이 API는 단순한 클리어 키 복호화부터 고부가가치 비디오까지
(적절한 사용자 에이전트 구현이 주어진 경우) 다양한 사용 사례를 지원한다. 라이선스/키 교환은
애플리케이션이 제어하며, 다양한 콘텐츠 복호화 및 보호 기술을 지원하는
견고한 재생 애플리케이션의 개발을 촉진한다.
이 명세는 콘텐츠 보호 또는 디지털 저작권 관리
시스템을 정의하지 않는다. 그 대신 이러한 시스템 및 더 단순한 콘텐츠 암호화 시스템을
발견하고, 선택하고, 상호작용하는 데 사용할 수 있는 공통 API를 정의한다. 이 명세를 준수하기 위해
디지털 저작권 관리를 구현할 필요는 없다. 공통 기준선으로 구현이 요구되는 것은
Clear Key 시스템뿐이다.
공통 API는 단순한 콘텐츠 암호화 기능 집합을 지원하며,
인증 및 권한 부여와 같은 애플리케이션 기능은 페이지 작성자에게 맡긴다. 이는
암호화 시스템과 라이선스 또는 기타 서버 간의 대역 외 통신을 가정하는 대신,
콘텐츠 보호 시스템별 메시징을 페이지가 중개하도록 요구함으로써
달성된다.
이 문서의 상태
이 절은 이
문서가 발행된 시점의 상태를 설명한다. 현재 W3C
발행물 목록과 이 기술 보고서의 최신 개정판은
W3C 표준 및 초안
색인에서 확인할 수 있다.
이 문서는 초안 문서이며 언제든지 다른 문서로
업데이트, 대체 또는 폐기될 수 있다. 진행 중인 작업 이외의 것으로
이 문서를 인용하는 것은 부적절하다.
이 문서는
W3C
특허
정책에 따라 운영되는 그룹이 작성했다.
W3C는
이 그룹의 산출물과 관련하여 이루어진 모든 특허 공개의 공개 목록을
유지한다. 해당 페이지에는
특허를 공개하기 위한 지침도 포함되어 있다. 어떤 개인이
필수 청구항을 포함한다고 믿는 특허를
실제로 알고 있는 경우, 그 개인은
W3C 특허 정책 6절에 따라
그 정보를 공개해야 한다.
이 명세는 스크립트가 콘텐츠 보호 메커니즘을 선택하고,
라이선스/키 교환을 제어하며, 사용자 정의 라이선스 관리 알고리즘을 실행할 수 있게 한다.
각 사용 사례마다 각 사용자 에이전트에서 클라이언트 측 수정을 요구하지 않고도
광범위한 사용 사례를 지원한다. 이를 통해 콘텐츠 제공자는 모든 기기에 대한
단일 애플리케이션 솔루션을 개발할 수 있다.
지원되는 콘텐츠는 컨테이너별 "공통 암호화" 명세에 따라 암호화되며,
키 시스템 전반에서 사용할 수 있게 한다. 지원되는 콘텐츠는 암호화되지 않은 컨테이너를 가지므로,
메타데이터를 애플리케이션에 제공할 수 있고 다른
HTMLMediaElement 기능과의 호환성을 유지할 수 있다.
구현자는 이 명세에서 설명하는 보안 및 개인정보 보호 위협과 우려 사항에 대한
완화책에 주의를 기울여야 한다. 특히 보안 및 개인정보 보호에 대한 명세 요구사항은
키 시스템과 그 구현의 보안 및 개인정보 보호
속성을 알지 못하면 충족할 수 없다. 8.
구현 요구사항에는 기반 키 시스템 구현의
통합 및 사용과 관련된 보안 및 개인정보 보호 조항이 포함되어 있다. 10.
보안은
입력 데이터 또는 네트워크 공격과 같은 외부 위협에 초점을 맞춘다. 11.
개인정보 보호는
사용자별 정보의 처리와 사용자에게 자신의 개인정보에 대한 충분한 제어를 제공하는 데
초점을 맞춘다.
참고
이 명세는 미디어 데이터의 출처와 독립적이지만, 작성자는 많은 구현이
Media Source Extensions [MEDIA-SOURCE]를 통해 제공되는 미디어 데이터의
복호화만 지원한다는 점을 알고 있어야 한다.
API를 사용하여 구현된 일반적인 스택이 아래에 표시되어 있다. 이 다이어그램은 예시
흐름을 보여 주며, API 호출과 이벤트의 다른 조합도 가능하다.
2.
정의
콘텐츠 복호화 모듈
(CDM)
콘텐츠 복호화 모듈(CDM)은 하나 이상의 키 시스템에 대해
복호화를 포함한 기능을 제공하는 클라이언트 구성요소이다.
참고
구현은 CDM의 구현을 분리할 수도 있고 분리하지 않을 수도 있으며, 사용자 에이전트와
별개로 취급할 수도 있다. 이는 API와 애플리케이션에 투명하다.
키 시스템
키 시스템은 복호화 메커니즘 및/또는 콘텐츠 보호 제공자를 가리키는 일반 용어이다.
키 시스템 문자열은 키 시스템의 고유한 식별을 제공한다. 이 문자열은 사용자 에이전트가
CDM을 선택하고 키 관련 이벤트의 출처를
식별하는 데 사용된다. 사용자 에이전트는 공통
키 시스템을 지원해야 MUST 한다. 사용자 에이전트는 해당 키 시스템 문자열과 함께
추가적인 CDM도 제공할 수 MAY 있다.
키 시스템 문자열은 항상 역방향 도메인 이름이다. 키 시스템 문자열은
대소문자를 구분하여 비교된다. CDM은 단순한 소문자
ASCII 키 시스템 문자열을 사용하는 것이 권장된다 RECOMMENDED.
참고
예를 들어, "com.example.somesystem".
참고
주어진 시스템(예시의 "somesystem") 내에서 하위 시스템은 키 시스템 제공자가
결정한 대로 정의될 수 있다. 예를 들어, "com.example.somesystem.1" 및
"com.example.somesystem.1_5". 키 시스템 제공자는 이 문자열들이
비교 및 발견에 사용된다는 점을 염두에 두어야 하므로, 비교하기 쉬워야 하며
구조는 합리적으로 단순하게 유지되어야 한다.
각 키 세션은 단일 MediaKeys 객체와 연결되며, 해당
MediaKeys 객체와 연결된
미디어 요소만 세션과 연결된 키에 접근할 수 있다. 다른
MediaKeys 객체,
CDM 인스턴스 및 미디어 요소는 키 세션에 접근하거나
그 키를 사용해서는 안 된다 MUST NOT. 키 세션과 그 안에 포함된 키는
MediaKeySession 객체가
파괴되는 경우를 포함하여 세션이 닫히면 더 이상 복호화에 사용할 수 없다.
키 세션과 연결되어 있고 명시적으로 저장되지 않은 모든 라이선스와 키는
키 세션이 닫힐 때 파괴되어야 MUST 한다.
각 세션 ID는 그것이 생성된 브라우징 컨텍스트 내에서 고유해야
SHALL 한다.
영속 세션 타입인가? 알고리즘이
true를 반환하는 세션 타입의 경우, 세션 ID는 브라우징 세션 전반을 포함하여
시간에 따라 출처 내에서
고유해야 MUST 한다.
참고
기반 콘텐츠 보호 프로토콜이 반드시 세션 ID를 지원할 필요는 없다.
키
달리 명시되지 않는 한, 키는 미디어 데이터 내의
블록을 복호화하는 데 사용할 수 있는 복호화 키를 가리킨다. 이러한 각 키는
키 ID에 의해 고유하게 식별된다. 키는 그것을
CDM에 제공하는 데 사용된
세션과 연결된다. (같은 키가
여러 세션에 존재할 수 있다.) 이러한 키는
update() 호출을 통해서만
CDM에 제공되어야 MUST 한다. (이후에는
저장된 세션 데이터의 일부로 load()에
의해 로드될 수 있다.)
모범 사례 1: 암호화된
미디어를 패키징할 때는, 실질적으로 다른 정책의 적용이 필요한 각
스트림 집합을 고유한 키(및 키 ID)로 암호화한다.
예를 들어, 두 비디오 해상도 사이에 정책이 다른 경우 각 스트림
집합은 고유한 키로 암호화되므로 정책을 독립적으로 적용할 수 있다.
마찬가지로, 오디오 스트림과 비디오 스트림은 정책이 서로 다를 때
고유한 키를 사용한다. 정책 그룹 간에 키를 공유하면 독립적인 적용이
불가능해지므로, 정책 그룹별 고유 키는 클라이언트 전반에서 적용과
호환성을 보장하는 유일한 방법이다.
복호화에
사용 가능
CDM이 해당 키가 현재 미디어 데이터의 하나 이상의
블록을 복호화하는 데 사용할 수 있다고 확신하는 경우, 키는 복호화에 사용할 수 있는 것으로 간주된다.
주
예를 들어, 라이선스가 만료된 경우 키는 복호화에 사용할 수 없다. 라이선스가
만료되지 않았더라도, 키 사용을 위한 다른 조건(예: 출력 보호)이 현재
충족되지 않으면 키는 복호화에 사용할 수 없다.
키 ID
키는 옥텟 시퀀스이며 해당 키를 고유하게 식별하는 키 ID와
연결된다. 컨테이너는 미디어 데이터 안의
블록 또는 블록 집합을 복호화할 수 있는 키의 ID를 지정한다. 초기화
데이터에는
미디어 데이터를 복호화하는 데 필요한 키를 식별하기 위한 키 ID가 포함될
MAY 있다.
그러나 초기화 데이터가 미디어 데이터 또는 미디어
리소스에서 사용되는 일부 또는 모든 키 ID를 포함해야 한다는 요구사항은 없다. 라이선스가 CDM에 제공될 때 각 키를
키 ID와 연결하므로,
CDM은 암호화된 미디어 데이터 블록을 복호화할 때 적절한 키를 선택할 수 있다.
알려진 키
CDM의 세션 구현이 실제 키가 사용 가능하거나 그 값을 알고 있는지와 관계없이,
해당 키에 관한 정보, 특히 키
ID를 포함하는 경우, 키는 세션에 알려진 것으로 간주된다. 알려진 키는
keyStatuses 속성을 통해 노출된다.
키는 만료로 인해 사용할 수 없게 되거나, 제거되었지만 라이선스 폐기 기록을
사용할 수 있는 경우처럼, 사용할 수 없게 된 뒤에도 알려진 것으로 간주된다. 키는 세션에서 명시적으로
제거되고 모든 라이선스 해제 메시지가 확인된 경우에만 알 수 없는 상태가 된다.
주
예를 들어, update() 호출이
해당 키를 포함하지 않고 이전에 그 키를 포함했던 라이선스를 대체하라는 지시를 포함하는
새 라이선스를 제공하는 경우, 키는 알 수 없는 상태가 될 수 있다.
라이선스
라이선스는 하나 이상의 키를 포함하는 키 시스템별 상태 정보이며,
각 키는 키 ID와 연결되고, 키 사용에 관한
다른 정보를 잠재적으로 포함한다.
초기화 데이터
모범 사례 2: 초기화
데이터를 생성할 때는 콘텐츠를 복호화하는 데 필요한 각
키를 고유하게 식별한다.
키 시스템은 보통 라이선스 요청 메시지를 구성하기 전에
복호화할 스트림에 관한 정보를 포함하는 초기화 데이터 블록을 필요로 한다.
이 블록은 단순한 키 또는 콘텐츠 ID일 수도 있고, 그러한 정보를 포함하는
더 복잡한 구조일 수도 있다. 애플리케이션은 초기화 데이터를 어떤
애플리케이션별 방식으로 얻거나 미디어 데이터에서 얻는다.
초기화 데이터는 라이선스 요청을 생성하기 위해
CDM이 사용하는 컨테이너별 데이터를 가리키는 일반적인 용어이다.
초기화 데이터의 형식은 컨테이너의 유형에 따라 달라지며,
컨테이너는 둘 이상의 초기화 데이터 형식을 지원할 MAY 있다.
초기화 데이터 유형은
함께 제공되는 초기화 데이터의 형식을 나타내는 문자열이다. 초기화 데이터 유형 문자열은 항상
대소문자를 구분하여 일치된다. 초기화 데이터 유형 문자열은 소문자 ASCII 문자열일 것이
RECOMMENDED 된다.
사용자 에이전트가 미디어 데이터에서 초기화 데이터를 만나면,
그 초기화 데이터를
initData 속성에 넣어
encrypted 이벤트를 통해 애플리케이션에 제공한다. 사용자
에이전트는
초기화 데이터를 저장하거나 그 시점에 그 내용을 사용해서는 MUST NOT 된다.
애플리케이션은 초기화 데이터를
CDM에
generateRequest()를
통해 제공한다.
사용자 에이전트는 초기화 데이터를 다른 수단으로
CDM에 제공해서는 MUST NOT 된다.
초기화 데이터는 주어진 스트림 집합 또는
미디어
데이터에 대해 고정된 값이어야 MUST 한다. 이는 주어진 스트림 집합 또는
미디어
데이터를 재생하는 데 필요한 키와 관련된 정보만
포함해야 MUST 한다. 이는 애플리케이션 데이터, 클라이언트별 데이터,
사용자별 데이터 또는 실행 가능한 코드를 포함해서는 MUST NOT 된다.
초기화 데이터는 키 시스템별 데이터 또는 값을 포함하지 않는 것이 SHOULD NOT 된다.
구현은 지원하는 각 초기화 데이터 유형에 대해
[EME-INITDATA-REGISTRY]에
정의된 공통 형식을
지원해야 MUST 한다.
