6 июля 2017 года консорциум World Wide Web Consortium (W3C) публично объявил о намерении принять Encrypted Media Extensions (EME) — стандарт DRM, который предоставляет API для контроля воспроизведения контента в браузере через элементы HTML5 <video> и <audio>. То есть непосредственно в браузере появятся встроенные средства DRM, так что правообладатели смогут запрещать/ограничивать воспроизведение фильмов и музыки на компьютерах пользователей. Таким образом, даже в свободных браузерах open source будет работать зашифрованный проприетарный код — «чёрный ящик», который угрожает безопасности и приватности пользователей, а также лишает их контроля над собственными компьютерами.
Ранее Тим Бернерс-Ли делегировал процесс принятия решения совещательному комитету, но после многочисленных споров дискуссия зашла в тупик, так что согласно регламенту директору W3C всё-таки пришлось принимать решение единолично. Письмо в список рассылки W3C отправил Филипп Ле Хегаре (Philippe Le Hegaret) от имени сэра Тима Бернерса-Ли. Он написал: «После рассмотрения всех вопросов Директор принял решение, что спецификации EME должны получить статус рекомендаций W3C».
Фонд электронных рубежей, который 9 июля совместно с Фондом свободного ПО, организациями Creative Commons и Document Foundation проводит Международный день против DRM выступил категорически против такого решения: оно принято «без каких-либо гарантий доступности, исследований безопасности или наличия конкуренции, несмотря на беспрецедентные внутренние споры между сотрудниками и членами W3C по этому вопросу».
DRM в браузере реализован так, что JavaScript API обеспечивает только интерфейс для взаимодействия, а модуль дешифровки контента Content Decryption Module (CDM) контролирует получение лицензии и обмен криптографическими ключами и реализует проприетарные методы управления лицензиями. Схематично это изображено на иллюстрации.
Впервые представленная в 2012 году, технология EME до сих пор вызывает ожесточённые споры в сообществе. Большому лагерю противников стандартизации этой технологии противостоит мощное корпоративное лобби правообладателей, которые ведут в Сети коммерческую деятельность, продавая цифровой контент и программное обеспечение.
Против принятия EME выступают не только вышеупомянутые Фонд свободного ПО и Фонд электронных рубежей. Под открытым письмом подписались сотни специалистов по безопасности, свои возражения высказали академические исследователи, даже правозащитная группа Just Net Coalition и директор по коммуникациям и информации ЮНЕСКО.
Проприетарное шифрование EME продвигают Netflix, Google, Microsoft и Apple, а также правообладатели из Motion Picture Association of America (MPAA). Все они являются членами W3C, то есть перечисляют финансовые взносы на содержание Консорциума.
Сейчас у оппонентов EME осталась последняя возможность противостоять принятию стандарта — подать апелляцию в Консультативный комитет W3C (Advisory Committee of the World Wide Web Consortium). Этот комитет возглавляет Тим Бернерс-Ли, который уже одобрил EME. Тем не менее, если 5% из 475 членов комитета в течение двух недель подпишутся под апелляцией, то будет инициировано общее голосование. Оно и установит окончательное решение, включать ли EME в стандарт.
«Организации, входящие в W3E, должны взять на себя ответственность за цифровые права пользователей интернета и опротестовать гибельное решение Тима Бернерса-Ли, — говорит Зак Рогофф (Zak Rogoff), менеджер кампании в Фонде свободного ПО. — Главными приоритетами при принятии стандартов должны быть свобода пользователей, приватность, безопасность, совместимость и доступность, а не помощь Голливуду и стриминговым компаниям, как сделать более эффективным их DRM, направленный против пользователей».
Если стандарт EME будет принят, то можно ожидать постепенное увеличение проприетарного зашифрованного видео в Сети, поскольку стриминговым сервисам будет проще внедрить защиту DRM. По мнению оппонентов, это вызовет дополнительные проблемы для пользователей и угрожает свободе информации в интернете: такое видео трудно переводить, комментировать, архивировать, осуществлять другие законные действия. Они называют EME настоящими «цифровыми наручниками» для видеоконтента в Сети. К тому же, проприетарный DRM в браузере — это настоящий руткит для слежки за пользователями со стороны правообладателей, как показала история Adobe.
