информационная безопасность
без паники и всерьез
 подробно о проекте
Rambler's Top100За кого нас держат?Сетевые кракеры и правда о деле Левина
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Простое пробивание рабочего/провайдерского... 
 400 уязвимостей в процессорах Snapdragon 
 Яндекс неуклюже оправдался за установку... 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / RSN / архив / 2007 / октябрь
2007
главная
январь
февраль
март
апрель
май
июнь
июль
август
сентябрь
октябрь
ноябрь
декабрь
предложить новость




The Bat!

О защите текстов на вебе
dl // 04.10.07 00:18
Когда несколько месяцев назад litres.ru опубликовал свои планы по созданию веб-библиотек, дающих только читать книги (обычным броузером и в текстовом формате, заметьте) и блокирующих скачивание и копирование, большинство людей, сколько-то разбирающихся в устройстве веба, просто пожали плечами.
[Не забывайте при копировании материала указывать полный адрес источника: //bugtraq.ru/rsn/archive/2007/10/02.html]
Однако ж проект был запущен и за остаток лета - начало осени в как бы защищенном виде были выложены книги нескольких популярных авторов. А очередная хвалебная статья о грамотном и своевременном открытии данного сервиса сподвигла меня посмотреть поближе, что ж там внутре.

Disclaimer: дальнейшие действия проводились не корысти ради, а токмо во имя спортивного интереса (выражаясь формально, в целях анализа стойкости предложенной защиты).

Внутре ж оказалась умеренно навороченная двухуровневая защита от начинающего пользователя. Первый уровень - набор функций на JavaScript, всячески мешающих копированию текста, например, путем сбрасывания выделения каждые 10 секунд (сам текст тоже выводится JS, так что его отключение ни к чему полезному не приведет). Обходится элементарно путем задания в каком-нибудь промежуточном фильтре типа AdMuncher'а правила, комментирующего первый вызов сбрасывающей выделение функции. Этого вполне достаточно для FireFox, для IE потребуется блокировка еще пары обработчиков событий.

Второй уровень запрятан получше и приводит к тому, что после copy/paste текста он оказывается разбавлен массой мусорных символов, приводящих к его полной нечитаемости. Причем скрипт, выводящий текст, имеет одноразовый url, вызывается из iframe с опять-таки одноразовым url, так что добраться до его исходников невооруженным глазом затруднительно (последующие прямые обращения просто ничего не отдадут). Хотя по-прежнему элементарно для человека, вооруженного любым анализатором http-пакетов (собственно говоря, при наличии такого анализатора отпадает и необходимость в copy/paste из окна броузера, разве что последний вариант чуть более комфортен).

Вставка мусора, проявляющегося только при копировании, реализована достаточно любопытно - мусорные символы вставляются с помощью блоков <span> со стилем, отключающим их видимость. Таким образом, при показе текста в окне броузер их игнорирует, но честно (и глупо) отдает в буфер обмена.

Итог - вся защита оказывается снятой с помощью двух коротеньких правил AdMuncher'а (аналогичный подарок могут сделать своим пользователям администраторы прокси-серверов). Строить библиотечный бизнес на таком хлипком фундаменте - не знаю, не знаю. С другой стороны, электронные версии книг продаются за столь смешные деньги, что у многих читателей поневоле возникает позыв отряхнуть со своих ног прах пиратского прошлого - приятно почувствовать себя добропорядочным гражданином за такие копейки. Так что психология тут срабатывает надежнее технических средств.

Update: как мне подсказывают, все еще проще - достаточно воспользоваться FFшным плагином ScrapBook.

     
теги: firefox, mozilla  |  предложить новость  |  обсудить  |  все отзывы (3) [6431]
назад «  » вперед

аналогичные материалы
Перевод Firefox на DNS over HTTPS // 25.02.20 16:33
Все дополнения в Firefox поломались из-за просроченного сертификата // 04.05.19 15:39
64-битный Firefox // 16.12.15 01:42
Срочное обновление Firefox // 07.08.15 13:45
Firefox 26 по умолчанию блокирует Java // 11.12.13 01:54
Mozilla и Samsung собираются сделать новый мобильный браузер // 04.04.13 03:13
Firefox 16 - и снова здравствуйте // 12.10.12 11:49
 