주
독점 형식/콘텐츠의 사용은 권장되지 않으며, 독점 형식만 지원하거나 사용하는 것은
강하게 권장되지 않는다. 독점 형식은 기존 콘텐츠 또는 공통 형식을 지원하지 않는
기존 클라이언트 장치에서만 사용해야 한다.
연관 가능한 값
둘 이상의 식별자 또는 다른 값이 동일하거나 또는 합리적인 시간과 노력으로
상호 관련시키거나 연관시킬 수 있는 경우, 그 값들은 연관 가능하다고 한다.
그렇지 않으면 그 값들은 연관 불가능하다.
반대로, 암호학적으로 강한 비가역 해시 함수 등을 통해 완전히 관련이 없거나
암호학적으로 구별되는 두 값은
연관 불가능하다.
둘 이상의 식별자 또는 다른 값이, 참조되는 엔터티 또는 엔터티 집합이 추가
엔터티의 참여 없이 합리적인 시간과 노력으로 이를 상호 관련시키거나 연관시킬 수 있는 경우
엔터티에
의해
연관 가능하다고 한다. 그렇지 않으면 그 값들은 엔터티에 의해
연관 불가능하다.
둘 이상의 식별자 또는 다른 값이, 해당 엔터티가 애플리케이션, 모든 다른
애플리케이션, 그리고 이들이 사용하거나 통신하는 서버 같은 다른 엔터티를 포함하는 집합인 경우
엔터티에 의해 연관 불가능하다면
애플리케이션에 의해 연관 불가능하다고 한다.
그렇지 않으면 그 값들은
애플리케이션에 의해 연관 가능한 것으로 간주되며, 이는 금지된다.
고유 식별성 값
고유 식별성 값은 값, 데이터 조각, 데이터 조각의 소유에서 비롯되는 함의,
또는 대규모 사용자 또는 클라이언트 장치 집단에 공유되지 않는
관찰 가능한 동작이나 타이밍이다. 고유 식별성 값은 메모리에 있거나
지속될 수 있다.
고유 식별자는 불투명하거나 암호화된 형태를 포함하는 값으로, 클라이언트 외부의
어떤 엔터티가 웹 플랫폼에서 사용자가 예상할 수 있는 범위(예: 쿠키 및 기타
사이트 데이터)를 넘어 값을 상호 관련시키거나 연관시킬 수 있는 값이다.
예를 들어, 사용자가 브라우징 데이터를 지운 뒤에도, 또는 사용자가 그러한 연관을 끊기
쉽지 않은 값에 대해 자신의 개인정보를 보호하려고 시도한 뒤에도,
a) 출처,
b) 브라우징 프로필, 또는 c)
브라우징 세션 전반에서 애플리케이션이 아닌 엔터티에 의해
연관 가능한 값이 이에 해당한다. 특히, 개별화 요청에 공통 값이
포함되어 있었거나, 개별화 요청에서 제공된 값이 브라우징 데이터 삭제 시도 이후에도
개별화 서버 같은 중앙 서버가
연관시킬 수 있기 때문에, 출처 전반에서 값을 연관시킬 수 있는 경우 그 값은
고유 식별자이다. 이러한 원인에는 개별화 과정에서 고유
영구 식별자를 사용하는 것이 포함될 수 있다.
고유 식별자의 인스턴스화 또는 사용은 이 명세에 정의된 API를 애플리케이션이
사용하는 것에 의해 트리거되지만, 고유 식별자와 관련된 조건을 트리거하기 위해
그 식별자가 애플리케이션에 제공될 필요는 없다. (고유 영구
식별자는 불투명하거나 암호화된 형태로도
애플리케이션에 제공되지 않는다.)
쉽게 되돌릴 수 있는 수단으로 생성되어, 클라이언트에서 생성되었는지
또는 개별화 과정이
관련되었는지와 관계없이
애플리케이션에 의해
연관 가능한 값. 예를 들어, 출처의 일부 또는 전부를 고정 값과 XOR하거나
다른 방식으로 통합하는 경우이다.
주
고유 식별자는 보통 이를 생성한 엔터티에 의해 연관 가능하지만,
이는 애플리케이션에 의해 연관 불가능해야
MUST 한다. 다시 말해, 그러한 상호 관련 또는 연관은 원래 고유 식별자
값을 생성한 개별화 서버 같은 엔터티에 의해서만 가능하다.
고유 영구
식별자에 접근할 수 있는 엔터티는 이 능력을 애플리케이션에 노출해서는
MUST NOT 된다. 그렇게 하면 결과적인 고유 식별자가
애플리케이션에 의해
연관 가능해지기 때문이다. 또한 그러한 상관관계가 다른 엔터티나 제3자에게
노출되지 않도록 주의해야 SHOULD 한다.
주
고유 식별자의 예에는 다음이 포함되지만 이에 한정되지 않는다.
키 요청에 포함되고, 다른 클라이언트 장치가 포함하는 바이트열과 다르며,
고유 영구
식별자를 사용해 직접 또는 간접적으로 기반하거나 취득된 바이트열.
키 요청에 포함되고, 다른 클라이언트 장치의 요청에 포함되는 공개 키와 다르며,
고유 영구
식별자를 사용해 직접 또는 간접적으로 기반하거나 취득된 공개 키.
다른 클라이언트 장치가 갖고 있지 않고,
고유 영구
식별자를 사용해 직접 또는 간접적으로 기반하거나 취득된 개인 키의
소유 증명(예: 어떤 데이터에 서명함으로써).
그러한 키에 대한 식별자.
첫 번째 값이 직접 노출되지 않더라도, 노출되는 다른 값을 파생하는 데 사용되는 그러한 값.
구현, 구성, 인스턴스 또는 객체가 그 수명 동안 또는 관련된 그러한 엔터티의 수명 동안
어느 시점에든, 하나 이상의 고유 식별자,
그에 관한 정보, 또는 그로부터 파생되었거나 그와 관련된 값을 암호화된 형태로라도
클라이언트 외부에 노출하는 경우, 그 구현, 구성, 인스턴스 또는 객체는 고유
식별자를 사용한다고 한다. 여기에는 그러한 값을 애플리케이션 및/또는 라이선스,
개별화, 또는 다른 서버에 제공하는 것이
포함되지만 이에 한정되지 않는다.
구현, 구성, 인스턴스 또는 객체가 그 수명 동안 또는 관련된 그러한 엔터티의 수명 동안
어느 시점에든, 하나 이상의
고유 영구
식별자, 그에 관한 정보, 또는 그로부터 파생되었거나 그와 관련된 값을
암호화된 형태로라도 클라이언트 외부에 노출하는 경우, 그 구현, 구성, 인스턴스 또는 객체는
고유
영구 식별자를 사용한다고 한다. 여기에는 그러한 값을
개별화 서버에 제공하는 것이 포함되지만 이에 한정되지 않는다.
그러한 값은 애플리케이션에 제공되어서는 MUST NOT 된다.
구현, 구성, 인스턴스 또는 객체가
고유 식별자를 사용하거나 및/또는 고유 영구
식별자를 사용하는 경우, 그 구현, 구성, 인스턴스 또는 객체는
고유 식별자 또는 고유 영구 식별자를 사용한다고 한다.
주어진 머신의 사용자 에이전트는 애플리케이션에 보이는 상태와 데이터와 관련하여
독립적으로 동작할 것으로 기대되는 다양한 서로 다른 컨텍스트나 모드 또는 임시 상태에서의
실행을 지원할 수 있다. 특히, 저장된 모든 데이터는 독립적일 것으로 기대된다.
이 명세에서는 그러한 독립적인 컨텍스트나 모드를 "브라우징 프로필"이라고 한다.
주
그러한 독립적인 컨텍스트의 예에는, 사용자 에이전트가 서로 다른 운영체제 사용자 계정에서
실행되는 경우 또는 사용자 에이전트가 단일 계정에 대해 여러 독립 프로필을 정의하는
기능을 제공하는 경우가 포함된다.
3.
키 시스템에 대한 접근 얻기
이 절은 키 시스템에 대한 접근을
얻기 위한 메커니즘을 정의한다. 요청에 기능을 포함하는 것은 기능 감지도 가능하게 한다.
keySystem이 지원/허용되지 않았거나,
supportedConfigurations의 구성 중 어느 것도
지원/허용되지 않았다.
promise를 반환한다.
3.2.2
알고리즘
3.2.2.1
지원되는 구성 얻기
키 시스템 구현 implementation,
MediaKeySystemConfigurationcandidate configuration, 그리고
origin이 주어지면, 이 알고리즘은 적절하게 지원되는 구성 또는
NotSupported를 반환한다.
참고
candidate configuration의 인식되지 않는 딕셔너리 멤버는
[WEBIDL]에 따라 무시되며 이 알고리즘에
절대 도달하지 않는다.
따라서 그것들은 구성의 일부로 간주될 수 없다.
참고
특정 구성의 경우, 사용자 동의를 얻거나 사용자에게 알리는 것이 필요할 수 있다.
사용자 에이전트는 특정 구성에 동의가 필요한지, 그리고 그러한 동의가 다른
구성에도 적용될 수 있는지를 결정할 수 있는 어느 정도의 유연성을 가진다.
예를 들어, 한 구성에 대한 동의는 덜 강력하고 더 제한된 구성에 대한 동의도
의미할 수 있다. 마찬가지로, 한 구성에 대한 동의 거부는 더 강력하고 덜 제한된
구성에 대한 동의 거부를 의미할 수 있다.
지원되는 오디오 및 비디오 코덱을 포함한 지원 구성은
구별 식별자와
영속 상태 같은 선택적 기능의 가용성에 따라 달라질 수 있다. 다음 알고리즘은
지원되고 사용자 동의를 받은(또는 동의가 필요 없는) 구성을 반복적으로 찾으려고
시도한다.
사용자 에이전트는 유사한 구성에 대해 사용자에게 반복적으로 요청하는 것을
피하기 위해, 적절한 경우 적어도 requestMediaKeySystemAccess()
알고리즘의 지속 시간 동안 이전 동의 응답을 재사용해야 한다.
아래 단계의 변수 restrictions는 이 알고리즘의 실행 중에 또는
출처에 대한 지속된 동의 정보에 기반하여 동의가 거부된 구성을 나타낸다.
이는 후보 구성 또는 누적 구성에 대한 사용자 동의가 거부되었는지
결정하는 데 사용된다. 모든 파생 구성이 이미 거부된 경우, 누적 구성에 대한
동의는 거부된다. restrictions의 내부 표현은 구현별이다.
supported configuration을 ConsentDenied로 둔다.
어떤 구성도 사용자 동의가 거부되지 않았음을 나타내도록
restrictions를 초기화한다.
supported configuration이
ConsentDenied인 동안 다음 단계를 반복한다:
supported configuration과, 제공된 경우
restrictions를 implementation,
candidate configuration, restrictions 및
origin으로 지원되는
구성 및 동의 얻기 알고리즘을 실행한 결과로 둔다.
supported configuration을 반환한다.
3.2.2.2
지원되는 구성 및 동의 얻기
키 시스템 구현 implementation,
MediaKeySystemConfigurationcandidate configuration,
restrictions 및 origin이 주어지면, 이 알고리즘은 적절하게
지원되는 구성, NotSupported, 또는 ConsentDenied를 반환하고,
ConsentDenied인 경우에는 restrictions도 반환한다.
implementation이
initDataType에 기반한 요청 생성을 지원하면,
initDataType을 supported
types에 추가한다. 문자열 비교는 대소문자를 구분한다. 빈 문자열은
결코 지원되지 않는다.
참고
나중 단계에서 예기치 않게 구성이 거부되는 것을 피하기 위해,
initDataType은 콘텐츠 타입과 독립적으로 지원되어야
MUST 한다. initDataType 지원에는
라이선스 생성과, 적절한 경우 미디어 데이터에서의 추출이 모두 포함된다.
초기화
데이터 타입 지원 요구사항을 참고한다.
consent status와 updated restrictions를
accumulated
configuration, restrictions 및 origin에 대해
동의 상태 얻기
알고리즘을 실행한 결과로 두고, 다음 목록에서 consent status의 값에
해당하는 단계를 따른다:
ConsentDenied:
ConsentDenied와 updated restrictions를 반환한다.
InformUser:
accumulated configuration이 origin에서 사용 중임을
사용자에게 알린다. 특히,
accumulated configuration의
distinctiveIdentifier
멤버가
"required"이면
적절하게 구별
식별자 및/또는 구별 영구
식별자가 사용될 것이라는 정보를 포함한다.
다음 단계로 계속한다.
사용자 에이전트가 container를 지원하지 않으면, 다음
반복으로 계속한다. 문자열 비교의 대소문자 구분은 해당 RFC가 결정한다.
참고
RFC 6838 [RFC6838]에
따르면,
"최상위 타입 및 하위 타입 이름은 모두 대소문자를 구분하지 않는다."
parameters를 mimeType의 "codecs" 및 "profiles"
RFC 6381 [RFC6381]
매개변수(있는 경우)로 둔다.
사용자 에이전트가 하나 이상의 parameters를 인식하지 못하거나,
어떤 매개변수가 관련 명세에 따라 유효하지 않으면, 다음 반복으로 계속한다.
media types를 parameters에 지정된 코덱 및 코덱 제약 조건의
집합으로 둔다. 문자열 비교의 대소문자 구분 여부는 적절한 RFC 또는 다른 명세에 의해
결정된다(예: 일부 형식의 경우 RFC 6381 [RFC6381]에
따라 대소문자를 구분함).
media types가 비어 있으면:
container가 규범적으로 특정 코덱 및 코덱 제약 집합을
암시하는 경우:
parameters를 그 집합으로 둔다.
