Здравствуйте, Alex Kirhenshtein, Вы писали:

AK>Коль вам влом, подумайте на досуге — что мне мешает развернуть ваш инсталлер, и сбилдить свой, тем же самым NSIS-ом, с вашими картинками и текстами + немного своего кода?

Об этом сказано чуть выше, сбилдить свой можно всегда. Чужой защищенный протектором подправить сильно сложнее чем подписанный. Во втором случае разрушится подпись, но многие этого не заметят и результат будет не лучше.

AK>Но если он подписан, да еще и на вебе большими буквами "ВСЕ НАШИ ФАЙЛЫ ПОДПИСАНЫ СЕРТИФИКАТОМ X Y Z, НЕ ДОВЕРЯЙТЕ UNSIGNED ФАЙЛАМ", то пользователь скорее всего не поставит это самопальное чудо.

Никогда не встречал такой надписи. Тем более таких внимательных пользователей

Здравствуйте, Euro, Вы писали:

E>Об этом сказано чуть выше, сбилдить свой можно всегда. Чужой защищенный протектором подправить сильно сложнее чем подписанный. Во втором случае разрушится подпись, но многие этого не заметят и результат будет не лучше.

Так вот MS идет тем путём, чтоб больше пользователей заметило. И это правильно, на мой взгляд.

AK>>Но если он подписан, да еще и на вебе большими буквами "ВСЕ НАШИ ФАЙЛЫ ПОДПИСАНЫ СЕРТИФИКАТОМ X Y Z, НЕ ДОВЕРЯЙТЕ UNSIGNED ФАЙЛАМ", то пользователь скорее всего не поставит это самопальное чудо.

E>Никогда не встречал такой надписи. Тем более таких внимательных пользователей

Как только пойдет волна (которую поднимет Виста, скажем) — эти надписи буут почти у каждого. Цифровая подпись — это просто еше один аргумент "за". Выбирая между двумя одинаковыми софтинками, я выберу ту, которая будет подписана. Это значит что автор:
а) не поленился
б) не зажмотился (ибо если для него три сотни в год — много, то для него и многое другое может быть проблемным)

Как результат — это автом не нравится гораздо больше.

Здравствуйте, Alex Kirhenshtein, Вы писали:

AK>Так вот MS идет тем путём, чтоб больше пользователей заметило. И это правильно, на мой взгляд.

А по-моему правильно качать сетапы только с сайта производителя и не доверять файлопомойкам. Есть там подпись или нет, в этом случае уже роли не играет.

AK>Как только пойдет волна (которую поднимет Виста, скажем) — эти надписи буут почти у каждого. Цифровая подпись — это просто еше один аргумент "за". Выбирая между двумя одинаковыми софтинками, я выберу ту, которая будет подписана. Это значит что автор:
AK>а) не поленился
AK>б) не зажмотился (ибо если для него три сотни в год — много, то для него и многое другое может быть проблемным)

AK>Как результат — это автом не нравится гораздо больше.

У каждого свои критерии. По мне так главное хороший софт или плохой, а есть ли у автора желание его подписывать дело десятое. Кто-то хлеб в ближайшем ларьке покупает, а кому то обязательно нужно за ним в самый большой и проверенный гипермаркет ездить, что поделаешь

Здравствуйте, Doc, Вы писали:

Doc> — расписаться, отсканить, добавить к оригиналам
Doc>3) Получить файлы сертификата через сайт
Doc>Все. У меня ушло менее суток, как я говорил.

Т.е. ты сам все перевел, расписался, что перевод правильный, отсканил и выслал?
А как они интерено проверяли эти бумажки? Тебе звонили?

Так можно школьную грамоту за хорошее поведение перевести, и выслать им

Вот и верь после этого этим сертификатам.

Здравствуйте, Euro, Вы писали:

E>Здравствуйте, Alex Kirhenshtein, Вы писали:

AK>>Так вот MS идет тем путём, чтоб больше пользователей заметило. И это правильно, на мой взгляд.

E>А по-моему правильно качать сетапы только с сайта производителя и не доверять файлопомойкам. Есть там подпись или нет, в этом случае уже роли не играет.

Почитайте про прозрачные прокси, про dns spoffing, man in the middle — для самых маньяков. Сайт производителя ничего не значит — это может быть фейк. А подписанный сетап — значит. Его можно проверить, в конце концов.

