protege un archivo m3u8 m3u

nacho1191 · 1 Ene 2020

Hola a todos, a ver si me pueden aclarar algunas dudas que tengo.

Resulta que he visto que los servicios de IPTV te dan listas cuyos streaming están protegidos con nombre de usuario y contraseña, ejemplo:

http://miweb.com:8080/get.php?username=Retro1012&password=av8erZ&type=m3u_plus&output=mpegts

dentro del archivo:

#EXTM3U
#EXTINF:-1 tvg-id="tutoriales | cursos varios tvg-name=""tutoriales | cursos varios tvg-logo="https://colom.org/uploads/tx_lfrogmom/media/515-941_import.png" group-title=""tutoriales","tutoriales | cursos varios

http://miweb.com:8080/Retro1012/av8erZ/1104

Mi pregunta es cómo puedo proteger mi canal de esa misma forma, yo tengo una plataforma wordpress, es factible proteger mis archivos así?

Dieguit0sk8 · 1 Ene 2020

Vas a tener mas consumo en CPU en tu servidor, añadiendo codigo, ya que no solo hay que ponerle un chequeo de user y pass, si no que tambien, chequeo de Referer, ip, cookies, y si dispones de algun servicio para detectar proxy y vpn mucho mejor aun.

isaacte · 1 Ene 2020

Para eso usan una plataforma especializada en IPTV como Xtream Codes, en wordpress no puedes hacer eso, lo que si puedes es que para descargar un archivo necesiten iniciar sesión y tener un rol concreto. Si te interesa conocer más sobre el tema contacta conmigo.

JuanMan · 1 Ene 2020

nacho1191 dijo:
Hola a todos, a ver si me pueden aclarar algunas dudas que tengo.

Resulta que he visto que los servicios de IPTV te dan listas cuyos streaming están protegidos con nombre de usuario y contraseña, ejemplo:

http://miweb.com:8080/get.php?username=Retro1012&password=av8erZ&type=m3u_plus&output=mpegts

dentro del archivo:

#EXTM3U
#EXTINF:-1 tvg-id="tutoriales | cursos varios tvg-name=""tutoriales | cursos varios tvg-logo="https://colom.org/uploads/tx_lfrogmom/media/515-941_import.png" group-title=""tutoriales","tutoriales | cursos varios

http://miweb.com:8080/Retro1012/av8erZ/1104

Mi pregunta es cómo puedo proteger mi canal de esa misma forma, yo tengo una plataforma wordpress, es factible proteger mis archivos así?

La seguridad que puedes implementar es la de colocar token

isaacte · 1 Ene 2020

JuanMan dijo:
La seguridad que puedes implementar es la de colocar token

También es una posibilidad crear un sistema de tokens pero no es tan sencillo.

nacho1191 · 1 Ene 2020

interesante todo lo que mencionan (y como voy aprendiendo de todo esto)

Lo que me preocupa es que abusen de mi ancho de banda usando el archivo que menciono, entonces al final lo que quiero tratar de tener es el control de esos recursos con mis suscriptores registrados, cosa que is descargan el archivo no lo "trafiquen" y solo puedan usarlo aquellos usuarios activos.

Parece que los tokens es una alternativa interesante, alguien sabe como va eso?

Dieguit0sk8 · 1 Ene 2020

Si usas Wordpress en tu sitio, podes añadir un chequeo de login del miembro registrado en tu blog y referer de tu sitio.

PHP:

<?php
include('wp-load.php');
if ( is_user_logged_in() && preg_match('/tusitio.com/i',$_SERVER['HTTP_REFERER'])) {
    echo 'Welcome, registered user!';
} else {
    echo 'Welcome, visitor!';
}
?>

Entonces pones la condicion, si logras generar el m3u8-m3u con PHP, podes poner que solo genere a los que estan logeado en el sitio, si es un visitante no va a poder hacerlo, y la opcion viable es que al login de wordpress le pongas recatpcha de google, entonces asi le cuesta un poco si quieren scrapearte el sitio o player.

isaacte · 1 Ene 2020

Dieguit0sk8 dijo:
Si usas Wordpress en tu sitio, podes añadir un chequeo de login del miembro registrado en tu blog.