그 외의 경우:
다음 반복으로 계속한다.
mimeType이 엄격히 audio/video type이 아니면,
다음 반복으로 계속한다.
참고
예를 들어, audio/video type이 Video이고
mimeType의 type이 "video"가
아니거나 media
types가 비디오가 아닌 코덱을 포함하는 경우.
encryption scheme이 null이 아니며
implementation에 의해 인식되지 않거나 지원되지 않으면, 다음
반복으로 계속한다.
robustness가 빈 문자열이 아니며 인식되지 않는 값이나
implementation이 지원하지 않는 값을 포함하면, 다음 반복으로
계속한다. 문자열 비교는 대소문자를 구분한다.
사용자 에이전트와 implementation이 container,
media types, encryption scheme,
robustness 및 local accumulated configuration의 조합에 대해
restrictions와 결합하여 암호화된
미디어
데이터의 재생을 확실히 지원하면:
참고
requested media capability(콘텐츠 타입 및 견고성)는
이전에 추가된 모든 요청 미디어 기능과 함께 사용될 때 지원되어야 한다.
requested media capability을 supported media
capabilities에 추가한다.
참고
이 단계는 supported media capabilities의 항목 멤버 값이
사용자 에이전트에 의한 수정 없이
requested media capability에 제공된 문자열과 정확히
같도록 보장한다.
audio/video type이 Video인 경우:
requested media capability을
local accumulated configuration의
videoCapabilities
멤버에 추가한다.
audio/video type이 Audio인 경우:
requested media capability을
local accumulated configuration의
audioCapabilities
멤버에 추가한다.
참고
이 단계는 이전 반복의 구성과 항상 함께 구성이 검사되도록 보장하며,
여기에는 이 알고리즘에 대한 이전 호출의 구성도 포함된다.
그렇지 않으면 후속 호출에서는 이 알고리즘에 대한 이전 호출의
구성만 검사될 것이다.
accumulated configuration, restrictions 및
origin이 주어지면, 이 알고리즘은 accumulated
configuration 및 origin에 대한 동의 상태를
ConsentDenied, InformUser 또는 Allowed 중 하나로
반환하며, ConsentDenied인 경우에는 restrictions의 갱신된 값도
함께 반환한다.
참고
accumulated configuration에 대한 동의 상태는 적어도
accumulated configuration의
distinctiveIdentifier
멤버 값에 따라 달라진다.
지원되는 초기화 데이터 타입
이름의 목록. 이 객체의 초기화 데이터 타입
기능은 목록이 비어 있거나
다른 모든 멤버와 함께 지원되는 값을 하나 이상 포함하는 경우(알고리즘에 의해 결정된 대로)
지원되는 것으로 간주된다. 시퀀스의 값은 빈 문자열이어서는 안 된다 MUST.
지원되는 오디오 타입 및 기능 쌍의 목록. 이 객체의 오디오 기능은 목록이 비어 있거나,
다른 모든 멤버와 함께 지원되는 값을 하나 이상 포함하는 경우(알고리즘에 의해 결정된 대로)
지원되는 것으로 간주된다. 값 사이에 충돌이 있으면, 앞의 값이 선택된다. 빈 목록은
지원되는 오디오 기능이 없음을 나타낸다. 이 경우,
videoCapabilities
요소는 비어 있어서는 안 된다.
지원되는 비디오 타입 및 기능 쌍의 목록. 이 객체의 비디오 기능은 목록이 비어 있거나,
다른 모든 멤버와 함께 지원되는 값을 하나 이상 포함하는 경우(알고리즘에 의해 결정된 대로)
지원되는 것으로 간주된다. 값 사이에 충돌이 있으면, 앞의 값이 선택된다. 빈 목록은
지원되는 비디오 기능이 없음을 나타낸다. 이 경우,
audioCapabilities
요소는 비어 있어서는 안 된다.
구현은 이 딕셔너리에 멤버를 추가해서는 안 된다 SHOULD NOT. 멤버가
추가되는 경우,
그것들은 MediaKeysRequirement
타입이어야
MUST 하며,
가장 넓은 범위의 애플리케이션 및 클라이언트 조합을 지원하기 위해 기본값을
"optional"로 가지는 것이
권장된다 RECOMMENDED.
참고
사용자 에이전트 구현이 인식하지 않는 딕셔너리 멤버는
[WEBIDL]에 따라 무시되며,
requestMediaKeySystemAccess()
알고리즘에서 고려되지 않는다. 애플리케이션이 비표준 딕셔너리 멤버를 사용하는 경우,
그러한 딕셔너리 멤버가 포함된 구성을 사용자 에이전트 구현이 거부할 것이라고
의존해서는 안 된다 MUST
NOT.
이 딕셔너리는 상태 또는 데이터를 CDM에 전달하는 데 사용되어서는 안 된다
MUST NOT.
콘텐츠 타입과 연결된 견고성 수준. 빈 문자열은 콘텐츠 타입을 복호화하고 디코딩할 수
있는 어떤 능력도 허용 가능함을 나타낸다.
구현은 CDM을, MediaKeySystemAccess 객체의
구성에 지정된 견고성 수준을 적어도 지원하도록 구성해야 MUST
하며, 이 객체는
MediaKeys 객체를
생성하는 데 사용된다.
이 객체가 나타내는 기능이 지원되는 것으로 간주되려면,
contentType은
빈 문자열이어서는 안 되며 MUST NOT, 모든 코덱을 포함한 전체 값이
robustness와 함께
지원되어야 MUST 한다.
주
코덱 집합 중 어느 것이든 허용되는 경우, 각 코덱마다 이 딕셔너리의 별도
인스턴스를 사용한다.
이로 인해 이 메서드가 호출될 때마다
configuration에서 새 객체가 생성되고 초기화된다.
주
encryptionScheme이
애플리케이션에 의해 제공되지 않았더라도, 누적된 configuration은
여전히 값이 null인
encryptionScheme
필드를 포함해야 MUST 하므로,
polyfill은 특정 값을 지정하지 않고도 해당 필드에 대한 사용자 에이전트의
지원 여부를 감지할 수 있다.
애플리케이션은 그러한 저장소를 관리하는 것을 걱정할 필요가 없다. 이 세션
타입의 지원은 REQUIRED이다.
persistent-license
라이선스(그리고 잠재적으로 세션과 관련된 다른 데이터)가 영속화되는 세션.
라이선스와 그 안에 포함된 키가 파괴될 때
라이선스 파기 기록은
영속화되어야 SHALL 한다. 라이선스
파기 기록은 라이선스와 그 안에 포함된 키가 더 이상 클라이언트에서 사용할 수
없다는 키 시스템별 증명이다.
이 세션 타입의 지원은 OPTIONAL이다.
그러한 인증서를 사용하는 키 시스템의 경우, 애플리케이션은 서버 인증서를
명시적으로 설정하기 위해 SHOULDsetServerCertificate()를
호출해야 한다.
그렇지 않으면 라이선스 교환이 실패할 수 있다.
참고
일부 키 시스템은 "message" 이벤트 큐에 넣기
알고리즘을 통해
서버에서 인증서를 요청하는 것도 지원한다. 하지만
그러한 인증서를 사용하는 모든 키 시스템이 이를 지원하는 것은 아니다.
서버 인증서 내용은 키 시스템별이다. 이는 실행 가능한
코드를 포함해서는 안 된다 MUST NOT.
이 메서드가 호출되면, 사용자 에이전트는 다음 단계를 실행해야
MUST 한다:
이 객체의 cdm
implementation 값이 나타내는 키 시스템
구현이 서버 인증서를 지원하지 않으면,
false로 이행된 프로미스를 반환한다.
serverCertificate가 빈 배열이면, 새로 생성된
TypeError로 거부된
프로미스를 반환한다.
certificate를
serverCertificate 매개변수 내용의 사본으로 둔다.
promise를 새 프로미스로 둔다.
다음 단계를 병렬로 실행한다:
sanitized certificate를 certificate의 검증 및/또는
정제된 버전으로 둔다.
참고
사용자 에이전트는 인증서를 CDM에 전달하기 전에
철저히 검증해야 한다. 여기에는 값이 합리적인
한계 안에 있는지 확인하고, 관련 없는 데이터나 필드를 제거하고,
미리 파싱하고, 정제하고,
및/또는 완전히 정제된 버전을 생성하는 것이 포함될 수 있다. 사용자 에이전트는
필드의 길이와 값이 합리적인지 확인해야 한다. 알 수 없는 필드는
거부하거나 제거해야 한다.
이 객체의 cdm instance를 사용하여 sanitized
certificate를 처리한다.
MediaKeys 객체의 persistent state
allowed 값이
false이면, 그 객체의 cdm instance는 이 객체 또는 이 객체가 생성한
어떤 세션에 대한 작업의 결과로 상태를 영속화하거나 이전에 영속화된 상태에 접근해서는
안 된다 SHALL NOT.
MediaKeys 객체의 persistent state
allowed 값이
true이면, 그 객체의 cdm instance는 이 객체 또는 이 객체가 생성한
어떤 세션에 대한 작업의 결과로 상태를 영속화하거나 이전에 영속화된 상태에 접근할 수 있다
MAY.
영속화된 데이터는 항상 이 객체의
Document의
출처만 접근할 수
있도록 저장되어야 MUST 한다.
또한 데이터는 현재 브라우징 프로필에서만 접근 가능해야
MUST 한다. 다른 브라우징 프로필, 사용자 에이전트 및
애플리케이션은 저장된 데이터에 접근할 수 있어서는 안 된다 MUST NOT.
사용자 기기에 저장되는 정보를 참고한다.
사용자 에이전트는 CDM 상태 변경 감시 알고리즘을,
닫힘
상태가 아닌 각
MediaKeySession 객체에 대해 지속적으로
실행해야 SHALL 한다.
CDM 상태 변경 감시 알고리즘은 주 이벤트 루프와
병렬로 실행되어야 MUST 하지만, 이 명세에서 병렬로 실행되도록 정의된 다른 절차와는
병렬로 실행되어서는 안 된다.
MediaKeySession 객체는
닫힘
상태가 아니고 이를 생성한
MediaKeys
객체가 계속 접근 가능한 경우, 파괴되어서는 안 되며 SHALL
NOT 이벤트를 계속 수신해야 SHALL 한다.
그렇지 않으면, 더 이상 접근할 수 없는 MediaKeySession 객체는 더 이상
이벤트를 수신해서는 안 되며 SHALL NOT
파괴될 수 있다 MAY.
세션의 모든 키에 대한 만료 시간, 또는 그러한
시간이 존재하지 않거나 라이선스가 명시적으로 절대 만료되지 않는 경우
NaN으로, 이는 CDM에 의해 결정된다.
이 값은 세션 수명 동안 변경될 수 있으며, 예를 들어 어떤 동작이
윈도우의 시작을 트리거하는 경우가 이에 해당한다.
세션에 알려진키
ID에서 연결된 키의 현재 상태로 가는 읽기 전용 맵에 대한 참조. 각 항목은
고유한 키 ID를 가져야 MUST 한다.
참고
맵 항목과 그 값은 이벤트 루프가 도는 언제든 갱신될 수 있다.
맵은 결코 불일치하거나 부분적으로 갱신되어서는 안 되지만 MUST NOT,
접근 사이에 이벤트 루프가 돌면 접근 사이에 변경될 수 있다. 키 ID는
load() 또는 update() 호출의
결과로 추가될 수 있다. 키 ID는 기존 키에 대한 지식을 제거하는(또는 기존 키 집합을
새 집합으로 대체하는)
update() 호출의
결과로 제거될 수 있다. 키 ID는 만료와 같이 사용할 수 없게 되었다는 이유로
제거되어서는 안 된다 MUST NOT.
대신, 그러한 키에는
"expired"와 같은 적절한
상태가 주어져야 MUST 한다.
주
일부 오래된 플랫폼에는 키 ID를 노출하지 않는 키 시스템 구현이
포함될 수 있으며, 이로 인해 준수하는 사용자 에이전트 구현을 제공하는 것이 불가능해진다. 그러한
경우 상호 운용성을 극대화하기 위해, 비어 있지 않은 목록이 적절할 때마다
이 객체의 집계된 상태에 가장 적절한 MediaKeyStatus와
1바이트 키 ID 0을 포함하는 단일 쌍으로 맵이 채워진다
(예: 이 객체가 나타내는 키 세션이
키를 포함할 수 있는 경우).
initDataType이 빈 문자열이면, 새로 생성된
TypeError로 거부된
프로미스를 반환한다.
initData가 빈 배열이면, 새로 생성된
TypeError로 거부된
프로미스를 반환한다.
이 객체의 cdm
implementation 값이 나타내는 키 시스템
구현이
initDataType을
초기화 데이터
타입으로 지원하지 않으면,
NotSupportedError로
거부된 프로미스를 반환한다.
문자열 비교는 대소문자를 구분한다.
init data를 initData
매개변수 내용의 사본으로 둔다.
session type을 이 객체의 session type으로 둔다.
promise를 새 프로미스로 둔다.
다음 단계를 병렬로 실행한다:
init data가 initDataType에 대해 유효하지 않으면,
새로 생성된 TypeError로
promise를 거부한다.
sanitized init data를
init data의 검증되고 정제된 버전으로 둔다.
