Flash Mediaplayer absichern. Ein Blick auf MySpace, Facebook und Co.

Posted by Pushking on 12. Februar 2008 View Comments

Eines Vorweg:

Was im Internet digital verfügbar gemacht wird, kann auch kopiert (gerippt) werden!

Das muss man einfach mal so wissen. Immerhin wäre es ja auch möglich, für einen der nicht allzu viel von der Technik versteht, einfach ein Aufnahmegerät an den Line-Out des Computers zu hängen, während das Lieblingslied in MySpace läuft. Wer ein bisschen besser sich mit Computern auskennt, lässt ein Programm laufen, welches den Audio-Ausgang digital mitschneidet. Und die Superprofis leechen das Ding direkt und vollautomatisch vom Server.

Also keine Audiofiles mehr ins Internet?

Informatiksicherheit oder allgemein Security Management besagt, dass man natürlich nicht gleich die Hütte mit Panzern absichert, nur weil man Angst hat, dass jemand etwas stehlen könnte. Man will den Leuten ja etwas zeigen. Wenn man nicht will, dass Bilder im Museum geklaut werden, dann schliesst man es am besten gleich und vergräbt die Bilder in einem Bunker. Aber das ursprüngliche Motiv, die Bilder den Besuchern zugänglich zu machen würde damit ja unterbunden. Es heisst nun also: Den Zugang grundsätzlich zu ermöglichen, aber möglichst sicher – natürlich im Verhältniss zum Gut, das geschützt werden soll.

Nehmen wir nun wieder das Beispiel vom Museum. Klar könnte man das Museum so absichern, dass es sozusagen unmöglich ist, Bilder daraus zu klauen: Bilder hinter Panzerglas (verzerrt die Wahrnehmung), Bewaffnetes Sicherheitspersonal, Fanggitter, und und und. Doch wenn jemand wirklich will und das auch wirklich kann (also das Budget und Personal dazu hat), ist es trotzdem immer noch möglich, die Bilder zu klauen. Man stelle sich eine kleine Armee vor mit Hubschraubern, welche das Museum stürmt.

Auf digitale Medien im Internet gibt es grundsätzlich 2 Angriffsstrategien: Analog und Digital

Analoger Angriff auf digitale Medien

Der Analoge Angriff existiert schon seit dem Kassettenband und die Abwehrtechniken dagegen auch. Grundsätzlich, wie in der Einleitung erwähnt, kann jedes analoge Signal aufgenommen werden. Und sobald der Flashplayer ein Signal auf dem Computer abspielt, kann dieses auch aufgezeichnet, digitalisiert und dann weiterverbreitet werden. Möglicherweise sogar automatisch.
Dagegen tun kann man folgendes:

  • Daten nur in schlechter Qualität anbieten. Damit demonstriert man aber nicht unbedingt, dass man auf Qualitativ Hohem Niveau arbeitet. Also für ein Mastering-Studio eher ungeeignet.
  • Daten nicht vollständig anbieten. Also im Stil von einem Snippet oder 30 Sekunden Version, wie es auf den meisten MP3 Downloadstores ja auch geschiet.
  • Wasserzeichen oder absichtliche Störsignale in die Daten einfliessen lassen. Mit Wasserzeichen findet man wenigstens seine Daten wieder, was aber nicht allzuviel bringt. Störsignale gehen in die gleiche Richtung wie schlechte Qualität.

Digitaler Angriff und Schutz vor digitalem Angriff auf Digitale Medien

Für meine Verehrte Leserschaft, welche sich nicht so mit dem technischen Firlefanz auskennt: Achtung, jetzt wird es technisch

Beim Flashplayer (und allen anderen ähnlichen Technologien) hat man grundsätzlich 2.5 Möglichkeiten, digitale Medieninhalte an den Benutzer zu übergeben:

  1. Der Inhalt wird gestreamt
  2. Der Inhalt ist ins Flash hineinkompiliert
  3. Der Inhalt wird normal per HTTP-Get geholt

Die teuerste Variante und auch die sicherste ist klar der Einsatz von einem Streamingserver. Dieser kostet aber einiges an Geld und ist deshalb nicht immer beste Wahl. Zu beachten bei einem Streamingserver ist, dass das Caching Clientseitig ausgeschaltet wird. Doch Streams kann man mit einem Streamripper aufzeichnen, solange kein DRM im Einsatz ist. Doch selbst das DRM kann noch geknackt werden.

