Здравствуйте, Аноним, Вы писали:
А>Если всё дело в стриме, записанном после загрузки файлов из инета с помощью Internet Explorer... то получается если программу распространять в ZIP архиве, то в Висте эти дурацкие сообщения вообще не появятся при попытке установить ПО — при запуске распакованного инсталятора? Или я что-то не до конца понимаю?
Так и есть. Только в архивах мало кто программы распространяет, не принято как то. Привыкли люди к экзешникам, могут и не разобраться как там архив распаковывается.
Здравствуйте, Euro, Вы писали:
E>Именно. Только группа должна быть такой величины,
В человеках это сколько? Тысяча, пять, двадцать? В СВРУСе полторы-две тысячи человек. Сколько из них озабочены получение code-signing сертификата на абстрактное имя — большой вопрос. У кого-то есть юр.лицо и их удовлетворит сертификат на имя фирмы, кого-то устраивает сертификат на имя разработчика, кому-то вообще наплевать на сертификаты, потому что они еще не выпустили свою первую программу, кому-то просто наплевать... Кто и для кого этим будет заниматься?
E> чтобы установленные сертификаты в конце концов покрыли более-менее заметную часть аудитории. Если каждый будет предлагать поставить свой сертификат, то у пользователей в хранилище будет большая свалка. А если будет один-два известных third-party, то почему бы и нет.
Не знаю что сказать, я не верю в перспективы этой конструкции. Попробуй организовать такую группу из местного комьюнити.
Делов то как я понял на $20-$30 в год а базара развели ... тьфу...
Re[28]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 20:54
Оценка:
Здравствуйте, Euro, Вы писали:
А>>Если всё дело в стриме, записанном после загрузки файлов из инета с помощью Internet Explorer... то получается если программу распространять в ZIP архиве, то в Висте эти дурацкие сообщения вообще не появятся при попытке установить ПО — при запуске распакованного инсталятора? Или я что-то не до конца понимаю?
E>Так и есть. Только в архивах мало кто программы распространяет, не принято как то. Привыкли люди к экзешникам, могут и не разобраться как там архив распаковывается.
Отлично! Т.е. в Висте никаких "подводных камней" с сертификатами не будет? Потому что в таком случае мне проще перейти на распространение через ZIP чем заморачиваться с сертификатами. К тому же, логика такая — если юзер умеет распаковывать, то это значит что он обладает хотя бы базовыми знаниями, а следовательно он не будет задавать много глупых вопросов в саппорт как использовать ПО, что для меня тоже немаловажно.
Или даже так сделать... написать скрипт, который для opera и firefox будет выдавать экзэшник, а для Internet Explorer — только zip.
Здравствуйте, Euro, Вы писали:
E>Шаровару можно покупать или не покупать, люди сами решают. Сертификаты же _навязываются_ всем производителям, причем очень настойчиво. Шаровара как правило решает определенную объективную проблему, т.е. улучшает что-либо в определенной области. Сертификаты "решают" искусственно созданную проблему, т.е. возникшую на пустом месте, "из воздуха".
Отнюдь. Сертификат решает вполне конкретную проблему идентификации. Податель сего именно тот, за кого он себя выдает. Далее, он решает проблему целостности. Если на меня наезжает юзер — а вот Касперский или там Фигерский утверждает, что ты, падла, в своем дистрибутиве злобного трояна распостраняешь — я спрашиваю: подпись нарушена? Нет? Засунь своего фигерского себе в ухо. То есть я и сам в этом случае могу быть увереным, что файл у параноика оригинальный, а не хакером подмененный. И заметь — параноик уже не пикнет, что мол знаем мы эти сертификаты — вон в сврус их каждому встречному поперечному выдают. Ибо процедура выдачи хоть и проста, но строга, и СА типа за базар отвечает. Далее — косвенно — это статусная вещь. Как пиджак от Кардена Хотя фигня, конечно — 100 баксов все таки не деньги в IT бизнесе. Но есть определенный ритуал, а корпоративщики страсть как ритуалы любят и уважают.
E>Как если бы например регистраторы начали брать "входные" несколько $k в качестве подтверждения серьезности намерений. Или производители антивирусов распространяли вирусняки для повышения продаж. От троянов и других вирусов есть антивирусы, на хрена еще сертификаты нужны спрашивается??
А нафига Бил Гейц галстук покупал перед эпохальным посещением АйБиЭм? Ну, и о юзере забота, о той самой кухарке, которая теперь может управлять компьютером.
Тут еще такой момент есть — проблема с получением сертификата есть только у определенной части суши. Для обычного буржуя этой проблемы практически нет, за исключением ста баксов. Поэтому твой праведный гнев им трудно разделить.
