Mise en ligne de musiques et vidéos

[Duduchmann]

Salut à vous tous.

Je sais, c'est à la mode tous celà.. mais pour ma part, ca fait bien des années que j'ai envie justement de mettre en ligne certaines productions de mes collègues. Je developpe aujourd'hui un nouveau projet et je cherche le meilleurs moyen pour mettre en ligne des musiques. Je recherche quelques chose d'ultra sécurisé, puis, si possible, de rapide au niveau du chargement.

Pouvez vous m'aider à la tache?

Merci

[Duduchmann]

J'oubliais, quand je parle de sécurisé, je veux dire que je cherche un moyen qui permettrait à ceux qui écoute la musique, de ne pas pourvoir trouver un moyen pour la télécharger. Ainsi, j'imagine qu'il faut proteger la provenance ainsi que la musique en elle-même lors du telechargement.

[Lui]

Bonjour Duduchmann,

J'oubliais, quand je parle de sécurisé, je veux dire que je cherche un moyen qui permettrait à ceux qui écoute la musique, de ne pas pourvoir trouver un moyen pour la télécharger.

Le plus simple dans ce cas est de mettre en ligne uniquement des extraits.

[nicoo]

Clairement à partir du moment où l'on met un contenu sur Internet je ne connais aucun moyen fiable à 100% de le protéger que cela soit pour des images, du son... Pour de la musique il vaut mieux passer par des organismes afin de déposer des morceaux plutôt que de chercher une solution technique.

[Duduchmann]

Là n'est pas le pb , je recherche le moyen le plus sur pour mettre en ligne des musiques entières. Tous celà avec la meilleurs sécu qui soit

Merki

[Dudu]

Bonjour

Ce n'est pas possible. Vraiment pas.

Quiconque peut écouter de la musique sur un site peut la télécharger, tous les moyens de protection sont contournables.

Désolé

[chetcy]

Le plus simple : tu te crées un Myspace...

[Duduchmann]

Le plus simple : tu te crées un Myspace...

J'vois pas le rapport.

Mais bon, j'pense qu'il y a un problème de lecture de message: le moyen "le plus" sécurisé.

Proposer du flash me parait plus sécurisé que proposer une vieille balise object.

Au pire, je recherche à cacher la provenance de la musique.. éviter que les users trouve le lien de la musique.. après, je mets un lecteur sur le site avec lecture tampon ou quelques chose du style. j'avais penser à celà pour ma part.. si vous avez des idées, ce serait bien.

Pour myspace, j'pense que c'est autant sécurisé que tlm.. si ca l'est plus, j'veux leur technologie

[nicoo]

Proposer du flash me parait plus sécurisé que proposer une vieille balise object.

Un swf s'insère justement dans une balise object

Sinon tu peux regarder une solution comme radioblog. Tu met ta musique chez eux et tu utilises leur player pour mettre tes morceaux en écoute sur ton site. C'est peu être un bon compromis entre protection / simplicité d'utilisation.

[Duduchmann]

Un swf s'insère justement dans une balise object

Sinon tu peux regarder une solution comme radioblog. Tu met ta musique chez eux et tu utilises leur player pour mettre tes morceaux en écoute sur ton site. C'est peu être un bon compromis entre protection / simplicité d'utilisation.

Je t'avoue que la simplicité ne m'interesse pas.. puisque je compte juste mettre un auto listenning.

Un autre pb arrive aussi.. il me faut quelques chose configurable X fois et mi sur une seule page (ola, mais qu'est-ce qu'il dit l'autre )

Je m'explique.. on a pas mal de musique.. et pour les mettre en ligne, les URL se récupère via une base donnée.

L'url récuperer, je compter faire une sorte "d'echo" à l'instérieur de mon script d'écoute, pour ainsi mettre en ligne la musique.

Résultat, si je tappe: musique.php?id=1 , j'ai une musique. Si je t'appe musique.php?id=31 , j'en ai une autre, différente.

J'espère me faire comprendre

[nicoo]

Qu'appelles tu un "auto listenning" ?

Que penses tu de ce genre de solution. Il existe d'autres solutions dans le genre.

Après tu peux adapter ce type de script pour taper dans une base de données et ainsi faire ce que tu souhaites.

Par contre niveau sécurité, voir ce qui a été dit plus haut, j'éviterai donc de perdre mon temps sur ce point.

Bon dev.

[Duduchmann]

Est-ce possible d'eviter de voir le lien dans la source ou par tous autre moyens?

Ou alors, est-ce possible de faire que l'écoute ne puisse se faire que sur le serveur.