Согласно американскому закону DMCA Section 1201 (во многих других странах тоже есть такие законы) обход защиты DRM даже с целью поиска опасных уязвимостей в безопасности, закладок и руткитов, карается административным и уголовным наказанием. Обойти защиту DRM несложно: например, защиту Widevine в контенте Google вскрыли ещё в 2010 году, но это не имеет значения. Закон даёт правообладателю исключительно прибыльное право преследовать пользователей и конкурентов, которые пытаются обойти защиту или использовать контент способом, не предусмотренным правообладателем.
В качестве альтернативы Фонд электронных рубежей предлагает соглашение, в рамках которого правообладатели-члены W3C обещают преследовать нарушителей DRM только за нарушение копирайта, но не за обход защиты DRM, если это связано с законными действиями (исследования безопасности, упрощение доступа к контенту для инвалидов и т. д.).
Если апелляция не пройдёт, то соглашение так и не будет принято.
«Сегодня мы скорбим о вебе, когда W3C продаёт нас всех, — написал Джон Салливан (John Sullivan), исполнительный директор Фонда свободного ПО. — Но это ещё не конец; решение может быть обжаловано. Не позволяйте огромным корпорациям-издателям контролировать Сеть».
Комментарии (67)
huankun
11.07.2017 11:13+3Сдаётся мне это не прибавит популярности HTML5. Пора искать замену?
Nekto_TM
11.07.2017 14:45Ну и до замены доберутся. Миром правят деньги, а не здравый смысл. Правообладатели настолько инициативны и активны потому, что это окупается.
Mofsy
11.07.2017 14:45Сдаётся мне это не прибавит популярности HTML5. Пора искать замену?
Покажите нам замену, если найдёте конечно в ближайшие 5 лет.
Aingis
11.07.2017 13:03+1Уже проходили: DRM-контент доставляет проблемы, и в результате не пользуется популярностью, что закономерно: чем больше барьер — тем меньше пользователей. Видимо, надо наступить на грабли ещё раз, чтобы убедится в этой вечной истине. Интересно ещё, как это поддержат производители браузеров. Подозреваю, что ждать её придётся очень долго.
vvatest
11.07.2017 13:22+2Учитывая, что Google, Microsoft и Apple «За» — как минимум в трех браузерах оно появится практически сразу. Далее на каком-нибудь Youtube просмотр роликов без использования DRM осложнят какой-нибудь нефатальной неудобностью и придется подстраиваться опере и мозиле. Ну и когда оно уже есть в браузерах — цель достигнута, осталось получить профит…
Aingis
11.07.2017 14:06Вы слишком хорошего мнения о браузерах, если думаете что там что-то может появится практически сразу. Уверен, что уйдёт не меньше года, и то, если будет высокий приоритет, бросят максимальное число ресурсов и возьмутся сразу, что далеко не факт, вообще говоря. Вендоры могут быть «за» что угодно, но при этом иметь совсем другие приоритеты.
По факту возникает при реализации возникает много вопросов и реализации затягиваются на годы. Тем более планы на год у вендоров уже расписаны. Если вспомнить что, например, Сафари выходит раз в год, и вряд ли это успеет попасть в выпуск через год, то раньше 2019 не ждите. С Эджем похожая ситуация. Хром может сделать пару реализаций, а потом откинуть их, и то они будут под флагом, только чтобы пощупать.vvatest
11.07.2017 14:13Ну так-то понятно, что «сразу» не подразумевает «на следующий день после принятия». Одна только инфраструктура под это дело с серверами лицензий и «вот этим вот всем» будет строиться ощутимое время. Просто эти трое (по моему мнению) саботировать стандарт не станут и в планы разработки включат. Вот и все что я имею ввиду.
fpir
11.07.2017 14:13+3Или так: появляется браузер BJ&Wh который, мало без дрм, так ещё обходит дрм и можно смотреть ролики с ютуба, заходя на «егошный» wetube, туда-же и выкладывать можно. И вуаля, Гугл получает тем-же концом, по тому-же месту(т.е. теряет популярность по той-же схеме, по которой её приобрёл). Я, правда, не думаю, что Гугл настолько зажрался, что не увидит очевидного, при первых-же признаках, и не похоронит дрм на ютубе, тихо и без помпы.
vvatest
11.07.2017 14:24Обход DRM так-то преступление. Разработчики браузера BJ&Wh планируют всю оставшуюся жизнь в Сомали прожить? Ну тоже на морском берегу конечно…
fpir
11.07.2017 14:33+1Зачем в Сомали, в Парагвае(кажется, где там был зареган Либрус и Alcohol?). Причём сами разработчики могут и с пляжа Майами кодить.
