• chevron_right

      VLC dévoile les sombres dessous de la signature d’apps Android

      news.movim.eu / Korben · 2 days ago - 08:21 · 4 minutes

    Astuces VLC

    La sécurité sur Android et plus particulièrement la signature des applications c’est loin d’être tout beau tout rose. Vous le savez peut-être, notre bon vieux VLC , a quelques soucis pour mettre à jour son app Android sur le Play Store ces derniers temps.

    Alors pourquoi ce blocage ? Eh bien tout simplement parce que Google a décidé de rendre obligatoire l’utilisation des App Bundles pour toutes les applications proposant des fonctionnalités TV. Jusque-là, pas de problème me direz-vous. Sauf que ce nouveau format nécessite de fournir sa clé de signature privée à Google. Et ça, c’est juste im-po-ssible pour l’équipe de VLC !

    Fournir sa clé privée à un tiers, c’est comme donner les clés de son appartement à son voisin. C’est la base de la sécurité : ce qui est privé doit le rester. Sinon autant laisser sa porte grande ouverte avec un panneau « Servez-vous » ! 😅

    Depuis les débuts d’Android, chaque app doit être installée via un fichier APK . Ce fichier contient tout le nécessaire : le code, les ressources, les données… Et pour vérifier qu’un APK est authentique, il doit être signé avec une clé privée générée par le développeur. N’importe qui peut alors vérifier la clé publique utilisée pour signer le fichier.

    L’avantage de ce système est de garantir l’intégrité de l’app. Si le développeur perd sa clé privée ou son mot de passe, impossible de publier des mises à jour car la nouvelle signature ne correspondra pas. Et s’il file sa clé à quelqu’un d’autre, cette personne pourra signer ses propres versions qui seront considérées comme légitimes. Vous voyez le problème maintenant ?

    Avec les App Bundles, on passe à un système de double signature où une clé de téléchargement ( upload key ) permet au Play Store de vérifier que celui qui envoie le fichier est légitime. Jusque-là, ça va. Mais où clé de signature ( release key ), doit être détenue par Google ! Autrement dit, le Play Store signe l’app à la place du développeur. C’est donc cette clé privée que Google réclame aujourd’hui à VLC.

    Google a bien tenté de mettre en place des mesures pour atténuer le problème, comme le dual release qui permet sur les appareils récents (Android 11+) d’installer une mise à jour signée différemment si une preuve de rotation de clé est fournie. Mais pour les apps comme VLC qui supportent aussi les vieux appareils et la TV, ça ne fonctionne pas.

    Du coup, l’équipe de VLC se retrouve face à un choix cornélien :

    1. Donner sa clé privée à Google et continuer à publier normalement. Bénéfice : aucun. Risque : Google a le contrôle total sur les mises à jour et la sécurité de l’app. Autant dire que pour eux c’est non.
    2. Virer le support TV des APK publiés sur le Play Store. Avantage : pas besoin de donner sa clé privée pour les appareils récents. Inconvénient : plus de support TV pour les vieux appareils sous Android 10 et moins. Pas top.
    3. Passer full App Bundles. Avantage : aucun. Inconvénient : ça rendrait l’app incompatible avec 30% des utilisateurs actuels. Même pas en rêve !

    Bref, vous l’aurez compris, l’équipe de VLC est dans une impasse et c’est pour ça qu’aucune mise à jour n’a été publiée ces derniers mois sur le Play Store.

    Et ce n’est pas qu’une question de principe. Le Play Store n’est pas le seul store sur Android. VLC est aussi disponible sur le site officiel, l’Amazon AppStore, le Huawei AppGallery… Donc donner sa clé à Google compromettrait toute la chaîne de publication.

    Malheureusement, sans modification de la part de Google sur ces nouvelles exigences, il n’y a pas de solution miracle pour continuer à proposer le support TV sur les vieux appareils Android via le Play Store.