Ce qui serait bien, c'est qu'il évite de choper l'url et qu'il se balade pour chopr les musique.

SInon, autolistening.. autoloop je crois.. au niveau de la balise object.

[nicoo]

Oui c'est surement possible de rendre plus difficile l'accès physique aux fichiers : htaccess, nom complexe voire utiliser un algorithme aléatoire et tout ça...

Mais le moyen le plus simple pour télécharger de la musique est de passer par un logiciel qui va enregistrer directement le signal qui sort de la carte son. Imagine une version amélioré d'un enregistreur quelconque posé derrière les baffles de ton PC. Alors là, lien caché ou pas c foutu. Il existe pas mal de logiciels gratuits qui font cela...

Modifié 22 Août 2007 par nicoo

[Dudu]

Mais le moyen le plus simple pour télécharger de la musique est de passer par un logiciel qui va enregistrer directement le signal qui sort de la carte son. Imagine une version amélioré d'un enregistreur quelconque posé derrière les baffles de ton PC. Alors là, lien caché ou pas c foutu. Il existe pas mal de logiciels gratuits qui font cela...

C'est exactement pour ça que je dis que c'est impossible d'empêcher le visiteur d'enregistrer la musique.

Je sais que mon message n'est pas plaisant à lire donc est ignoré, mais donnez-moi l'URL d'une page avec une musique "protégée" et je vous contourne la protection

[nicoo]

Je sais que mon message n'est pas plaisant à lire donc est ignoré, mais donnez-moi l'URL d'une page avec une musique "protégée" et je vous contourne la protection

On va finir par nous donner raison

Avant de répondre au message précédent j'ai effectué une rapide recherche sur google pour trouver ces fameux logiciels. C'est très facile à trouver notamment dans les forums fréquentés par les plus jeunes. Alors pourquoi perdre du temps à développer un système qui peut être contourné en 30s par un gamin de 14 ans...

On en revient après au même point, si tu ne veux pas te faire piller ta musique (tes idées) il faut la protéger par des moyens légaux (organisme tel la SACEM, lettre A/R à soi même...).

[Duduchmann]

On va finir par nous donner raison

Avant de répondre au message précédent j'ai effectué une rapide recherche sur google pour trouver ces fameux logiciels. C'est très facile à trouver notamment dans les forums fréquentés par les plus jeunes. Alors pourquoi perdre du temps à développer un système qui peut être contourné en 30s par un gamin de 14 ans...

On en revient après au même point, si tu ne veux pas te faire piller ta musique (tes idées) il faut la protéger par des moyens légaux (organisme tel la SACEM, lettre A/R à soi même...).

J'pense que la n'est pas le problème et une fois de plus, je pense que vous avez du mal dans la lecture et des réponses de vos interlocuteur.

Quand je dis.. faire de son mieux.. ce n'est pas pousser à l'extreme, vous vous bloquer trop sur ce que vous pensez avoir compri du message. Comme dis je crois, je sais que c'est impossible de protéger, qu'il est facile d'enregistrer.. etc......

La n'est pas le problème.

Pire encore (et désolé par ailleurs), c'est pas un avis que je cherche mais de l'aide

J'vous la refait:

"le plus sécurisé possible avec le moins lourd possible"

C'est pas tous avoir ou atteindre la perfection, c'est trouver le meilleurs moyen qui s'en rapproche

"On en revient après au même point, si tu ne veux pas te faire piller ta musique (tes idées) il faut la protéger par des moyens légaux (organisme tel la SACEM, lettre A/R à soi même...)."

Ca sert à rien J'ai pu voir à quel point c'est limité. Pire, c'est pas une entreprise publique

Mais l'idée est malgré tous interessante.. le pb, c'est qu'il y a trop de musique et trop de potes.

Nan, il s'agit de pas se détourner le problème, mais de trouver une solution qui s'en rapproche.

Comme dis, éviter qu'on chope le lien, ou alors, faire que seul la page web puisse faire écouter le truc.. je ne sais pas. Je cherche des idées, pas des opinions ou des esquive: pardonnez moi mais merci quand même

Modifié 22 Août 2007 par Duduchmann

[Dudu]

Salut

Là n'est pas le problème certes.

Et effectivement on te donne un avis au lieu de te donner de l'aide.

Tu as tout à fait raison sur ce point.

Le problème est qu'on ne peut te donner aucune aide, puisqu'aide il n'y a pas. Il n'existe à l'heure actuelle aucune solution. Et je répète que si tu en trouves une, je me porte testeur et suis certain de pouvoir la contourner en quelques minutes.

