私のiPhoneアプリのためにパスワードで保護されたビデオをホスティングする

Question

- 有料のiphoneアプリケーションを構築しています。 - アプリケーションはUIWebView のウェブサーバーからページを読み込みますが、ビデオは他のビデオホスティングサイトでホストされています。

私はこのアプリの支払いを維持するために、ビデオリンクを保護された状態に保つ必要があることを認識しています（URLが漏洩しても誰もそれを支払うつもりはない）。

私はウェブページ（実際のビデオを指す）を簡単にパスワードで保護し、このウェブページにアクセスするためにiphoneアプリで利用できるユーザー名とパスワードを簡単に作成できます。しかし、ユーザーがビデオリンクを選択すると、アプリはそのURLを読み込みます。ユーザーがこの時点でiphoneでパケットを盗聴した場合、URLにアクセスしてそこから直接実行することができます。

私は、ビデオリンクが外部であるため、このシナリオではmod_sec_downloadまたはmod_xsendfileが動作するとは思っていません。右？

Amazon S3は解決策ですか？

洞察力/ソリューションがあれば分かります。

ありがとうございます！

Answer 1

ビデオファイルを直接参照しないでください。それは盗むのが簡単です。代わりに、リクエストの送信元を確認して、登録済みの購入者からのものであることを確認できるプロキシスクリプトを指定します。

適切な1回限りのトークンを使用すると、使用状況を追跡するなどして、ほとんどの人があなたのサイトを吸うのを防ぐことができます。そしてもちろん、ベストプラクティスは、ウォードマークが再生されるときにビデオにウォーターマークを埋め込むことです。たとえそれが盗まれても、それを最初の人に戻してリリースすることができます。

Answer 2

OWASPトップ10、特に番号8はfailure to restrict URL accessです。これは事実上あなたのシナリオです：サーバーレベルでセキュリティを確保する必要があるリソースがあります。デバイスの端からこれを行うことはできません。デバイスが要求するリソースの場所は簡単に検出できます。

リソースのコントロール（この場合はあなたのビデオ）にアクセスすることができます。どのようにこれを行うかは、サーバースタックによって部分的に異なります。たとえば、IIS7には、PDF、画像、ビデオなどのあらゆる種類のリソースにアクセス制御を適用できる統合パイプラインがあります（詳細はOWASP Top 10 for .NET developers part 8: Failure to Restrict URL Access）。あるいは、認証のための責任を負うことができる何らかの形式のアプリケーションプロキシと、ビデオコンテンツの配信が必要になります。

これは実際にiPhoneの問題よりもWebサーバーの問題です。サーバー上でアクセス制御権を得ることに焦点を当てると、iPhoneの終わりははるかに単純なプロセスになります。