    C’est rageant pour les développeurs qui se retrouvent pieds et poings liés, mais c’est aussi inquiétant pour nous utilisateurs. Quand le plus gros store d’apps au monde se met à réclamer les clés privées des développeurs, on peut légitimement se poser des questions sur sa conception de la sécurité et de la vie privée.

    Espérons que Google entendra les critiques et fera machine arrière sur ce point. En attendant, la seule chose à faire est de soutenir les développeurs comme VLC qui résistent encore et toujours à l’envahisseur et continuent à privilégier la sécurité de leurs utilisateurs avant tout.

    Si ça vous interesse, vous pouvez suivre toute l’affaire en détail sur cet article passionnant (si si, je vous jure) : VLC for Android updates on the Play Store

    • chevron_right

      Après avoir fondu 10kg de processeurs pour une bague, il trouve un diamant rarissime aux US (son histoire est incroyable)

      news.movim.eu / JournalDuGeek · Thursday, 15 February - 16:07

    Dim1

    Vous ne connaissez pas Julien Navas ? Et pourtant, il travaille pour Videolan, l’entreprise qui gère le lecteur open source VLC, et a déjà fait parler de lui dans nos colonnes.
    • chevron_right

      Le saviez-vous ? VLC peut vous aider à télécharger une vidéo YouTube

      news.movim.eu / Numerama · Friday, 19 January - 09:58

    YouTube ne facilite pas le téléchargement de vidéos, mais l’absence d’un bouton dédié peut se compenser sans trop de peine. VLC, en particulier, est d’une grande aide. Voici les étapes à suivre pour télécharger une vidéo en streaming.

    • chevron_right

      DAZN DMCA Notice Hits Pluto TV Playlist Linking to DAZN’s Own Streams

      news.movim.eu / TorrentFreak · Monday, 8 January - 18:05 · 6 minutes

    Pluto-TV-DAZN-s1 For people on a budget and even for those who are not, there’s a lot to like about free, ad-supported television; FAST for short.

    Available via the internet on almost any device, streaming services like Pluto TV, Tubi, The Roku Channel, and Freevee, offer TV shows and surprisingly large movie libraries, delivered across hundreds of channels.

    Completely free to use, with quality improving all the time, FAST services are growing in popularity thanks to almost no barriers to entry.

    Caveats Create Niche Market

    FAST’s main quid pro quo is the installation of an official app through which viewing takes place. Easy to find on the App Store, Google Play, Amazon, and elsewhere, these apps act as a viewing portal, video player, and electronic program guide (EPG), all rolled into one. They’re also adept at pumping user data, including viewing habits and associated behavior, back to providers to ensure that free ad-supported TV makes up for lost currency through a firehose of advertising intelligence.

    Another issue with the FAST approach is that availability on almost any device isn’t the same as being available on all devices. While PC users are catered for via a web browser, those accustomed to viewing using a dedicated player like VLC, or the full IPTV-approach of IPTVnator , are not. Enthusiasts of TVHeadend , NextPVR , and indeed Jellyfin , Kodi, and Plex users with a NextPVR plugin, face the same problem.

    Or would, if a solution hadn’t already been found.

    Fast Solutions to FAST Problems

    Developer Matt Huisman solves problems like these for fun. Helping to ensure that availability is universal, behind the scenes Huisman’s software generates .m3u8 playlist files for many FAST services and makes those files available on his site .

    Designed to be used as live links rather than downloaded, these .m3u8 files are not only convenient and easy to use. They automatically update when providers change their stream URLs. This provides a seamless experience, and for TVHeadend users, Huisman explains, helps to eliminate the annoyance of existing channels being detected as new channels when their URLs change.

    How the .m3u8 files are generated isn’t something most users need to concern themselves with. For anyone hoping to understand DAZN’s DMCA takedown notice, filed against Huisman’s VPS host Vultr, after those details were handed over to DAZN by Cloudflare, a basic understanding of Huisman’s service is an absolute must.