En fait, c'est un peu comme si tu demandais avec quelle navette spatiale tu pourrais t'envoler pour aller marcher sur le Soleil. On te répond qu'il est impossible de marcher sur le Soleil, et tu rétorques qu'on ne t'apporte aucune solution mais un avis.

Hé oui, mais quelle autre réponse peut-on te donner ? On ne va pas inventer une solution factice juste pour te rassurer !

Alors peut-être que "[n]ous bloqu[ons] trop sur ce que [n]ous pens[ons] avoir compris du message", mais je t'assure que toi tu bloques sur ce que l'on te dit: tu t'évertues à chercher quelque chose qui n'existe pas, et tu nous reproche de te dire que ça n'existe pas en nous demandant de te trouver une solution.

Et non, je n'ai aucun mal dans la lecture, encore moins dans celle de la réponse de mes interlocuteurs. J'ai très bien compris ce que tu souhaites faire, je m'acharne juste à t'éviter de perdre du temps à chercher l'impossible.

Mais si ça peut te faire plaisir, je peux aussi te donner une solution bidon que tes visiteurs contourneront en 5 minutes. Si tu préfères ça, je peux te donner quelques astuces

Alors les voilà: tu bloques le référant si celui-ci n'appartient pas à la page qui contient la musique, tu envoies une en-tête serveur demandant à ce que le fichier ne soit pas mis en cache, et côté client tu caches le tout derrière un obscur Javascript qui ne se dégrade pas.

Voilà, mais en parlant d'"opinions et d'esquives" tu vas te retrouver confronté à un problème d'opinions (puisqu'en terme d'accessiblité par ex. ça vaut zéro) et d'esquives ("ah en faisant comme ça, j'arrive quand même à lui piquer toutes ces musiques").

Je ne peux pas te dire mieux, donc je vais cesser dorénavant d'intervenir dans cette discussion. Si malheureusement tu souhaites rester aussi obtus et chercher quelque chose qui n'existe pas, et bien bon courage.

[Duduchmann]

Je comprends totalement. Mais comme dis, je cherche pas la perfection mais le meilleurs moyen possible. Il n'est pas non plus donner à tlm de pouvoir contourner. Mieux encore, après une recherche sur google et autre type de moteur, qu'elle est le moyen le plus sur face à ce type de recherche (quel est le moyen le plus connu).

Tu vois, j'imagine aisément que les vidéos de youtube et autre truc du genre sont moins facilement piratable que celle d'un site tous neuf, amateur, fait via un script, sans doute bidon, pri sur le Net. Et ne parlons pas de musiques.

Je sais que je suis moi aussi bloquer sur mon idée (ce qui me parait normal sinon je n'aurais pas posté ici), mais comme dis, il me faut le moyen le plus sur aux yeux de l'utilisateurs lambda. Après, les confirmés et pro s'y infiltreront comme dans du beurre mais je t'avoue qu'il faut assurer un minimum de protection... être le moins open possible. Voila ce que je recherche.

Donc je suis interessé par tous type de ce style.. avec, si vous avez les solutions, les moyens de contourner la protection mise.

Merci encore à vous

[Nsg]

Bonjour,

pour un site présentant des extraits d'un album et d'un dvd j'ai d'utilisé "JW Media Player". C'est un lecteur Flash (parmi bien d'autres) dont la licence coûte 15 pour une utilisation commerciale et sous creative common sinon.

peu de protection avec ce genre de lecteur flash puisque l'url des pistes ou de la playlist apparaît dans le code html.

pour sécuriser un peu la chose je pense modifier le lecteur (source fournie) pour fixer l'url de la playlist directement dans le code actionscript.

sinon peut-être restreindre l'accès à la playliste ou aux mp3/fla uniquement pour le lecteur flash.

(modif du lecteur pour correspondre à la directive User-Agent spécifique d'un htaccess et lecture depuis une page appelante pré-déterminée)

la première solution fonctionnera certainement, je n'ai pas encore testé la deuxième.

mais dans les deux cas ça n'empêchera personne de décompiler le lecteur pour ensuite récupérer les fichiers...

A+

Nsg

[Duduchmann]

Et si je viens à vouloir creer mon propre lecteur flash.. comment puis-je faire pour éviter que l'on voit l'url dans le code source?

Sinon, est-ce possible de combiner la lecture d'un fichier (sur le site source) sans avoir la possibilité d'aller dans le fichier.. tous celà via fichier .htaccess.