Zidian
11.07.2017 20:59В РФ не преступление, внезапно. Отличная возможность пропихнуть Y.стринги в массы.
Calvrack
11.07.2017 21:29Тут же проблема в том что его можно обойти только в одном месте на земном шаре (например назад цифруя LVDS прямо от панели) и потом раздавать через p2p по всему миру.
sh84
11.07.2017 14:45И все это уже произошло. В прошлом году.
Фактически речь идет о фиксации уже поддерживаемого всеми основными браузерами решения.
Darkvetalx
11.07.2017 13:23Если кто-то один реализует — остальные тоже быстренько подтянуться — терять аудиторию никто не захочет.
knstqq
11.07.2017 13:59+1Крайне грустно, что Google это поддерживает. Вполне вероятно, что ютуб без этой анальной затычки будет нельзя смотреть. А это грустно, много контента именно там, например
Alexey2005
11.07.2017 15:11+3И, что ещё хуже, нельзя будет скачать. А ведь видео на youtube имеют нехорошее свойство теряться. Прошло два года — бац, а половина ссылок из закладок уже не работает, видеоролики потёрли.
Areso
12.07.2017 05:31Mozilla скорее всего выпустит два варианта, с DRM для всех и без модуля DRM для всех остальных. Или сделает его отключаемым.
Cryvage
12.07.2017 09:42+1Так оно уже давно, начиная с версии 47. Настройки -> Содержимое -> Воспроизводить DRM-контент. По умолчанию галочка стоит. Лично я отключил сразу же. За прошедший с того момента год, проблем не заметил. Правда я практически и не смотрю онлайн видео, кроме ютуба.
Так же, напротив этой самой галочки в настройках есть ссылка на официальную справку Mozilla по этому вопросу.msts2017
13.07.2017 09:55Хм, а почему такой настройки (52.0.2 (32-bit)) может не быть?
хотя нашел media.gmp-widevinecdm.enabled;true
Bot34
11.07.2017 14:45Ерунда какая-то. Если клиент может смотреть контент, то его никак не защитить — в крайнем случае скринграбберы никто не отменял.
Alexeyslav
11.07.2017 15:58Скринграберы будет отслеживать тот самый чёрный ящик и просто не будет показывать контент. Останется только в полном эмуляторе запускать всё это дело чтобы сграбить и выложить открыто, но и там будут преследовать по всем направлениям. Рано или поздно пиратам надоест это делать, особенно бесплатно.
valis
11.07.2017 16:32+3Ссори, но если этот черный ящик будет иметь доступ к твоим нативным приложениям — сразу выбрасывай такой браузер. Это прямое нарушение всех известных норм безопасности. Хром такого точно не пропустит (я надеюсь на это, иначе придется нам расстаться)
nidalee
12.07.2017 08:01А если я в VM видео запущу и буду грабить с хоста?
Alexeyslav
14.07.2017 23:25Скорей всего не запустится. Модуль определит что выполняется виртуально и откажется работать.
Alexey2005
11.07.2017 17:11+1А зачем всё это нужно самим копирастам? У них ведь уже есть куча проприетарных стандартов, напичканных DRM по самые микросхемы.
Копирасты уже сейчас могут продавать эксклюзивный контент, который можно просматривать только на их собственном проприетарном железе (игровые консоли, спутниковые ресиверы). Такое пиратить сложнее, чем любой веб-контент. Так зачем все эти танцы с бубнами вокруг веб-стандартов?habradante
11.07.2017 17:39Ради роликов на ютюбе никто не будет покупать железку. Да и далеко не все копирасты выпускают свои железки. Это как отдельный mp3 плеер для музыки, только от, например, Warner Music.
bro-dev
11.07.2017 18:59Я мб чето пропустил, разве браузеры на 100% соблюдают w3c вроде как они тупо могут проигнорить что хотят. Иначе не было бы разных браузеров вообще, и вся верстка везде одинаково работала.