Die Mediendaten ins Flash hineinkompilieren ist die zweitbeste Variante aber auch eine eher mühsame und eben auch teure. Entweder man besitzt den Adobe Flash (1′200 CHF) und kann sich die Files selber erstellen. Dann muss man aber für jeden Track/Video, den man online laden will, das Flash neu erstellen. Zudem gibt es Tools, welche die Audio/Videodaten wieder aus dem Flashfile (flv) herausholen. Tja.

Die Methode für Arme (Punkt 3) kann man gratis haben. Einfach einen Opensource Flash-Medienplayer herunterladen, die Config anpassen und los gehts. Diese Art Player ist zwar extrem flexibel, einfach und meistens auch gratis, jedoch kann man auch problemlos die Mediendateien dahinter selbst herunterladen. Denn oftmals sind diese Dateien im Sourcecode ersichtlich, oder wenigstens die Playlistfiles, als Parameter für das Flashfile. Doch gerade die Flexiblität dieser Methode macht sie attraktiv. Deshalb hier noch ein paar Ansätze für die Absicherung:

  • Flashplayer per Javascript oder AJAX laden, sodass der Player und somit der Pfad zum Medienfile nicht im Sourcecode ersichtlich ist.
  • Serverseitig den Zugriff auf die Medienfiles per .htaccess auf den USER_AGENT String testen. Dumm ist nur, dass Flash keinen USER_AGENT mitschickt (?). Aber immerhin könnte man nur den leeren USER_AGENT akzeptieren.
  • Caching deaktivieren.
  • One Time Tokens benutzen: Ein kleines Skript auf dem Server, welches die Medienfiles ausliefert und einen One Time Token on the Fly generiert und dem Clientseitigen Flash mitschickt.

Und die Anderen? Wie sichern MySpace, Facebook und Co. ihre heraufgeladenen Mediendateien

Es gibt ein Plugin für Firefox (Firebug), bei Safari ist es schon integriert und für den Internet Explorer gibt es den Fiddler. Mit diesen Tools kann man den HTTP-Traffic des Browsers analysieren und sieht auch, wenn Flash sich Mediendateien nachlädt. Ich schreibe hier absichtlich keine Anleitung, wie aus MySpace ein MP3 gehackt wird und diese Tools sind eigentlich für die Webentwicklung geschrieben. Jedoch war es erschreckend, wie wenig diese populären Plattformen für die Sicherung ihres “User generatet content” tun!

MySpace und Facebook Audiodateien konnte ich ohne Probleme im Firebug sehen, von wo sie nachgeladen werden und anschliessend diese Pfade downloaden! Bei iLike und last.fm war das nicht so einfach und beim Sony-BMG Audioplayer war mir ganz schleierhaft, woher die Daten kamen (habe aber auch nicht so viel Zeit investiert. Übrigens: Der Sony-BMG Audioplayer ist ein grosser Geheimtipp. Da kann man offiziell das ganze (?) Repertoire von diesem Majorlabel in voller Länge anhören. Find ich gut!

Da ich in nächster Zeit plane, meine eigene Musik hier auf dem Blog und auch auf anderen Plattformen zu veröffentlichen, werde ich diese theoretischen Zeilen auch bald in Praxis umsetzten. Deshalb freue ich mich natürlich über Anregungen.

Last.fm revolutioniert das Musikbusiness und einige Gedanken dazu

Posted by Pushking on 25. Januar 2008 View Comments

Soeben habe ich ein Mail von Last.fm bekommen, mit folgendem Inhalt:

Yesterday Last.fm announced a new On-Demand service that allows users to listen
to full-length tracks and entire albums on the site for free. However, this news
isn’t just exciting for listeners as we will also be launching a revolutionary
Artist Royalty Program that will pay artists directly. This means that if your
music gets played on Last.fm, you will soon be able to earn money for it. You
can read our official announcement on our blog at http://blog.last.fm

Für all, die nicht soooo gut Englisch können, hier nochmals die wichtigsten Punkte auf Deutsch:

  • Neu kann man alle Lieder in voller Länge (!) anhören
  • Die Künstler bekommen jedesmal Geld, wenn jemand ihre Lieder hört

Also das finde ich schon extrem krass. Ich meine, bei MySpace werden so viele Lieder angehört und die Künstler selbst müssen sich diese Banners die ganze Zeit anschauen und der ganze Ca$h geht sofort zu Rupert Murdoch. Bei Last.fm ist man als sogenannter Content-Provider am ganzen mitbeteiligt. WOW!