Je m'explique: le fichier access interdit toute entrée, sauf celle de la lecture de la musique sur le site mem, en interne donc. On ne peut récuperer tous celà via le net.. le seul moyen serait l'acquisition carte sons et le téléchargement en fichier temporaire. Enfin, je crois.. est-ce possible ... et est-ce une bonne idée? La je pense que dudu s'y retrouveras

[Duduchmann]

J'me pose une question alors: comment fon les sites qui vendent de la musique ou en proposent.

De même, les youtube et dailymotion sont donc copiable à souhait? :s

[Dadou]

En général les sites qui vendent de la musique ne mettent que des extraits à l'écoute, pas le morceau entier.

Les googles video, Youtube, dailymotion sont facilement téléchargeable (il existe pleins de petits soft sur le net pour pouvoir le faire, voire même des services en ligne qui vous le propose)

[Duduchmann]

Et est-ce possible de creer sa propre extension, lisisble par son lecteur.. disons du flash remanier.. avec un scripting précis?

[Nsg]

Bonjour,

le tout est sans-doute de faire suffisament compliqué pour décourager la plupart de ceux qui voudraient récupérer les fichiers

évidemment on peut toujours contourner les protections (d'ailleurs on peut partir du principe que tout ce qui peut être écouté peut aussi être copié)

et il y aura toujours des visiteurs qui tenteront (et réussiront) de contourner les systèmes mis en place

vu que je dois aussi réaliser un système un tant soi-peut sécurisé dans pas longtemps, j'ai mis en forme quelque notes

l'idée de base est de se débrouiller effectuer un minimum de contrôle côté serveur avant de permettre le téléchargement des bonnes playliste par le lecteur flash et de renvoyer une mauvaise playliste si les conditions ne sont pas remplies.

rien n'est testé et les bouts de code ne sont là qu'à titre d'illustration, il peut aussi y avoir des problèmes de type cross-site policy selon les cas

on pourrait très bien faire plus sécurisé (et surtout plus compliqué) en jouant sur des clé de session et des urls variables... mais bon...

donc à priori on peut s'aider de l'user agent du client appelant et l'url de la page appelante (referrer), mais encore une fois les deux peuvent être truquées :-(

on peut au moins remplacer le referrer par des sessions php. un test supplémentaire sur HTTP_REFERER serait possible si flash renseigne cette variable à chaque fois (?).

1) sur le serveur on commence par déposer plusieurs playlists xml dans un répertoire non-accessible :

- autant de "vraies" playlistes que nécessaire et qui contiennent les url des "bons" fichiers mp3

/var/www/site/protected/playlist1.xml

/var/www/site/protected/playlist999.xml

- une fausse playliste qui contient l'url d'un fichier mp3 disant "copier c'est pas bien"

/var/www/site/protected/fausse-playlist.xml

on pourrait aussi se contenter d'une redirection 403/forbidden au lieu de renvoyer une "fausse" playliste

2) sur les pages php où apparaît le lecteur flash, on initialise des sessions et on place une sorte de jeton sur lequel faire une vérification simple (ou très compliquée) ensuite.

<?php
  if(!isset($_SESSION)) {
	  session_start();
	  $_SESSION['dejavu'] = $_SERVER["REMOTE_ADDR"]; // ici jeton == adresse ip
  }
?>

3) toujours sur les pages où apparait le lecteur on indique en clair une url virtuelle pour la playlist

(c'est plus pratique que de mettre cette adresse en dur dans le code du lecteur qu'il faudrait recompiler à chaque fois)

cette url sera ensuite "rewritée" via .htaccess pour rediriger vers un controleur php

<object ...
 <param name="flashvars" value="&playlisturl=http://www.monserveur.com/chemin/playlist1.xml" />
</object>

4) dans le code actionscript du lecteur flash on récupère la variable playlisturl

on cré aussi un objet LoadVars qui sera chargé du dialogue avec le serveur

et un objet XML destiné à recevoir le contenu de la (vraie ou fausse) playlist

var playlistUrl = _root.playlisturl;

var playlistLoader:LoadVars = new LoadVars();
var playlistContent:XML = new XML();
playlistContent.ignoreWhite = true;
playlistContent.onLoad = playlistOnLoad; // callback car chargement asynchrone

5) quelque part bien caché ailleurs dans le code du lecteur, on ajoute un attribut à playlistLoader qui l'enverra ensuite au controleur php pour vérification

playlistLoader.maVariable = "maValeur";

6) il faut ensuite télécharger une playlist avec playlistLoader qui devra indiquer une chaine "user-agent" spécifique...

le soucis est que le plugin flash semble envoyer au serveur la chaîne user-agent du navigateur utilisé :-(