사용자 에이전트는 초기화
데이터를 CDM에 전달하기 전에
철저히 검증해야 MUST 한다. 여기에는 필드의 길이와 값이
합리적인지 확인하고, 값이 합리적인 한계 안에 있는지 확인하며,
관련 없거나 지원되지 않거나 알 수 없는 데이터 또는 필드를 제거하는 것이
포함된다. 사용자 에이전트가
초기화 데이터를 미리
파싱하고,
정제하고, 및/또는 완전히 정제된 버전을 생성하는 것이
RECOMMENDED된다. initDataType이 지정한
초기화
데이터 형식이 여러 항목을 지원하는 경우,
사용자 에이전트는 CDM이 필요로 하지 않는
항목을 제거해야 SHOULD 한다. 사용자 에이전트는
초기화
데이터 안의 항목 순서를 다시 정렬해서는 안 된다
MUST NOT.
response가 빈 배열이면, 새로 생성된
TypeError로 거부된
프로미스를 반환한다.
response copy를 response
매개변수 내용의 사본으로 둔다.
promise를 새 프로미스로 둔다.
다음 단계를 병렬로 실행한다:
sanitized response를
response copy의 검증 및/또는 정제된 버전으로 둔다.
참고
사용자 에이전트는 응답을 CDM에 전달하기 전에 철저히 검증해야
한다.
여기에는 값이 합리적인 한계 안에 있는지 확인하고,
관련 없는 데이터나 필드를 제거하고, 미리 파싱하고, 정제하고, 및/또는
완전히 정제된 버전을 생성하는 것이 포함될 수 있다. 사용자 에이전트는
필드의 길이와 값이 합리적인지 확인해야 한다. 알 수 없는 필드는
거부하거나 제거해야 한다.
앞의 단계가 실패했거나 sanitized response가 비어 있으면,
새로 생성된 TypeError로
promise를 거부한다.
CDM
구현이 표준적이고 합리적으로 높은
MediaKeySession
객체당 최소 키 수와 표준 대체 알고리즘, 그리고 표준적이고
합리적으로 높은
MediaKeySession
객체 수를 지원하는 것이 RECOMMENDED된다.
이는 합리적인 수의 키 로테이션 알고리즘이 사용자 에이전트
전반에서 구현될 수 있게 하며, 같은 요소의 다양한 스트림
(예: 적응형 스트림, 다양한 오디오 및 비디오 트랙)이 서로
다른 키를 사용하는 사용 사례에서 재생 중단 가능성을 줄일 수
있다.
keyId가 식별하는 키의
MediaKeyStatus를
반환하거나, keyId가 식별하는 키의 상태가 알려져 있지 않으면
undefined를 반환한다.
이 인터페이스는 iterable
[WebIDL]에 의해 제공되는
entries, keys, values,
forEach 및 @@iterator 메서드를 가진다.
반복할 값 쌍은 모든 알려진 키에 대해
키 ID와 연결된
MediaKeyStatus 값으로 형성된 쌍의 집합을
키 ID로 정렬한 스냅샷이다. 키 ID는 다음과 같이
비교된다: 길이가 m인 키 ID A와 길이가 n인
키 ID B에 대해, m <= n이 되도록 배정하면,
A의 m 옥텟이 B의 처음 m 옥텟보다
사전식 순서로 작거나, 그 옥텟들이 같고 m < n인 경우 그리고
오직 그 경우에만 A < B로 둔다.
키의 만료 시간이 지났기 때문에 키는 더 이상
복호화에 사용할 수 없다. expiration 속성이 나타내는
시간은 현재 시간보다 이전이어야 MUST 한다. 세션 안의 다른 모든 키도 이 상태를 가져야
MUST 한다.
released
키 자체는 더 이상 CDM에서 사용할 수 없지만,
라이선스 파기 기록과
같은
키에 대한 정보는 사용할 수 있다.
output-restricted
키와 연결된 출력 제한이 있으며, 이는 현재 충족될 수 없다.
이 키로 복호화된 미디어 데이터는 출력 제한에 따라 필요한 경우 제시가 차단될 수 있다.
애플리케이션은 키와 연결된 출력 제한을 트리거할 스트림의 사용을 피해야 한다.
output-downscaled
키와 연결된 출력 제한이 있으며, 이는 현재 충족될 수 없다.
이 키로 복호화된 미디어 데이터는 출력 제한에 따라 필요한 경우 더 낮은 품질(예:
해상도)로 제시될 수 있다. 애플리케이션은 키와 연결된 출력 제한을 트리거할
스트림의 사용을 피해야 한다.
다운스케일링 지원은 OPTIONAL이다. 애플리케이션은 출력
요구사항을 충족할 수 없을 때 중단 없는 재생을 보장하기 위해 다운스케일링에
의존해서는 안 된다 SHOULD NOT.
usable-in-future
시작 시간이 미래이기 때문에 키는 아직
복호화에 사용할 수 없다.
키는 그 시작 시간에 도달하면 사용할 수 있게 된다.
status-pending
키의 상태는 아직 알려져 있지 않으며 결정 중이다. 상태가 결정되면 실제 상태로
갱신된다.
internal-error
다른 값과 무관한 CDM 안의 오류 때문에 키는 현재
복호화에 사용할 수 없다. 이 값은
애플리케이션이 조치할 수 있는 값이 아니다.
구현은 애플리케이션이 메시지 타입을 처리하도록 요구해서는 안 된다
MUST NOT.
구현은 메시지를 구별하지 않는 애플리케이션을 지원해야 MUST
하며, 애플리케이션이 메시지 타입을 처리하도록 요구해서는 안 된다
MUST NOT.
구체적으로, 키 시스템은 모든 타입의 메시지를 단일 URL로 전달하는
것을 지원해야 MUST 한다.
참고
이 속성은 애플리케이션이 메시지를 파싱하지 않고 메시지를 구별할 수 있게 한다.
이는 선택적 애플리케이션 및/또는 서버 최적화를 가능하게 하기 위한 것이지만,
애플리케이션이 이를 사용해야 하는 것은 아니다.
"message" 이벤트 큐에 넣기 알고리즘은 메시지 이벤트를
MediaKeySession
객체에 큐에 넣는다. 이 알고리즘을 실행하라는 요청에는 대상
MediaKeySession 객체,
message type, 그리고 message가 포함된다.
message는 암호화된 형태라 하더라도
구별 영구 식별자를 포함해서는
안 된다 MUST NOT.
message는 MediaKeySession 객체의
use distinctive
identifier 값이 false인 경우, 암호화된 형태라 하더라도
구별 식별자를 포함해서는 안 된다
MUST NOT.
버블링하지 않고 취소할 수 없는 message라는
이름의 이벤트를
생성하고, MediaKeyMessageEvent
인터페이스를 사용하여 그 type 속성을 message로 설정하고
그 isTrusted 속성을 true로 초기화한 뒤,
session에 발송하도록
태스크를
큐에 넣는다.
이 객체의 session type에 대해 지속 세션 유형인가?
알고리즘을 실행한 결과가 false이면, 사용자 에이전트와 CDM은 어느 시점에도
세션의 기록이나 세션과 관련된 데이터를 지속시켜서는 MUST
NOT 된다. 여기에는
라이선스, 키, 라이선스
폐기 기록, 그리고 세션 ID가 포함된다.
이 절의 나머지는 지속 세션 유형인가? 알고리즘이
true를 반환하는 세션 유형에 적용된다.
CDM은
update()가 처음 호출되기 전까지
세션 ID를 포함한 세션 데이터를 저장하지 않는 것이 SHOULD NOT 된다.
구체적으로, CDM은 generateRequest()
알고리즘 동안 세션 데이터를 저장하지 않는 것이 SHOULD NOT 된다. 이는
애플리케이션이 세션을 인식하고 결국 이를 제거해야 함을 알도록 보장한다.
세션이 삭제될 때 세션과 관련된 모든 데이터는 삭제되어야 MUST 하며,
예를 들어 update()에서
라이선스 폐기 기록
확인 응답을 처리할 때가 이에 해당한다. 지속
데이터를 보라.
CDM은
주어진 세션의 데이터가 어떤 Document에서도 닫히지 않은 하나의
MediaKeySession 객체에만 존재하도록 보장해야
MUST 한다.
다시 말해, sessionId 매개변수로 지정된 세션을 나타내는
MediaKeySession이 이미 있는 경우,
load()는 실패해야
MUST 한다. 이는
generateRequest()를
통해
이를 생성한 객체가 여전히 활성 상태이거나, load()를 통해
다른
객체에 로드되었기 때문일 수 있다. 세션은 이를 나타낸 적이 있는 모든 객체가
닫힌 경우에만 다시 로드될 MAY 수 있다.
지속 세션 유형인가? 알고리즘이
true를 반환하는 유형을 사용해 세션을 생성하는 애플리케이션은, 나중에 먼저
remove()를 사용하여
제거 프로세스를 시작한 다음,
메시지 교환을 포함할 수 있는 제거 프로세스가 성공적으로 완료되도록 보장함으로써
저장된 데이터를 제거하는 것이 SHOULD 된다. CDM도
적절한 경우 세션을 제거할 MAY 수 있지만, 애플리케이션은 이에 의존하지 않는 것이 SHOULD
NOT 된다.
HTMLMediaElement가
생성될 때, 그 attaching media keys 값은 false로 초기화되어야
SHALL 하고, 그 encrypted block queue 값은 비어 있어야
SHALL 하며, 그 decryption blocked waiting for key 값은
false로 초기화되어야 SHALL 하고, 그
playback blocked waiting for key 값은 false로 초기화되어야
SHALL 한다.
정상 재생의 일부로 재생
방향으로 진행하는 것이 아닌 방식으로
현재 재생 위치가
변경되면, encrypted block queue 값은 비어 있어야
SHALL 하고, decryption blocked waiting for key 값은
false로 초기화되어야 SHALL 하며,
playback blocked waiting for key 값은 false로 설정되어야
SHALL 한다.
참고
다시 말해, 예를 들어 미디어
리소스
로드 또는 탐색 시
이 값들은 재설정되는 것이 좋다.
media element의 mediaKeys 속성이 null이고
구현이 잠재적으로 암호화된 미디어 데이터를
디코딩하기 전에 MediaKeys 객체의 지정을
요구하면,
다음 단계를 실행한다:
참고
애플리케이션이 setMediaKeys()를
호출하여 MediaKeys 객체를
제공하기 전에 미디어 데이터를
제공하면 이 단계에 도달할 수 있다. CDM 선택은 사용되는 파이프라인 및/또는 디코더에
영향을 줄 수 있으므로, 일부 구현은
MediaKeys 객체를
setMediaKeys()에
전달하여 CDM이 지정될 때까지
암호화된 블록을 포함할 수 있는 미디어 데이터의 재생을 지연시킬 수 있다.
미디어 요소가 "Upgradeable Content"
[MIXED-CONTENT]의 로드를 허용할 수는 있지만,
사용자 에이전트는 그러한 미디어 데이터의 초기화 데이터를 애플리케이션에 노출해서는
MUST NOT 된다.
태스크를
큐에 넣어 버블링하지 않고 취소할 수 없는 encrypted라는 이름의 이벤트를 생성한다.
이 이벤트는 MediaEncryptedEvent 인터페이스를 사용하며,
그
type 속성은 encrypted로 설정되고
isTrusted 속성은 true로 초기화되며,
이를 media element에 디스패치한다.
미디어 렌더링이 UA에 의해 수행되지 않는 경우, 예를 들어 하드웨어 기반 미디어 파이프라인의
경우에는, CSS Transforms와 같은 HTML 렌더링 기능 전체 집합을 사용할 수 없을 수 있다
MAY. 한 가지 가능한 제한은 비디오 미디어가 창의 가장자리와 평행한
변을 가진 직사각형 영역 안에 정상 방향으로만 나타나도록 제한될 수 있다는 것이다
MAY.
8.
구현 요구사항
이 절은 사용자 에이전트와 키 시스템 모두에 대한 구현 요구사항을 정의한다. 여기에는 CDM 및 서버가 포함되며, 이러한 요구사항은
알고리즘에서 명시적으로 다루지 않을 수 있다.
여기 및 명세 전반의 요구사항은 CDM이 사용자 에이전트와 분리되어 있는지 또는 사용자 에이전트의 일부인지와 관계없이
모든 구현에 적용된다.
8.1
CDM 제약
사용자 에이전트 구현자는 CDM이 이 명세의 기능을 사용하여
보호된 미디어를 재생하는 데 합리적으로 필요하지 않은 정보, 저장소
또는 시스템 기능에 접근하지 않도록 보장해야 MUST 한다.
구체적으로, CDM은 다음을 해서는 SHALL
NOT 안 된다.
이 명세에서 명시적으로 허용한 대로 사용자 에이전트를 통하는 경우를 제외하고,
로컬 또는 원격 네트워크 리소스에 접근하는 것.
이 명세의 기능을 사용하여 보호된 미디어를 재생하는 데 합리적으로 필요한 경우를
제외하고, 저장소(예: 디스크 또는 메모리)에 접근하는 것.
이 명세의 기능을 사용하여 보호된 미디어를 재생하는 데 합리적으로 필요한 경우를
제외하고, 하드웨어 구성요소 또는 장치에 접근하는 것.
사용자 에이전트 구현자는 위 요구사항을 충족하기 위해 다양한 기법을 사용할 수 있다.
예를 들어, 자체 CDM도 구현하는 사용자 에이전트
구현자는 위 내용을 해당 구성요소의 설계 요구사항으로 포함할 수 있다. 제3자
CDM을
사용하는 사용자 에이전트 구현자는 금지된 정보와 구성요소에
접근할 수 없는 제한된 환경(예: "sandbox")에서 실행되도록 보장할 수 있다.
8.2
메시지 및 통신
CDM과
주고받는 모든 메시지와 통신,
예를 들어 CDM과
라이선스 서버 사이의 통신은 사용자 에이전트를 통해 전달되어야 MUST 한다. CDM은
직접적인
대역 외 네트워크 요청을 해서는 MUST NOT 된다. 직접 개별화에
설명된 것 이외의 모든 메시지와 통신은 이 명세에 정의된 API를 통해 애플리케이션을
거쳐 전달되어야 MUST 한다. 구체적으로, 애플리케이션별,
출처별, 또는
콘텐츠별 정보를 포함하거나
애플리케이션이 지정한 URL 또는 그 출처에 기반한 URL로 전송되는 모든 통신은 API를
거쳐야 MUST 한다. 여기에는 모든 라이선스 교환 메시지가 포함된다.
8.3
영속 데이터
지속 데이터에는 CDM이 저장하거나, CDM을 대신하여 사용자 에이전트가 저장한 모든 데이터 중
MediaKeys 객체의 폐기 후에도 존재하는 데이터가 포함된다.
구체적으로, 여기에는 CDM이 저장하거나
CDM을
대신하여 사용자 에이전트가 저장한
모든 식별자(고유 식별자 포함),
라이선스, 키, 키 ID, 또는 라이선스 폐기 기록이 포함된다.
애플리케이션 또는 라이선스 서버에서 볼 수 있는 방식으로 메시지나 동작에 영향을 줄 수 있는
영속 데이터는 출처별 및
브라우징 프로필별 방식으로 저장되어야
MUST 하며, 비공개 브라우징 세션으로 유출되거나 거기에서
유출되어서는 안 된다 MUST NOT.
구체적으로 그러나 이것에 국한되지 않고, 세션 데이터, 라이선스, 키 및 출처별 식별자는
출처별 및
브라우징 프로필별로 저장되어야
MUST 한다.
사용자가 쿠키 [COOKIES] 및 다른
사이트 데이터와 함께 영속 데이터를 지울 수 있도록 허용한다.
사용자가 브라우징 기록을 지우는 사용자 에이전트 기능의 일부로 영속 데이터를
지울 수 있도록 허용한다.
"모든 데이터 제거" 기능에 영속 데이터를 포함한다.
영속 데이터를 다른 사이트 데이터와 같은 UI 위치에 표시한다.
사용자가 출처별 및
브라우징 프로필별 기준으로 영속 데이터를
지울 수 있도록 허용한다. 특히 특정 사이트와 연결된 쿠키 [COOKIES],
데이터베이스 등을
잊는 "이 사이트 잊기" 기능의 일부로 허용한다.
영속 데이터를 지우는 작업이, 동시에 지워지지 않은 다른 종류의 로컬 저장 데이터를
이용하여 새 식별자를 이전 식별자와 다시 상관시키는 "쿠키 부활" 유형의 재상관을
방지할 만큼 충분히 원자적이도록 보장한다.
데이터의 불완전한 삭제를 참고한다.
사용자가 데이터의 불완전한 삭제 가능성을 이해하는
데 도움이 되고, 쿠키 [COOKIES] 및 웹 저장소를 포함하여
데이터를 영속화하는 모든 기능과 연결된 데이터를 동시에 삭제할 수 있도록 하는 방식으로
이러한 인터페이스를 제시한다.
키 시스템을
비활성화하고 다시 활성화하는 인터페이스를, 사용자가
데이터의 불완전한 삭제 가능성을 이해하는 데 도움이 되고
모든 영속 저장 기능에서 그러한 모든 데이터를 동시에 삭제할 수 있도록 하는 방식으로
제시한다.
사용자가 출처별
및/또는 모든 출처에 대해 영속 데이터를 구체적으로 삭제할 수 있도록 허용한다.
8.3.3
영속 데이터 암호화 또는 난독화
사용자 에이전트는 영속 데이터를 잠재적으로 민감한 것으로 취급하는 것이 좋다
SHOULD. 이 정보의 공개로 인해 사용자 개인정보가 침해될 가능성은
충분히 있다. 이를 위해 사용자 에이전트는 영속 데이터가 안전하게 저장되도록 보장하고,
데이터를 삭제할 때에는 기반 저장소에서 즉시 삭제되도록 보장하는 것이 좋다
SHOULD.
8.4
애플리케이션에 노출되는 값
애플리케이션에 노출되거나, 예를 들어 CDM의 사용을 통해 추론 가능한
값은 식별자로 설계되었는지 여부와 관계없이 클라이언트 또는 사용자를 식별하는 데 사용될 수
있다. 이 절은 그러한 우려를 피하거나 적어도 완화하기 위한 요구사항을 정의한다.
식별자에 대해서는 추가 요구사항이 있다.
8.4.1
출처별 프로필별 값 사용
애플리케이션에 노출되거나 추론 가능한 모든 구별 값은
출처 및
브라우징 프로필마다 고유해야
MUST 한다. 즉, 이 명세에 정의된 API를 사용하는 한
출처에 대해
사용되는 값은 API를 사용하는 다른 어떤 출처에 대해 사용되는 값과도 달라야
MUST 하며, 한
브라우징
프로필에서 사용되는 값은 출처와 관계없이 다른 어떤 프로필에서 사용되는 값과도
달라야 MUST 한다. 그러한 값은 비공개 브라우징 세션으로
유출되거나 거기에서 유출되어서는 안 된다 MUST NOT.
출처와 프로필 간의 값은 애플리케이션에 의해 연관될 수 없어야MUST 한다. 이는 같은 클라이언트 또는 사용자에서 왔음을 판단하는 등
여러 출처 또는 프로필의 값을 상관시킬 수 없어야 MUST NOT 함을
의미한다. 구체적으로, 출처별 값을 출처 독립적 및/또는 프로필 독립적 값에서 도출하는 구현은
적절한 비가역 속성을 가진 도출 함수를 사용하는 등, 위의 비연관성 속성을 보장하는 방식으로
그렇게 해야 MUST 한다.
8.4.2
값을 지울 수 있도록 허용
영속 데이터를 지울 수 있도록 허용의 요구사항의
결과로, 애플리케이션에 노출되는 모든 영속화된 값은 이 명세에 정의된 API와 같은 외부와
클라이언트 장치 양쪽에서 더 이상 가져오거나, 관찰하거나, 추론할 수 없도록 지울 수 있어야
MUST 한다.
사용자가 이 구현 기능을 선택하거나 고를 수 있게 하면, 사용자는 더 높은 수준의
개인정보 보호를 유지하면서 콘텐츠에 접근할 수 있을 수 있다.
8.5.2
식별자 암호화
고유 식별자와 고유 영구
식별자는 클라이언트 외부에 노출될 때 메시지 교환 수준에서 암호화되어야
MUST 한다. 다른 모든 식별자는 클라이언트 외부에 노출될 때
메시지 교환 수준에서 암호화되는 것이 SHOULD 된다. 암호화는
식별자 암호문의 임의의 두 인스턴스가 복호화 키를 소유한 엔터티에 의해서만
연관 가능하도록 보장해야
MUST 한다.
지속 데이터를 삭제할 수 있도록 허용의 요구사항의 결과로,
고유 영구
식별자를 제외한 모든 잠재적 식별자 또는 고유 식별성 값은
이 명세에 정의된 API를 통해서와 같은 외부와 클라이언트 장치 양쪽 모두에서
해당 값을 더 이상 검색, 관찰 또는 추론할 수 없도록 삭제 가능해야
MUST 한다.
식별자, 특히 고유 식별자는
때때로 개별화 또는 프로비저닝이라고 하는 프로세스를 통해 생성되거나 얻어진다.
그 결과로 생성된 식별자는 애플리케이션에 의해 연관 불가능해야
MUST 하며, 그 사용은 단일
프로필의 단일 출처에만 노출되어야 MUST 한다. 이 프로세스는
식별자가 삭제된 뒤와 같이 여러 번 수행될
MAY 수 있다.
이 프로세스는 사용자 에이전트가 직접 또는 애플리케이션을 통해 수행되어야
MUST 한다. 두 유형의 개별화에 대한 메커니즘,
흐름 및 제한은 다음 절에 설명된 것처럼 서로 다르다. 어떤 방법이 사용되는지는 CDM 구현 및
이 명세의 요구사항, 특히 아래 요구사항의 적용에 따라 달라진다.
직접 개별화는 CDM과 출처 및
애플리케이션에 독립적인 서버 사이에서 수행된다. 서버는 출처에 독립적이지만,
개별화의 결과를 통해 CDM은 이 명세의 다른 요구사항에 따라
출처별 식별자를 제공할 수 있다. 이 프로세스는 사용자 에이전트가 수행해야
MUST 하며,
이 명세에 정의된 API를 사용해서는 MUST NOT 된다.
주
예를 들어, 그러한 프로세스는 사용자 에이전트 또는 CDM 공급업체가 호스팅하는
미리 정해진 서버와 통신하여 클라이언트 장치를 초기화하거나 및/또는
단일 브라우징 프로필에 대해
출처별삭제 가능한 식별자를 얻을 수 있으며,
이때 클라이언트 장치의 고유
영구 식별자 사용 또는 기타 영구 식별자를 사용할 수도 있다.
그러한 개별화의 경우, 모든 메시지 교환은:
사용자 에이전트가 처리하고 사용자 에이전트의 네트워크 스택을 통해
사용자 에이전트가 수행해야 MUST 한다.
구현은 암호화된 형태로라도 출처,
출처 또는 애플리케이션별 정보, 또는 출처와 연관 가능한
값을 중앙 서버에 노출해서는 MUST NOT 된다. 이는 사용자 또는 장치가
방문한 모든 출처의 중앙 기록을 생성할 수 있기 때문이다.
8.6.2
앱 지원 개별화
애플리케이션 보조 개별화는 CDM과 애플리케이션,
애플리케이션이 선택한 서버를 포함한 대상 사이에서 수행되며, 출처별 식별자를 생성한다. 이
프로세스는 이 명세에 정의된 API를 통해 수행되어야 MUST 하며,
다른 통신 방법을 포함해서는 MUST NOT
된다. API의 다른 모든 사용과 마찬가지로, 이 프로세스는 하나 이상의 고유
식별자를 사용할MAY 수 있지만,
암호화된 형태로라도 고유 영구
식별자를 사용하거나 출처별이 아닌 값을 사용해서는
MUST NOT 된다. 이 프로세스가 하나 이상의
고유
식별자를 사용하는 경우, 결과 식별자도 정의상
고유 식별자이다.
그러한 개별화의 경우, 모든 메시지 교환은:
이 명세에 정의된 API를 통해 애플리케이션으로 전달되거나 애플리케이션을
거쳐 전달되어야 MUST 한다.
고유 식별자를 포함한
연관 가능한 값이 이 프로세스에서
사용되는 경우, 구현은 암호화된 형태로라도
출처,
출처 또는 애플리케이션별 정보, 또는 출처와 연관 가능한 값을 중앙 서버에 노출해서는
MUST NOT 된다. 이는 사용자 또는 장치가 방문한 모든 출처의
중앙 기록을 생성할 수 있기 때문이다.
적절한 예방 조치를 취하면, 그러한 개별화는
직접 개별화보다 더 나은 개인정보 보호를 제공할 수 있지만,
고유
식별자를 사용하지 않는 모델만큼 좋지는 않다. 그러한 설계의 이점을 보존하고
다른 개인정보 보호 우려를 도입하지 않기 위해, 그러한 구현 및 이를 지원하는 애플리케이션은
개별화 메시지를 중앙 서버 또는 애플리케이션 작성자가 제어하지 않는 다른 서버로
연기하거나 전달하는 것을 피하는 것이 SHOULD 된다.
지원되는 컨테이너에 나타날 수 있는 지원되는 초기화
데이터 타입에 대해, 사용자 에이전트는 그러한 각 지원 컨테이너에서 그 타입의
초기화 데이터를
추출하는 것을 지원해야 MUST 한다.
참고
다시 말해, 초기화 데이터 타입 지원을 나타내는 것은
라이선스 요청 생성을 위한 CDM 지원과, 컨테이너별 타입의 경우 이를 컨테이너에서
추출하기 위한 사용자 에이전트 지원을 모두 의미한다. 이는 구현이 임의의
지원되는 초기화 데이터를 임의의 지원되는
콘텐츠 타입에서 파싱할 수 있어야 함을 의미하지는 않는다.
미디어 컨테이너는 암호화되어서는 안 된다 MUST NOT. 이 명세는
사용자 에이전트가 미디어 데이터의 어느 것도 복호화하지 않고 미디어 컨테이너를 파싱할 수
있는 능력에 의존한다. 여기에는 암호화된 블록 발견 및
초기화 데이터 발견
알고리즘뿐 아니라 HTMLMediaElement
[HTML]의
표준 기능, 예를 들어 탐색 지원도
포함된다.
8.9.2
상호운용 가능하게 암호화됨
모든 트랙을 포함한 미디어
리소스는 컨테이너별 "common encryption" 명세에 따라 암호화되고 패키징되어야
MUST 하며, 해당 명세는 하나 이상의 키가 제공될 때 콘텐츠가
완전히 명시되고 호환 가능한 방식으로 복호화될 수 있도록 해야 한다.
캡션, 해설 오디오, 대본과 같은 인밴드 지원 콘텐츠는 암호화하지 않는 것이 좋다
SHOULD NOT.
참고
그러한 트랙의 복호화, 특히 이를 사용자 에이전트에 다시 제공할 수 있게 하는 복호화는
일반적으로 구현에서 지원되지 않는다. 따라서 그러한 트랙을 암호화하면 사용자 에이전트
구현의 접근성 기능에서 널리 사용할 수 없게 된다.