последние новости
Простое пробивание рабочего/провайдерского NAT с помощью Tailscale // 20.08.20 03:02
400 уязвимостей в процессорах Snapdragon // 08.08.20 08:08
Яндекс неуклюже оправдался за установку Теледиска // 29.07.20 17:09
Infosec-сообщество не поддержало отказ от термина black hat // 04.07.20 18:50
Расово верная чистка IT-терминологии // 16.06.20 18:03
ГПБ vs TV // 06.06.20 21:47
Число обнародованных уязвимостей упало на 20% // 30.05.20 02:21

Комментарии:

1. Опера сохраняет корректно в формате текст, повытирать... 10.10.07 15:00  
Автор: Sego Статус: Незарегистрированный пользователь
<"чистая" ссылка>
1. Опера сохраняет корректно в формате текст, повытирать лишние пункты меню сверху и снизу.
2. В той же Опере, загрузить текст Ф12 и выключит джава скрипт, копируйте на здоровье.
В высшей степени разумный подход: 04.10.07 05:24  
Автор: Zef <Alloo Zef> Статус: Elderman
<"чистая" ссылка>
Избавляет мир от вони авторов, позволяет сим авторам получать с лохов доостойное вознаграждение и не провоцирует хакеров.
Это касаемо невысокой платы за электронные книги?... 04.10.07 11:19  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 04.10.07 11:20  Количество правок: 1
<"чистая" ссылка>
> Избавляет мир от вони авторов, позволяет сим авторам
> получать с лохов доостойное вознаграждение и не провоцирует
> хакеров.

Это касаемо невысокой платы за электронные книги? Однозначно!
Хочется рассмотреть похожую ситуацию на примере ДВД фильмов. Стоимость пиратки определить можно. Она состоит из стоимости производства (расходники, аммортизация, аденда, ЗП, транспортировака, прочие расходы...), стимость реализации (место на рынке, "крыша", "штрафы", прочие отмазки...) плюс "навар". Допустим получится рублей 70-80. Если продавать лицензионку по 90-100, то 10-20 не такая уж и большая надбавка за ощущение законопослушности и никто пиратку брать не будет. Может у Америкосов другие цены (но у них и другие доходы), а многие наши фильмопроизводители пытаются на них равняться. Отсюда желание жить красиво и богато. Отсюда попытка продать подороже. Как следствие высокая цена лицензионки приводит к выгодности покупки у пиратов. Фильмопроизводители не хотят "остаться с носом" и еще больше поднимают цену лицензионки, чтоб компенсировать спад ее продаж. В результате они получают те же деньги, а пираты продолжают здравствовать за счет экономных незаконопослушных людей.
Короче правило просто - нужно не пиратов за руку ловить (все равно откупятся или честно штрафами отделаются), а нужно лицензионку продавать по такой цене, чтоб пиратам не выгодно было подделку продавать.
К стати, в "Ашане" давно продается "Крепкий орешек" все серии в ассортименте по цене пиратки, если не дешевле. Прикольно, наверное выкинуть на лицензионный рынок по цене пиратки или даже чуть дешевле фильм в тот момент, когда пираты его только только наштампуют.
Защита электронных книг от копирования, а разрешение только прочтения, это только мышиная возня. Если где-то появляется конечный продукт - изображение, то его всегда можно содрать. Как ни защищай, как не зашифровывай фильм на ДВД диске, все равно, если он выводится на экран, всегда можно запустить програмку, которая его будет при просмотре сдирать из видеопамяти. Так же и текст, только все проще. Можно написать прогу, которая будет листать книгу на сайте через эксплорер, сдирать изображение и переводить его в текст OCRом. Причем последнее сделать будет легче и быстрее, чем распознавать сканированный текст.
<добавить комментарий>


анонимность клоуны конференции спам уязвимости .net acrobat activex adobe android apple beta bgp bitcoin blaster borland botnet chrome cisco crypto ctf ddos dmca dnet dns dos dropbox eclipse ecurrency eeye elcomsoft excel facebook firefox flash freebsd gnome google gpl hp https ibm icq ie intel ios iphone java javascript l0pht leak linux livejournal mac mcafee meltdown microsoft mozilla mysql netware nginx novell ny open source opera oracle os/2 outlook password patch php powerpoint pwn2own quicktime rc5 redhat retro rip router rsa safari sco secunia server service pack shopping skype smb solaris sony spyware sql injection ssl stuff sun symantec torrents unix virus vista vmware vpn wikipedia windows word xp xss yahoo yandex youtube



Rambler's Top100
Рейтинг@Mail.ru



  Copyright © 2001-2020 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach