Тут feedback пришел от нового пользователя.
Все бы ничего особенного, но он пишет, что "в наше время скачивать неподписанные EXE из интернета страшно". Мол вам бы подписать ваш инсталятор. В общем боялся, но купил
Задумался, почитал VeriSign и InstatSSL.
Кто подписывал инсталяторы (да и сами EXE) — есть толк? (Может стали чуть больше качать/покупать)
Ваше мнение: как отностяся обычные end-user к предупреждениям браузера о том, что "publisher неизвестен". Насколько это хуже чем сообщение "Паблишер — ВасяПупкинСофт" (что на мой взгляд одно и то же).
Замечу, речь НЕ идет про ActiveX компоненты. Именно программы для обычных end-user.
Ну и последнее — есть у кого отзывы о использовании для этог VeriSign и InstatSSL. Оба есть в списке MS. Так в чем разница (кроме 4х-кратной в цене)?
Здравствуйте, Doc, Вы писали:
Doc>он пишет, что "в наше время скачивать неподписанные EXE из интернета страшно". Doc>Кто подписывал инсталяторы (да и сами EXE) — есть толк? (Может стали чуть больше качать/покупать) Doc>Ваше мнение: как отностяся обычные end-user к предупреждениям браузера о том, что "publisher неизвестен".
У тебя же есть уже мнение юзера
Doc>Насколько это хуже чем сообщение "Паблишер — ВасяПупкинСофт" (что на мой взгляд одно и то же).
Не одно и то же. Сообщение "Паблишер — ВасяПупкинСофт" говорит о том, что ВасяПупкинСофт — конкретная контора, и что она за базар отвечает Что она дала себе труд пройти через процедуру верификации самой себя. Что претензии по заражению инсталятора вирусами принимаются только при ненарушенной цифровой подписи. Что скачивать не страшно. И т.д.
Doc>Ну и последнее — есть у кого отзывы о использовании для этог VeriSign и InstatSSL. Оба есть в списке MS. Так в чем разница (кроме 4х-кратной в цене)?
VeriSign-овский серт работает в ранних версиях винды (до XP SP2). VeriSign нужен для микрософтовских логотипов Designed for и Sertified for. Вообще MS будет иметь дело только с VeriSign-сертом. А так разницы никакой.
Здравствуйте, serverside, Вы писали:
S>У тебя же есть уже мнение юзера
Первое такое. Поэтому и сомеваюсь.
S>Не одно и то же. Сообщение "Паблишер — ВасяПупкинСофт" говорит о том, что ВасяПупкинСофт — конкретная контора, и что она за базар отвечает Что она дала себе труд пройти через процедуру верификации самой себя. Что претензии по заражению инсталятора вирусами принимаются только при ненарушенной цифровой подписи. Что скачивать не страшно. И т.д.
Не вижу прямой связи межу подписью и "претензией по заражению инсталятора вирусами". Ведь подписывает полученным ключем сам разработчик (и если зараза попала ДО подписи, то ...). Или я что-то не понял? В FAQ InstatSSL информации не много. Где можно почитать подробнее, но так что бы по сути (не на 10 страниц с водой) — как подписываются приложения?
Doc>>Ну и последнее — есть у кого отзывы о использовании для этог VeriSign и InstatSSL. Оба есть в списке MS. Так в чем разница (кроме 4х-кратной в цене)?
S>VeriSign-овский серт работает в ранних версиях винды (до XP SP2). VeriSign нужен для микрософтовских логотипов Designed for и Sertified for. Вообще MS будет иметь дело только с VeriSign-сертом. А так разницы никакой.
Т.е. цена только за названием выдавшей конторы (в списке MS есть и дургие фирмы, не дешевле VeriSign).
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re: Подписывать ли инсталятор
От:
Аноним
Дата:
04.11.06 09:07
Оценка:
Здравствуйте, Doc, Вы писали:
Doc> "в наше время скачивать неподписанные EXE из интернета страшно"
Конечно Microsoft подложил разработчикам очередную свинью. А юзеры пускай привыкают. 90% freeware будут неподписанными.
Это значит, что многие просто станут отключать назойливые предупреждения Висты. Уже вижу рекламу: Don't Get Mad, Disable annoying Vista pop-ups!
Здравствуйте, Doc, Вы писали:
Doc>Ваше мнение: как отностяся обычные end-user к предупреждениям браузера о том, что "publisher неизвестен". Насколько это хуже чем сообщение "Паблишер — ВасяПупкинСофт" (что на мой взгляд одно и то же).
Есть и другая сторона этого вопроса. Если человек работает как автор или ЧП, то подпись дадут не на "ВасяПупкинСофт", а только на "Вася Пупкин". Насколько такая "разоблачительная" подпись будет способствовать продажам — неизвестно. Но думаю, всё же это лучше её отсутствия.
Здравствуйте, Doc, Вы писали:
Doc>Не вижу прямой связи межу подписью и "претензией по заражению инсталятора вирусами". Ведь подписывает полученным ключем сам разработчик (и если зараза попала ДО подписи, то ...). Или я что-то не понял?
Да все просто. Если подпись нарушена — то в сад. А если не нарушена — значит вирус от разработчика.
Doc>В FAQ InstatSSL информации не много. Где можно почитать подробнее, но так что бы по сути (не на 10 страниц с водой) — как подписываются приложения?
Вот хорошее руководство
Doc>Т.е. цена только за названием выдавшей конторы (в списке MS есть и дургие фирмы, не дешевле VeriSign).
Да, но VeriSign стоит особняком, как эксклюзив для общения с MS.
--
Re[2]: Подписывать ли инсталятор
От:
Аноним
Дата:
04.11.06 10:08
Оценка:
Здравствуйте, retalik, Вы писали:
R> Если человек работает как автор, то подпись дадут не на "ВасяПупкинСофт", а только на "Вася Пупкин".
Автору подпись не продадут. Продают только зарегистрированным фирмам. Поэтому авторы бесплатных программ не смогут подписать инсталляторы, а в Висте будут появляться угрожающие предупреждения.
Это нововведение направлено на то, чтобы разработка софта всё больше стала рассматриваться исключительно как бизнес, а не хобби. Майкрософт диктует свои правила.
Хотя вот то, что мне лично не нравится в этом всем — это высокая цена сертификата. Такая вещь, ИМХО, зарегистрированным фирмам должна раздаваться по символически низкой цене или вообще бесплатно, чтобы входной барьер на рынок оставлять низким, стимулировать конкуренцию и т.п.
Здравствуйте, <Аноним>, Вы писали:
А>Автору подпись не продадут. Продают только зарегистрированным фирмам. Поэтому авторы бесплатных программ не смогут подписать инсталляторы, а в Висте будут появляться угрожающие предупреждения.
Да что вы на Висту накинулись? Они (предупреждения) и в WinXP есть.
На твоем сайте в данный момент на главной странице висит две публикации — про сайты и про тоталсайз.
Так вот, обе они начинаются со слов — "Наверное вы не раз задавались вопросом:"
Так глаз режет, честное слово. Я бы в одной из публикаций вступление поменял
Здравствуйте, Аноним, Вы писали:
А>Автору подпись не продадут.
Чё эта не продадут? Запросто продадут. Там смысл не в том, чтоб дискриминировать, а в том, чтобы идентифицировать.
A>Поэтому авторы бесплатных программ не смогут подписать инсталляторы
Странное заблуждение. Запросто могут. Но только именно как Вася Пупкин, а не ПупкинМегаСофт. Но, очевидно, у авторов бесплатных программ какой-то комплекс на этот счет?
A>зарегистрированным фирмам должна раздаваться по символически низкой цене
А что, 100 баксов в год разве не символически низкая цена для фирмы?
--
Re[2]: ОФФ
От:
Аноним
Дата:
04.11.06 11:04
Оценка:
Здравствуйте, temnik, Вы писали:
T>Смешно, чес.слово! Как будто подпись нельзя подделать. T>Просто никто всерьез пока этим не занимался....
Подделать подпись, и сломать криптозащиту VeriSign? Ну тогда по-ходу и банки полетят, и много еще чего. Вряд ли это кому-то удастся. Криптография — наука очень сложная.
А если это будет просто хак системы, то тогда Symantec/Kaspersky будет отлавливать такие инсталляторы, и всё равно такой номер не пройдёт.
Re[4]: Подписывать ли инсталятор
От:
Аноним
Дата:
04.11.06 11:15
Оценка:
Здравствуйте, serverside, Вы писали:
S>Здравствуйте, Аноним, Вы писали:
А>>Автору подпись не продадут.
S>Чё эта не продадут? Запросто продадут. Там смысл не в том, чтоб дискриминировать, а в том, чтобы идентифицировать.
На OISV кто-то писал, что продают только заранее проверенным фирмам и точка. Поэтому хочу задать встречный вопрос всем читателям этого форума:
Кому-нибудь из русскоязычных авторов ПО уже удалось подписать свой инсталлятор на своё имя и фамилию (физическое лицо а не ЧП) ?
Если кто-то смог подписать на фирму, то тоже отзовитесь пожалуйста, и опишите по-подробнее процедуры и какие требования для проверки фирм зарегистрированных в СНГ предъявляют Comodo, Thawte, VeriSign и прочие поставщики сертификатов.
Здравствуйте, Аноним, Вы писали:
А>Если кто-то смог подписать на фирму, то тоже отзовитесь пожалуйста, и опишите по-подробнее процедуры и какие требования для проверки фирм зарегистрированных в СНГ предъявляют Comodo, Thawte, VeriSign и прочие поставщики сертификатов.
Здравствуйте, Аноним, Вы писали:
А>Подделать подпись,
Не подделать подпись, а получить какой-нить сертификат, от наиболее лояльного выдавальщика серитификатов, на левую фирму. Думаю это не так сложно.
И потом подписывать этим левым сертификатом все что угодно, и никакая винда не пикнет.
А>и сломать криптозащиту VeriSign?
Что есть — "криптозащита VeriSign"??? VeriSign это никакая не криптозащита.
А>Ну тогда по-ходу и банки полетят, и много еще чего. Вряд ли это кому-то удастся. Криптография — наука очень сложная.
Криптография, то может наука и сложная но к верисигн и выдаче сертификатов почти не имеющая никакого отношения. Ты видно не совсем понимаеш какое место в криптографии занимает certificate authority, каким является VeriSign, Comodo, etc
И еще вопросик, зашел на страницу покупки в OpenSSL. Предлагают выбрать длину ключа и криптопровайдера.
Пояснений на что это повлияет нет. Что это такое я знаю, но вот как это может отразиться в дальнейшем и что лучше выбрать?
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re[4]: ОФФ
От:
Аноним
Дата:
04.11.06 11:47
Оценка:
Здравствуйте, ASX, Вы писали:
А>>и сломать криптозащиту VeriSign?
ASX>Что есть — "криптозащита VeriSign"??? VeriSign это никакая не криптозащита.
Хорошо, криптографические алгоритмы, которые использует Verisign для генерации private public keys.
ASX>Криптография, то может наука и сложная но к верисигн и выдаче сертификатов почти не имеющая никакого отношения. Ты видно не совсем понимаеш какое место в криптографии занимает certificate authority, каким является VeriSign, Comodo, etc
Здравствуйте, Doc, Вы писали:
Doc>И еще вопросик, зашел на страницу покупки в OpenSSL. Предлагают выбрать длину ключа и криптопровайдера. Doc>Пояснений на что это повлияет нет. Что это такое я знаю, но вот как это может отразиться в дальнейшем и что лучше выбрать?
Здравствуйте, ASX, Вы писали:
ASX>И потом подписывать этим левым сертификатом все что угодно, и никакая винда не пикнет.
Не пикнет до поры до времени. А настучат — аннулируют серт, и пикнет. Зайди в своё хранилище сертификатов в Винде — там на отдельной вкладке перечисленны даже поддельные серты от микрософта!
Смысл сертификатов не в том, чтобы надурить винду — а в том, чтобы произвести впечатление на тех, кто готов этим впечатлиться. Например, на Микрософт. На корпоративных клиентов. На параноиков. На антивирусников. Рассматривай это как галстук или визитку. Как id, в конце концов.
Re[4]: Подписывать ли инсталятор
От:
Аноним
Дата:
04.11.06 12:13
Оценка:
Здравствуйте, serverside, Вы писали:
А>>Автору подпись не продадут. S>Чё эта не продадут? Запросто продадут. Там смысл не в том, чтоб дискриминировать, а в том, чтобы идентифицировать.
A>>Поэтому авторы бесплатных программ не смогут подписать инсталляторы S>Странное заблуждение. Запросто могут. Но только именно как Вася Пупкин, а не ПупкинМегаСофт. Но, очевидно, у авторов бесплатных программ какой-то комплекс на этот счет?
Ну как же могут??? Автору бесплатной программы теперь уже нужно регистрироваться предпринимателем чтобы угодить новомодной Виндовс. Т.е. получается бесплатные программы не от предпринимателя, Майкрософт в самом деле "дискриминирует".
Сертификат разработчика Thawte позволяет подписывать код ваших программ.
Для получения сертификата разработчика необходимо представить документы, подтверждающие государственную регистрацию компании, и заполнить форму на сайте Thawte:
— Подготовить нотариально заверенную копию свидетельства о внесении записи в единый государственный реестр юридических лиц о юридическом лице.
— Подготовить нотариально заверенную копию свидетельства о постановке на налоговый учет в налоговом органе юридического лица, образованного в соответствии с законодательством РФ, по месту нахождения на территории РФ.
— Оплатить сертификата рублевым перечислением через РБК.
Т.е. если я не хочу становиться предпринимателем, но хочу выпускать хороший бесплатный софт от своего имени и фамилии, то новые правила не позволяют мне создать условия при которых пользователи не увидят сообщений о некой опасности для Windows XP SP2 и намного больше разных угрожающих сообщений в Висте?
Здравствуйте, Аноним, Вы писали:
А>Хорошо. Идём по вашей ссылке (http://ssl.rbc.ru/product/devcert.shtml) и читаем:
А>Сертификат разработчика Thawte позволяет подписывать код ваших программ.
А>Для получения сертификата разработчика необходимо представить документы, подтверждающие государственную регистрацию компании, и заполнить форму на сайте Thawte:
[...]
А>Т.е. если я не хочу становиться предпринимателем, но хочу выпускать хороший бесплатный софт от своего имени и фамилии, то новые правила не позволяют мне создать условия при которых пользователи не увидят сообщений о некой опасности для Windows XP SP2 и намного больше разных угрожающих сообщений в Висте?
Определенная логика в этом есть.
Сертификат == подтверждение, что программа предоставляет некие базовые гарантии безопасности (есть надежда, что явному malware сертификат не дадут). Нет компании — нет гарантий (никто не докажет, что ты "хороший разработчик") — от пользователя требуется определенная "квалификация" (способность отличить уважаемый проект с многолетней историей от www.cooltrojan.greedyhackers.com/mycooltrojan.exe). Пользователь, обладающий такой квалификацией, правильно поймет "угрожающее сообщение". "Абсолютному чайнику" (который крайний случай "идеального пользователя MS") лучше "дать по рукам" в максимальном количестве случаев.
Здравствуйте, Аноним, Вы писали:
А>Ну как же могут??? Автору бесплатной программы теперь уже нужно регистрироваться предпринимателем чтобы угодить новомодной Виндовс. Т.е. получается бесплатные программы не от предпринимателя, Майкрософт в самом деле "дискриминирует". А>Хорошо. Идём по вашей ссылке (http://ssl.rbc.ru/product/devcert.shtml) и читаем:
Это если из России да рублями. Если же Вася не Вася, а John Doe, то он идет на Комоду, и все, что от него требуется, это:
If the order has been applied for in your own personal name or the order is not for use by a commercial entity:
° Copy of your drivers license or passport
If the documents are not in English, we would ask you to please supply a copy of the
original documents and an English translation signed and with the following statement
on it "I hereby declare this translation to be true and accurate".
Здравствуйте, Зверёк Харьковский, Вы писали:
ЗХ>Сертификат == подтверждение, что программа предоставляет некие базовые гарантии безопасности (есть надежда, что явному malware сертификат не дадут). Нет компании — нет гарантий (никто не докажет, что ты "хороший разработчик") — от пользователя требуется определенная "квалификация"
Ничего подобного. Это всего лишь id. В каком-то смысле было бы даже желательно, чтобы все авторы вирусов подписывали свои произведения Легче ловить было бы.
Здравствуйте, w00zle, Вы писали:
W>На твоем сайте в данный момент на главной странице висит две публикации — про сайты и про тоталсайз. W>Так вот, обе они начинаются со слов — "Наверное вы не раз задавались вопросом:" W>Так глаз режет, честное слово. Я бы в одной из публикаций вступление поменял
Спасибо. Подправил.
Сейчас доделываем новую версию сайта. Будет новое ПО, новые работы в портолио (оно будет в несколько раз больше текущего).
Поэтому устраивать текущему сайту передеки нет особого смысла. Но обязательно учтем в новом.
Здравствуйте, temnik, Вы писали:
T>Смешно, чес.слово! Как будто подпись нельзя подделать. T>Просто никто всерьез пока этим не занимался....
Расскажите как вы предпологаете это будут "ломать".
Вскрывать чужие подписи, чтобы подписываться чужим именем? А в чем тут смысл?
Делать липовые подписи? Придется как я понимаю еще и сайты, выдающие подписи ломать (а это далеко не 5 минут).
А главное — что дешевле: купить сертификат за $100 или все это ломать?
Здравствуйте, serverside, Вы писали:
ЗХ>>Сертификат == подтверждение, что программа предоставляет некие базовые гарантии безопасности (есть надежда, что явному malware сертификат не дадут). Нет компании — нет гарантий (никто не докажет, что ты "хороший разработчик") — от пользователя требуется определенная "квалификация"
S>Ничего подобного. Это всего лишь id. В каком-то смысле было бы даже желательно, чтобы все авторы вирусов подписывали свои произведения Легче ловить было бы.
Ну.. даже так — этот id связан с некими реальными людьми, которых можно найти (ЕМНИП, многие варианты malware можно уголовно ловить).
FAQ — це мiй ай-кью!
Re[6]: Подписывать ли инсталятор
От:
Аноним
Дата:
04.11.06 12:57
Оценка:
Здравствуйте, serverside:
Большое спасибо за информацию! Теперь всё стало понятно. Comodo — в самом деле реально может помочь производителям freeware.
Для всех интересующихся привожу прямую ссылку на относительно свежую статью от Comodo (25 August 2006) — как получить сертификат физическому лицу.
Здравствуйте, ASX, Вы писали:
А>>Подделать подпись,
ASX>Не подделать подпись, а получить какой-нить сертификат, от наиболее лояльного выдавальщика серитификатов, на левую фирму. Думаю это не так сложно. ASX>И потом подписывать этим левым сертификатом все что угодно, и никакая винда не пикнет.
Ну, как геморрой не называй — ощущения всё равно неприятные
Здравствуйте, ASX, Вы писали:
ASX>Как пикнет? Для подписанной программы идет on-line проверка валидности?
Идет on-line проверка валидности сертификата. И если не стоит timestamp — вылезет предупреждение, что сертификат просрочен (если он просрочен, конечно).
Но я имел в виду другое — что добрые люди настучат, и аннулируют запись в корневом сертификате. А его винда обновляет каждый раз при Live Update.
--
Re[4]: Подписывать ли инсталятор
От:
Аноним
Дата:
05.11.06 14:41
Оценка:
S>А что, 100 баксов в год разве не символически низкая цена для фирмы?
Сотня за генерацию ключа — это просто запредельная цена.
Интересно, а можно сделать свой личный сертификат? Т.е. не платить никому деньги, не связываться в VeriSign и прочими, а самому сгенерировать SSL сертификат? Если да, то как?
Я понимаю, что Windows скажет, что сертификат "непроверенный", но это неважно.
Здравствуйте, uuu2, Вы писали:
U>Интересно, а можно сделать свой личный сертификат? Т.е. не платить никому деньги, не связываться в VeriSign и прочими, а самому сгенерировать SSL сертификат? Если да, то как?
U>Я понимаю, что Windows скажет, что сертификат "непроверенный", но это неважно.
Здравствуйте, serverside, Вы писали:
ASX>>Как пикнет? Для подписанной программы идет on-line проверка валидности?
S>Идет on-line проверка валидности сертификата.
Угу, а если нет он-лайна?
S>Но я имел в виду другое — что добрые люди настучат, и аннулируют запись в корневом сертификате.
Анулируют запись для всего certificate authority??? Т.е. кто-то обманул verisign или comodo, и получил левый сертификат, и за это verisign или comodo выкидывают из хранилища?
От модератора: сообщение отредактировано. Мат, даже закамуфлированный, здесь запрещён.
Doc>> "в наше время скачивать неподписанные EXE из интернета страшно"
от того, что хакер подпишет упертым с инета сертификатом — станет менее страшным?
А>Конечно Microsoft подложил разработчикам очередную свинью. А юзеры пускай привыкают. 90% freeware будут неподписанными.
если у вас нет kernel mode кода в составе продукта, можно сильно не бояться — compability Win32 API MSFT вынужден просто боле-менее будет поддерживать. А вот в противном случае — это да, может быть проблемой для шареваршиков и просто даже разработчиков.
ведь если кто не в курсе — на 64-битах с подписями все будет совсем интересно — неподписанные драйвера не будут разрешены, кроме как в отладочном режиме. А на висте (в т.ч. 32-битной !) так в принципе запрещены неподписанные драйвера. Пока что для подписи нужен Class 3 Commercial Software Publisher Certificate issued by Verisign. The necessary certification is only $500 (valid for a year)- конечно же для настоящих шареваршиков это не вопрос?
ладно ладно, не пугайтесь — насчет последнего момента MSFT еще не до конца определилась ибо большой негативный feedback идет из разных community. Вроде разработчиков ядра. Но мне кажется как максимум MSFT разрешит еще паре тройке CA выдавать искомые сертификаты выдавать (а не только Verisign) и на этом поблажки закончатся.
кстати, без такого сертификата нельзя больше софт submit to WHQL for testing. Плюс не принимаются на WHQL 32-битные драйвера без 64-битных в пару. Это все направлено на стимуляцию переезда на 64-бит, где можно будет с помощью сертификатов лучше MSFT свои планы реализовывать.
А>Это значит, что многие просто станут отключать назойливые предупреждения Висты. Уже вижу рекламу: Don't Get Mad, Disable annoying Vista pop-ups!
отключать самые надоедливые вещи можно вот так: Disabling User Account Control on Vista Если статьи с сайта не видно — надо зарегистрироваться — тогда все станет видно. Там очень много полезных вещей по Windows OS/kernel development, by the way.
... << RSDN@Home 1.2.0 alpha rev. 653>>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Здравствуйте, <Аноним>, Вы писали:
S>>А что, 100 баксов в год разве не символически низкая цена для фирмы? А>Сотня за генерацию ключа — это просто запредельная цена.
Откройте свой сервис, продавайте по $10.
Насколько я понимаю, неободима еще поддержика сертификата с северной стороны (т.к. проверки идет online). Так что сумма в 100-200 может быть вполне оправдана.
PS: Кстати, а 100-150 баксов за хостинг это не запредел?
Здравствуйте, uuu2, Вы писали:
U>Я понимаю, что Windows скажет, что сертификат "непроверенный", но это неважно.
А смысл? Или просто неизвестно от кого или ... фактически то же самое. Не пробовал на ПО, но вот сайты с SSL, выданным центром, не входящим в список "правильных" — IE7 даже показывать сразу отказывается. Только через страницу, где настойчиво предлагаеть забить на такой сайт.
Здравствуйте, Doc, Вы писали:
U>>Я понимаю, что Windows скажет, что сертификат "непроверенный", но это неважно.
Doc>А смысл?
Кстати uuu2 подал неплохую идею. Может подписать самовыданным сертификатом свои Ax-ы. А на сайте разместить ссылку для установки своего корневого сертификата в хранилище.
Просто некоторые уже спрашивали об этом. Чтобы Excel там или еще кто не ругался на неподписанный Ax, я думаю для них будет не проблема это сделать.
Тем более, если люди загружают софт с твоего официального сайта (доверяя ему при этом), то почему бы не поставить твой сертификат.
Надо подумать над этим.
Здравствуйте, ASX, Вы писали:
ASX>Тем более, если люди загружают софт с твоего официального сайта (доверяя ему при этом), то почему бы не поставить твой сертификат.
1) Изначально был вопрос о загрузке программ. Т.е. пришел посетитель и не факт что он верит сайту и разработчику (особенно после предупреждений IE).
2) IMHO от софта сильно зависит.
Если софт для "массового пользователя", то проще купить сертификат, чем давать разъяснения.
Если аудитория — advanced users и выше, может быть. Т.е. там сертификат уже нужен просто что бы замечаний от другого софта меньше было. Опять же, сертификат проверятся online и можно просто получить другой тип сообщения.
Здравствуйте, Doc, Вы писали:
Doc>1) (особенно после предупреждений IE).
Да этот новый IE просто за###мучил в общем. Ни один даже самый безобидный сайт не открывает без каких-то бредовых матюков, я все эти предупреждения поотключал нах.
Doc>2) IMHO от софта сильно зависит. Doc>Если софт для "массового пользователя", то проще купить сертификат, чем давать разъяснения.
Да конечно проще, только контору надо заводить с каким-нить нормальным именем (и юрисдикцией), а не "ЧП Василий Иванович Пупкин фром Раша".
Во-первых, юзер установит сертификат и не будет получать глупых сообщений Windows.
Во-вторых, никто не сможет изменить дистрибутив, внедрив туда вирус, троян и т.п., или "взломать" программу
(юзер увидит, что сертификата нет)
В-третьих, если я выпускаю новый продукт, то людям не придётся заново устанавливать сертификат — всё будет защищено единым сертификатом.
В-четвёртых, если я выпускаю freeware-софт, или только начинаю заниматься shareware, т.е. прибыли у меня нет, то тратить 500 баксов в год на сертификат Verisign — совсем не хочется. И вообще, я думаю, сертификация вполне может проводиться бесплатно или за символическую плату ($5-10). Но таких организаций я не нашёл.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, ASX, Вы писали:
ASX>>Тем более, если люди загружают софт с твоего официального сайта (доверяя ему при этом), то почему бы не поставить твой сертификат.
Doc>1) Изначально был вопрос о загрузке программ. Т.е. пришел посетитель и не факт что он верит сайту и разработчику (особенно после предупреждений IE).
Doc>2) IMHO от софта сильно зависит. Doc>Если софт для "массового пользователя", то проще купить сертификат, чем давать разъяснения. Doc>Если аудитория — advanced users и выше, может быть. Т.е. там сертификат уже нужен просто что бы замечаний от другого софта меньше было. Опять же, сертификат проверятся online и можно просто получить другой тип сообщения.
Сгенерить сертификат самостоятельно очень легко, и он практически ничем не будет отличаться от купленного. За исключением того, что root сертификат для купленного уже будет встроен у большинства пользователей и не будет возникать лишних диалогов доверять — не доверять. Например Webmoney тупо предлагает поставить сначала свой root: http://webmoney.ru/rus/about/demo/help/common/rootcert.shtml
И соответственно после этой процедуры все их сертификаты автоматически приравниваются к выданным от любого другого Root Agency. Если кстати Root Agency назвать своим именем, то диалог с вопросами таки возникнет, но он уже будет не таким страшным как когда все "unknown".
Здравствуйте, uuu2, Вы писали:
U>И вообще, я думаю, сертификация вполне может проводиться бесплатно или за символическую плату ($5-10). Но таких организаций я не нашёл.
А я вообще думаю, что вся эта возня с СА — чистая профанация, создание видимости секурности и успокоение для бестолковых параноиков.
Лично я бы удалил все СА (кроме МС-овских, т.к. винда загнется) из хранилища нах. И ставил бы туда СА, которые я дейстивительно взял из довренного источника — из банка например или проверенного сайта (как вебманя делает).
Здравствуйте, ASX, Вы писали:
ASX>Здравствуйте, uuu2, Вы писали:
U>>И вообще, я думаю, сертификация вполне может проводиться бесплатно или за символическую плату ($5-10). Но таких организаций я не нашёл.
ASX>А я вообще думаю, что вся эта возня с СА — чистая профанация, создание видимости секурности и успокоение для бестолковых параноиков. ASX>Лично я бы удалил все СА (кроме МС-овских, т.к. винда загнется) из хранилища нах. И ставил бы туда СА, которые я дейстивительно взял из довренного источника — из банка например или проверенного сайта (как вебманя делает).
Это офигенная куча бабок из воздуха Только за счет того что в виндозе по умолчанию ставится некий набор сертификатов живет куча контор, которые только и занимаются что тупо генерят сертификаты и создают барьеры при их получении.
Здравствуйте, ASX, Вы писали:
ASX>Да этот новый IE просто за###мучил в общем. Ни один даже самый безобидный сайт не открывает без каких-то бредовых матюков, я все эти предупреждения поотключал нах.
У меня IE7 ругается только на сайтах где действительно у "простого пользователя" могут быть проблемы.
ASX>Да конечно проще, только контору надо заводить с каким-нить нормальным именем (и юрисдикцией), а не "ЧП Василий Иванович Пупкин фром Раша".
Выше уже сказали и показали — любой человек с паспортом/водительскими правами может получить сертификат. Кстати, вроде сертификат можно получить и на trade mark. Хотя какие заморочки могут возникнуть при этом — не знаю.
Здравствуйте, Euro, Вы писали:
E>Сгенерить сертификат самостоятельно очень легко, и он практически ничем не будет отличаться от купленного. За исключением того, что root сертификат для купленного уже будет встроен у большинства пользователей и не будет возникать лишних диалогов доверять — не доверять.
Ну я уже напоминал — в моем исходном вопросе было как раз про рядовых пользователей и про избавление от подобных предупреждений. Как вы предполагаете предлагать обычным пользователям ставить сертификат (когда многие из них могут даже такого понятия не знать)?
Здравствуйте, uuu2, Вы писали:
U>Во-первых, юзер установит сертификат и не будет получать глупых сообщений Windows.
Вот тут вопрос — ему еще надо поянить как и зачем ставить. А так же доказать что все безопасно.
U>Во-вторых, никто не сможет изменить дистрибутив, внедрив туда вирус, троян и т.п., или "взломать" программу U>(юзер увидит, что сертификата нет)
Это плюс — согласен.
U>В-четвёртых, если я выпускаю freeware-софт, или только начинаю заниматься shareware, т.е. прибыли у меня нет, то тратить 500 баксов в год на сертификат Verisign — совсем не хочется. И вообще, я думаю, сертификация вполне может проводиться бесплатно или за символическую плату ($5-10). Но таких организаций я не нашёл.
Есть такой Comodo (я ссылку на него в первом посте давал) — 99 за год. При оплате за 2 года еще дешевле.
Можно покопать еще в сторону http://cert.startcom.org/
(Opera и IE его не признает, а вот FireFox — да)
Здравствуйте, uuu2, Вы писали:
E>>Сгенерить сертификат самостоятельно очень легко, и он практически ничем не будет отличаться от купленного.
U>Угу. А как? И как подписать им дистрибутив?
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>>Сгенерить сертификат самостоятельно очень легко, и он практически ничем не будет отличаться от купленного. За исключением того, что root сертификат для купленного уже будет встроен у большинства пользователей и не будет возникать лишних диалогов доверять — не доверять.
Doc>Ну я уже напоминал — в моем исходном вопросе было как раз про рядовых пользователей и про избавление от подобных предупреждений. Как вы предполагаете предлагать обычным пользователям ставить сертификат (когда многие из них могут даже такого понятия не знать)?
Вэбманями пользуется куча людей, и выходит рядовые пользователи вполне способны по шагам выполнить инструкцию. Кроме того если даже не импортировать root и пользоваться самоподписанным сертификатом, то возникнет предупреждение о том, что сертификат самоподписанный, но валидный. В диалоге будет написано что сертификат выписан на такого то, подписан им же. Если это прямо таки категорически не подходит — платите деньги в кассу за абсолютно то же самое, только без одного дополнительного диалога и от зарегистрированного Root Authority.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>> создают барьеры при их получении.
Doc>Что бы не быть голословным, пожайлуста, расскажите какие проблемы они создают при получении?
Здравствуйте, Euro, Вы писали:
Doc>>Что бы не быть голословным, пожайлуста, расскажите какие проблемы они создают при получении? E>денежные в первую очередь.
Хостинг веб-сайта ~ $100 (без стоимости дизайна, поддержки)
Windows ~ $150-200 (box)
Средства разработки ~ от $300
...
Сертификат — $99
"Doc" <3899@users.rsdn.ru> wrote in message news:2200589@news.rsdn.ru... > Выше уже сказали и показали — любой человек с паспортом/водительскими правами может получить сертификат. Кстати, вроде сертификат можно получить и на trade mark. Хотя какие заморочки могут возникнуть при этом — не знаю.
Откуда такие данные (про сертификат на TM), если не секрет?
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>>Вот же ссылка: E>>http://webmoney.ru/rus/about/demo/help/common/rootcert.shtml
Doc>И? Да ставят, но Doc>- разные аудитории (и соответсвенно разный подход) Doc>- доверия IMHO больше (т.к. и ответственность ее больше)
По поводу аудитории это уже ваша проблема. По крайней мере для защищенных HTTPS и почтовых соединений хостеры сплошь и рядом используют самоподписанные сертификаты и не парятся. Для софта смысл сертификата в подтверждении подлинности дистрибутива, а не в том насколько можно доверять производителю.
P.S.: Кстати если выдавать дистрибутивы в заархивированном виде, то IE уже не добавит запись о том что файл из инета и диалогов не будет.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
Doc>>>Что бы не быть голословным, пожайлуста, расскажите какие проблемы они создают при получении? E>>денежные в первую очередь.
Doc>Хостинг веб-сайта ~ $100 (без стоимости дизайна, поддержки) Doc>Windows ~ $150-200 (box) Doc>Средства разработки ~ от $300 Doc>... Doc>Сертификат — $99
Doc>Так какие преграды?
Да никаких преград, просто маленький денежный барьер для рубки капусты с вендоров. Можно платить, можно не платить, тут от вас зависит сколько вам не жалко за статусную мульку.
Здравствуйте, uuu2, Вы писали:
U>Допустим, у меня есть дистибутив "aaa.exe", и сертификат "aaa.cer", сгенерированный openssl. U>Как теперь подписать дистрибути в моим сертификатом?
Да елки поройся в MSDN, там все это расписано. Нужно пару каких-то телодвижений сделать и все. Там все очень просто.
Здравствуйте, uuu2, Вы писали:
U>Допустим, у меня есть дистибутив "aaa.exe", и сертификат "aaa.cer", сгенерированный openssl. U>Как теперь подписать дистрибути в моим сертификатом?
U>Re[3]: Подписывать ли инсталятор
Здравствуйте, Euro, Вы писали:
Doc>>>>какие проблемы они создают при получении? E>>>денежные в первую очередь. Doc>>Так какие преграды? E>Да никаких преград
Здравствуйте, Euro, Вы писали:
E>По поводу аудитории это уже ваша проблема. По крайней мере для защищенных HTTPS и почтовых соединений хостеры сплошь и рядом используют самоподписанные сертификаты и не парятся. E>Для софта смысл сертификата в подтверждении подлинности дистрибутива, а не в том насколько можно доверять производителю.
Ага, и о какой подлинности может идти речь в случае самоподписанных сертификатов если я Иван Иванов могу подписаться как Петр Петров???
Здравствуйте, squiz, Вы писали:
S>Ага, и о какой подлинности может идти речь в случае самоподписанных сертификатов если я Иван Иванов могу подписаться как Петр Петров???
А какая "подлинность" (кстати, а что ты понимаеш под этим словом) тебе нужна. Ну будет в сертификате написано, что он выдан на имя "Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз".
Тем более что название фирмы очень редко совпадает с названием сайта. Что я должен решить видя эту информацию? Доверять мне этой софтине/сайту (аля сертификату) или нет? Лично мне наличие сертификата ничем не поможет в этом решении.
Здравствуйте, squiz, Вы писали:
S>Здравствуйте, Euro, Вы писали:
E>>По поводу аудитории это уже ваша проблема. По крайней мере для защищенных HTTPS и почтовых соединений хостеры сплошь и рядом используют самоподписанные сертификаты и не парятся. E>>Для софта смысл сертификата в подтверждении подлинности дистрибутива, а не в том насколько можно доверять производителю. S>Ага, и о какой подлинности может идти речь в случае самоподписанных сертификатов если я Иван Иванов могу подписаться как Петр Петров???
Подписанный модуль нельзя незаметно пропатчить. Проверкой сертификата легко можно установить что содержимое отличается от оригинального.
"Euro" <59084@users.rsdn.ru> wrote in message news:2200791@news.rsdn.ru... > Подписанный модуль нельзя незаметно пропатчить. Проверкой сертификата легко можно установить что содержимое отличается от оригинального.
Это если он подписан verisign сертификатом или типа того. А если self-made, так и любой хакер или желающий прицепить к вашему софту трояна, легко подпишет изменный файл снова вашим именем.
"Euro" <59084@users.rsdn.ru> wrote in message news:2200696@news.rsdn.ru... > Да никаких преград, просто маленький денежный барьер для рубки капусты с вендоров. Можно платить, можно не платить, тут от вас зависит сколько вам не жалко за статусную мульку.
Меня например больше останавливает не деньги, а необходимость наличия зарегистрированной фирмы. А подписывать файлы тем что у меня в паспорте, т.е. first + last name как-то не хочется.
Здравствуйте, wellwell, Вы писали:
W>"Euro" <59084@users.rsdn.ru> wrote in message news:2200791@news.rsdn.ru... >> Подписанный модуль нельзя незаметно пропатчить. Проверкой сертификата легко можно установить что содержимое отличается от оригинального.
W>Это если он подписан verisign сертификатом или типа того. А если self-made, так и любой хакер или желающий прицепить к вашему софту трояна, легко подпишет изменный файл снова вашим именем.
Может случиться и такое. Только это будет другой сертификат, с другим ключом и дайджестом, и это можно кстати определять в своем приложении. Неплохое дополнение к навесной защите.
Если сертификат был купленный, то кстати можно сделать то же самое — подписать отпатченный модуль заново самоподписанным сертификатом. А если все происходит в риалтайме на одной машине, то сертификаты вообще ничего не гарантируют. Зарегить свой Trusted Root с похожим на известный Authority именем и сгенерить с ним новый сертификат раз плюнуть. По крайней мере антивирусы ничего не заметят.
Re[11]: Подписывать ли инсталятор
От:
Аноним
Дата:
06.11.06 15:31
Оценка:
Здравствуйте, Euro, Вы писали:
E>Сгенерить сертификат самостоятельно очень легко, и он практически ничем не будет отличаться от купленного.
Я сделал собственный сертификат, подписал им инсталлятор, но после скачивания из Интернета выдается "Security Warning" и написано что "Publisher Unknown и личность неустановленна". Правда теперь, можно кликнуть на эту фразу и появится мой самопальный сертификат.
Можно ли как-то сделать, что бы надпись была "VasiaPupkinPublisher но личность неустановленна"?
Здравствуйте, wellwell, Вы писали:
W>А подписывать файлы тем что у меня в паспорте, т.е. first + last name как-то не хочется.
С VeriSign так не получится. Я только что спросил — говорят, что нужен легально зарегистрированный бизнес.
"Alexey_ch" <16182@users.rsdn.ru> wrote in message news:2201061@news.rsdn.ru... > С VeriSign так не получится. Я только что спросил — говорят, что нужен легально зарегистрированный бизнес.
ASX>Как ты его сделал?
+1
А>>Можно ли как-то сделать, что бы надпись была "VasiaPupkinPublisher но личность неустановленна"? ASX>Сделай сертификат своим паблишером.
Как я понимаю, надо сначала создать сертификат "регистратора", а потом от имени "регистратора" выдать себе "личный" сертификат. Но как это сделать, пока я не понял...
Здравствуйте, uuu2, Вы писали:
U>Как я понимаю, надо сначала создать сертификат "регистратора", а потом от имени "регистратора" выдать себе "личный" сертификат.
Да. Создать свой СА.
U>Но как это сделать, пока я не понял...
Оно как-то само получается. Давно это было не помню. Типа запускаеш веб морду к сервису выдачи сертификатов (на серверной винде), первый раз наверное тебе предложат ввести данные своего СА (или какой визард запустится). А потом лепиш серитфикаты скоко хочеш. Сертификат своего СА можно экспортировать, чтобы установить в список доверенных СА винды.
Здравствуйте, ASX, Вы писали:
S>>Ага, и о какой подлинности может идти речь в случае самоподписанных сертификатов если я Иван Иванов могу подписаться как Петр Петров??? ASX>А какая "подлинность" (кстати, а что ты понимаеш под этим словом) тебе нужна.
Мне не нужна. Я у автора того сообщения спрашивал.
ASX>Ну будет в сертификате написано, что он выдан на имя "Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз". ASX>Тем более что название фирмы очень редко совпадает с названием сайта. Что я должен решить видя эту информацию?
В случае самоподписанного сертификата — ничего, так как такой может сгенерить любой. В случае выданного одним из root authority — скорее всего будет значить что таки да, сие творение произведено мастерами из Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз и посему можно узнать о них. Если подписано самоподписанным сертификатом то толку мне узнавать о том, на кого он выдан если это может быть совсем не он а мой сосед например!
ASX>Доверять мне этой софтине/сайту (аля сертификату) или нет?
Доверять/не доверять об этом позже. Для начала надо хоть знать от кого оно. А потом решать доверять этому кому-то или нет.
Здравствуйте, Аноним, Вы писали:
А>Я сделал собственный сертификат, подписал им инсталлятор, но после скачивания из Интернета выдается "Security Warning" и написано что "Publisher Unknown и личность неустановленна". Правда теперь, можно кликнуть на эту фразу и появится мой самопальный сертификат.
А>Можно ли как-то сделать, что бы надпись была "VasiaPupkinPublisher но личность неустановленна"?
Нужно чтобы были выполнены условия:
1) Корневой сертификат должен быть в хранилище винды, в разделе для зарегистрированных CA
2) В сертификате должна быть прописана организация или имя
Unknown Publisher будет выдаваться для всех самоподписанных сертификатов, т.к. по умолчанию в хранилище нужного сертификата нет. Если клацнуть по ссылке Unknown Publisher, то дальше будет предложено импортировать сертификат в хранилище и после этого уже publisher отображается какой нужно. Мелочь такая вроде бы, а неплохих денег стоит..
Здравствуйте, squiz, Вы писали:
ASX>>Ну будет в сертификате написано, что он выдан на имя "Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз". ASX>>Тем более что название фирмы очень редко совпадает с названием сайта. Что я должен решить видя эту информацию? S>В случае самоподписанного сертификата — ничего,
В случае несамопдписанного тоже ничего. Ну не верю я слепо всей туче сертификатов, которые понавыдавали Comodo, Verisign, etc
S>В случае выданного одним из root authority — скорее всего будет значить что таки да, сие творение произведено мастерами из Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз и посему можно узнать о них.
Что о них можно узнать ?
S>Если подписано самоподписанным сертификатом то толку мне узнавать о том, на кого он выдан если это может быть совсем не он а мой сосед например!
Аналогично с выданным Comodo. Хотя это мы уже пошли по кругу.
ASX>>Доверять мне этой софтине/сайту (аля сертификату) или нет? S>Доверять/не доверять об этом позже. Для начала надо хоть знать от кого оно.
makecert -r -sk my.pvk -n="CN=Vasia Pupkin" my.cer
signtool signwizard (и выбрать вариант для продвинутых юзеров)
Эти две утилиты входят в состав MSVC 2005 и Platform SDK
А>>Можно ли как-то сделать, что бы надпись была "VasiaPupkinPublisher но личность неустановленна"?
Здравствуйте, Doc, Вы писали:
Doc>(Opera и IE его не признает, а вот FireFox — да)
Коллеги, вы уклонились от темы. Вы об SSL-сертификатах или все-таки о code-signing? Если второе (code signing) — то причем тут Опера, Фф и ИЕ? Главное — есть ли сертификат в хранилище "Trusted Root Cert. Authorities" в винде...
Короче, уклонились вы от темы. Попробую резюмировать всю эту ветку (очень интересную, спасибо всем) для себя и для других ...
Итак задача — сделать так, чтобы поль-ль не пугался надписи "you are trying to install and run Unknown software from Unknown publisher". Поднимать для этого собственную CA проблему не решит, тк. если пользователь такого уровня, что его пугает вышеприведенная надпись, то уж сертификат в хранилище он точно не воткнет. (и Виста ему просто так не даст, кстати). К тому же, Windows Server 2003 (или 2000 Advanced Server) + CA — это, в общем, тоже небесплатно. Значит, путь один — просить сертификат у VeriSign, Comodo и тп.
Деньги не проблема, 100 баксов в год — это меньше чем мы платим за хостинг, емае.
Проблема в другом: непонятно, на чье имя брать сертификат. Реталик правильно сказал: если на "Вася Иванофф" — юзер испугается еще больше ("как это, я скачивал прогу с TechnoLabsSuper.com а мне сертификат Васи Пупкина?"). Значит нужно либо юр.лицо, либо торговая марка. А это уже не 100 баксов в год, это дороже. Плюс риски.
Итого: получается, что овчинка выделки не стоит. Ы?
Здравствуйте, Doc, Вы писали:
W>>Откуда такие данные (про сертификат на TM), если не секрет? Doc>При получении сертификата спрашивают на какое имя он создается. Doc>Как я их помню, вариантов 3: название фирмы, марку, физ. лицо.
C торговой маркой в России zope — нет у нас такой фишки, как doing business as, и соотв-но не выдаются соответствующие свидельства об этом. А так, любой может получить серт на вымышленное имя, при условии, что он предоставит следующее:
Documentation of your trading name and address and whom you are, this could be a
combination of your driving license or passport and a bank statement addressed to you
as your fictitious/trading name, or similar combinations.
Здравствуйте, ASX, Вы писали:
ASX>В случае несамопдписанного тоже ничего. Ну не верю я слепо всей туче сертификатов, которые понавыдавали Comodo, Verisign, etc
Верить или нет — дело каждого. С верой я спорить не буду. Факты же говорят что получить сертификат от рутов "немного" сложнее и дороже нежели скачать OpenSSL и нагенерить.
S>>В случае выданного одним из root authority — скорее всего будет значить что таки да, сие творение произведено мастерами из Собираем складируем ракушки Inc. ул.Трех Черепов, Белиз и посему можно узнать о них.
ASX>Что о них можно узнать ?
Зависит от того что интересует. Важно то что я с большей уверенностью могу сказать что если сертификат выдан ААА то это и есть ААА.
"serverside" <47297@users.rsdn.ru> wrote in message news:2201427@news.rsdn.ru... > C торговой маркой в России zope — нет у нас такой фишки, как doing business as, и соотв-но не выдаются соответствующие свидельства об этом. А так, любой может получить серт на вымышленное имя, при условии, что он предоставит следующее: > Documentation of your trading name and address and whom you are, this could be a > combination of your driving license or passport and a bank statement addressed to you > as your fictitious/trading name, or similar combinations.
Здравствуйте, squiz, Вы писали:
ASX>>Что о них можно узнать ? S>Зависит от того что интересует.
При скачивании проги с интернета меня интересует одно — нет ли там какого червя или вируса. Фсе!
S>Важно то что я с большей уверенностью могу сказать что если сертификат выдан ААА то это и есть ААА.
Ну и? Еще раз спрошу, что тебе это дает?
Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
ASX>Ну и? Еще раз спрошу, что тебе это дает? ASX>Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
Что предлагаете? Выдавать электронный сертификат в налоговой инспекции при личном появлении и наличии зарегистрированного ООО или ПБОЮЛ? Расписаться в выдаче и хранить сертификат как БСО?
Здравствуйте, uuu2, Вы писали:
ASX>>Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
U>Что предлагаете?
Вшивать в кору головного мозга, чтобы нельзя было выковырять
Ничего я не предлагаю, просто, с точки зрения юзера, ставлю под сомнение ценность этих сертификатов. С точки зрения производителя ПО понимаю, что они нужны (вынуждают их брать) для параноидальной винды/юзеров.
Здравствуйте, ASX, Вы писали:
ASX>Кстати, а откуда такая уверенность, что это будет именно AAA, а не человек нашедший driver license, которое потерял AAA, или левая фирма однодневка?
Вот вы — точно сам ASX или человек, случайно (специально) подобравший пароль ASX?
Ну если так размышлять, то вообще на в чем нельзя быть уверенным. А где гарантия что [впишите имя любой фирмы или человека] ввобще существуют и это не подстава (развод итд)?
"Doc" <3899@users.rsdn.ru> wrote in message news:2202073@news.rsdn.ru... > Ну если так размышлять, то вообще на в чем нельзя быть уверенным. А где гарантия что [впишите имя любой фирмы или человека] ввобще существуют и это не подстава (развод итд)?
Немного оффтопик. У меня недавно случай был. Юзер скачал программку, которая не требует инсталляции, т.е. просто exe файл, кинул на раб. стол и пользуется. И тут как-то раз пишет, дескать прога супер, я счастлив но винды зае****ли выдавать каждый раз угрожающие окошки про отсутствующую подпись. На что я ему посоветовал скопировать файл один раз на FAT раздел и обратно, чтобы обрубить NTFS stream который как раз цепляется к файлу и вызывает эти угрозы. Он так и сделал, и долго меня благодарил, сказав что он порекомендует этот способ избавления от назойливых предупреждений друзьям
Здравствуйте, wellwell, Вы писали:
W>На что я ему посоветовал скопировать файл один раз на FAT раздел и обратно, чтобы обрубить NTFS stream который как раз цепляется к файлу и вызывает эти угрозы.
Все проще. В Explorer делаем правый клик на программу и в откывшемся меню выбираем Proprties.
В низу окна Properties есть замечение что файл пришел "from another computer" и кнопка счастья "unblock".
