง autoplay ไว้ด้วย
4. play.php จับค่า session ไป check ว่า ip / เวลา / id ตรงกันหมดมั้ย ถ้าไม่ตรงก็ไม่ปล่อยแฟ้ม ถ้าตรงก็ปล่อยออกมา

เวลา 1 นาที พอให้ client load อัตโนมัติครับ แต่เกือบจะไม่พอสำหรับคนที่จะสูบ

[EThaiZone]

กรณีน่าสนใจ... อยู่ที่เว็บฝากไฟล์เหมือนกันครับ

พูดถึง session นี่ จะใช้ป้องกันได้เยอะกว่าที่ว่าอีกครับ
1. เข้าเว็บ song.php?id=111
2. song.php สร้าง session เก็บ id ของเพลง, ip กะเวลาที่เข้าไว้ใน mysql (กำหนดอายุ 1 นาที)
3. song.php เอา session id ที่ได้ไปใส่ใน embed src => play.php?id=111&session=XXX แล้วตั้ง autoplay ไว้ด้วย
4. play.php จับค่า session ไป check ว่า ip / เวลา / id ตรงกันหมดมั้ย ถ้าไม่ตรงก็ไม่ปล่อยแฟ้ม ถ้าตรงก็ปล่อยออกมา

เวลา 1 นาที พอให้ client load อัตโนมัติครับ แต่เกือบจะไม่พอสำหรับคนที่จะสูบ

ผมเคยทำให้เว็บหนึ่ง แต่เขาไม่เอาสตรีมมิ่ง คือกะเอาแค่กันดูลิงค์ก็พอ

แม้แต่เลข id จะไม่มีก็ทำได้ครับ
คือค่าทั้งหมดจะไปอยู่ที่ session หมดเลย

เพราะยังไงถ้ามีการเรียกจากหน้าเว็บจริงๆ หน้าเว็บเนี่ยแหละ
จะค่อยจัดการ session ให้

แล้วตัว play.php ก็ไม่จำเป็นต้องอ้างถึง id เลยก็ได้ครับ
เพราะก็ให้มันไปอ่าน session ก็ได้

ว่าแต่ผมขอถามหน่อยสิครับ session ปกติมันก็เก็บค่าค้างไว้ได้ใช่ปะครับ
แล้วทำไมต้องเก็บลง mysql ด้วยล่ะ ?

[amaudy]

ว่าแต่ผมขอถามหน่อยสิครับ session ปกติมันก็เก็บค่าค้างไว้ได้ใช่ปะครับ
แล้วทำไมต้องเก็บลง mysql ด้วยล่ะ ?

ถ้าเป็นเมื่อก่อน ก่อนที่จะรู้จักคำสั่ง session_save_path และตอนที่ temp ของโฮสต์ vhost มันอยู่ไดเรคทอรี่เดียวกันหมด
ผมก็จะบอกว่าเหตุผลเรื่องความปลอดภัย
เพราะ php เก็บ session ไว้ที่ไดเรคทอรี่ temp รวมกันหมดทุก Vhost ใครเปิด ไดเรคทอรี่นี้ได้
ดูได้หมดเลย ว่าเวบไหนใช้ session อะไร ตัวแปรอะไรบ้าง
พูดแล้วสยอง ยิ่งรายไหนที่เขียน username, password ฝังไปกับ session ด้วย หุๆ ดูไม่จืด

แต่ทุกวันนี้ ที่เอา session ลงฐานข้อมูล เพื่อการมอนิเตอร์พฤติกรรมการใช้เวบล้วนๆ เผื่อมีใครมาแอบแซบอะไรกับเวบเราหรือเปล่า

[amaudy]

กรณีน่าสนใจ... อยู่ที่เว็บฝากไฟล์เหมือนกันครับ

พูดถึง session นี่ จะใช้ป้องกันได้เยอะกว่าที่ว่าอีกครับ
1. เข้าเว็บ song.php?id=111
2. song.php สร้าง session เก็บ id ของเพลง, ip กะเวลาที่เข้าไว้ใน mysql (กำหนดอายุ 1 นาที)
3. song.php เอา session id ที่ได้ไปใส่ใน embed src => play.php?id=111&session=XXX แล้วตั้ง autoplay ไว้ด้วย
4. play.php จับค่า session ไป check ว่า ip / เวลา / id ตรงกันหมดมั้ย ถ้าไม่ตรงก็ไม่ปล่อยแฟ้ม ถ้าตรงก็ปล่อยออกมา

เวลา 1 นาที พอให้ client load อัตโนมัติครับ แต่เกือบจะไม่พอสำหรับคนที่จะสูบ

แนวคิดนี้ ก็น่าสนใจมากครับ

ผมเห็นแว้บๆนะ ว่า curl มันสร้าง session, cookie ได้

แต่ที่จะไปไม่รอด เพราะอายุของ session 1 นาที นี่แหละ
จะดูดยังไงทัน ถ้าเจอไฟล์หลายๆเมก

หุๆ ไว้ว่างก่อนครับ จะทดสอบดู แล้วจะมาเล่าให้ฟัง

[icez]

สาเหตุที่ต้องทำลง mysql เพราะ
ผมกระจาย server ครับ (อ้างอิงจาก files.icez)
มี server หลายเครื่อง เลยต้องเอา session ไปใส่ mysql แทน