    Basics of Pluto TV and Huisman’s Playlists

    It’s important to note that Pluto TV’s stream URLs are public. Streams are supplied via regular HTTP URLs (not HTTPS) in .m3u8 playlist format. No systems need to be bypassed to access the streams from a technical perspective although as the image shows, the URLs are pretty long and carry some identity-type strings. For the sake of privacy, if any exists, some chunks are redacted.

    Huisman’s software acts as a 302 redirect , a temporary redirect from one URL to another. In this case, there’s a redirect from Huisman’s site to the latest legal stream available at Pluto TV, an alternative to hard-coding non-permanent stream URLs in the .M3U8 playlist file.

    A loose analogy can be found in domain names, IP addresses and DNS. Huisman’s URLs are always the same (like domains) because when stream URLs change (IP addresses) the .m3u8 file quickly points to the right location but remains static to playlist users.

    We’ll return to other important functionality shortly, but these are the basics needed to understand DAZN’s DMCA notice.

    DMCA Notice – Copyright Infringement on DAZN Content

    A notice with the title above begins by explaining DAZN’s role as a streaming service offering live sports events and on-demand streaming in territories worldwide. DAZN is the exclusive licensee of copyright in the audio-visual production of various live sporting content and events, the notice adds, before claiming the following (emphasis ours) :

    [DAZN] is also the creator of and thereby the owner of copyright in the original content created for DAZN (DAZN live linear channels) that have been infringed upon and hosted on your platform , pursuant to the Digital Millennium Copyright Act (DMCA), 17 U.S.C. Section 512.

    “The unauthorized and infringing material can be found at the following URLs,” the takedown notice adds. (small sample of URLs below)

    Identify Original Content Infringed and the Allegedly Infringing Content

    These two pieces of information are the basics and basis for a valid DMCA takedown notice; identify the content owned and identify the location where the allegedly infringing content can be found.

    “The copyrighted work that has been infringed upon consists of DAZN live linear channels DAZN 1, DAZN 2, DAZN Fights, DAZN Pluto, and DAZN Womens for which DAZN has not authorized the use of its copyrighted material on the aforementioned websites,” the notice reads.

    This paragraph correctly identifies the original content but since the URLs listed in the DMCA notice (“the unauthorized and infringing material”) link to official stream URLs on the Pluto TV service, it appears that DAZN’s legal streams, on Pluto TV itself, are the original content and the allegedly-infringing content.

    This inevitable conclusion is underlined in evidence supplied in support of the DMCA takedown notice. A screenshot of VLC clearly shows a live football match to which DAZN owns the rights, with one of Huisman’s redirect URLs listed as the ‘location’. To a casual onlooker, this seems to imply that the match is being illegally streamed from the URL on Huisman’s site when it’s actually being streamed directly from a URL on Pluto TV’s servers.

    The lack of clarity certainly caused issues at Huisman’s host, which requested the developer to remove his entire domain due to the allegations in the DMCA notice. If the playlist had been the type often found on IPTV piracy sites, which typically contain links to pirated DAZN streams being made available from servers operated by pirates, that would make complete sense. That’s not the case here, however.

    What Was The Aim of the Notice?

    While the nature of this takedown notice always seemed destined to cause confusion, when DAZN files DMCA notices against pirate sites, no such confusion exists. A typical example takes a few seconds to read and less to understand.

    The goal is the same in both notices, i.e. to have the URLs listed in the notice taken down. In that respect the notice targeting Huisman appears to have achieved its goals; as of this morning all URLs return ‘404 Not Found’.

    However, in common with links that point to infringing content, the legal content linked in Huisman’s playlists also (and obviously) remains up. That raises the question of what DAZN hoped to achieve and why.

    We don’t know for sure, but it seems reasonable to assume that another aspect of Huisman’s playlists may have implications for the DAZN bottom line. While the official Pluto TV playlist URLs are extensive and continue long after ‘.m3u8’ to facilitate the delivery of adverts, Huisman’s URLs end at ‘.m3u8’ and lack any additional advertising/tracking functionality.

    In short, users see DAZN channels directly from Pluto TV’s servers but with no advertising whatsoever.

