Comment protéger les polices Web

Question

J'ai un client qui souhaite héberger ses polices Web sur son propre serveur. J'ai un compte font.com où la police a été hébergée jusqu'à maintenant. Je suis allé la vérité le fonts.com agreement (Point 18.) Où ils disent, que vous pouvez héberger des fichiers sur votre propre serveur, mais vous devez les protéger aussi bien que possible.

La seule façon dont je peux penser à le faire, est en limitant les demandes sur ces fichiers avec HTTP_REFERER dans le .htaccess. Puis-je en faire plus pour protéger ces polices? Est-ce que cela a du sens de faire plus et pensez-vous que c'est une protection suffisante? Je ne crois pas en la protection de la copie technique, vous pouvez toujours copier ce que vous pouvez voir d'une manière ou d'une autre. Mais je ne veux pas que mon client connaisse des problèmes légaux. Avez-vous une expérience avec cela?

modifier

Je suis intéressé par l'aspect légal. Que peut-il arriver, si quelqu'un peut télécharger la police et la réutiliser? Est-ce qu'ils signifient que je dois protéger la police seulement de hot-linking ou de télécharger aussi bien?

Answer 1

Vous trouverez des méthodes intéressantes dans l'article de Typekit: "Serving and Protecting Fonts on the Web"

Ils utilisent des méthodes telles que la vérification HTTP Referrer, l'encodage base64, segmentation. Cependant, aucun d'entre eux n'offre une protection complète et on est d'accord avec cette affirmation de l'article:

Le fait est que, pour que quelque chose apparaisse dans un navigateur, il doit être sur le web. Si c'est sur le Web, il ne peut pas être complètement protégé ... Nous avons mis quelques obstacles de notre côté. Notre intention est seulement de décourager les abus occasionnels et de préciser que la prise de polices de Typekit est un acte explicite et intentionnel.

La deuxième chose à porter est que le titulaire de licence ne peut toujours pas tenir compte de l'accord, et c'est pourquoi des entreprises comme Adobe qui produit un des plus excellentes polices précise les conditions d'utilisation, y compris pour le web en Font licensing page.

Voir également le Font Licensing Issues décrit dans la spécification des polices Web W3 CSS3.

Answer 2

HTTP_REFERER et USER_AGENT peuvent facilement être usurpés. Cela étant dit, si vous voulez éviter les liens chauds, alors HTTP_REFERER est un bon début pour le restreindre aux appels de votre propre application.

Avec Apache mode_security

SecFilterSelective "HTTP_REFERER" "^[^\?]*mydomain\.com" 

Ajouter ci-dessus dans le répertoire avec les polices rejette toutes les demandes non conformes provenant d'autres sites. Pour une sécurité supplémentaire, lorsque quelqu'un utilise votre application, vous lui donnez une session sur le serveur (par exemple PHP), et vous y stockez un uniqueId.

<?PHP 
// #header.php - in the head of the page that uses the font 
// ... 
if(!isset($_SESSION['uniqueId'])) { 
    $_SESSION['uniqueId'] = rand(pow(2,16), pow(2,31)); 
} 
$uniqueId = $_SESSION['uniqueId']; 

echo '<script type="text/javascript" src="http://foo.com/getFont.php?u='.$uniqueId.'"></script>'; 
?> 

Et cela sert la police.

<?PHP 
// #getFont.php - serve your fonts from here 
// ... 
if(!isset($_GET['u']) || !isset($_SESSION['uniqueId']) || $_SESSION['uniqueId']!=$_GET['u']) { 
    die('Bad Request'); 
} 

// cat out the file contents here for the request font file 
?> 

Ensuite, vous faites référence à une page dynamique pour votre police (par exemple getFont.php? UniqueId = foo), et vous revenez que le fichier de police si le unqiueId correspond à leur session, sinon vous assumez qu'il est un usurpée lien chaud du referer. Cela revient essentiellement à placer le fichier dans un répertoire utilisateur authentifié uniquement, mais cela ne fonctionnerait que si les utilisateurs s'étaient connectés, alors que la méthode ci-dessus nécessite simplement que l'utilisateur charge la page avant de charger la police, pour éviter les liens chauds .

Answer 3

C'est un objectif mixte - protéger le fichier de la copie tout en donnant à chacun une copie du fichier. La réponse de Twisted Pear est probablement la meilleure en termes de trouver un terrain d'entente.

Si vous souhaitez protéger le fichier, restituez le texte dans les images sur le serveur.

Légalement, vous pouvez invoquer DMCA sur les sites hébergeant votre fichier de police.

Answer 4

Voir https://bugzilla.mozilla.org/show_bug.cgi?id=540859

Apparemment approuvé par FontShop (dernier commentaire) et suggéré par MyFonts (http://twitter.com/#!/MyFonts/status/98767132321521664).

EDIT: Je pense que c'est la solution mentionnée dans comment 26:

RewriteCond "%{HTTP_HOST}_%{HTTP_REFERER}" "!\.?([^\.]+\.[^\.]+?)_https?://.*\1/.*$" 
RewriteRule \.(woff|eot)$ - [F,NC,L] 

Answer 5

pas un expert sur Apache, mais nous avons utilisé cela, et il semble fonctionner assez bien:

Options -Indexes 
IndexIgnore *.woff *.eot 
RewriteEngine On 
RewriteCond %{HTTP_REFERER} !^http://(www\.)?yoursite\.com/.* [NC] 
RewriteCond %{REQUEST_URI} !hotlink\.(woff|eot) [NC] 
RewriteRule .*\.(woff|eot)$ http://yoursite.com/ [NC,F,L] 

Téléchargement direct conduit à 403, mais les fichiers peuvent encore être accessible via le CSS de votre propre site.