Объявление

**olden** · 06-12-2010, 13:48

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

еще вопрос
у нас добавляется еще фильтрация: нечто типа "национальный пакет"
т.е. "российские каналы", "украинские", "балтийские" и пр.

у меня в плеере список каналов отдельно идет от списка жанров и фильтрация организовуется клиентской частью
у Картины идет список каналов внутри жанров в одном запрос-ответе
но в таком случае дополнительный фильтр некуда воткнуть

**nitrogen14** · 06-12-2010, 14:05

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

добавь эту инфу к каналу, не вижу проблемы, если я захочу получить все российские каналы, то достану из массива все каналы у которyx есть метка
ch['nation']=="rus"

**consros** · 06-12-2010, 14:38

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

[quote author=olden link=topic=7681.msg96517#msg96517 date=1291636109]
у меня в плеере список каналов отдельно идет от списка жанров и фильтрация организовуется клиентской частью
у Картины идет список каналов внутри жанров в одном запрос-ответе
но в таком случае дополнительный фильтр некуда воткнуть
[/quote]

Кстати Картинный способ на мой взгляд лучше - один запрос вместо двух. Посылать я их всё равно буду парой. Т.о. страдает и скорость, и (чуть-чуть) целостность, и (совсем чуть-чуть) трафик.

Не хочешь почему-то каналы делать child'ами жанров - допиши жанры в конец списка каналов. Overhead невелик, и мешать они никому не будут. Хотя, повторюсь, child'ы мне больше по душе.

**nitrogen14** · 06-12-2010, 14:43

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

ну или функцию в апи добавить
дай мне все чиды с такимто языком, так не прийдется массив прогонять.

**consros** · 06-12-2010, 14:49

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

Только не функцию, а параметр в get_channel_list, &lang=ru.

**olden** · 07-12-2010, 18:47

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

ну для начала вот так:

авторизационный запрос

Код:

http://file-teleport.com/iptv/api/json/
http://file-teleport.com/iptv/api/xml/

login ? login=&lt;login&gt; &amp; pass= MD5(MD5(&lt;login&gt;) + MD5(&lt;pass&gt;))

и не говорите шо я параноик

ответ

Код:

&lt;?xml version=&quot;1.0&quot; encoding=&quot;UTF-8&quot; standalone=&quot;yes&quot;?&gt;
&lt;response&gt;
 &lt;sid&gt;44215fd49fb41f17673c02b9f764df61&lt;/sid&gt;
 &lt;sid_name&gt;ICO&lt;/sid_name&gt;
 &lt;account&gt;
  &lt;login&gt;[login]&lt;/login&gt;
  &lt;packet_name&gt;client_login-44215fd4&lt;/packet_name&gt;
  &lt;packet_expire&gt;1291739494&lt;/packet_expire&gt;
 &lt;/account&gt;
 &lt;servertime&gt;1291739314&lt;/servertime&gt;
&lt;/response&gt;

Если я правильно понял картиновский АПИ, то теперь все запросы после авторизации должны идти с параметром в куках "sid_name = sid" и по нему я ориентируюсь что за клиент обращается. Поскольку PHPSESSID єто банально, то пускай будет ИКО.
Это потребовало некоторых переделок в серверной части. Но дальше пойдет веселее.

**consros** · 07-12-2010, 18:59

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (об&#108

[quote author=olden link=topic=7681.msg96667#msg96667 date=1291740466]
login ? login=<login> & pass= MD5(MD5(<login&gt

+ MD5(<pass&gt

)
[/quote]

Просто без разницы. Хоть котангенс от них возьми, всё равно так же легко подобрать, как и в случае md5(pass). Функция известна, компонент известен.

**olden** · 07-12-2010, 19:06

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обс

[quote author=consros link=topic=7681.msg96668#msg96668 date=1291741170]
[quote author=olden link=topic=7681.msg96667#msg96667 date=1291740466]
login ? login=<login> & pass= MD5(MD5(<login&gt

+ MD5(<pass&gt

)
[/quote]

Просто без разницы. Хоть котангенс от них возьми, всё равно так же легко подобрать, как и в случае md5(pass). Функция известна, компонент известен.
[/quote]

да я уже думал о предзапросе - получить временную "соль"
но так и так для взлома надо перехватывать именно авторизационный запрос
потому как логин только там есть
кстати непонятно зачем у картины возвращается логин в ответ на авторизацию
ИМХО - лишнее свечение важных данных

единственный надежный способ - купить например верисайновскиий сертификат для сервера и все запросы гнать по SSL. Но это может когда-то.