"Doc" <3899@users.rsdn.ru> wrote in message news:2202203@news.rsdn.ru... > Все проще. В Explorer делаем правый клик на программу и в откывшемся меню выбираем Proprties. > В низу окна Properties есть замечение что файл пришел "from another computer" и кнопка счастья "unblock". > И никакого FAT не надо
Здравствуйте, Doc, Вы писали:
Doc>Все проще. В Explorer делаем правый клик на программу и в откывшемся меню выбираем Proprties. Doc>В низу окна Properties есть замечение что файл пришел "from another computer" и кнопка счастья "unblock". Doc>И никакого FAT не надо
Здравствуйте, wellwell, Вы писали:
W>Немного оффтопик. У меня недавно случай был. Юзер скачал программку, которая не требует инсталляции, т.е. просто exe файл, кинул на раб. стол и пользуется. И тут как-то раз пишет, дескать прога супер, я счастлив но винды зае****ли выдавать каждый раз угрожающие окошки про отсутствующую подпись. На что я ему посоветовал скопировать файл один раз на FAT раздел и обратно, чтобы обрубить NTFS stream который как раз цепляется к файлу и вызывает эти угрозы. Он так и сделал, и долго меня благодарил, сказав что он порекомендует этот способ избавления от назойливых предупреждений друзьям
На первой странице свойств таких "помеченных" экзешников внизу есть кнопка Unblock. Так же работает.
Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах. А эти сертификаты, дополнительные стримы и окошки с вопросами — это же полная хрень, никого ни от чего не защищающая на деле. Для злоумышленников это точно не преграда, как регистрация в Москве для настоящих террористов Только лишний головняк пользователям и траты на сертификацию для вендоров.
Я бы кстати подписался под каким-нибудь некоммерческим проектом против засилья лишней секурности. Что-то типа FSF, но не за открытые исходники, а за отсутствие лишних окошек и платы за убирание надписи Unknown Publisher. Например можно сделать сайт, на котором объяснить пользователям что это за окошки такие и как от них избавиться. Еще можно сделать альтернативного CA для членов проекта и предлагать поставить Root вручную чтобы софт от любого участника мог запускаться без лишних вопросов. Это технически в общем то несложно реализовать, но надо чтобы это еще получило некоторую известность чтобы люди не шарахались.
Здравствуйте, Euro, Вы писали:
E>Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах.
Здравствуйте, ASX, Вы писали:
ASX>При скачивании проги с интернета меня интересует одно — нет ли там какого червя или вируса. Фсе!
Короче каждому свое. У меня например этим интересуется мой антивирус. я себе таким мозги не парю.
Never underestimate those behind you...
Re[24]: Подписывать ли инсталятор
От:
Аноним
Дата:
07.11.06 17:11
Оценка:
Здравствуйте, Euro, Вы писали:
E>Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах. А эти сертификаты, дополнительные стримы и окошки с вопросами — это же полная хрень, никого ни от чего не защищающая на деле. Для злоумышленников это точно не преграда, как регистрация в Москве для настоящих террористов Только лишний головняк пользователям и траты на сертификацию для вендоров.
Говорят, в Висте этих предупреждений будет больше. Проблема не только в браузере.
E>Я бы кстати подписался под каким-нибудь некоммерческим проектом против засилья лишней секурности. Что-то типа FSF, но не за открытые исходники, а за отсутствие лишних окошек и платы за убирание надписи Unknown Publisher. Например можно сделать сайт, на котором объяснить пользователям что это за окошки такие и как от них избавиться. Еще можно сделать альтернативного CA для членов проекта и предлагать поставить Root вручную чтобы софт от любого участника мог запускаться без лишних вопросов.
Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
Таким образом, после установки хотя бы одной программы с таким сертификатом, все остальные дистрибутивы станут автоматически подписанными.
Вопрос в том как автоматически незаметно вносить в Root сертификат при инсталляции дистрибутивов? Можно ли это технически реализовать используя API Windows или нужно как-то по другому "врезаться" в систему?
Создавать ещё одну организацию не имеет смысла, т.к. для этого нужны большие деньги. А FSF на такое вполне может пойти. Нужно только предложить.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Euro, Вы писали:
E>>Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах. А эти сертификаты, дополнительные стримы и окошки с вопросами — это же полная хрень, никого ни от чего не защищающая на деле. Для злоумышленников это точно не преграда, как регистрация в Москве для настоящих террористов Только лишний головняк пользователям и траты на сертификацию для вендоров.
А>Говорят, в Висте этих предупреждений будет больше. Проблема не только в браузере.
С точки зрения шаровары проблема именно в IE. Это он стукач дополнительный стрим пишет после загрузки файлов из инета. Хорошо хоть часть народа менеджерами закачек пользуется, а не напрямую качают. Vista RC1 работает в этом смысле почти так же как XP, даже при включенном UAC.
E>>Я бы кстати подписался под каким-нибудь некоммерческим проектом против засилья лишней секурности. Что-то типа FSF, но не за открытые исходники, а за отсутствие лишних окошек и платы за убирание надписи Unknown Publisher. Например можно сделать сайт, на котором объяснить пользователям что это за окошки такие и как от них избавиться. Еще можно сделать альтернативного CA для членов проекта и предлагать поставить Root вручную чтобы софт от любого участника мог запускаться без лишних вопросов.
А>Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
Наверное может такое прокатить, если конечно каких-нибудь бюрократических проблем не возникнет. Только голосов должно быть судя по всему много больше чем один.
А>Создавать ещё одну организацию не имеет смысла, т.к. для этого нужны большие деньги. А FSF на такое вполне может пойти. Нужно только предложить.
Серьезные деньги нужны чтобы сделать своего CA, хотя бы дочернего. Уж очень бизнес-модель привлекательная
Re[25]: Подписывать ли инсталятор
От:
Аноним
Дата:
07.11.06 19:54
Оценка:
А>Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
гы гы гы. И каждый, кто использует их сертификат будет обязан раскрыть исходники. Шароварщики для них такое же зло, как и мыкрасофт.
Вы както не в ту сторону думаете. Щас договоритесь до движения за отмену юридических лиц и чего уж там — налогов.
Здравствуйте, Аноним, Вы писали:
А>>Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
А>гы гы гы. И каждый, кто использует их сертификат будет обязан раскрыть исходники. Шароварщики для них такое же зло, как и мыкрасофт.
Шаровара это уже более широкое понятие чем try-before-buy. Хотя конечно с этими религиозными перцами лучше не связываться На базе SWRUS например такая организация выглядела бы более органично. Но там сейчас чето не то творится, пипл увлекается модераторством да всякими уставами. Не до насущных проблем руководству судя по всему.
А>Вы както не в ту сторону думаете. Щас договоритесь до движения за отмену юридических лиц и чего уж там — налогов.
Не надо палку перегибать. Не вижу связи с перечисленным, т.к. механизм сертификатов с его поддержкой в операционке создает реальные убытки на пустом месте. Плюсов от него никаких.
Re[27]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 00:42
Оценка:
E>Не надо палку перегибать. Не вижу связи с перечисленным, т.к. механизм сертификатов с его поддержкой в операционке создает реальные убытки на пустом месте. Плюсов от него никаких.
Ну отчего ж. У меня есть сертификат, у конкурентов нет. Плюс налицо.
Здравствуйте, Euro, Вы писали:
E>На базе SWRUS например такая организация выглядела бы более органично.
Не пойму, вы хотите, чтобы СВРУС выдавал сертификаты на неподтвержденные документально имена? Зачем? Чтобы его сертификат моментально выкинули из рута по стуку первого же недоброжелателя, коих в СВРУСе предостаточно?
Здравствуйте, Alex Mova, Вы писали:
E>>На базе SWRUS например такая организация выглядела бы более органично. AM>Не пойму, вы хотите, чтобы СВРУС выдавал сертификаты на неподтвержденные документально имена? Зачем? Чтобы его сертификат моментально выкинули из рута по стуку первого же недоброжелателя, коих в СВРУСе предостаточно?
Почему сразу на неподтвержденные? Сейчас смущает то, что за сертификатами нужно обращаться за океан, платить неплохие деньги (ежегодно), только ради того чтобы в возникающих при запуске софта окошках было название вендора, а не Unknown Publisher. И нужно это только честным производителям. Зачем писателю троянов сертификат, если окошки с надписями все равно будут появляться? Ну будет там написано Пупкин и Ко. вместо Unknown Publisher. Так если это троян, то все претензии к Пупкину, а не к тому кто сертификат выдавал. Думаю вирусописатели в здравом уме не станут давать свои координаты сертификатом, достаточно чтобы нельзя было получить сертификат от рута на чужое имя. Смысл то именно в том, чтобы был общий известный, управляемый рут, а не у каждого по руту. Заморские CA сейчас эту сферу монополизировали и рулят ценами. Столько вендоров уже в России, Украине, Белоруси — давно пора уже регионального рута иметь.
Выкидывать из рута по стуку это конечно вероятно если именно SWRUS иметь ввиду Кого подпускать к рулению рутом вот в чем вопрос
Здравствуйте, Euro, Вы писали:
E>Здравствуйте, Euro, Вы писали:
E>>Столько вендоров уже в России, Украине, Белоруси — давно пора уже регионального рута иметь.
E>А вот и он: E>http://ssl.ru/ru/certification/developer
E>Только цены как всегда чуть повыше
Здравствуйте, Аноним, Вы писали:
А>Да эта ж просто другая морда того же РБК.
Хм, да, так и есть.. Остается регистрировать сертификаты на юрлицо раз народ подсуетился. Ладно обычная шаровара, unlock из свойств помогает. С драйверами такой финт ушами не предусмотрен.
Здравствуйте, Euro, Вы писали:
E>Сейчас смущает то, что за сертификатами нужно обращаться за океан
Покупай на rbc, какие проблемы?
E>достаточно чтобы нельзя было получить сертификат от рута на чужое имя.
И как это СВРУС будет делать? Вернее, если он это будет делать (проверять документы), то чем он будет отличаться от того же rbc?
E>Смысл то именно в том, чтобы был общий известный, управляемый рут, а не у каждого по руту. Заморские CA сейчас эту сферу монополизировали и рулят ценами. Столько вендоров уже в России, Украине, Белоруси — давно пора уже регионального рута иметь.
Ну так и организуй это дело, раз ты видишь в этом смысл. В СВРУСе этим заниматься нет никакого смысла.
E>Выкидывать из рута по стуку это конечно вероятно если именно SWRUS иметь ввиду Кого подпускать к рулению рутом вот в чем вопрос
Организуй свой, и рули им как считаешь нужным. Сделай правильно, вместо того, чтобы рассказывать кто, как и насколько дешево это должен тебе сделать.
Здравствуйте, Alex Mova, Вы писали:
AM>Покупай на rbc, какие проблемы?
Сори, пропустил топик про rbc.
AM>Организуй свой, и рули им как считаешь нужным. Сделай правильно, вместо того, чтобы рассказывать кто, как и насколько дешево это должен тебе сделать.
Дельный совет Пока только rbc вроде этим в России занимается, ниша хорошая.
Здравствуйте, Euro, Вы писали:
AM>>Организуй свой, и рули им как считаешь нужным. Сделай правильно, вместо того, чтобы рассказывать кто, как и насколько дешево это должен тебе сделать. E>Дельный совет Пока только rbc вроде этим в России занимается, ниша хорошая.
RBC — это всего лишь реселлеры. А свой собственный СА организовать — это от нескольких сотен $К, если не больше. Странно ожидать после этого от владельцев благотворительности.
Здравствуйте, serverside, Вы писали:
S>RBC — это всего лишь реселлеры. А свой собственный СА организовать — это от нескольких сотен $К, если не больше. Странно ожидать после этого от владельцев благотворительности.
Всегда злит когда кто-то из воздуха деньги делает и не делится Об этом песнь на самом деле, а не о благотворительности. Бизнес то будет приносить хорошую прибыль и быстро окупит все затраты. Только рулить таким хозяйством и строить отношения с инвесторами и партнерами это такой экстрим на любителя. Мне по крайней мере пока совсем не хочется снова в такую кабалу лезть.. Когда своих денег на такое хватит другое дело
Здравствуйте, serverside, Вы писали:
E>>Всегда злит когда кто-то из воздуха деньги делает и не делится
S>Мн-э-э... Шаровара тоже — деньги из воздуха. Во всяком случае, кракеры аналогичную аргументацию используют. Их тоже злит.
Шаровару можно покупать или не покупать, люди сами решают. Сертификаты же _навязываются_ всем производителям, причем очень настойчиво. Шаровара как правило решает определенную объективную проблему, т.е. улучшает что-либо в определенной области. Сертификаты "решают" искусственно созданную проблему, т.е. возникшую на пустом месте, "из воздуха". Как если бы например регистраторы начали брать "входные" несколько $k в качестве подтверждения серьезности намерений. Или производители антивирусов распространяли вирусняки для повышения продаж. От троянов и других вирусов есть антивирусы, на хрена еще сертификаты нужны спрашивается?? Кракеры с их аргументацией просто дети по сравнению с такими глобальными разводами
Re[26]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 19:11
Оценка:
Здравствуйте, Euro, Вы писали:
E>С точки зрения шаровары проблема именно в IE. Это он стукач дополнительный стрим пишет после загрузки файлов из инета. Хорошо хоть часть народа менеджерами закачек пользуется, а не напрямую качают. Vista RC1 работает в этом смысле почти так же как XP, даже при включенном UAC.