Habe sofort meine Labels und Artists in diese neuen “Terms of Use” genommen. Wer weiss, vielleicht kann man endlich wirklich einfach nur ein gutes Lied machen und damit Geld verdienen, ohne zuerst dem ganzen Musikbusiness den Arsch zu lecken … Interessant war, dass man angeben muss, ob man bei einem Urheberrechtsverwalter (in der Schweiz SUISA oder Deutschland GEMA) angemeldet ist, oder nicht. Diese Institute sehen nämlich in dieser Musik 2.0 Entwicklung ihre Existenzgrundlage bedroht und stellen sich ziemlich quer.

Ich bin aber kein SUISA Mitglied und werde wohl auch nicht so bald eines sein. Denn gemäss Statistiken (diese Quelle muss ich nochmals bestätigen), bekommen nur ca. 5% der Suisa-Mitglieder jemals mehr Geld von der Suisa als sie für die Registration bezahlen (100 CHF). Für was brauche ich denn dieser riesen Juristen- und Administrationsapparat? Wer hat schon einmal ein Werk bei der Suisa angemeldet? Papierkrieg ohne Ende. Und am Schluss bezahlt man noch für Tonträger die man gar nicht verkauft hat …

Was aber meiner Meinung nach noch fehlt, ist die Möglichkeit, die Musik auf Last.FM direkt gegen Bezahlung als MP3 herunter zu laden. Space for Improvements. Und was auch sehr schade ist, dass Last.FM keine richtige Facebook Integration zu Stande gebracht hat. iLike hat da einiges mehr hingebracht. Obwohl dies nur eine billige Kopie ist.

Ich bin jedenfalls gespannt, wie sich die Musik 2.0 entwickeln wird. Auf dass alle UKW Sender und Major Labels zugrunde gehen … ;)

Meine Links zu Last.FM:

First Post aka. Hallo Welt

Posted by Pushking on 24. Januar 2008 View Comments

Aus Zeitmangel halte ich mich kurz. Dies ist mein Blog. Aha. Gut. Und darin werde ich schreiben über:

  • Musik
  • Musik Business
  • Lifestyle & Partys
  • Webdesing und -development

Klar? Und damit meine geschätzte Leserschaft, sofern irgendjemand sich für diesen Scheiss hier interessiert, auch gleich noch etwas Musik von mir hören kann, hier mal eine Vorversion von “Boris im Hive ;)

PushkingNoize – Boris im Hive ;) – UNMASTERED PREVERSION

Der Track ist eine Spielerei mit bösen Effekten (CamelPhat und CamelSpace) und dem allen Rudeboyz bekannten Stonelove Horn. Zudem Synthies von Rob Papens Predator und die üblichen verdächtigen Drums. Was momentan zum Track zu sagen ist, er tönt noch nicht so wie er sollte. Muss mich sicher mal noch eine Nacht mit dem Mixing/Mastering beschäftigen, aber gut Ding will bekanntlich Weile haben.

Für Anregungen bin ich immer zu haben. Kritiken könnt ihr euch irgenwo hinschreiben und dann an mein Sekretariat senden. Die arbeiten in einem Gefangenenlager in Sibirien und freuen sich immer wieder über Brennmaterial …

Halla

P.S. Natürlich werde ich das Blog noch pimpen, ein verdammt krasses, riesengrosses, geiles, realitätswahrnehmungsveränderndes Logo einfügen und mit tausenden von Wordpress Plugins herumexperimentieren. Aber leider bleibt mir während der Welteroberung so wenig Zeit, sodass man sich halt einfach gedulden muss …