Igor_34_rus
12.07.2017 09:57w3c, это стандарт. Можно не соблюдать, топ три браузера «за», так что останутся только небольшая горстка идейных.
С другой стороны это подстегнёт к развитию всяких RUTUBE, где не будет такой защиты и спираченный контент будут выкладывать.
Наверняка этот чёрный ящик будет кушать ресурсы оборудования, на слабых устройствах будут стараться обходить его.
Nikelandjelo
12.07.2017 10:10А белый ящик не будет кушать ресурсы? В чем отличие? Неужели на белый ящик накинется сообщество и заооптимизирует по самое нехочу? Вряд ли. Скорее если сообщество начнет жаловаться в твиттерах и везде, что все стало медленно или конкуренты сделают быстрее, тогда владельцы черного/белого ящика и примется за оптимизацию.
Igor_34_rus
12.07.2017 10:23Слишком много вопросов, которые отпадают если помнить чуть больше чем последнего предложения.
Не надо передёргивать, я говорил в принципе о «защите». И из текста это понятно, без неё будет быстрее.
По этому и пишу
где не будет такой защиты
Пока принят чёрный ящик, о нём и пишу.
ToSHiC
12.07.2017 10:03+4Что такое EME? Это API для взаимодействия js кода видеоплеера, тега video и модуля дешифрования траффика CDM. Появилось в первый раз в Google Chrome OS для просмотра Netflix в 2013 году, в том же году было реализовано в Chome. Потом в Android, начиная с 4.3, в 2015 году Mozilla добавила поддержку в Firefox под винду. Так же поддерживается в IE, и есть полу-официальная реализация в Safari, специально для Netflix.
Основная задача CDM — защищённым способом получить от онлайн-кинотеатра (ютуба, нетфликса) ключ для дешифрования конкретного видеоролика, во всех популярных DRM для шифрования используется AES-128. Модули эти обёрнуты 100500 слоями защиты, как скайп, чтобы ключи не утекли. На девайсах типа android телефонов, айфонов, телевизоров или chromecast, CDM интегрирован в железо, дешифрация происходит прямо внутри аппаратного h264 декодера. Иногда HD контент можно показывать только на таких устройствах, проверку делает тоже CDM.
В целом, если посмотреть на рынок, то >90% устройств можно покрыть 3 системами DRM: FairPlay от Apple, Widevine от Google, PlayReady от MS, отсюда и соответствующее количество модулей. Идеологически они ничем друг от друга не отличаются. При этом в браузерах, в общем-то, все через EME и работают. Даже если W3C сейчас не скажет, что это стандарт де-юре, это уже стандарт де-факто, который полезен всем сервисам, которые хотят показывать фильмы или сериалы. И это, к сожалению, требования от издателей, всяким кинотеатрам всё это конечно же нафиг не нужно.
Итого, если вы пользуетесь техникой от Apple, или Хромом и производными (хромиум, Я.Браузер и некоторыми другими), то у вас уже есть CDM — тот самый чёрный ящик DRM. Уже больше 2 лет.
Gendalph
12.07.2017 20:46apt-cache search widevine
chromium-widevine - web browser - widevine content decryption support
dpkg -l chromium-widevine
dpkg-query: no packages found matching chromium-widevineСуществует, но не установлен. И тем не менее — грусть.
ToSHiC
12.07.2017 23:35+2И вот тут важно: стандартизируются не сами модули DRM, а API взаимодействия с ними. Ставить же их или не ставить — решаете вы сами, как пользователь (конечно, если это не аппаратное решение и не часть платформы, как на мобильных). Хотите нетфликс посмотреть — извольте поставить.