Если всё дело в стриме, записанном после загрузки файлов из инета с помощью Internet Explorer... то получается если программу распространять в ZIP архиве, то в Висте эти дурацкие сообщения вообще не появятся при попытке установить ПО — при запуске распакованного инсталятора? Или я что-то не до конца понимаю?
Re[28]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 19:20
Оценка:
Здравствуйте, Alex Mova, Вы писали:
AM>Здравствуйте, Euro, Вы писали:
E>>На базе SWRUS например такая организация выглядела бы более органично. AM>Не пойму, вы хотите, чтобы СВРУС выдавал сертификаты на неподтвержденные документально имена? Зачем? Чтобы его сертификат моментально выкинули из рута по стуку первого же недоброжелателя, коих в СВРУСе предостаточно?
Самодельный сертификат WebMoney уже выкинули из рута? Что-то я не понимаю, объясните мне пожалуйста, неужели майкрософту так хочется портить со всеми отношения и всех "выкидывать" из рута кроме Verisign, Comodo, Thawte ? Какое они имеют право такое делать через свой live update, если сертификат был установлен при полном согласии и желании юзера?
Здравствуйте, <Аноним>, Вы писали:
А>Самодельный сертификат WebMoney уже выкинули из рута?
Как бы его оттуда выкинули, если его там отродясь не было? Каждый пользователь Вебмани _сам_ его туда устанавливает, при этом в процессе установки всплывает, если не ошибаюсь, три или четыре предупреждения.
А> Что-то я не понимаю, объясните мне пожалуйста, неужели майкрософту так хочется портить со всеми отношения и всех "выкидывать" из рута кроме Verisign, Comodo, Thawte ? Какое они имеют право такое делать через свой live update, если сертификат был установлен при полном согласии и желании юзера?
Если речь о ручной установке сертификата, то зачем городить огород с какими-то сторонними организациями — нагенерил сам сертификатов и предлагай пользователю их установить.
А, я понял, вы хотите, чтобы сертификат устанавливался один раз при установке первой программы этой группы разработчиков, а для остальных программ этот процесс проходил бы уже гладко и незаметно?
Здравствуйте, Alex Mova, Вы писали:
AM>А, я понял, вы хотите, чтобы сертификат устанавливался один раз при установке первой программы этой группы разработчиков, а для остальных программ этот процесс проходил бы уже гладко и незаметно?
Именно. Только группа должна быть такой величины, чтобы установленные сертификаты в конце концов покрыли более-менее заметную часть аудитории. Если каждый будет предлагать поставить свой сертификат, то у пользователей в хранилище будет большая свалка. А если будет один-два известных third-party, то почему бы и нет.
Здравствуйте, Аноним, Вы писали:
А>Если всё дело в стриме, записанном после загрузки файлов из инета с помощью Internet Explorer... то получается если программу распространять в ZIP архиве, то в Висте эти дурацкие сообщения вообще не появятся при попытке установить ПО — при запуске распакованного инсталятора? Или я что-то не до конца понимаю?
Так и есть. Только в архивах мало кто программы распространяет, не принято как то. Привыкли люди к экзешникам, могут и не разобраться как там архив распаковывается.
Здравствуйте, Euro, Вы писали:
E>Именно. Только группа должна быть такой величины,
В человеках это сколько? Тысяча, пять, двадцать? В СВРУСе полторы-две тысячи человек. Сколько из них озабочены получение code-signing сертификата на абстрактное имя — большой вопрос. У кого-то есть юр.лицо и их удовлетворит сертификат на имя фирмы, кого-то устраивает сертификат на имя разработчика, кому-то вообще наплевать на сертификаты, потому что они еще не выпустили свою первую программу, кому-то просто наплевать... Кто и для кого этим будет заниматься?
E> чтобы установленные сертификаты в конце концов покрыли более-менее заметную часть аудитории. Если каждый будет предлагать поставить свой сертификат, то у пользователей в хранилище будет большая свалка. А если будет один-два известных third-party, то почему бы и нет.
Не знаю что сказать, я не верю в перспективы этой конструкции. Попробуй организовать такую группу из местного комьюнити.
Делов то как я понял на $20-$30 в год а базара развели ... тьфу...
Re[28]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 20:54
Оценка:
Здравствуйте, Euro, Вы писали:
А>>Если всё дело в стриме, записанном после загрузки файлов из инета с помощью Internet Explorer... то получается если программу распространять в ZIP архиве, то в Висте эти дурацкие сообщения вообще не появятся при попытке установить ПО — при запуске распакованного инсталятора? Или я что-то не до конца понимаю?
E>Так и есть. Только в архивах мало кто программы распространяет, не принято как то. Привыкли люди к экзешникам, могут и не разобраться как там архив распаковывается.
Отлично! Т.е. в Висте никаких "подводных камней" с сертификатами не будет? Потому что в таком случае мне проще перейти на распространение через ZIP чем заморачиваться с сертификатами. К тому же, логика такая — если юзер умеет распаковывать, то это значит что он обладает хотя бы базовыми знаниями, а следовательно он не будет задавать много глупых вопросов в саппорт как использовать ПО, что для меня тоже немаловажно.
Или даже так сделать... написать скрипт, который для opera и firefox будет выдавать экзэшник, а для Internet Explorer — только zip.
Здравствуйте, Euro, Вы писали:
E>Шаровару можно покупать или не покупать, люди сами решают. Сертификаты же _навязываются_ всем производителям, причем очень настойчиво. Шаровара как правило решает определенную объективную проблему, т.е. улучшает что-либо в определенной области. Сертификаты "решают" искусственно созданную проблему, т.е. возникшую на пустом месте, "из воздуха".
Отнюдь. Сертификат решает вполне конкретную проблему идентификации. Податель сего именно тот, за кого он себя выдает. Далее, он решает проблему целостности. Если на меня наезжает юзер — а вот Касперский или там Фигерский утверждает, что ты, падла, в своем дистрибутиве злобного трояна распостраняешь — я спрашиваю: подпись нарушена? Нет? Засунь своего фигерского себе в ухо. То есть я и сам в этом случае могу быть увереным, что файл у параноика оригинальный, а не хакером подмененный. И заметь — параноик уже не пикнет, что мол знаем мы эти сертификаты — вон в сврус их каждому встречному поперечному выдают. Ибо процедура выдачи хоть и проста, но строга, и СА типа за базар отвечает. Далее — косвенно — это статусная вещь. Как пиджак от Кардена Хотя фигня, конечно — 100 баксов все таки не деньги в IT бизнесе. Но есть определенный ритуал, а корпоративщики страсть как ритуалы любят и уважают.
E>Как если бы например регистраторы начали брать "входные" несколько $k в качестве подтверждения серьезности намерений. Или производители антивирусов распространяли вирусняки для повышения продаж. От троянов и других вирусов есть антивирусы, на хрена еще сертификаты нужны спрашивается??
А нафига Бил Гейц галстук покупал перед эпохальным посещением АйБиЭм? Ну, и о юзере забота, о той самой кухарке, которая теперь может управлять компьютером.
Тут еще такой момент есть — проблема с получением сертификата есть только у определенной части суши. Для обычного буржуя этой проблемы практически нет, за исключением ста баксов. Поэтому твой праведный гнев им трудно разделить.
Здравствуйте, serverside, Вы писали:
S>Отнюдь. Сертификат решает вполне конкретную проблему идентификации. Податель сего именно тот, за кого он себя выдает. Далее, он решает проблему целостности. Если на меня наезжает юзер — а вот Касперский или там Фигерский утверждает, что ты, падла, в своем дистрибутиве злобного трояна распостраняешь — я спрашиваю: подпись нарушена? Нет? Засунь своего фигерского себе в ухо. То есть я и сам в этом случае могу быть увереным, что файл у параноика оригинальный, а не хакером подмененный. И заметь — параноик уже не пикнет, что мол знаем мы эти сертификаты — вон в сврус их каждому встречному поперечному выдают. Ибо процедура выдачи хоть и проста, но строга, и СА типа за базар отвечает.
Стоп, тут бы надо уточнить про параноиков. Как раз только если у юзера подпись у дистрибутива нарушена или не твоя, то можно попытаться умыть руки и сказать что типа у меня все ходы записаны, модули подписаны, а у юзера хрен знает откуда файлы и я тут нипричем что там троян. Слабовата конечно отмазка, потому как поди докажи что всегда все модули подписываются и одним и тем же сертификатом. А если подпись не нарушена, то чем докажешь что троян не из подписанного дистрибутива? Для решения такой проблемы подойдет любой сертификат или даже самописная система защиты от патчинга. Сериальный номер сертификата не тот — пошли все в пень, не мой модуль. Если же подпись какая надо, то отмазаться еще сложнее по идее.
S>Далее — косвенно — это статусная вещь. Как пиджак от Кардена Хотя фигня, конечно — 100 баксов все таки не деньги в IT бизнесе. Но есть определенный ритуал, а корпоративщики страсть как ритуалы любят и уважают.
Для корпоративщиков согласен, ритуал что надо.
S>А нафига Бил Гейц галстук покупал перед эпохальным посещением АйБиЭм? Ну, и о юзере забота, о той самой кухарке, которая теперь может управлять компьютером.
S>Тут еще такой момент есть — проблема с получением сертификата есть только у определенной части суши. Для обычного буржуя этой проблемы практически нет, за исключением ста баксов. Поэтому твой праведный гнев им трудно разделить.
Ну да, для любителей ритуалов подписи в самый раз, еще один маленький повод к более лояльному отношению. Меня раздражает другое — грубое навязывание подписей в виде появляющихся окошек со страшными надписями. Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход. Только из-за этого окошка платить кому то противоестественно. Остается неприятный осадок что тебя таки развели предложением от которого нельзя отказаться.
Здравствуйте, Euro, Вы писали:
E>Ну да, для любителей ритуалов подписи в самый раз, еще один маленький повод к более лояльному отношению. Меня раздражает другое — грубое навязывание подписей в виде появляющихся окошек со страшными надписями. Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход. Только из-за этого окошка платить кому то противоестественно.
Но ведь ты и есть Unknown Publisher — до тех пор, пока не получил id. СА берут на себя функции посредника — они удостоверяют, что ты — это ты. За это просят скромную мзду. Тебе паспорт в милиции тоже ведь не бесплатно выдают, но никто это не находит же противоестественным. Без паспорта тоже можно жить. Но тоже будут окошки все время выскакивать.
E>Остается неприятный осадок что тебя таки развели предложением от которого нельзя отказаться.
Здравствуйте, Euro, Вы писали:
E>Слабовата конечно отмазка, потому как поди докажи что всегда все модули подписываются и одним и тем же сертификатом.
Вы с суд собираетесь играть или проблему решать? Т.е. однозначно можно отправить пользователя за скачкой офф. дисрибутива. А сам троян — на исследование в соответствующих конторы.
Прочитайте что написано у юзера при просмотре сертификата:
* Ensures software came from software publisher
* Protects software from alteration after publication
Об этом и речь. Кстати, если не ошибаюсь, но за доказанный случай подделки оригинального сертификата выдавшая его фирма платит страховку. Поправьте меня если не прав.
E> Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход.
Здравствуйте, <Аноним>, Вы писали:
А>неужели майкрософту так хочется портить со всеми отношения и всех "выкидывать" из рута кроме Verisign, Comodo, Thawte ?
Что-то список у вас короткий. Назвали самых известных, а в списке MS на сайте их (рутов) гораздо больше.
E>Чуть больше, но не важно. 12 стульев и билеты в Провал, вот что это напоминает
А ты не жадничай. Ты где то писал, вот сколько бабок на запад уходит ! А сколько ты оттуда получаешь за софт ?
Лично для меня USA это самый большой потребитель, и изза небольшой части прибыли я жопицца не буду. Тем более что правила для всех, а не только для русских или как то еще ущемительно.
Здравствуйте, serverside, Вы писали:
S>Здравствуйте, Euro, Вы писали:
E>>Ну да, для любителей ритуалов подписи в самый раз, еще один маленький повод к более лояльному отношению. Меня раздражает другое — грубое навязывание подписей в виде появляющихся окошек со страшными надписями. Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход. Только из-за этого окошка платить кому то противоестественно.
S>Но ведь ты и есть Unknown Publisher — до тех пор, пока не получил id. СА берут на себя функции посредника — они удостоверяют, что ты — это ты. За это просят скромную мзду. Тебе паспорт в милиции тоже ведь не бесплатно выдают, но никто это не находит же противоестественным. Без паспорта тоже можно жить. Но тоже будут окошки все время выскакивать.