접근성 정보가 사용 가능한 형태로 제공되도록 보장하기 위해, 암호화된 인밴드 지원 콘텐츠를
지원하기로 선택한 구현의 경우: a) CDM은 복호화된 데이터를
사용자 에이전트에 제공해야 MUST 하고, b) 사용자 에이전트는 이를
예를 들어 timed text tracks
[HTML]로 노출하기 위해, 동등한 암호화되지 않은 지원
콘텐츠와 같은 방식으로 처리해야 MUST 한다.
이는 완전히 오픈 소스인 사용자 에이전트를 포함하여 모든 사용자 에이전트에서 지원이 보장되는
공통 기준 수준의 기능이 존재하도록 보장한다. 따라서 기본 복호화만 필요한 콘텐츠 제공자는
어떤 콘텐츠 보호 제공자와도 협력할 필요 없이 모든 플랫폼에서 동작하는 단순한 애플리케이션을
만들 수 있다.
9.1
Clear Key
"org.w3.clearkey"키 시스템은 소스를 복호화하기 위해
평문 clear(암호화되지 않은) 키를 사용한다. 추가적인 클라이언트 측 콘텐츠 보호는 요구되지 않는다.
이 키 시스템은 아래에 설명되어 있다.
첫 번째 경우, sanitized response는 오디오/비디오 타입에 대해
유효한 길이의 유효한 JWK 키를 하나 이상 가진 유효한 JWK Set이 아니면
유효하지 않은 것으로 간주된다. 두 번째 경우 sanitized response는
유효한 JSON 객체가 아니면 유효하지 않은 것으로 간주된다.
JSON 객체는 선택적인 "type" 멤버 값을 가질 수 있으며 MAY,
이는 MediaKeySessionType
값 중 하나여야 MUST 한다. 지정되지 않으면 기본값
"temporary"가 사용된다.
update() 알고리즘은
이 값을 sessionType과 비교한다.
update() 메서드에
ArrayBuffer response 매개변수로 전달될 때, JSON 문자열은 Encoding 명세 [ENCODING]에
명시된 대로 UTF-8로 인코딩되어야
MUST 한다. 애플리케이션은
TextEncoder 인터페이스
[ENCODING]를 사용하여 JSON 문자열을 인코딩할 수 있다
MAY.
9.1.4.1
예제
이 절은 비규범적이다.
다음 예제는 하나의 대칭 키를 포함하는 JWK Set이다. (줄바꿈은 읽기 쉽도록 하기 위한
것일 뿐이다.)
이 절은 update() 메서드의
response 매개변수를 통해 제공되는 라이선스 릴리스 확인의 형식을 설명한다.
이 형식은 다음 멤버를 포함하는 JSON 객체이다:
"kids"
키 ID의 배열. 배열의 각
요소는 키 ID 값을 포함하는 옥텟 시퀀스의 base64url 인코딩이다.
update() 메서드에
ArrayBuffer response 매개변수로 전달될 때, JSON 문자열은 Encoding 명세
[ENCODING]에 명시된 대로 UTF-8로 인코딩되어야
MUST 한다. 애플리케이션은
TextEncoder 인터페이스
[ENCODING]를 사용하여 JSON 문자열을 인코딩할 수 있다
MAY.
9.1.6.1
예제
이 절은 비규범적이다.
다음 예제는 두 개의 키 ID에 대한 임시 라이선스의 라이선스 요청이다.
(줄바꿈은 읽기 쉽도록 하기 위한 것일 뿐이다.)
base64url 및 그 사용에 대한 자세한 내용은 [RFC7515]의 "Base64url Encoding" 용어 정의와
"Notes on implementing base64url encoding without padding"을 참고한다. 구체적으로 '=' 패딩은
없으며, 문자 '-'와 '_'가 각각 '+'와 '/' 대신 사용되어야 MUST 한다.
10.
보안
10.1
입력 데이터 공격 및 취약점
사용자 에이전트 및 키 시스템 구현은 MUST미디어
데이터, 초기화 데이터, update()에 전달되는 데이터,
라이선스, 키 데이터, 그리고 애플리케이션이 제공하는 기타 모든 데이터를 신뢰할 수 없는 콘텐츠 및
잠재적 공격 벡터로 간주해야 한다. 이들은 관련 위협을 완화하기 위해 적절한 보호 조치를 사용해야
MUST 하며, 그러한 데이터를 안전하게 파싱하고 복호화하는 등의 주의를
기울여야 한다. 사용자 에이전트는 데이터를 CDM에 전달하기 전에 검증하는 것이 좋다
SHOULD.
참고
그러한 검증은 CDM이 예를 들어 DOM과 같은
(샌드박스화된) 컨텍스트에서 실행되지 않는 경우 특히 중요하다.
구현은 프로그램 제어 흐름에 영향을 주는 능동 콘텐츠 또는 수동 콘텐츠를 애플리케이션에 반환해서는
안 된다 MUST NOT.
참고
예를 들어, generateRequest()에
전달되는 초기화 데이터의 경우처럼,
미디어 데이터에서 온 것일 수 있는 URL이나 기타 정보를 노출하는 것은 안전하지 않다.
애플리케이션은 사용할 URL을 결정해야 한다.
messageType 속성은
해당되는 경우 애플리케이션이 URL 집합 중에서 선택하는 데 사용할 수 있다.
message 이벤트의 속성이다.
10.2
CDM 공격 및 취약점
사용자 에이전트는 사용자에게 웹을 안전하게 탐색할 수 있는 방법을 제공할 책임이 있다. 이
책임은 제3자의 기능을 포함하여 사용자 에이전트가 사용하는 모든 기능에 적용된다.
사용자 에이전트 구현자는 키 시스템 구현자로부터 충분한 정보를 얻어
키 시스템과의 통합이 갖는 보안 영향을
적절히 평가할 수 있도록 해야 MUST 한다. 사용자 에이전트 구현자는
CDM
구현이 사용자 에이전트가 사용자에게 보안을
제공하는 데 충분한 제어를 제공하거나 및/또는 지원하도록 보장해야 MUST
한다. 사용자 에이전트 구현자는 CDM
구현이 보안 취약점이 발생한 경우 신속하고 사전 예방적으로 업데이트될 수 있고 그렇게 되도록
보장해야 MUST 한다.
완전히 샌드박스화되지 않았거나 및/또는 플랫폼 기능을 사용하는 CDM 구현을 악용하면, 공격자가 OS 또는 플랫폼 기능에 접근하거나
권한을 상승시키거나(예: system 또는 root로 실행), 드라이버, 커널, 펌웨어,
하드웨어 등에 접근할 수 있다. 그러한 기능, 소프트웨어, 하드웨어는 적대적
소프트웨어나 웹 기반 공격에 견고하도록 작성되지 않았을 수 있으며, 특히
사용자 에이전트와 비교할 때 보안 수정으로 업데이트되지 않을 수 있다. CDM 구현의 보안 취약점 수정 업데이트가 없거나, 드물거나, 느리면
위험이 증가한다. 그러한 CDM
구현과 이를 노출하는 UA는 모든 데이터의 구문 분석을 포함하여
보안의 모든 영역에서 특히 주의해야 MUST 한다.
주
사용자 에이전트는 클라이언트 OS, 플랫폼 및/또는 하드웨어의 일부이거나 그것들이 제공하는
CDM 또는 기반 메커니즘을
사용할 때 특히 주의를 기울여야 한다.
인증되지 않은 출처에 권한을 부여하는 것은 네트워크 공격자가 있는 상황에서
임의의 출처에 권한을 부여하는 것과 같다. 지속된 동의의
남용을 보라.
10.3
네트워크 공격
10.3.1
잠재적 공격
이 절은 비규범적이다.
잠재적 네트워크 공격과 그 영향은 다음을 포함한다:
DNS 스푸핑 공격: 특정 도메인(출처)에
속한다고 주장하는 호스트가 실제로 그 도메인에서 왔다고 보장할 수 없다.
수동 네트워크 공격: 클라이언트와 서버 사이에서 전송되는 데이터, 예를 들어
구별
식별자와 구별 영구
식별자를 포함한 데이터가 다른 엔터티에 의해 보이지 않는다고 보장할 수 없다.
사용자 추적을 참고한다.
능동 네트워크 공격: 추가 스크립트나 iframe이 페이지에 삽입되지 않는다고 보장할 수
없다(이 명세에 정의된 API를 정당한 목적으로 사용하는 페이지와 그렇지 않은 페이지
모두). 그 결과는 다음과 같다:
이 명세에 정의된 API 호출이 임의의 페이지에 삽입될 수 있다.
정당한 이유로 이 API를 사용하는 페이지에서 이 명세에 정의된 API 호출이,
요청된 기능을 수정하거나, 호출을 수정 또는 추가하거나, 데이터를 수정 또는
삽입하는 것을 포함하여 조작될 수 있다. 입력
데이터 공격 및 취약점도 참고한다
클라이언트와 서버 사이에서 전송되는 데이터, 예를 들어 구별 식별자와 구별 영구
식별자를 포함한 데이터가 다른 엔터티에 의해 보이거나 수정될 수 있다.
사용자 추적을 참고한다.
영속 동의의 남용: 이 명세에 정의된 API
사용을 요청하는 호스트가 사용자가 이전에 동의한 호스트라고 보장할 수 없다.
그 결과 인증되지 않은 출처에 권한을 부여하는 것은 네트워크 공격자가 있는 상황에서
모든 출처에 권한을 부여하는 것과 같다.
10.3.2
완화책
다음 기법은 위험을 완화할 수 있다:
TLS 사용
TLS를 사용하는 애플리케이션은 사용자, 사용자를 대신해 동작하는 소프트웨어, 그리고
같은 도메인에서 왔음을 식별하는 인증서를 가진 TLS 사용 다른 페이지만이 해당
애플리케이션과 상호작용할 수 있음을 확신할 수 있다. 더 나아가, 보안 출처와 결합된
출처별
권한은 애플리케이션에 부여된 권한이 네트워크 공격자에 의해 남용될 수 없도록 보장한다.
사용자 에이전트는 안전하지 않은 콘텐츠에 노출될 가능성을 피하기 위해
"차단 가능 콘텐츠" [MIXED-CONTENT]를
차단하는 것을 포함하여, 혼합 콘텐츠 [MIXED-CONTENT]를 적절히 처리해야
MUST 한다. 그러한 노출은 TLS 사용과 같은 다른 완화책을
손상시킬 수 있다.
사용자 에이전트는 다른 사용자 에이전트 기능(예: DOM 콘텐츠)보다 더 큰 보안 우려를
제시하는 키 시스템이
출처에
의해 접근될 수 있기 전에, 사용자가 충분히 알도록 하고/하거나 명시적 동의를 제공하도록
보장하는 것이 좋다 SHOULD.
그러한 메커니즘은 유효한 사용이 이후의 악성 접근을 가능하게 하지 않도록
출처별이어야
MUST 하며, 브라우징 프로필별이어야
MUST 한다.
참고
이 명세에 정의된 API가 보안 컨텍스트로 제한되므로 네트워크 공격자는 인증되지 않은 출처에 부여된
권한을
악용할 수 없다. 영속 동의의 남용을 참고한다.
10.4
iframe 공격
10.4.1
잠재적 공격
이 절은 비규범적이다.
악성 페이지는 공격을 숨기거나, 사용이 정당한 콘텐츠 제공자로부터 온 것처럼 보이게 하는 등
사용자에게 출처를 속이려는 시도로, 정당한 애플리케이션을 iframe 안에 호스팅할 수 있다.
이는 보안 및/또는 개인정보 보호 이유로
사용자에게 알리거나 동의를 요구하는 구현에 특히 관련된다.
네트워크 공격에 더해, 공격자는 이 명세에 정의된 API의 정당한
사용을 iframe 안에 호스팅함으로써 악용하려고 시도할 수 있다. 정당한
애플리케이션이 작업을 수행하게 함으로써, 공격자는 기존에 부여된 권한(또는 허용 목록)을
재사용하고/하거나 정당한 요청 또는 사용처럼 보일 수 있다.
10.4.2
완화책
보안 및/또는 개인정보 보호 이유를 포함하여
사용자에게 알리거나 동의를 요구하는 사용자 에이전트는,
동의의 UI와 영속성을 최상위 Document의
출처와
이 명세에 정의된 API를 사용하는 출처의 조합에
기반하게 하는 것이 좋다 SHOULD.
이는 사용자가 요청을 하는 주 문서를 알 수 있도록 하고, 하나의 (정당한) 조합에 대한 권한
영속화가 악성 사용을 부주의하게 탐지되지 않도록 허용하지 않도록 보장한다.
작성자는 다른 엔터티가 자신의 애플리케이션을 iframe 안에 호스팅하지 못하도록
방지하는 것이 좋다 SHOULD. 정당한 애플리케이션 설계 이유로
호스팅 지원이 필요한 애플리케이션은, 호스팅 문서가 이 명세에 정의된 API를 통해서든
미디어 데이터로서든 CDM에 전달될 어떠한 데이터도 제공하지
못하게 하는 것이 좋으며 SHOULD NOT, 호스팅 프레임이 이 명세에
정의된 API를 호출하지 못하게 하는 것이 좋다 SHOULD NOT.
10.5
교차 디렉터리 공격
이 절은 비규범적이다.
예를 들어 geocities.com에서 콘텐츠를 호스팅하는 사용자처럼 하나의 호스트 이름을
공유하는 서로 다른 작성자는 모두 하나의 출처를 공유한다.