PHP:

<?php if ( is_user_logged_in() ) { echo 'Welcome, registered user!'; } else { echo 'Welcome, visitor!'; } ?>

Entonces pones la condicion, si logras generar el m3u8-m3u con PHP, podes poner que solo genere a los que estan logeado en el sitio, si es un visitante no va a poder hacerlo, y la opcion viable es que al login de wordpress le pongas recatpcha de google, entonces asi le cuesta un poco si quieren scrapearte el sitio o player.

Hay muchos plugins en wordpress que permiten gestionar el acceso incluso por roles a cualquier elemento que creo que serían mejores.

Dieguit0sk8 · 1 Ene 2020

isaacte dijo:
Hay muchos plugins en wordpress que permiten gestionar el acceso incluso por roles a cualquier elemento que creo que serían mejores.

Se entiende, en mi caso no me gusta utilizar plugins, practicamente se puede hacerlo sin necesida de sobrecargar el site con plugins.

nacho1191 · 1 Ene 2020

el problema de los plugins es que protege el acceso desde la pagina, pero una vez descargado el archivo (m3u por ejemplo) ahí ya es otra historia.
la url del interior de ese archivo es la que debería estar protegida y creo que plugins para eso no existen.

Dieguit0sk8, con lo que comentas en wordpress se puede individualizar ese acceso al m3u8?

Dieguit0sk8 · 1 Ene 2020

nacho1191 dijo:
el problema de los plugins es que protege el acceso desde la pagina, pero una vez descargado el archivo (m3u por ejemplo) ahí ya es otra historia.
la url del interior de ese archivo es la que debería estar protegida y creo que plugins para eso no existen.

Dieguit0sk8, con lo que comentas en wordpress se puede individualizar ese acceso al m3u8?

Es cuestion de buscar como generar el m3u con PHP, y ahi agregar las condiciones mostradas anteriormente.
Pero con el chequeo de login es muy bueno, y quizas la persona que quiere robarte el playlist no va a saber que se trata de un logeo en wordpress para verlo. Va a intentar de todo pero quizas no intente crear un sistema de logeo a tu blog para obtener el playlist, como dije anteriormente si se le pone una captcha al login hace una dificultad al que quiere robar el m3u.

PHP:

<?php
include('wp-load.php');
if ( is_user_logged_in() && preg_match('/tusitio.com/i',$_SERVER['HTTP_REFERER'])) {
    if(is_file("playlist.m3u")){
        header('Content-Type: audio/x-mpegurl; charset=utf-8');
        header('Content-Disposition: attachment; filename="playlist.m3u"');
        echo file_get_contents("playlist.m3u");
}
} else {
    echo 'ERROR USUARIO NO PERTMIDO.';
}
?>

JuanMan · 1 Ene 2020

Dieguit0sk8 dijo:
Es cuestion de buscar como generar el m3u con PHP, y ahi agregar las condiciones mostradas anteriormente.
Pero con el chequeo de login es muy bueno, y quizas la persona que quiere robarte el playlist no va a saber que se trata de un logeo en wordpress para verlo. Va a intentar de todo pero quizas no intente crear un sistema de logeo a tu blog para obtener el playlist, como dije anteriormente si se le pone una captcha al login hace una dificultad al que quiere robar el m3u.