**olden** · 07-12-2010, 19:12

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

ладно
завтра попробую сделать отдачу списка каналов
ТВ и радио в одном ответе отдавать?

т.е. не так

одним списком:
channels - item - is_video ... item - is_video ... item - is_video

или иначе:

channels_tv - item .. item ... item
channels_radio - item ... item ... item

или так

channels
- type (is_video)
- items - item .. item ... item
- type (is_video)
- items - item ... item ... item

короче, сделаю пока по-картиновски

**consros** · 07-12-2010, 19:26

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

Не надо требовать SSL от приставок.

**consros** · 07-12-2010, 19:33

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обс

Я бы для радио сделал отдельный запрос. Даже настаиваю на этом.

1. Радио к ТВ не имеет никакого отношения.
2. Радио каналы не меняются и авторизация для них не нужна. Вы ведь их не ретранслируете?
3. У Радио не известно ни расписание, ни текущая передача.

Из 2. и 3. следует, что у ТВ и Радио разные циклы жизни (life cycles). Их запрашивают и обновляют в разное время. И никаких isVideo, isRadio.

Тот кто придумал объединить Радио и ТВ, на мой взгляд, был не полностью трезв.
Не стоит копировать ошибки.

**olden** · 07-12-2010, 19:40

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

радио-каналы могут и меняться со временем
мы их транслируем со своего сервера
при этом авторизация такая же как и на ТВ

**Eugene Bond** · 07-12-2010, 19:57

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

[quote author=olden link=topic=7681.msg96667#msg96667 date=1291740466]

Код:

http://file-teleport.com/iptv/api/json/
http://file-teleport.com/iptv/api/xml/

login ? login=&lt;login&gt; &amp; pass= MD5(MD5(&lt;login&gt;) + MD5(&lt;pass&gt;))

и не говорите шо я параноик

[/quote]

да я уже думал о предзапросе - получить временную "соль"

почему бы и нет?

либо эта соль может передаваться со стороны девайса (по принципу, описанному тут):

Код:

pass= &lt;salt&gt; + MD5(&lt;salt&gt; + MD5(&lt;pass&gt;))

передал девайс соль -- используем ее для проверки пароля. не передал -- не используем. таким образом каждый девайс/разработчик решает для себя сам добавлять соль или нет.

**olden** · 07-12-2010, 20:18

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

да тут пароль только в одном запросе идет
и нужно перехватывать именно его
и если тебя захотят отсниферить, то перехватят и соль, как же ты ее спрячешь
человек, знающий алгоритм, всегда расшифрует
другое дело, что сколько времени и усилий для этого понадобится...
простой мд5(пасс) ломается особенно легко
тем более что на приставках логины и пароли должны быть цифровыми (или с пульта можно и буквы набирать?)
И МД5(пасс) для цифрового пароля достаточно легко ломается созданием 1 раз базы заранее сгенеренных хэшей.
Запрос по базе пройдет гораздо быстрее перебора.

Так что мой тройно мд5 - это скорее от случайного взлома.

**Eugene Bond** · 07-12-2010, 20:43

Re: разработка API для просмотра IPTV сервиса rodnoe.tv (обсуждение/предложения)

простой мд5(пасс) ломается особенно легко

зависит от того, в каком виде пароль хранится в базе. если хранится именно как md5 от пароля, то да (подбирается по таблице нечто с таким же хешем). но если пароль хранится в виде, поддающемся обратной дешифровке, или в качестве хеша с солью, то такой подбор не поможет

[quote author=olden link=topic=7681.msg96680#msg96680 date=1291745929]
тем более что на приставках логины и пароли должны быть цифровыми (или с пульта можно и буквы набирать?)
[/quote]
вот это узкое и интересное место..

в нормальных условиях любое двойное-тройное и более md5 увеличивает вероятность коллизии. с исключительно цифровыми логином/паролем после двойного md5 вероятность коллизии уменьшается (так как исходный словарь после первого md5 увеличился)..
третий прогон нивелирует преимущество, полученное после повторного md5..

в принципе, все равно я сомневаюсь, что кому-то понадобится силы на расшифровку хеша пароля (если кто-то поставит такую цель, то он будет знать алгоритм в любом случае)
имеет смысл защитить хеш реиспользования злоумышленниками (слушающими траффик)

опять всплывает идея использовать в качестве соли IP адрес.

Объявление

разработка API для просмотра IPTV сервиса Rodnoe.TV (обсуждение/предложения)

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Комментарий

Festbottom on all