-> on peut forger des entêtes HTTP perso avec addRequestHeader() et spécifier une chaine "user-agent" spécifique pour notre lecteur flash

var headers:Array = new Array("User-Agent", "Mon-player-flash");
playlistLoader.addRequestHeader(headers);

7) toujours côté lecteur flash il faut maintenant envoyer la requête (ici de type GET)

on appelle playlistUrl qui sera "rewrité" en "controleur.php"

le résultat sera placé dans l'objet XML playlistContent

playlistLoader.sendAndLoad(playlistUrl, playlistContent, "GET");

8) côté serveur un .htaccess s'occupe donc de rediriger les requêtes sur les playlist*.xml (playlistUrl) vers controleur.php

on pourrait faire un premier test sur HTTP_USER_AGENT ici mais ce sera fait dans controleur.php auquel le nom de la playliste demandée est passée en plus de maVariable

RewriteCond %{REQUEST_URI} ^/chemin/playlist([0-9]+).xml(.*)
RewriteRule ^/chemin/(.*)   /chemin2/controleur.php?p=$1 [QSA,L]

9) le controleur php ressemblerait plus ou moins à ça :

<?php

	define('UAGENT', 'Mon-player-flash');				// user-agent du lecteur
	define('PLAYLISTS_DIR', '/var/www/site/protected/'); // répertoire pour playlists
	define('FAKE_PL','fausse-playlist.xml');			 // fausse playliste
	define('VARSESSION','dejavu');					   // variable de session contenant ip	
	define('VARPASSE','maValeur');					   // nom de la variable cachée
	define('VALPASSE','maValeur');					   // valeur de la variable cachée

	if(!isset($_SESSION)) session_start();

	$fichier = PLAYLISTS_DIR . FAKE_PL;	// la fausse playlist est envoyée par défaut

	// expression régulière (sans doute pas bonne) pour le nom des "vraies" playlists
	$expreg = '/^playlist([0-9]+).xml$/';

	if(  /* controle de la chaîne user-agent du client */
		 stristr($_SERVER['HTTP_USER_AGENT'], UAGENT) &&
		 /* controle de la session initialisée sur les pages appelantes */
		 isset($_SESSION[VARSESSION]) && ($_SESSION[VARSESSION] == $_SERVER["REMOTE_ADDR"]) &&
		 /* controle de la valeur de variable cachée passée en GET */
		 isset($_GET[VARPASSE]) && ($_GET[VARPASSE] == VALPASSE) &&
		 /* controle de l'existance du nom de la playlist passé en paramètre */
		 isset($_GET['p']) && (preg_match($expreg, $_GET[p]) > 0)) {

		 // + test éventuel sur le $_SERVER['HTTP_REFERER'];
		 // et si tout semble ok :

		 $fichier = PLAYLISTS_DIR . $_GET[p];	
	}

	header("Content-Type: text/xml; charset=UTF-8");
	header("Cache-Control: no-cache, must-revalidate");
	header("Expires: Mon, 1 Jan 2001 00:00:00 GMT"); 
	header("Pragma: no-cache");
	if(@is_file(PLAYLISTS_DIR . $fichier) && (@is_readable(PLAYLISTS_DIR .$fichier))) {@readfile(PLAYLISTS_DIR . $fichier);}
	else print("<?xml version=\"1.0\" encoding=\"utf-8\"?>\n" .
			   "  <playlist>\n" .
			   "  </playlist>");
?>

10) de retour dans le lecteur flash, le gestionnaire playlistOnLoad de l'objet playlistContent prend le relais une fois la playlist xml chargé

function playlistOnLoad(success:Boolean) {
	 if (success) {
		  // lecture playlist "vraie" ou "fausse"
	 } else {
		  // traitement si erreur de chargement
	 }
}

Reste tout le lecteur flash à programmer à moins d'en trouver un en open-source

si possible éviter que les mp3 soient mis en cache lors de leur lecture

on peut très bien contourner ce système

mais pour ma part si j'aime la musique qui passe j'irai peut-être acheter le cd

plutôt que de passer du temps à essayer de contourner des systèmes similaires

A+

Nsg

[Duduchmann]

Comme tu dis, dégouter celui qui veut télécharger.

Voilà ce que je recherche.. mettre le plus de barrière possible.

Maintenant, je ferais bien ton truc.. le pb, c'est que je suis limité en programmation: j'ai le html en poche mais que de simple base "site-du-zero-esque" niveau php.

Pourrais-tu m'aider un 'tit ou m'expliquer sur quoi je dois me centrer à apprendre pour réaliser celà.

Merci