Здравствуйте, serverside, Вы писали:
S>Отнюдь. Сертификат решает вполне конкретную проблему идентификации. Податель сего именно тот, за кого он себя выдает. Далее, он решает проблему целостности. Если на меня наезжает юзер — а вот Касперский или там Фигерский утверждает, что ты, падла, в своем дистрибутиве злобного трояна распостраняешь — я спрашиваю: подпись нарушена? Нет? Засунь своего фигерского себе в ухо. То есть я и сам в этом случае могу быть увереным, что файл у параноика оригинальный, а не хакером подмененный. И заметь — параноик уже не пикнет, что мол знаем мы эти сертификаты — вон в сврус их каждому встречному поперечному выдают. Ибо процедура выдачи хоть и проста, но строга, и СА типа за базар отвечает.
Стоп, тут бы надо уточнить про параноиков. Как раз только если у юзера подпись у дистрибутива нарушена или не твоя, то можно попытаться умыть руки и сказать что типа у меня все ходы записаны, модули подписаны, а у юзера хрен знает откуда файлы и я тут нипричем что там троян. Слабовата конечно отмазка, потому как поди докажи что всегда все модули подписываются и одним и тем же сертификатом. А если подпись не нарушена, то чем докажешь что троян не из подписанного дистрибутива? Для решения такой проблемы подойдет любой сертификат или даже самописная система защиты от патчинга. Сериальный номер сертификата не тот — пошли все в пень, не мой модуль. Если же подпись какая надо, то отмазаться еще сложнее по идее.
S>Далее — косвенно — это статусная вещь. Как пиджак от Кардена Хотя фигня, конечно — 100 баксов все таки не деньги в IT бизнесе. Но есть определенный ритуал, а корпоративщики страсть как ритуалы любят и уважают.
Для корпоративщиков согласен, ритуал что надо.
S>А нафига Бил Гейц галстук покупал перед эпохальным посещением АйБиЭм? Ну, и о юзере забота, о той самой кухарке, которая теперь может управлять компьютером.
S>Тут еще такой момент есть — проблема с получением сертификата есть только у определенной части суши. Для обычного буржуя этой проблемы практически нет, за исключением ста баксов. Поэтому твой праведный гнев им трудно разделить.
Ну да, для любителей ритуалов подписи в самый раз, еще один маленький повод к более лояльному отношению. Меня раздражает другое — грубое навязывание подписей в виде появляющихся окошек со страшными надписями. Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход. Только из-за этого окошка платить кому то противоестественно. Остается неприятный осадок что тебя таки развели предложением от которого нельзя отказаться.
Здравствуйте, Euro, Вы писали:
E>Ну да, для любителей ритуалов подписи в самый раз, еще один маленький повод к более лояльному отношению. Меня раздражает другое — грубое навязывание подписей в виде появляющихся окошек со страшными надписями. Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход. Только из-за этого окошка платить кому то противоестественно.
Но ведь ты и есть Unknown Publisher — до тех пор, пока не получил id. СА берут на себя функции посредника — они удостоверяют, что ты — это ты. За это просят скромную мзду. Тебе паспорт в милиции тоже ведь не бесплатно выдают, но никто это не находит же противоестественным. Без паспорта тоже можно жить. Но тоже будут окошки все время выскакивать.
E>Остается неприятный осадок что тебя таки развели предложением от которого нельзя отказаться.
Здравствуйте, Euro, Вы писали:
E>Слабовата конечно отмазка, потому как поди докажи что всегда все модули подписываются и одним и тем же сертификатом.
Вы с суд собираетесь играть или проблему решать? Т.е. однозначно можно отправить пользователя за скачкой офф. дисрибутива. А сам троян — на исследование в соответствующих конторы.
Прочитайте что написано у юзера при просмотре сертификата:
* Ensures software came from software publisher
* Protects software from alteration after publication
Об этом и речь. Кстати, если не ошибаюсь, но за доказанный случай подделки оригинального сертификата выдавшая его фирма платит страховку. Поправьте меня если не прав.
E> Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход.
Здравствуйте, <Аноним>, Вы писали:
А>неужели майкрософту так хочется портить со всеми отношения и всех "выкидывать" из рута кроме Verisign, Comodo, Thawte ?
Что-то список у вас короткий. Назвали самых известных, а в списке MS на сайте их (рутов) гораздо больше.
E>Чуть больше, но не важно. 12 стульев и билеты в Провал, вот что это напоминает
А ты не жадничай. Ты где то писал, вот сколько бабок на запад уходит ! А сколько ты оттуда получаешь за софт ?
Лично для меня USA это самый большой потребитель, и изза небольшой части прибыли я жопицца не буду. Тем более что правила для всех, а не только для русских или как то еще ущемительно.