사용자 에이전트는 경로명으로 API 접근을 제한하는 기능을 제공하지 않는다.
공유 호스트에서 이 명세에 정의된 API를 사용하면 사용자 에이전트가 구현한 출처 기반 보안 및
개인정보 보호 완화책이 손상된다. 예를 들어, 출처별 구별 식별자는 하나의 호스트 이름에 있는 모든
작성자가 공유하며, 영속 데이터는 그 호스트의 어떤 작성자에 의해서든 접근되고 조작될 수 있다.
후자는 예를 들어 그러한 데이터의 수정 또는 삭제가 특정 콘텐츠에 대한 사용자의 권리를 지울 수
있는 경우 특히 중요하다.
참고
경로 제한 기능이 사용자 에이전트에 의해 제공되더라도, 일반적인 DOM 스크립팅 보안 모델은
이 보호를 우회하고 임의의 경로에서 데이터에 접근하는 것을 사소하게 만들 것이다.
따라서 공유 호스트의 작성자는 이 명세에 정의된 API 사용을 피하는 것이 권장된다
RECOMMENDED. 그렇게 하면 사용자 에이전트의 출처 기반 보안 및
개인정보 보호 완화책이 손상되기 때문이다.
11.
개인정보 보호
사용자의 기기에 키 시스템이 존재하거나 사용되는 것은 여러
개인정보 보호 문제를 일으키며, 이는 두 범주로 나뉜다: (a) EME 인터페이스 자체 또는
키 시스템 메시지 안에서 공개될 수 있는
사용자별 정보, 그리고 (b) 사용자의 기기에 영속적으로 저장될 수 있는 사용자별 정보.
사용자 에이전트는 사용자가 자신의 개인정보 보호를 적절히 제어할 수 있도록 제공할 책임을 져야
MUST 한다. 사용자 에이전트는 서드파티 CDM
구현과 통합될 수 있으므로, CDM 구현자는 아래에 설명된 기법을 포함하되 이에 국한되지 않는
적절한 기법을 사용자 에이전트 구현자가 구현하여 사용자가 개인정보 보호를 제어할 수 있도록,
충분한 정보와 제어를 제공해야 MUST 한다.
11.1
EME 및 키 시스템에 의해 공개되는 정보
EME 및 키 시스템에 의해
공개되는 정보에 관한 우려는 두 범주로 나뉜다: (a) 특정적이지는 않지만 사용자 에이전트 또는
기기의 핑거프린팅 가능성에 기여할 수 있는 정보에 대한 우려, 그리고 (b)
사용자 추적에 직접 사용될 수 있는 사용자별 정보.
11.2
핑거프린팅
악성 애플리케이션은 지원되는 키 시스템 목록과 관련 정보를 감지하거나
열거함으로써 사용자나 사용자 에이전트를 핑거프린팅할 수 있을 수 있다. 적절한 출처 보호가
제공되지 않으면, 여기에는 방문한 사이트와 해당 사이트에 저장된 정보의 감지가 포함될 수 있다.
특히 키 시스템은 출처 간에 키 또는
기타 데이터를 공유해서는 안 된다 MUST.
getStatusForPolicy()는
지정된 HDCP 정책을 강제할 수 있는지 여부를 드러낸다. 이는 현재 연결된 디스플레이 체인의
기능을 반영하며, 사용자가 디스플레이를 재구성하면 세션 중에 변경될 수 있다.
11.3
정보 유출
11.3.1
우려사항
이 절은 비규범적이다.
CDM, 특히 사용자 에이전트 밖에서 구현된 CDM은 웹 플랫폼과 같은 기본 격리를 갖지 않을 수
있다. 정보 유출, 특히 출처 간 정보 유출을 피하기 위한 조치를 취하는 것이 중요하다.
여기에는 메모리 내 데이터와 저장된 데이터가 모두 포함된다. 이를 수행하지 않으면 비공개
브라우징 세션으로부터/세션으로, 브라우징 프로필 간(운영 체제
사용자 계정 간 포함), 심지어 서로 다른 브라우저나 애플리케이션 간에도 정보 유출이 발생할
수 있다.
11.3.2
완화책
그러한 문제를 피하기 위해, 사용자 에이전트와 CDM 구현은 다음을 보장해야
MUST 한다.
세션 데이터는 그 세션을 생성한
MediaKeys 객체와 연결되지 않은
미디어 요소와 공유되지 않는다. 무엇보다도 이는
세션의 키가 mediaKeys 속성이
그 MediaKeys 객체가 아닌
미디어 요소가 로드한 콘텐츠를 복호화하는 데 사용되어서는 MUST 안 됨을 의미한다.
이 명세에 명시적으로 설명되어 있거나 사용자 권한 없이 다른 웹 플랫폼 API를 통해
페이지에서 사용할 수 있는 정보가 아닌 정보는 CDM에서 추출, 파생 또는 추론할 수 없어야 한다.
이는 예를 들어 CDM 메시지 안에서처럼,
클라이언트 장치 외부 또는 애플리케이션에 노출되는 모든 정보에 적용된다.
제3자 호스트(또는 광고주처럼 콘텐츠를 여러 사이트에 배포할 수 있는
어떤 엔터티)는 고유 식별자 또는
라이선스, 키, 키 ID, 또는 라이선스 폐기 기록을 포함하여
CDM이 저장하거나 이를 대신해 저장된 지속 데이터를
사용하여 여러 세션에 걸쳐 사용자를 추적할 수 있다(출처와 브라우징 프로필 전반을 포함함). 이를 통해 사용자의
활동이나 관심사에 대한 프로필을 만들 수 있다. 그러한 추적은 웹 플랫폼의 나머지 부분이
제공하는 개인정보 보호를 약화시키며, 예를 들어 다른 방식으로는 불가능한 고도로 표적화된
광고를 가능하게 할 수 있다. 사용자의 실제 신원을 알고 있는 사이트(예를 들어 인증된
자격 증명을 요구하는 콘텐츠 제공자 또는 전자상거래 사이트)와 결합하면, 순수하게 익명적인
웹 사용만 있는 세계보다 억압적인 집단이 개인을 더 높은 정확도로 표적으로 삼을 수 있다.
이 명세의 API 구현을 통해 얻을 수 있는 사용자 또는 클라이언트별 정보에는 다음이 포함된다.
본 콘텐츠(저장된 또는 메모리 내 라이선스, 키, 키 ID, 라이선스
폐기 기록 등을 통해)
이 명세는 그러한 정보가 일반적으로 사용자 에이전트(및 관련 브라우징
프로필 저장소) 외부에, 흔히
CDM에 저장되기 때문에 특별한 우려를 제기한다.
라이선스와 라이선스 폐기 기록의 내용은 키 시스템별이며, 키 ID는 어떤 값이든 포함할 수 있으므로,
이러한 데이터 항목은 사용자를 식별하는 정보를 저장하는 데 악용될 수 있다.
키 시스템은 장치 또는 장치 사용자를 위한 지속 또는
반지속 식별자에 접근하거나 이를 생성할 수 있다. 어떤 경우에는 이러한 식별자가 특정
장치에 안전한 방식으로 바인딩될 수 있다. 이러한 식별자가 키 시스템
메시지에 존재하면,
장치 및/또는 사용자가 추적될 수 있다. 아래 완화 조치가 적용되지 않으면,
여기에는 시간에 따른 사용자/장치 추적과 주어진 장치의 여러 사용자를 연관시키는 것이
모두 포함될 수 있다.
그러한 식별자, 특히 삭제 불가능하거나
출처별이 아니거나
영구적인 식별자는 쿠키 [COOKIES] 또는 URL에
삽입된 세션 식별자 같은 기존 기법보다 추적 영향이 크다는 점에 유의하는 것이 중요하다.
모든 경우에, 그러한 식별자는 키 시스템을 완전히 지원하는
사이트 및/또는 서버에서 사용할 수 있을 것으로 예상된다(따라서 키 시스템
메시지를 해석할 수 있음). 이로 인해 그러한 사이트에 의한 추적이 가능해진다.
키 시스템이 노출하는 식별자가
출처별이 아니면, 키 시스템을
완전히 지원하는 두 사이트 및/또는 서버가 공모하여 사용자를 추적할 수 있다.
키 시스템 메시지가 사용자 식별자에서 일관된 방식으로
파생된 정보를 포함하는 경우, 예를 들어 특정 콘텐츠 항목에 대한 초기 키 시스템
메시지의 일부가 시간이 지나도 변하지 않고 사용자 식별자에 의존하는 경우, 이 정보는
어떤 애플리케이션에 의해서도 장치 또는 사용자를 시간에 따라 추적하는 데 사용될 수 있다.
또한 키 시스템이 키 또는 다른 데이터를 저장하고 출처 간에
재사용하도록 허용하면, 두 출처가 공모하여 공통 키에 접근할 수 있는 능력을 기록함으로써
고유 사용자를 추적하는 것이 가능할 수 있다.
마지막으로, 키 시스템에 대한
사용자 제어용 사용자 인터페이스가 HTTP 세션 쿠키 [COOKIES] 또는
지속 저장소의 데이터와 별도로 데이터를 표시하면,
사용자는 사이트 권한을 변경하거나 데이터를 삭제할 때 어느 하나만 수정하고 나머지는 수정하지 않을 가능성이 크다.
그러면 사이트가 여러 기능을 서로의 중복 백업으로 사용할 수 있어, 개인정보를 보호하려는
사용자의 시도를 무력화할 수 있다.
사이트와 다른 제3자가 사용자를 추적할 가능성에 더해, 사용자 에이전트 구현자,
CDM 공급업체 또는 장치 공급업체도 이 명세에 정의된 API를 사용하는
방문 사이트와 같은 사용자의 활동이나 관심사에 대한 프로필을 만들 수 있다.
그러한 추적은 웹 플랫폼의 나머지 부분, 특히 출처 격리와 관련된 개인정보 보호를 약화시킨다.
고유 식별자와 같은 식별자는
CDM 공급업체가 운영하거나 제공하는 서버에서, 예를 들어 개별화
프로세스를 통해 얻어질 수 있다. 이 프로세스에는
고유 영구
식별자를 포함한 클라이언트 식별자를 서버에 제공하는 것이 포함될 수 있다.
출처별 식별자를 생성하기 위해, 출처를 나타내는 값도 제공될 수 있다.
그러한 구현에서, CDM 공급업체는 사용자가 방문한 출처 수 또는
새 식별자가 필요한 횟수 같은 사용자의 활동을 추적할 수 있다. 출처 또는 출처와
연관 가능한 값이
식별자 요청에 제공되면, CDM 공급업체는 사용자 또는 장치 사용자가 방문한 사이트를
추적할 수 있다.
고유 식별자는 키 시스템 메시지 안에서 타임스탬프 또는 nonce와 함께
암호화되어야 MUST 하며, 그 결과
키 시스템
메시지는 항상
서로 달라야 한다. 이는 키 시스템을
완전히 지원하는 서버를 제외하고는 키 시스템 메시지가 추적에
사용되는 것을 방지한다. 식별자 암호화를 보라.
사용자 에이전트는 고유
식별자와 키 시스템이 저장한 데이터의 존재를
HTTP 세션 쿠키 [COOKIES]와 강하게 연관되도록
사용자에게 표시하는 것이 SHOULD 되며, "모든
데이터 제거"에 이를 포함하고 같은 UI 위치에 표시해야 한다. 이는 사용자가 그러한 식별자를
건전한 의심을 가지고 보도록 장려할 수 있다. 사용자 에이전트는 사용자가 불완전한 데이터 삭제를
피하도록 도와야
SHOULD 한다.
출처별 정보를 관련 없는 엔터티에 노출하지 말 것
출처
또는 출처와 연관 가능한 값을
개별화 서버 또는 출처와 관련 없는 다른 엔터티에 제공하지 말 것. 구현이 그러한
프로세스를 사용하는 경우 개별화 절의 요구사항과 권장사항을 따른다.
CDM이 사용하는 데이터 중 애플리케이션 또는 라이선스 서버에 보이는 방식으로
메시지나 동작에 영향을 줄 수 있는 모든 데이터는
출처 및
브라우징 프로필별로 분할되어야
MUST 하며, 비공개 브라우징 세션으로 누출되거나 그로부터 누출되어서는
MUST
NOT 된다. 여기에는 메모리 내 데이터와 지속 데이터가 모두 포함된다. 구체적으로 그러나
빠짐없이 열거하는 것은 아니며,
세션 데이터, 라이선스, 키 및 출처별 식별자는 출처별 및
브라우징 프로필별로 분할되어야
MUST 한다. 8.3.1
출처별 및 브라우징 프로필별 키 시스템 저장소 사용
및 8.4.1
출처별·프로필별 값 사용을 보라.
사용자 에이전트는, 사용자가 구성한 방식일 수도 있는 방식으로, 일정 시간이 지난 후
고유 식별자 및/또는 기타
키 시스템 데이터를 자동으로 삭제할 MAY 수 있다.
주
예를 들어, 사용자 에이전트는 그러한 데이터를 세션 전용 저장소로 저장하도록 구성되어,
사용자가 이에 접근할 수 있는 모든 브라우징 컨텍스트를 닫으면 데이터를 삭제할 수 있다.
이는 사이트가 사용자를 추적하는 능력을 제한할 수 있다. 그러면 사이트는 사용자가
그 사이트 자체에서 인증하는 경우(예: 구매하거나 서비스에 로그인함) 여러 세션에 걸쳐서만
사용자를 추적할 수 있기 때문이다.