Nikelandjelo
12.07.2017 10:07-2Пол интернета сидит на хроме (не хромиуме), который не опенсорсый и в котором есть проприетарное, закрытое ПО и всем нормально. А тут решили поставить еще дополнительные проприетарные плагины и все сошли с ума. Не хотите — не ставьте, делайте браузер без их поддержки, в чем проблема? Да. не посмотрите нетфликс, не послушаете музыку определенную, ну и ок, ваш выбор. Я лично хочу спокойно заплатить 10$ в месяц, поставить плагин (как в общем то и большинство остального ПО на моем компьютере, исходники которого я никогда не смотрел и не буду) и наслаждаться контентом.
tBlackCat
13.07.2017 15:26Дать возможность некомпетентным в вопросах безопасности людям, называемых правообладателями…
На ум приходят слова небезызвестного генерала из фильма «Такси» — это катастрофа.
StallinHrusch
14.07.2017 18:33+1покадрово снимать скриншоты из которых потом скомпилить фильмец. в чем проблема? ну да не так удобно как нажать «Save as...», но что поделать :)
4dmonster
DRM — это очевидное зло. А вот хорошо ли, когда зло стандартизированное или разнообразно? Это ещё надо обдумать.
Защиты игр, видео, программ всегда приносили проблемы только лицензионным пользователям. Сомнительно что в этот раз что-то будет иначе.
mwambanatanga
Tufed
Если с DRM будет выпускаться годный контент, который нужен людям, найдется аудитория согласная принять любые правила игры ради получения этого контента. Естественно, от самих правил зависит величина аудитории, но она будет. Даже если завтра вместо обычного DRM выпустят DRM с ректальным токеном, а популярные видео-сервисы с уникальными правами на показ некоторых фильмов перейдут на него, и по-другому никак. Даже тут найдутся ценители. Вы можете отказаться от использования сервисов с DRM защитой, но толпы хомячков всё равно буду поддерживать, ведь им нужен тот контент, они не могут от него просто так отказаться. Просто вы не входите в целевую аудиторию, на которую это рассчитано. Пример близкий: при вымогательстве за шифрованные вирусом файлы, вы можете не платить, но найдутся хомяки, которым легче заплатить и получить что нужно. Они и являются целью, а вы просто попали случайно. Так и с DRM для HTML5, кто не хочет пройдет мимо, но он рано или поздно окажется в меньшинстве, т.к. общество не способно жестко реагировать на мягкие попирания своих прав и свобод.
4dmonster
Вот именно, лицензионные пользователи, которые заплатили деньги будут с ректальным зондом смотреть видео. А не лицензионные пользователи бесплатно будут сидеть ровно и смотреть тоже самое.
Ведь ещё не изобрели средства защиты, которые не взламывают пираты.
JC_IIB
Меня всегда так умиляет, когда кто-то использует слово "хомячки" по отношению к людям. Этакое пренебрежение свысока, подчеркиваем свою "некаквсешность". Корона не жмет, не?
И, если уж речь зашла об, поясните, какие, по вашему мнению, права и свободы попираются DRM? Сразу скажу, что тухлый девиз из 80-х, мол, information must be free, я не посчитаю за аргумент, его давно закопать пора.
vesper-bot
Например, право не давать третьей стороне знать, что между вами и второй стороной происходит. DRM-модуль в явном виде нарушает это правило, даже в штатном функционале. А уж для паранойи поле просто непаханное.
JC_IIB
DPI уже существует и используется.
vesper-bot
DPI тоже нарушает это правило, в общем случае, но в основном потому, что стоит на провайдере, чья функция — позволять общаться через Интернет. В принципе, это как с почтой — провайдер (почтовая служба) знает о факте письма от А к Б. DPI здесь эквивалентен сотруднику тайной полиции, который работает на почте и может письмо вскрыть (что может делать в рамках закона — к сожалению, когда придумали тайную полицию, Интернета ещё не было), прочесть и решать, пускать дальше по системе или нет. А DRM-модуль больше похож на тюремщика, который проверяет посылки, передаваемые в камеру: "А есть ли у тебя право смотреть вот это?" Точного эквивалента DRM в реальной жизни пока ещё нет, и слава Богу. Поэтому лично я против DRM в браузерах, потому что у DRM в этом случае будет доступ ко всему контенту, проходящему через браузер. А с учетом фразы:
которая есть в документе от EFF, на который есть ссылка в статье, проверить, а не занимается ли DRM чем-то незаконным, оказывается незаконно. И если от DPI мы ещё можем зашифровать что-то, то от DRM, который работает на стороне клиента и имеет доступ внутри процесса к ключам шифрования, уже нет.
fpir
Закопайте, вместе со стандартом BluRay, который копирасты так долго насиловали, что он успел сдохнуть, раньше, чем они прекратили, причём копирасты так и не кончили. Хотите устроить то-же с HTML?