Только для виндозы дистрибутив без сертификата это троян от неизвестного производителя. Не удивлюсь что скоро появится точно такая же система для сайтов. На любой сайт без поддержки SSL со специальным сертификатом эксплорер начнет ругаться большими страшными окнами и сообщать что создатель этого сайта никому неизвестный лузер безсертификатный, и давай ка сюда даже заходить не станем. Вот счастье то настанет (для CA естественно, в первую очередь). Уже кое что на эту тему встроено в IE под названием антифишинг. Но он пока банит только известные фишерские урлы, а не все подряд, отличные от известных не-фишерских.
E>>Остается неприятный осадок что тебя таки развели предложением от которого нельзя отказаться.
S>Почему ж нельзя-то? Отказывайся на здоровье.
Дык нельзя, окошки то у юзеров иначе появляются страшные. Ладно бы писало что типа это судя по ресурсам модуль такого-то производителя, но у него нет сертификата, поэтому это не на 100%.
В unix-world для идентификации модулей используются MD5-хэши, просто выкладываются рядом с дистрибутивами и можно в случае чего удостовериться то скачал или не то. Дешево и просто. Проблема идентификации она моя и юзера на самом деле, а то что там посредники предлагают должно по идее позволять выбрать альтернативу. А это сделать нельзя, поэтому механизм сертификатов это как нефтяное месторождение для монополистов с генерилками.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>>Слабовата конечно отмазка, потому как поди докажи что всегда все модули подписываются и одним и тем же сертификатом.
Doc>Вы с суд собираетесь играть или проблему решать? Т.е. однозначно можно отправить пользователя за скачкой офф. дисрибутива. А сам троян — на исследование в соответствующих конторы.
Вопрос не ко мне, т.к. я не рассматриваю сертификаты как серьезную защиту от подобных наездов.
Doc>Прочитайте что написано у юзера при просмотре сертификата: Doc>* Ensures software came from software publisher Doc>* Protects software from alteration after publication
На заборе тоже написано. Легко можно изменить модуль и переподписать другим сертификатом, так что второе точно вранье. А по поводу первого — обладатель сертификата ввязывается в эту игру уже по уши. Попробуй не подпиши хоть один модуль потом — все будут показывать пальцем и говорить что это гадкая подделка.
Doc>Об этом и речь. Кстати, если не ошибаюсь, но за доказанный случай подделки оригинального сертификата выдавшая его фирма платит страховку. Поправьте меня если не прав.
Интересно было бы почитать что-нибудь на тему имеющихся прецедентов. Думается если какой хацкер подделает сертификат и сделает какую серьезную бяку, то скорее на владельца сертифика наедут прежде всего. И ему придется трусами отмахиваться, а хацкера ищи потом.
E>> Обзывать всех подряд безсертификатников Unknown Publisher это блин сильный ход.
Doc>А как их называть? Ваша версия?
Никак не называть и убрать эти стремные окошки на хрен.
Здравствуйте, Euro, Вы писали:
Doc>>Прочитайте что написано у юзера при просмотре сертификата: Doc>>* Ensures software came from software publisher Doc>>* Protects software from alteration after publication E>На заборе тоже написано. Легко можно изменить модуль и переподписать другим сертификатом, так что второе точно вранье.
Серьезно? Вы сможете подписать какую-нибудь утилиту подписью MS? Да так что бы система не заметила подвоха?
Ну поскольку ту не только из России, от отвечу так — российское.
(для Jit — западный вариант навзания с LLC прописывается в уставных документах, так что я спокойно могу его использовать).
Doc>>Получил буквально за сутки. ASX>не можеш вкратце расписать какие телодвижения нужно сделать?
По мотивам регистрации на OpenSLL
1) Ввести о себе данные в анкету (кто, откуда, реквизиты платежа)
2) Получить подтверждающее письмо и выслать сканы подтверждающих документов.
Документы по сути могут быть любыми, но должно быть в них видно
— навзание фирмы
— адрес
— не знаю как точнее сказать поэтому напишу так: видно что это гос. бумажки.
Поскольку они на русском, то надо
— перевести на английский
— дописать в конце "I hereby declare this translation to be true and accurate."
— отпечатать
— расписаться, отсканить, добавить к оригиналам
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
Doc>>>Прочитайте что написано у юзера при просмотре сертификата: Doc>>>* Ensures software came from software publisher Doc>>>* Protects software from alteration after publication E>>На заборе тоже написано. Легко можно изменить модуль и переподписать другим сертификатом, так что второе точно вранье.
Doc>Серьезно? Вы сможете подписать какую-нибудь утилиту подписью MS? Да так что бы система не заметила подвоха?
Написал же, _другим_ сертификатом. Т.е. реально изменить можно и сертификат от изменений не защищает. И система ругаться не станет если другой сертификат будет валидным.
Здравствуйте, Euro, Вы писали:
E>Написал же, _другим_ сертификатом. Т.е. реально изменить можно и сертификат от изменений не защищает. И система ругаться не станет если другой сертификат будет валидным.
Т.е. вы предлагаете преступнику на месте преступления оставить паспорт? Оригинально
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>>Написал же, _другим_ сертификатом. Т.е. реально изменить можно и сертификат от изменений не защищает. И система ругаться не станет если другой сертификат будет валидным.
Doc>Т.е. вы предлагаете преступнику на месте преступления оставить паспорт? Оригинально
Ничего я не предлагаю Хорошо если хацкер-самоубийца оставит свою подпись, это в номинацию на премию Дарвина однозначно. Сертификат можно вырезать, и вроде как его и не было. Можно сунуть свой trusted root и заменить сертификат на сгенеренный только что если все происходит на локальной машине. Для более продвинутых можно попробовать отбрутфорсить слабый сертификат, например ваш, и подписаться им. 128 бит уже вроде как ломают без особых проблем, было бы желание.
Поднадоела тема слегка, сори. Мое мнение что сертификаты в существующем виде приносят больше проблем чем решений. Но так уж решили большие дядьки и сиюминутно конечно приходится эту засаду решать покупкой сертификата и ввязываться в эту игру с дырявой системой подписей. Это скорее плохо чем хорошо, в этом мысль основная.
Добавлю: когда через год-два будешь обновлять, вообще никаких бумажек уже больше не потребуется, ибо ты теперь в базе. Просто вводишь логин-пассворд, башляешь и вуаля. Т.е. вся эта суета с бумажками одноразовая.
Здравствуйте, Doc, Вы писали:
Doc>По мотивам регистрации на OpenSLL
А допустим шароварщик работает как юр. лицо "OOO Рога и копыта", а распространяет он программы под именем "MegaSuperSoft Corp." (я так понимаю это типичный случай). Сертификат можно сделать на последний вариант имени?
Здравствуйте, joshua, Вы писали:
J>А допустим шароварщик работает как юр. лицо "OOO Рога и копыта", а распространяет он программы под именем "MegaSuperSoft Corp." (я так понимаю это типичный случай). Сертификат можно сделать на последний вариант имени?
Вопрос в необходимых бумажках для подтверждения TM/RTM.
Про TM выше говорилось, что для exUSSR — проблемно (у нас нет документов с указанием "doing bussines as ..."), для USA — без проблем.
Для RTM — думаю вообще нет проблем.
При заполнении анкеты на сертификат там есть выбор на какое имя регистрируется юр. лицо, марку или физ. лицо.
Здравствуйте, Euro, Вы писали:
E>Сертификат можно вырезать, и вроде как его и не было.
Все — значит уверенности, что данный софт идет от его publiser — нет.
E>Можно сунуть свой trusted root и заменить сертификат на сгенеренный только что если все происходит на локальной машине.
После загрузки EXE из интернет идет сначало проверка, потом запуск setup. Получается какой-то фокус — программа еще не запущена, но уже свой сертификат подсовывает
E>Для более продвинутых можно попробовать отбрутфорсить слабый сертификат, например ваш, и подписаться им. 128 бит уже вроде как ломают без особых проблем, было бы желание.
1) Получаем преступление. Причем поймать вас и перекрыть вам кислород будет заинтересован не только разаботчик, но и владелец root (т.к. вы и его компрометируете).
2) Откуда инфо про 128? Вроде меньше 512 не делают.
Кстати, в этом случае думаю (при хорошем юристе) можно отобрать весь или часть проекта (ну вы сами признали что он же "мой").
E> Это скорее плохо чем хорошо, в этом мысль основная.
А мне показалось что главная мысль диктуется "жабой, сидящей на $100 купюре".
Здравствуйте, Doc, Вы писали:
E>>Сертификат можно вырезать, и вроде как его и не было.
Doc>Все — значит уверенности, что данный софт идет от его publiser — нет.
А так же значит что вот это вранье: Doc>>>* Protects software from alteration after publication
E>>Можно сунуть свой trusted root и заменить сертификат на сгенеренный только что если все происходит на локальной машине.
Doc>После загрузки EXE из интернет идет сначало проверка, потом запуск setup. Получается какой-то фокус — программа еще не запущена, но уже свой сертификат подсовывает
Подписывать по идее требуется не только дистрибутивы, а так же ActiveX, DLL, EXE, SYS — все исполняемые модули, на которые система может ругаться. Вы разберитесь сначала чего купили то и как им пользоваться
E>>Для более продвинутых можно попробовать отбрутфорсить слабый сертификат, например ваш, и подписаться им. 128 бит уже вроде как ломают без особых проблем, было бы желание.
Doc>1) Получаем преступление. Причем поймать вас и перекрыть вам кислород будет заинтересован не только разаботчик, но и владелец root (т.к. вы и его компрометируете).
Еще раз упомяните меня в таком контексте и я больше в эту ветку ничего писать не буду!!
По теме — не поймаете вы того кто сертификат подделал. Это не хацкер который через интернет сайты ломает и следов нет никаких.
Doc>2) Откуда инфо про 128? Вроде меньше 512 не делают.
http://ssl.ru
Doc>Кстати, в этом случае думаю (при хорошем юристе) можно отобрать весь или часть проекта (ну вы сами признали что он же "мой").
Фантазер
E>> Это скорее плохо чем хорошо, в этом мысль основная.
Doc>А мне показалось что главная мысль диктуется "жабой, сидящей на $100 купюре".
Это ваши домыслы. Еще раз, денег не жалко, но надо знать за что конкретно они платятся, что дается взамен. Защиту покупаешь навесную — она нужна чтобы прикрыть код от хацкеров. Хостинг — чтобы сайт разместить. Сертификат — платишь большим дядькам чтобы корпоративщикам угодить и от лишних окошек избавиться. Больше он ни зачем не нужен. С чем конкретно вы здесь не согласны?
Здравствуйте, Euro, Вы писали:
E>Подписывать по идее требуется не только дистрибутивы, а так же ActiveX, DLL, EXE, SYS — все исполняемые модули, на которые система может ругаться. Вы разберитесь сначала чего купили то и как им пользоваться
Крайне кривая попытка уйти от ответа. Вопрос — как до запуска инсталятора вы собираетесь добавить свой самоподписанный сертификат?
Кстати, разберитесь и вы: сколько угодно подписывайте DLL, EXE, SYS, но если инсталятор не подписан — получите предупреждение.
Doc>>2) Откуда инфо про 128? Вроде меньше 512 не делают. E>http://ssl.ru
Разберитесь в начале Code-signing сертификаты 128-бит я там не увидел. Кстати, цена на сертификат Комода в 2 раза больше оригинальной. Кто там хотел отечественные точки продажи?
Тот же Комодо ИХ меньше 512 не делает. А сама MS вообще подписывает используя 2048.
Doc>>Кстати, в этом случае думаю (при хорошем юристе) можно отобрать весь или часть проекта (ну вы сами признали что он же "мой"). E>Фантазер
Смайлик видели? Хотя в каждой шутке есть доля...
E>Это ваши домыслы. Еще раз, денег не жалко, но надо знать за что конкретно они платятся, что дается взамен. Защиту покупаешь навесную — она нужна чтобы прикрыть код от хацкеров. Хостинг — чтобы сайт разместить. Сертификат —
... чтобы пользователь знал, откуда софт.
А что касается "поломать сертификат", так и защиту ломают, хосты падают ...
E>платишь большим дядькам чтобы корпоративщикам угодить и от лишних окошек избавиться. Больше он ни зачем не нужен. С чем конкретно вы здесь не согласны?
Уже было, но переспрошу.
У вас паспорт есть? Когда получали — пошлину платили?
По идее паспорт нужен тем же дядькам, что его и выдавали. Пойдете митинговать "далой паспорта"?
Здравствуй, Doc.
D> Для проверки подписал нашу фривару. Работает. D> Остальные пока не стал — скоро новые версии выйдут. Их и подпишем.
Посмотрел у себя в сертификатах ("Internet Options") — Comodo
отсутствует в списке Trusted Publishers. Или я ничего не понял и не
туда смотрю? Окошко перестало вылезать или вылезло первый раз и больше
не вылезало после того как вы нажали на Add to Trusted?
Здравствуйте, garant, Вы писали:
G>Посмотрел у себя в сертификатах ("Internet Options") — Comodo G>отсутствует в списке Trusted Publishers. Или я ничего не понял и не G>туда смотрю?