그러나 사용자가 그러한 만료의 의미를 완전히 이해하지 못하면, 이는 사용자의 콘텐츠,
특히 구매하거나 대여한 콘텐츠에 대한 접근을 위험에 빠뜨릴 수도 있다.
제3자 접근 차단
사용자 에이전트는 키 시스템 및/또는 기능에 대한 접근을
브라우징 컨텍스트의 최상위 Document의
출처에서
기원한 스크립트로 제한할 MAY 수 있다. 예를 들어, requestMediaKeySystemAccess()는
iframe에서 실행 중인 다른 출처의 페이지에 대해 특정 구성 요청을 거부할 수 있다.
사용자 에이전트는 사이트가 각 키 시스템 및/또는 특정 기능을 사용하기 전에
사용자가 그 접근을 명시적으로 승인하도록 요구할 MAY 수 있다.
사용자 에이전트는 사용자가 이 승인을 일시적으로 또는 영구적으로 철회할 수 있게 해야
SHOULD 한다.
공유 차단 목록 사용
사용자 에이전트는 사용자가 출처
및/또는 키 시스템의 차단 목록을 공유할 수 있게 할
MAY 수 있다. 이는 공동체가 함께 행동하여 개인정보를
보호할 수 있게 한다.
주
이러한 제안은 이 명세에 정의된 API가 사용자 추적에 사소하게 사용되는 것을 방지하지만,
이를 완전히 차단하지는 않는다. 단일 출처 내에서 사이트는 세션 동안 사용자를 계속 추적할 수
있으며, 사이트가 얻은 식별 정보(이름, 신용카드 번호, 주소)와 함께 이 모든 정보를
제3자에게 전달할 수 있다. 제3자가 여러 사이트와 협력하여 그러한 정보를 얻고,
식별자가 출처 및 프로필별로 고유하지 않다면,
여전히 프로필이 생성될 수 있다.
11.5
사용자 기기에 저장되는 정보
11.5.1
우려사항
이 절은 비규범적이다.
키 시스템은 사용자의 기기에 정보를 저장할 수 있고, 또는
사용자 에이전트가 키 시스템을 대신하여 정보를 저장할 수 있다. 잠재적으로 이는 같은 기기의
다른 사용자에게 사용자에 관한 정보를 드러낼 수 있으며, 여기에는 특정 키 시스템을 사용한
출처(즉,
방문한 사이트)나 심지어 키 시스템을 사용하여 복호화된
콘텐츠까지 포함될 수 있다.
한 출처가 저장한 정보가 다른 출처에 대한 키 시스템의
동작에 영향을 주면, 한 사이트에서 사용자가 방문한 사이트나 본 콘텐츠가 다른, 잠재적으로
악성인 사이트에 드러날 수 있다.
클라이언트 기기에서 한 브라우징 프로필을 위해 저장된
정보가 다른 브라우징
프로필 또는 브라우저에 대한 키 시스템의
동작에 영향을 주면, 한쪽에서 방문한 사이트나 본 콘텐츠가 다른 브라우징 프로필에 의해 드러나거나
그것과 상관될 수 있으며, 여기에는 서로 다른 운영 체제 사용자 계정이나 브라우저까지 포함될 수
있다.
사용자가 고유 식별자와
저장된 데이터를 삭제하거나 및/또는 키 시스템을 비활성화하여 개인정보를
보호하려는 시도는, 그러한 모든 데이터와 기능뿐만 아니라 쿠키 [COOKIES] 및 기타
사이트 데이터가 동시에 삭제되거나 및/또는
비활성화되지 않으면 무력화될 수 있다. 예:
사용자가 쿠키 또는 기타 지속 저장소를 삭제하면서
고유 식별자와 키 시스템이 저장한 데이터를
함께 삭제하지 않으면, 사이트는 여러 기능을 서로의 중복 백업으로 사용하여 그러한
시도를 무력화할 수 있다.
사용자가 고유
식별자를 삭제하면서 지속 세션을 포함하여
키 시스템이 저장한 데이터와 쿠키 및 기타
지속 저장소를 함께 삭제하지 않으면, 사이트는 남아 있는 데이터를 사용하여
이전 식별자와 새 식별자를 연관시킴으로써 그러한 시도를 무력화할 수 있다.
사용자가 키 시스템을, 특히 특정
출처에 대해
비활성화하면서
쿠키 또는 기타 지속 저장소를 함께 삭제하지 않으면, 사이트는 남아 있는 기능을
사용하여 그러한 시도를 무력화할 수 있다.
사용자가 키 시스템을 비활성화한 뒤, 나중에
키 시스템을 다시 활성화하기로 결정하면서 쿠키 또는 기타
지속 저장소, 고유
식별자, 그리고 키
시스템이 저장한 데이터를 함께 삭제하지 않으면, 사이트는 비활성화 이전의
데이터를 키 시스템이 다시 활성화된 이후의
데이터 및 동작과 연관시킬 수 있다.
사용자 에이전트는 사용자 익명성을 보존하고/하거나 브라우징 활동 기록이 클라이언트에 영속화되지
않도록 하기 위한 동작 모드(예: 비공개 브라우징)를 지원할 수 있다. 이전 절에서 논의한 개인정보
보호 우려는 그러한 모드를 사용하는 사용자에게 특히 우려될 수 있다.
그러한 모드를 지원하는 사용자 에이전트 구현자는 이러한 모드에서 키 시스템에 대한 접근을 비활성화해야 하는지 신중히
고려하는 것이 좋다 SHOULD. 예를 들어, 그러한 모드는
MediaKeySystemAccess
객체 중
persistentState 또는
distinctiveIdentifier를
지원하거나 사용하는 객체의 생성을 금지할 수 있다 MAY
(이는 CDM 구현의 일부로서일 수도 있고, 애플리케이션이 그것들을
"required"라고 표시했기 때문일
수도 있다). 구현이 그러한 생성을 금지하지 않는다면, 이를 허용하기 전에 그러한 모드의 예상되는
개인정보 보호 속성에 대한 의미와 잠재적 결과를 사용자에게 알리는 것이 좋다
SHOULD.
11.8
보안 출처 및 전송
이 명세에 정의된 API는 보안 출처에서만 지원되며, 이전 절에서 논의한 정보를 보호한다.
식별자는 식별자 암호화에 명시된 대로 추가로 암호화된다.
애플리케이션은, 사용하는 서버를 포함하여, CDM으로부터의 데이터나 메시지를 포함하거나
관련된 모든 트래픽에 보안 전송을 사용하는 것이 좋다 SHOULD. 여기에는
message 이벤트에서
전달되는 모든 데이터와 update()에
전달되는 모든 데이터가 포함되지만 이에 국한되지 않는다.
모든 사용자 에이전트는 사용자 에이전트 또는 애플리케이션이 보안 출처와 전송을 강제하려는 경우
안전하지 않은 콘텐츠나 전송에 노출되지 않도록 혼합 콘텐츠 [MIXED-CONTENT]를 적절히 처리해야
MUST 한다.
12. 적합성
비규범적으로 표시된 절뿐 아니라, 이 명세의 모든 작성 지침, 다이어그램, 예제 및 참고는
비규범적이다. 이 명세의 그 밖의 모든 것은 규범적이다.
이 문서의 핵심 단어 MAY, MUST, MUST
NOT, OPTIONAL, RECOMMENDED, REQUIRED, SHALL, SHALL NOT, SHOULD, 및 SHOULD NOT는 여기에 보인 것처럼 모두
대문자로 나타날 때, 그리고 오직 그때에만,
BCP 14
[RFC2119] [RFC8174]에
설명된 대로 해석된다.
13.
예제
이 절은 비규범적이다.
이 절은 제안된 확장을 사용하여 다양한 사용 사례에 대한 예제 해결책을 포함한다.
이것들이 이러한 사용 사례에 대한 유일한 해결책은 아니다. 예제에서는 video 요소를 사용하지만,
모든 미디어 요소에도 동일하게 적용된다. 동기 XHR 사용과 같은 일부 경우에는 확장에 초점을
맞추기 위해 예제를 단순화했다.
13.1
페이지 로드 시 소스와 키가 알려져 있음(Clear Key)
이 간단한 예제에서는 소스 파일과 평문 라이선스가 페이지에 하드코딩되어
있다. 세션은 언제나 하나만 생성된다.
<script>var licenseUrl;
var serverCertificate;
var mediaKeys;
// See the previous example for implementations of these functions.functioncreateSupportedKeySystem() { ... }
functionmakeNewRequest(mediaKeys, initDataType, initData) { ... }
functionlicenseRequestReady(event) { ... }
functionhandleInitData(event) {
makeNewRequest(mediaKeys, event.initDataType, event.initData);
}
createSupportedKeySystem().then(
function(createdMediaKeys) {
mediaKeys = createdMediaKeys;
var video = document.getElementById("v");
video.src = 'foo.webm';
if (serverCertificate)
mediaKeys.setServerCertificate(serverCertificate);
return video.setMediaKeys(mediaKeys);
}
).catch(
console.error.bind(console, 'Failed to create and initialize a MediaKeys object')
);
</script><videoid="v"autoplayonencrypted='handleInitData(event)'></video>
13.4
모든 이벤트 사용
이것은 모든 이벤트가 사용되는 모습을 보여 주는 더 완전한 예제이다.
handleMessage()는 여러 번 호출될 수 있음에 유의한다. 여기에는 여러 번의 왕복이
필요한 경우 update() 호출에 대한
응답으로 호출되는 경우와, 키 시스템이 메시지를 보내야 할 수 있는 기타 모든 이유가 포함된다.
<script>var licenseUrl;
var serverCertificate;
var mediaKeys;
// See the previous examples for implementations of these functions.// createSupportedKeySystem() additionally sets persistentState: "required" in each options dictionary.functioncreateSupportedKeySystem() { ... }
functionsendMessage(message, keySession) { ... }
functionhandleMessage(event) { ... }
// Called if the application does not have a stored sessionId for the media resource.functionmakeNewRequest(mediaKeys, initDataType, initData) {
var keySession = mediaKeys.createSession("persistent-license");
keySession.addEventListener('message', handleMessage, false);
keySession.closed.then(
function(reason) {
console.log('Session', this.sessionId, 'closed, reason', reason);
}.bind(keySession)
);
keySession.generateRequest(initDataType, initData).then(
function() {
// Store this.sessionId in the application.
}.bind(keySession)
).catch(
console.error.bind(console, 'Unable to request a persistent license')
);
}
// Called if the application has a stored sessionId for the media resource.functionloadStoredSession(mediaKeys, sessionId) {
var keySession = mediaKeys.createSession("persistent-license");
keySession.addEventListener('message', handleMessage, false);
keySession.closed.then(
function(reason) {
console.log('Session', this.sessionId, 'closed, reason', reason);
}.bind(keySession)
);
keySession.load(sessionId).then(
function(loaded) {
if (!loaded) {
console.error('No stored session with the ID ' + sessionId + ' was found.');
// The application should remove its record of |sessionId|.return;
}
}
).catch(
console.error.bind(console, 'Unable to load or initialize the stored session with the ID ' + sessionId)
);
}
// Called when the application wants to stop using the session without removing the stored license.functioncloseSession(keySession) {
keySession.close();
}
// Called when the application wants to remove the stored license.// The stored session data has not been completely removed until the promise returned by remove() is fulfilled.// The remove() call may initiate a series of messages to/from the server that must be completed before this occurs.functionremoveStoredSession(keySession) {
keySession.remove().then(
function() {
console.log('Session ' + this.sessionId + ' removed');
// The application should remove its record of this.sessionId.
}.bind(keySession)
).catch(
console.error.bind(console, 'Failed to remove the session')
);
}
// This replaces the implementation in the previous example.functionhandleMessageResponse(keySession, response) {
var license = newUint8Array(response);
keySession.update(license).then(
function() {
// If this was the last required message from the server, the license is// now stored. Update the application state as appropriate.
}
).catch(
console.error.bind(console, 'update() failed')
);
}
createSupportedKeySystem().then(
function(createdMediaKeys) {
mediaKeys = createdMediaKeys;
var video = document.getElementById("v");
if (serverCertificate)
mediaKeys.setServerCertificate(serverCertificate);
return video.setMediaKeys(mediaKeys);
}
).catch(
console.error.bind(console, 'Failed to create and initialize a MediaKeys object')
);
</script><videoid='v'src='foo.webm'autoplay></video>
13.6
HDCP 정책으로 미디어 사전 가져오기
일부 미디어가 라이선스 안에 HDCP 정책을 갖게 될 경우, 애플리케이션은 사전 가져오기 전에 해당
버전을 확인할 수 있다.
const status = await video.mediaKeys.getStatusForPolicy({
minHdcpVersion: '1.4'
});
if (status === 'usable') {
// Pre-fetch HD content.
} else { // 'output-restricted'// Pre-fetch SD content.
}
14.
감사의 말
편집자들은 이 명세에 기여해 준 Aaron Colwell, Alex Russell, Anne van Kesteren, Bob Lund,
Boris Zbarsky, Chris Needham, Chris Pearce, David Singer, Domenic Denicola, Frank Galligan,
Glenn Adams, Henri Sivonen, Jer Noble, Joe Steele, Joey Parrish, John Simmons, Mark
Vickers, Pavel Pergamenshchik, Philip Jägenstedt, Pierre Lemieux, Robert O'Callahan, Ryan
Sleevi, Steve Heffernan, Steven Robertson Theresa O'Connor, Thomás Inskip, Travis Leithead,
그리고 Xiaohan Wang에게 감사한다. 메일링 리스트와 이슈 참여를 포함하여 명세에 기여해 준
많은 다른 분들께도 감사드린다.
