Protección contenidos vídeo streaming – 2ª parte

22 julio 2017


En este post introducimos algunos de los principales mecanismos de protección para los contenidos de vídeo:

> Control de acceso mediante credenciales.
> Control del número de sesiones.
> Protección de los vídeos encriptando la URL para cada sesión.
> Protección con Digital Rights Management (DRM)

Control de acceso mediante credenciales

La forma básica de controlar que sólo unos usuarios específicos puedan ver los contenidos de vídeo streaming es mediante “credenciales”. Es decir, tenemos que asignar un usuario y contraseña únicos para cada usuario. Hay que evitar generar usuarios y contraseñas que sean comunes a todo un grupo de usuarios.

Los principales ataques frente a las credenciales son la fuerza bruta y el robo de contraseñas.

Para evitar fuerza bruta, conviene implementar un algoritmo que bloquee temporalmente los accesos desde direcciones IP que estén en algún listado de direcciones dudosas, que hagan muchos intentos fallidos a mucha velocidad o cualquier otro motivo por el que nos resulten sospechosas.

Para evitar el robo de contraseñas, hay que garantizar a su vez que la comunicación entre el usuario y el servidor es segura y que la contraseña es lo suficientemente sofisticada para que no pueda averiguarse fácilmente.

Una forma eficaz de garantizar que la comunicación es segura, consiste en instalar un certificado SSL en el servidor web. Dicho certificado permite encriptar todas las comunicaciones entre el navegador del usuario y el servidor web. De esta forma, minimizaremos ataques como, por ejemplo, que haya algún usuario en la misma red escuchando las comunicaciones o que los piratas suplanten la identidad de la página web y puedan robar las credenciales de los usuarios. De hecho, el certificado SSL se ha convertido imprescindible para cualquier comercio electrónico, tanto para venta de productos físicos como de contenidos de vídeo que estén disponibles en la propia página.

Respecto a usar contraseñas complejas, tenemos que ser conscientes de que esto puede ser un problema para los usuarios. Por tanto, es conveniente permitir que los usuarios puedan acceder a los contenidos de vídeo streaming vinculando las cuentas que ya tienen en otras páginas como redes sociales. De esta forma, si el usuario está usando un navegador con el que está logeado en Google, Facebook, Twitter, Linkedin o Amazon y ha vinculado la página con los contenidos de vídeo a alguna de estas cuentas, podrá acceder automáticamente sin tener que introducir más contraseñas.

Control del número de sesiones

Seguramente, el proveedor de contenidos de vídeo streaming quiera garantizar que múltiples personas no puedan acceder a los contenidos de vídeo usando las mismas credenciales. Una forma de garantizar esto es controlando en tiempo real el número de sesiones de cada usuario. De esta forma, si un usuario comparte sus credenciales con otras personas, sólo una de ellas podrá ver los contenidos de vídeo al mismo tiempo.

Hay que tener en cuenta que es posible que un usuario abra una nueva sesión en otro dispositivos (móvil, ordenador del trabajo, etc.) sin haber cerrado la sesión anterior. Una forma sencilla para permitir esto es que si el usuario intenta abrir una nueva sesión para acceder a los contenidos mientras todavía tiene abierta otra sesión, le avisamos de que la otra sesión se cerrará automáticamente. De esta forma, si un usuario ha compartido sus credenciales y está viendo cuando la otra persona intenta acceder, avisaremos al usuario original y le cerraremos la sesión y, si vuelve a entrar, se le cerrará la sesión a la otra persona, y así sucesivamente.

Protección vídeo streaming encriptando la URL para cada sesión

El servidor de streaming es un servidor diferente del servidor web. Por tanto, además de proteger el acceso a la página web, también hay que proteger el acceso al servidor de streaming. Una forma de conseguirlo es encriptando la URL de cada vídeo.

En caso de que un usuario acceda al mismo vídeo 2 veces, las URL encriptadas que se generan automáticamente serán diferentes. Estas URL se crean a partir de una clave que está almacenada en el servidor y que no sea accesible por el usuario de ninguna forma y solo se permita a partir de datos únicos de cada sesión, como la IP del usuario o la fecha y hora de la conexión. De esta forma, si el usuario ve el código fuente de la página y encuentra la URL del vídeo, no podrá compartirla con otra persona, dicha persona no podrá reproducirlo ya que los datos de sesión serán diferentes y cuando el servidor desencripte la URL, se dará cuenta del error y rechazará el acceso, protegiendo de esta manera los contenidos de vídeo.

Protección con Digital Rights Management (DRM)

El último nivel de protección de vídeo streaming que comentamos hoy es el uso de DRM. Esta tecnología requiere de un servidor adicional que introduce información dentro del flujo de datos (pudiendo incluir información del usuario que está reproduciendo el vídeo). Dicha información adicional es detectada por los dispositivos y software comercial y sirve para evitar que los vídeos puedan ser grabados con software y dispositivos externos.

Hay dos problemas con DRM. El primer problema es que está orientado para luchar contra la piratería de películas y música que tienen mucha distribución, resultando poco rentable para contenidos de vídeo de menor distribución. El segundo problema es que como hay mucho interés en películas y música, han aparecido métodos para saltarse esta protección.

Como nota curiosa, Apple, Google o Vimeo han decidido no usar DRM.

Conclusión protección de contenidos vídeo streaming

Debemos recordar que la protección de contenidos de vídeo en Internet no es infalible. Por tanto, conviene implementar varios mecanismos.

Los mecanismos comentados en este post son complementarios entre sí. Nosotros recomendamos implementar como mínimo el control de acceso mediante credenciales, el control del número de sesiones en tiempo real y la encriptación de URL por sesión.

En próximos post continuaremos tratando el tema de protección de contenidos e introduciremos mecanismos de protección adicionales.