Ладно, пойду работать, пожалуй. Давайте остановимся на том, что это просто проклятые буржуины грабят рабочий народ.

Здравствуйте, Alex Kirhenshtein, Вы писали:

E>>А по-моему правильно качать сетапы только с сайта производителя и не доверять файлопомойкам. Есть там подпись или нет, в этом случае уже роли не играет.

AK>Почитайте про прозрачные прокси, про dns spoffing, man in the middle — для самых маньяков. Сайт производителя ничего не значит — это может быть фейк. А подписанный сетап — значит. Его можно проверить, в конце концов.

Опустим про прозрачные прокси и спуфинг, лучше не надо. Если вы тоже занимаетесь профессионально сетевой защитой, то неторопливое обсуждение деталей может затянуться надолго, и не для этого форума оно То о чем вы пишете называется фишинг. Используется в основном для воровства персональных данных пользователей путем заманивания их на поддельные сайты банков да платежных систем. Чтобы заманивали на сайты мелких производителей софта, да заставляли скачивать поддельные сетапы — о таком никогда не слышал. Для известных производителей типа Микрософт, Гугл или Мозилла действительно судя по всему есть вероятность использования их сайтов для фишинга. Для мелкого шароварщика это скорее теоретизирование и попытки уменьшить эту вероятность с 1e-4 до 1e-10 доли процента. Не пугайте так коллег, они и так уже от любого шороха вздрагивают.

Здравствуйте, Euro, Вы писали:

S>>Но тоже не тривиально. Если отредактировать, скажем, инносетаповский сетап обычным порош... э.. редактором ресурсов, то получишь эксепшн. А вот мы под каждую версию инно зачем-то копались... Зато работает.

E>Да ну это просто паранойя какая то..

Что паранойя? Обеспечивать поддержку редактирования инносетаповских экзешников нашим редактором? Хм, может, ты и прав. Надо будет доктору показаться. Есть, наверное, и более достойные занятия в жизни


--

Здравствуйте, serverside, Вы писали:

S>Что паранойя? Обеспечивать поддержку редактирования инносетаповских экзешников нашим редактором? Хм, может, ты и прав. Надо будет доктору показаться. Есть, наверное, и более достойные занятия в жизни

Имелась ввиду боязнь того, что инсталлятор софтинки малоизвестной конторы кто-нибудь использует в гадких целях.

Здравствуйте, wellwell, Вы писали:

>> Хорошо, спрошу по другому — что делает документ документом? Его отличительный признак?
W>Чем больше печатей — там "документей" от становится

Я к этому и клонил.
А в приведенном мной законе говориться что электронная подпись может быть эквивалентом.
Т.е. все же база есть, но проще сдать бумагу "старого вида", чем ломать стены непонимания

Здравствуйте, Euro, Вы писали:

E>А зачем знать откуда именно скачал? С подписью это проще узнать?

Не "откуда скачал". А что от производителя. Пусть даже файл лежал на download.com или подобных.

Здравствуйте, ASX, Вы писали:

ASX>Т.е. ты сам все перевел, расписался, что перевод правильный, отсканил и выслал?

Да, перевод делали сами. Но высылали еще и сканы документов на русском.

ASX>А как они интерено проверяли эти бумажки? Тебе звонили?
ASX>Так можно школьную грамоту за хорошее поведение перевести, и выслать им

А зачем мне звонить? Цель звонка?

Потом, я не думаю что я первый клиент из России. Поэтому по переводу найти соотвествующие цифры и пробить — дело не сложное.
AFAK сейчас проверить подобные реквизиты можно даже через инет (правда доступ к такой БД налоговая дает за плату).

Кстати, если вскроется подлог — сертификат сразу обнулят, деньги не вернут.

Здравствуйте, Alex Kirhenshtein, Вы писали:

AK>Как только пойдет волна (которую поднимет Виста, скажем) — эти надписи буут почти у каждого.

Это очень спорное утверждение.

А если проводить аналогию сертификатов с гражданскими паспортами, то возникает следующий вопрос — почему, извините, каким-то буржуйским фирмам позволено выдавать глобальные цифровые идентификационные документы иностранным компаниям и иностранным гражданам?

По-моему выдачей цифровых идентификационных сертификатов для граждан должен заниматься РОВД (районный отдел внутренних дел), а не корпорация Verisign. И для фирм — государственные органы соответствующих стран.