PHP:

<?php include('wp-load.php'); if ( is_user_logged_in() && preg_match('/tusitio.com/i',$_SERVER['HTTP_REFERER'])) { if(is_file("playlist.m3u")){ header('Content-Type: audio/x-mpegurl; charset=utf-8'); header('Content-Disposition: attachment; filename="playlist.m3u"'); echo file_get_contents("playlist.m3u"); } } else { echo 'ERROR USUARIO NO PERTMIDO.'; } ?>

Sabías que existen extensiones para el navegador para ver las url de fuentes multimedia, la mejor opción sería usar token, pueden ver la url pero va a caducar cada ciertas horas

Dieguit0sk8 · 1 Ene 2020

JuanMan dijo:
Sabías que existen extensiones para el navegador para ver las url de fuentes multimedia, la mejor opción sería usar token, pueden ver la url pero va a caducar cada ciertas horas

Claro que lo se, Pero ya trabajando en PHP el .m3u podes añadirle token de caducidad, chequeo de ip, chequeo de cookies. Siempre hay alguien que puede evadir todo tipo de chequeo y obtener la informacion necesaria, pero la idea esta en complicarla lo mas posible, para gente que no tenga grandes conocimientos. Ya generando el .m3u con php podes jugar con tokens y varios chequeos para hacer dificil. Pero bueno siempre hay alguien que le encuentra el pelo al huevo.

Son Lux · 1 Ene 2020

Necesitas consumir la API REST que ofrece WordPress ya que necesitas acceder al AUTH de usuarios. Hacerlo de otra forma solamente estarías desperdiciando el poder del CMS.

pluSqlo · 1 Ene 2020

Hola,

si los archivos m3u8 los generas desde un servidor con nginx, en el nginx.conf puedes agregar condiciones para evitar que usen tus archivos, como por ejemplo que si el dominio donde estás obteniendo el archivo no es "miweb.com" retorne error 401 o 404.

jmdoren · 3 Ene 2020

Dieguit0sk8 dijo:
PHP:

<?php echo file_get_contents("playlist.m3u"); ?>

El problema de eso es que si el archivo es muy grande te mata el script por memoria, el file_get_contents primero lo lleva a memoria
Si haces un loop de lectura y echos con trozos más pequeños se soluciona, pero tendrás el problema del timeout (que se puede solucionar con la configuración del php)

MRTecno · 3 Ene 2020

Hasta donde yo sé, se puede poner restriccion con user agent al m3u8 y de referer, para que solo desde tu sitio lo puedan ver
Yo tenia una página de canales antes, la dejé por falta de tiempo, me llevaba tiempo conseguir distintas fuentes para los canales
Algún dia me gustaría hacerla de nuevo, desde cero.

nacho1191 · 3 Ene 2020

Si me lo permiten, dejenme poner un poco más de contexto de mi caso:

Tengo dos servidores:

1. con Wowze que reproduce el stream y genera el archivo m3u8.

2. una plataforma wordpress con suscriptores registrados.

me han solicitado generar un archivo m3u (que contiene el m3u8 del otro servidor) para que el video lo puedan ver más cómodamente con programas estilo Iptv.

A mi me gustaría dárselos, pero como mencioné en el primer post, el riesgo es que abusen del archivo y me sobre carguen el servidor.

Para ello estuve viendo que servicios de Iptv controlan el acceso de la lista descargada, según esa técnica no me queda claro cual usan en comparación con las que mencionan.

lo importante al final y al cavo es proteger el acceso solo a aquellos suscriptores que seleccione en mi wordpress.

el servidor 1, tiene la opción de solo brindar acceso al stream desde una web en particular, ahí ya tendría parte del problema solucionado, faltaría el acceso de lectura del servidor 2 para controlar a los usuarios.

jmdoren · 3 Ene 2020

yo investigaría por acá https://www.wowza.com/docs/how-to-p...n-by-using-the-wowza-streaming-cloud-rest-api

nacho1191 · 3 Ene 2020

jmdoren dijo:
yo investigaría por acá https://www.wowza.com/docs/how-to-p...n-by-using-the-wowza-streaming-cloud-rest-api

gracias amigo, pero el problema es que los usuarios los tengo en otro servidor, por lo que usar token auth desde wowze no funcionaría.