Al_Azif
Честно, HTML — довольно мертворожденная штука(как гипертекст — он хорош, да, но количество костылей на костылях по-моему зашкаливало ещё 5 лет назад)
Единственное зло, которое лично я тут вижу — это то что это становится _стандартом_.
Однако ж всегда есть, например тот же открытый Chromium или довольно анархическая Opera, которые эти «стандарты»
на х… вертелисделают опциональными, ну или вообще не сделают.Разве что забавляет очередная попытка копирастов идти против волны.
Люди будут использовать то что им удобно, вот и всё.
PS: Про корону верно сказано. Использование «хомячков» по отношению примерно где-то в 7 миллиардам людей — признак ФГМ.
Tufed
1) В моем понимании «Хомячки» по отношению к людям имеет переносной смысл, который хорошо передает лурк: «Хомячки — доверчивая и легко манипулируемая часть населения». И нет, корона не жмёт.
2)
JC_IIB
Понятно всё.
Также у вас, видимо, есть доступ к исходникам "черного ящика", раз вы так уверенно утверждаете, что он чему-то там угрожает и чего-то кого-то лишает. Или это таки домыслы?
Mario_Z
Может человеку нравятся зонды в нем — хобби у него такое.
attuda
Черный ящик, в котором неизвестно что находится угрожает безопасности по определению. Принесите и оставьте черный ящик в метро или в аэропорту, понаблюдайте за реакцией служб безопасности.
JC_IIB
Метро и аэропорт — охраняемые объекты, компьютер конечного пользователя — нет.
Но это всё, в принципе, неважно по одной простой причине:
Гиганты из гигантов (удивительно, что Amazon не подтянулся), с огромными деньгами, напрямую башляющие в W3C. Вы все еще думаете, что ЕМЕ не внедрят? Вы что, действительно так думаете? Я уверен, что это всё это будет, и что это вопрос исключительно времени, сколько бы не писали про ущемление прав и свобод.
Хотите аналогию? Ситуация, когда вы в обязательном порядке платите за однократное потребление цифрового контента, и при том за его копирование предусмотрена ответственность вплоть до уголовной — это поход в кинотеатр. Почему-то никто не истерит по поводу запрета проносить в залы видеокамеры и писать себе свежий блокбастер.
Будет всё то же самое, но без кинотеатра, у вас дома.
0xd34df00d
А что эта аналогия доказывает?
JC_IIB
Ее задача была не доказать, а, скорее, показать нормальность ситуации.
Хотя она несовершенна, ее можно пошатнуть аргументами про «в кинотеатре экран, качество и долби».
0xd34df00d
Я не очень понимаю, как аналогия сама по себе может показывать нормальность.
Вот смотрите, если вы берёте книгу в библиотеке, то вы берёте её на время. Значит, ограничивать время чтения статей на сайтах — разумно.
attuda
Вы точно на мой комментарий отвечали? Я не высказывался о вероятности «внедрят/не внедрят». Я ничего не писал про «ущемление прав и свобод». Я лишь утверждал, что код, внедренный по принципу «черного ящика», по определению нарушает безопасность. Для кого-то это может быть некритично, потому что он «не метро и не аэропорт», а для кого-то критично.
nidalee
Таки что же мне мешает охранять свой ПК и информацию на нем? Желание сильных мира сего получить свою любимую «недополученную прибыль»? Обойдутся, что могу сказать.
Chamie
lexore
«хомячки» — это русифицированное «home user», т.е. просто «домашний пользователь». Специально ничего уничижительного здесь не вкладывается. Это часть сленга, как юридическое лицо — юрики, физическое лицо — физики.
Насчет DRM есть один вполне конкретный момент — в этих модулях могут быть ошибки, через которые будут пролезать зловреды. Вспомните, сколько дыр было связано с flash. А с DRM модулями все ещё тяжелее — нам запрещают изучать их и смотреть, что у них внутри.
mwambanatanga
dartraiden
В Firefox это настраивается при сборке.