    Again, just a theory, but trying to crowbar an ad-blocking complaint into a regular DMCA takedown notice would likely meet challenges. There’s no statement in the DAZN notice to indicate an ad-blocking issue, so we have to assume that isn’t the case here. However, the prospect conjures up all kinds of possibilities, especially in Germany where the DAZN channels in question are broadcast on Pluto TV.

    In 2019, German publisher Axel Springer sued the company behind Adblock Plus, claiming that since adblockers “change the programming code of websites” that amounts to copyright infringement. A district court went on to dismiss the copyright claims , and the case.

    The court further noted that prevention of ad-blocking would represent a “disproportionate encroachment” on users’ freedoms to make various choices, including not loading images to save bandwidth, deactivating Javascript, or block pop-ups or tracking elements.

    For Huisman, everything is actually very straightforward.

    “In my mind – no matter what the destination URL is – at the end of the day – it’s a simple redirect/shortcut. It’s the exact same thing as TinyURL or other URL shorteners,” the developer concludes.

    From: TF , for the latest news on copyright battles, piracy and more.

    • chevron_right

      Comment télécharger une vidéo YouTube sur son PC ?

      news.movim.eu / Numerama · Tuesday, 13 June, 2023 - 16:03

    Télécharger une vidéo YouTube sur son ordinateur n'est pas commode. Le site de vidéos ne fournit pas une option dédiée. Des solutions existent pour récupérer une vidéo YouTube sur PC ou Mac en quelques étapes. [Lire la suite]

    Abonnez-vous aux newsletters Numerama pour recevoir l’essentiel de l’actualité https://www.numerama.com/newsletter/

    • chevron_right

      VideoLAN threatens to sue India gov’t as ISPs keep blocking VLC website

      news.movim.eu / ArsTechnica · Tuesday, 4 October, 2022 - 19:44

    The VLC icon, a traffic cone, is displayed on a smartphone screen with the words

    Enlarge (credit: Getty Images | SOPA Images)

    VideoLAN is threatening to sue India's government, saying it has received no explanation for why the VLC website has been blocked by Indian ISPs for the past six months.

    "In March 2022, to our shock and dismay, the URL ' https://www.videolan.org/ ' appeared to have been blocked for viewing in India without any prior notice to me or any other person in the organization," VideoLAN president and lead VLC developer Jean-Baptiste Kempf wrote in a September 30 letter to India's Department of Telecommunications. "Despite reportage and uproar on social media, no reasons for blocking the URL were provided to us, or to the Indian public."

    The letter said attempts to reach the URL in India resulted in the message, "Your requested URL has been blocked as per the directions received from the Department of Telecommunications, Government of India."

    Read 10 remaining paragraphs | Comments

    • chevron_right

      Ouvrir des .torrent ou liens magnet directement avec VLC

      news.movim.eu / Korben · Wednesday, 1 June, 2022 - 07:00

    Si vous aimez VLC autant qu’il vous aime pour regarder vos vidéos, saviez-vous qu’il existe un plugin nommé VLC-Bittorrent qui comme son nom l’indique est un plugin vous permettant d’ouvrir directement un .torrent ou un lien magnet avec VLC.

    C’est hyper pratique pour rapidement streamer un film ou de la musique sans passer par la case « download ». Le téléchargement se fera au fur et à mesure.

    Pour cela, une fois le plugin en place comme indiqué sur cette page (ça fonctionne sous Linux, mais ça devrait également se comporter correctement sous Windows ou macOS d’après le développeur), il vous suffit ensuite de lancer VLC avec l’une de ces commandes en fonction de vos besoins.

    vlc video.torrent
    vlc http://example.com/video.torrent
    vlc https://example.com/video.torrent
    vlc ftp://example.com/video.torrent
    vlc "magnet:?xt=urn:btih:...&dn=...&tr=..."
    vlc "magnet://?xt=urn:btih:...&dn=...&tr=..."

    Vraiment très cool !