Ako testovať pokusy o neoprávnené kopírovanie alebo sťahovanie

Od /

Príklad
Používateľ si predplatí film v online platforme. Film sa prehrá bez problémov, ale zároveň si otvorí vývojársku konzolu v prehliadači a skúsi nájsť URL na video súbor.
Ak sa mu podarí súbor stiahnuť priamo, systém síce funguje pre bežného používateľa, ale z pohľadu bezpečnosti zlyhal.
V praxi to znamená stratu príjmov, porušenie licenčných podmienok a potenciálne právne problémy.

 

Ako otestovať

  1. Pokusy o priame stiahnutie obsahu
  • Skús získať priamy odkaz na súbor (video, PDF, audio) cez developer tools (Network tab).
  • Over, či URL funguje aj bez prihlásenia alebo po expirácii session.
  • Otestuj opakované použitie URL (reuse tokenu).
  • Skontroluj, či sa používajú časovo obmedzené alebo jednorazové odkazy.

 

  1. Autorizácia a prístupové práva
  • Over, že obsah je dostupný len pre oprávneného používateľa (napr. predplatiteľ).
  • Testuj prístup po zmene roly alebo odhlásení.
  • Skontroluj rozdiel medzi stavmi 401 (neprihlásený) a 403 (zakázaný prístup).
  • Otestuj prístup cez API bez platného tokenu.

 

  1. Ochrana streamovaného obsahu (DRM)
  • Sleduj, či sa obsah streamuje po častiach (chunky) namiesto jedného súboru.
  • Over použitie DRM mechanizmov (napr. šifrovanie segmentov).
  • Skús zachytiť stream a rekonštruovať súbor – nemalo by to byť triviálne.
  • Testuj správanie pri pokuse o prehrávanie mimo oficiálneho klienta.

 

  1. Pokusy o kopírovanie obsahu v UI
  • Skús kopírovať text (napr. e-kniha) cez Ctrl+C, výber myšou alebo screenshot.
  • Over, či sú implementované ochrany (napr. blokovanie výberu textu, watermark).
  • Testuj správanie na rôznych zariadeniach (desktop vs. mobil).
  • Skontroluj fallback – ochrany nesmú rozbiť UX pre legitímne použitie.

 

  1. Manipulácia s požiadavkami
  • Upraviť requesty v nástrojoch ako Postman alebo Burp Suite.
  • Skús meniť parametre (ID obsahu, user ID).
  • Over, či systém validuje, že používateľ má právo na konkrétny obsah.
  • Testuj replay útoky (opakované odoslanie rovnakého requestu).

 

  1. Offline a cache scenáre
  • Otestuj, či sa obsah neukladá nešifrovane do cache alebo lokálneho úložiska.
  • Skontroluj správanie po odpojení od internetu.
  • Over, či expirovaný obsah nie je stále dostupný offline.
  • Testuj vymazanie cache a opätovný prístup.

 

  1. Logovanie a detekcia podozrivého správania
  • Over, či systém zaznamenáva pokusy o neoprávnené prístupy.
  • Sleduj logy: opakované requesty, scraping, hromadné sťahovanie.
  • Testuj reakciu systému – blokovanie IP, rate limiting, CAPTCHA.
  • Over, či sú incidenty dohľadateľné pre audit.

 

  1. Výnimočné a hraničné scenáre
  • Pokus o sťahovanie pri expirácii tokenu počas prenosu.
  • Paralelné sťahovanie viacerých súborov jedným používateľom.
  • Zmena oprávnení počas prehrávania (napr. zrušenie predplatného).
  • Testovanie na pomalom pripojení – či sa ochrany neobchádzajú.

Pridajte Komentár

Vaša e-mailová adresa nebude zverejnená. Vyžadované polia sú označené *

Návrat hore