Здравствуйте, serverside, Вы писали:
S>Здравствуйте, Euro, Вы писали:
E>>Ну да, для любителей ритуалов подписи в самый раз, еще один маленький повод к более лояльному отношению. Меня раздражает другое — грубое навязывание подписей в виде появляющихся окошек со страшными надписями. Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход. Только из-за этого окошка платить кому то противоестественно.
S>Но ведь ты и есть Unknown Publisher — до тех пор, пока не получил id. СА берут на себя функции посредника — они удостоверяют, что ты — это ты. За это просят скромную мзду. Тебе паспорт в милиции тоже ведь не бесплатно выдают, но никто это не находит же противоестественным. Без паспорта тоже можно жить. Но тоже будут окошки все время выскакивать.
Только для виндозы дистрибутив без сертификата это троян от неизвестного производителя. Не удивлюсь что скоро появится точно такая же система для сайтов. На любой сайт без поддержки SSL со специальным сертификатом эксплорер начнет ругаться большими страшными окнами и сообщать что создатель этого сайта никому неизвестный лузер безсертификатный, и давай ка сюда даже заходить не станем. Вот счастье то настанет (для CA естественно, в первую очередь). Уже кое что на эту тему встроено в IE под названием антифишинг. Но он пока банит только известные фишерские урлы, а не все подряд, отличные от известных не-фишерских.
E>>Остается неприятный осадок что тебя таки развели предложением от которого нельзя отказаться.
S>Почему ж нельзя-то? Отказывайся на здоровье.
Дык нельзя, окошки то у юзеров иначе появляются страшные. Ладно бы писало что типа это судя по ресурсам модуль такого-то производителя, но у него нет сертификата, поэтому это не на 100%.
В unix-world для идентификации модулей используются MD5-хэши, просто выкладываются рядом с дистрибутивами и можно в случае чего удостовериться то скачал или не то. Дешево и просто. Проблема идентификации она моя и юзера на самом деле, а то что там посредники предлагают должно по идее позволять выбрать альтернативу. А это сделать нельзя, поэтому механизм сертификатов это как нефтяное месторождение для монополистов с генерилками.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>>Слабовата конечно отмазка, потому как поди докажи что всегда все модули подписываются и одним и тем же сертификатом.
Doc>Вы с суд собираетесь играть или проблему решать? Т.е. однозначно можно отправить пользователя за скачкой офф. дисрибутива. А сам троян — на исследование в соответствующих конторы.
Вопрос не ко мне, т.к. я не рассматриваю сертификаты как серьезную защиту от подобных наездов.
Doc>Прочитайте что написано у юзера при просмотре сертификата: Doc>* Ensures software came from software publisher Doc>* Protects software from alteration after publication
На заборе тоже написано. Легко можно изменить модуль и переподписать другим сертификатом, так что второе точно вранье. А по поводу первого — обладатель сертификата ввязывается в эту игру уже по уши. Попробуй не подпиши хоть один модуль потом — все будут показывать пальцем и говорить что это гадкая подделка.
Doc>Об этом и речь. Кстати, если не ошибаюсь, но за доказанный случай подделки оригинального сертификата выдавшая его фирма платит страховку. Поправьте меня если не прав.
Интересно было бы почитать что-нибудь на тему имеющихся прецедентов. Думается если какой хацкер подделает сертификат и сделает какую серьезную бяку, то скорее на владельца сертифика наедут прежде всего. И ему придется трусами отмахиваться, а хацкера ищи потом.
E>> Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход.
Doc>А как их называть? Ваша версия?
Никак не называть и убрать эти стремные окошки на хрен.
Здравствуйте, Euro, Вы писали:
Doc>>Прочитайте что написано у юзера при просмотре сертификата: Doc>>* Ensures software came from software publisher Doc>>* Protects software from alteration after publication E>На заборе тоже написано. Легко можно изменить модуль и переподписать другим сертификатом, так что второе точно вранье.
Серьезно? Вы сможете подписать какую-нибудь утилиту подписью MS? Да так что бы система не заметила подвоха?
Ну поскольку ту не только из России, от отвечу так — российское.
(для Jit — западный вариант навзания с LLC прописывается в уставных документах, так что я спокойно могу его использовать).
Doc>>Получил буквально за сутки. ASX>не можеш вкратце расписать какие телодвижения нужно сделать?
По мотивам регистрации на OpenSLL
1) Ввести о себе данные в анкету (кто, откуда, реквизиты платежа)
2) Получить подтверждающее письмо и выслать сканы подтверждающих документов.
Документы по сути могут быть любыми, но должно быть в них видно
— навзание фирмы
— адрес
— не знаю как точнее сказать поэтому напишу так: видно что это гос. бумажки.
Поскольку они на русском, то надо
— перевести на английский
— дописать в конце "I hereby declare this translation to be true and accurate."
— отпечатать
— расписаться, отсканить, добавить к оригиналам
