该账号因被投诉违反法律法规和《微博社区公约》的相关规定，现已无法查看。查看帮助 网页链接

我以前说过用 ffmpeg 下载在线视频的 HLS 流 🔗网页链接。不过今天遇到一个没办法直接下载的，ffmpeg 提示输入错误，Invalid data found when processing input。

把这个 HLS 链接丢给一些播放器也不能播放。看了一下 m3u8 的内容，用了加密。于是我就把里面的密钥下载了，又下载了里面一个 ts 文件，然后尝试自己解密。果然失败了，密钥不对。再一看，密钥是 256 位，但 HLS 加密是 AES 128。

分析了一下播放的网页，发现没用 HLS.js 之类常规播放代码，而是自己搞了一个类似的。他们的 m3u8 里引用的密钥本身也被加密了。JS 代码会先对加密的密钥解密，得到真实密钥。虽然他们把 JS 混淆了，但再怎么混淆 AES 代码的特征还是非常明显的。定位了 AES 代码，就容易找到合适的地方加一句 console.log，然后密钥就出来了。

把 m3u8 下载回来，修改其中的密钥，指向本地创建的真实密钥文件。然后用加上 -allowed_extensions ALL -protocol_whitelist file,http,https,tcp,tls,crypto 参数的 ffmpeg 就能正常下载视频了。

但我要说的不是这个，而是——这种用 JS 在客户端做的加密，无论如何都能搞出来，像我这种对 WEB 前端很不熟悉的人也只花了几个小时，这么加密的意义何在？

我发现这个视频加密解决方案其实不是网站自己做的，而是买的。做内容的甲方一般都不懂技术，你说加密了，甲方一看好像确实加密了，你就可以赚到钱。

抱歉，此微博已被作者删除。查看帮助： 网页链接

随着互联网的高速发展
各类安全事件频发
给个人和社会带来前所未有的安全隐患
为此，腾讯安全凭着深厚的技术实力
成立了腾讯安全联合实验室@dingke @tombkeeper @rock509 @yuange1975