Поставщик: UTN-USERFirst-Object
OU = http://www.usertrust.com
O = The USERTRUST Network
L = Salt Lake City
S = UT
C = US
Здравствуйте, Doc, Вы писали:
Doc>... чтобы пользователь знал, откуда софт.
Да и так он знает откуда софт, если качал его с вашего сайта. Хочется еще дополнительно клыка кинуть оригинальным способом — так и признайтесь в этом, а то люди ведь могут подумать что без signing сертификата теперь не прожить в этом безумном мире.
E>>платишь большим дядькам чтобы корпоративщикам угодить и от лишних окошек избавиться. Больше он ни зачем не нужен. С чем конкретно вы здесь не согласны?
Doc>Уже было, но переспрошу. Doc>У вас паспорт есть? Когда получали — пошлину платили? Doc>По идее паспорт нужен тем же дядькам, что его и выдавали. Пойдете митинговать "далой паспорта"?
Да при чем тут паспорта вообще. Паспорт у вас уже есть в виде регистрационных документов на предприятие. А сертификаты это сто пятый по счету паспорт помимо остальных ста четырех. Все исполняемые модули и так подписаны в ресурсах, в разделе version info. Эту информацию можно легко подделать, но ведь и сертификат можно почти так же просто заменить на другой. По сути он гарантирует только одно — что конкретно от вашего имени подписывать свои модули другие не смогут. Скажите, кому это надо подписывать модули именно от вашего имени? Если заполучить SSL сертификат для защиты передачи данных, то можно незаметно вклиниться между клиентом и сервером, и поиметь дешифрованные данные. Signing сертификаты видимо сделали до кучи, "чтоб были", тупо перенеся технологию. Получилась бесполезная херь, зато вот люди деньги платят, да еще и спасибо говорят
Здравствуйте, Euro, Вы писали:
Doc>>... чтобы пользователь знал, откуда софт. E>Да и так он знает откуда софт, если качал его с вашего сайта.
А если он скачал его, например, с download.com или еще какого архива, который хостит файлы? А если он скачал давно, разве он обязан помнить, откуда какой файл скачал?
E>а то люди ведь могут подумать что без signing сертификата теперь не прожить в этом безумном мире.
Прожить, прожить... Можно и не подписывать. Никак не собирусь посчитать статистику успешлых инсталляций для подписанных и неподписанных дистрибутивов. Хотя, статистика эта будет не универсальная, слишком большое значение имеет, на какую аудиторию ориентирован софт.
Здравствуйте, Alex Mova, Вы писали:
Doc>>>... чтобы пользователь знал, откуда софт. E>>Да и так он знает откуда софт, если качал его с вашего сайта. AM>А если он скачал его, например, с download.com или еще какого архива, который хостит файлы? А если он скачал давно, разве он обязан помнить, откуда какой файл скачал?
Так в ресурсах все должно быть указано, на вкладке Version эксплорерных свойств файла инсталлятора. А для пущей защиты можно файл протектором оборачивать чтоб неповадно было троянов туда вставлять и ресурсы менять. Протектор то посложнее снять будет чем сертификат.
Re[49]: Подписывать ли инсталятор
От:
Аноним
Дата:
09.11.06 17:32
Оценка:
Ну, посмотрим ещё как open-source сообщество отреагирует на этот корпоративный бред майкрософта... а там будет видно...
Здравствуйте, Euro, Вы писали:
E>Да и так он знает откуда софт, если качал его с вашего сайта.
Про софт архивы слышали? А после переустановки ОС все легко вспомнить (да и надо ли это помнить)?
E>Хочется еще дополнительно клыка кинуть оригинальным способом — так и признайтесь в этом, а то люди ведь могут подумать что без signing сертификата теперь не прожить в этом безумном мире.
Ну во первых он не дополнительный. Он (клик) есть в любом случае.
E>Да при чем тут паспорта вообще.
Вижу аналогию с паспортом физ. лица. Достаточно близкую.
E>Паспорт у вас уже есть в виде регистрационных документов на предприятие. А сертификаты это сто пятый по счету паспорт помимо остальных ста четырех.
Хоите так — давайте. Еще у меня есть печать Ведь навязывают, стоит денег, а нужна ли?
Такая аналогия с сертификатом устраивает?
E>Все исполняемые модули и так подписаны в ресурсах, в разделе version info. Эту информацию можно легко подделать, но ведь и сертификат можно почти так же просто заменить на другой.
И? Уже кучу раз сказали, попробую последний: даже если вы украдете/подделаете мою печать, это не сделает вас моим сотредником. Аналогично с украденным паспортом.
E>По сути он гарантирует только одно — что конкретно от вашего имени подписывать свои модули другие не смогут. Скажите, кому это надо подписывать модули именно от вашего имени?
Не вижу сложности, например, разобрать innosetup напичкать софт червями и выложить на софт архиве. Главное что бы софт расходился как пирожки (т.е. ломать популярный).
Или другой вариант: вам не разу апдейты от MS по почте не приходили? А ведь есть те, кто запускает.
E>Если заполучить SSL сертификат для защиты передачи данных, то можно незаметно вклиниться между клиентом и сервером, и поиметь дешифрованные данные.
А можно пообщаться в живую и все сами сдадут. В общем — к чему эта фраза? Поломать можно все. Вопрос лишь в соотношении (время + затраты)/прибыль.
E>Signing сертификаты видимо сделали до кучи, "чтоб были", тупо перенеся технологию. Получилась бесполезная херь, зато вот люди деньги платят, да еще и спасибо говорят
Вы все же дайте ответ — паспорт и печать "видимо" то же придумали до кучи. И ведь навязывют
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
E>>Да и так он знает откуда софт, если качал его с вашего сайта.
Doc>Про софт архивы слышали? А после переустановки ОС все легко вспомнить (да и надо ли это помнить)?
E>>Хочется еще дополнительно клыка кинуть оригинальным способом — так и признайтесь в этом, а то люди ведь могут подумать что без signing сертификата теперь не прожить в этом безумном мире.
Doc>Ну во первых он не дополнительный. Он (клик) есть в любом случае.
Не клик, а клык, в смысле понтов
E>>Да при чем тут паспорта вообще. Doc>Вижу аналогию с паспортом физ. лица. Достаточно близкую.
Да радуйтесь своему новому паспорту и дальше, какие проблемы то Только другим не стоит то же самое навязывать.
Doc>Не вижу сложности, например, разобрать innosetup напичкать софт червями и выложить на софт архиве. Главное что бы софт расходился как пирожки (т.е. ломать популярный).
Угу, попробуете чего-нибудь в мой сетап защищенный EXECryptor сунуть..
E>>Если заполучить SSL сертификат для защиты передачи данных, то можно незаметно вклиниться между клиентом и сервером, и поиметь дешифрованные данные.
Doc>А можно пообщаться в живую и все сами сдадут. В общем — к чему эта фраза? Поломать можно все. Вопрос лишь в соотношении (время + затраты)/прибыль.
Да к тому, что там сертификаты на своем месте и реально работают в полную силу. Защищают соединения от взлома, причем очень хорошо. Тут вопросов по поводу их стоимости и процедуры приобретения вообще не возникает, все в кассу.
E>>Signing сертификаты видимо сделали до кучи, "чтоб были", тупо перенеся технологию. Получилась бесполезная херь, зато вот люди деньги платят, да еще и спасибо говорят
Doc>Вы все же дайте ответ — паспорт и печать "видимо" то же придумали до кучи. И ведь навязывют
Сертификат вас не заставляли покупать. Конечно есть окошки глупые и предрассудки у корпоративщиков, но и без подписей можно обойтись неплохо. Купил — теперь подписывай и не выпендривайся
Здравствуйте, Euro, Вы писали:
E>Не клик, а клык, в смысле понтов
... E>Да радуйтесь своему новому паспорту и дальше, какие проблемы то
... E>Угу, попробуете чего-нибудь в мой сетап защищенный EXECryptor сунуть..
... E>Сертификат вас не заставляли покупать. Конечно есть окошки глупые и предрассудки у корпоративщиков, но и без подписей можно обойтись неплохо. Купил — теперь подписывай и не выпендривайся
Настоятельно рекомендую прекратить общение в таком агрессивном и безапелляционном тоне.
Спор "ради спора" здесь тоже не приветствуется.
Модератор.
Сори, чего то я и правда переборщил с повелительным наклонением
Никого не хотел обидеть. Раздражение вызывают чисто технические вещи, к персоналиям не имеющие никакого отношения.
С электронными сертификатами и подписями можете делать что угодно, в РФ электронные документы документами не считаются.
Только чтото мне подсказывает, что пользователь поставив дурнисту и увидев что она ругается на его любимые дистрибутивы, котрые нормально ставились на предыдущую винду озаботится поисками патча для этого досадного глюка.
Здравствуйте, hellfire, Вы писали:
H>С электронными сертификатами и подписями можете делать что угодно, в РФ электронные документы документами не считаются.
А можно тут подробнее ... Т.к. если говорить в общем, то
ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
Статус Действующий
Номер госрегистрации Р0200022
Дата принятия 10.01.2002
Вид акта ФЕДЕРАЛЬНЫЙ ЗАКОН
Номер акта 1-ФЗ
Здравствуйте, Doc, Вы писали:
Doc>Что там (в ресурсах) должно быть указано? Откуда скачал? Вы такое хоть раз видели?
Многие инсталлеры туда свои данные пихают. А некоторые, не будем указывать пальцем, так вообще этого ресурса не имеют. Вот посмотрел несколько файлов, сделанных awinstall и ghost installer — нету там версионности.
Doc>А вот изменить эти данные в много раз прощем чем подделать подпись.
Но тоже не тривиально. Если отредактировать, скажем, инносетаповский сетап обычным порош... э.. редактором ресурсов, то получишь эксепшн. А вот мы под каждую версию инно зачем-то копались... Зато работает.
Здравствуйте, serverside, Вы писали:
S>Но тоже не тривиально. Если отредактировать, скажем, инносетаповский сетап обычным порош... э.. редактором ресурсов, то получишь эксепшн.
Здравствуйте, Doc, Вы писали:
Doc>А можно тут подробнее ... Т.к. если говорить в общем, то Doc>
Doc>ФЕДЕРАЛЬНЫЙ ЗАКОН ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
Doc>Статус Действующий
Doc>Номер госрегистрации Р0200022
Doc>Дата принятия 10.01.2002
Doc>Вид акта ФЕДЕРАЛЬНЫЙ ЗАКОН
Doc>Номер акта 1-ФЗ
Это о электронной подписи. Я про электронный документ говорил. Если ты сделаешь чтото не то с подписью на документе, это будет нехорошо с точки зрения закона. С подписью на не документе можно делать все что угодно. Закона о признании электронного документа документом нет, а без него закон о цифровой подписи бесполезен.
Здравствуйте, hellfire, Вы писали:
H> Закона о признании электронного документа документом нет, а без него закон о цифровой подписи бесполезен.
Не понял. Получается есть закон о признании бумажного документа — документом??
Кстати, все выше сказанное не мешает банкам получаеть распоряжения в электронном виде как от юр. так и физ лиц.
Ведь вы не не будете спорить, что распоряжение о переводе денег переданное мной в банк по электронке — документ? Иначе по какому праву банк обрабатывает его.
Здравствуйте, Doc, Вы писали:
Doc>Не понял. Получается есть закон о признании бумажного документа — документом??
Изначально законы о документах, вся правоприменительная практика, касаются бумажных документов. Документ как юридический термин означает бумажный документ.
Doc>Кстати, все выше сказанное не мешает банкам получаеть распоряжения в электронном виде как от юр. так и физ лиц.
Doc>Ведь вы не не будете спорить, что распоряжение о переводе денег переданное мной в банк по электронке — документ? Иначе по какому праву банк обрабатывает его.
Банк не является гос. учереждением и он может делать все что угодно.
Если ты пойдешь с электронным документом в госучереждение (не обязательно в суд, в любое) тебе откажут на основании того, что электронный документ документом не является.
Здравствуйте, hellfire, Вы писали:
H>Банк не является гос. учереждением и он может делать все что угодно.
H>Если ты пойдешь с электронным документом в госучереждение (не обязательно в суд, в любое) тебе откажут на основании того, что электронный документ документом не является.
А люди вот сдают налоговую отчетность через интернет. И никто не отказывает. Хотя налоговая очень даже госучреждение.
Здравствуйте, hellfire, Вы писали:
H>Изначально законы о документах, вся правоприменительная практика, касаются бумажных документов. Документ как юридический термин означает бумажный документ.
Хорошо, спрошу по другому — что делает документ документом? Его отличительный признак?
VAB>ведь если кто не в курсе — на 64-битах с подписями все будет совсем интересно — неподписанные драйвера не будут разрешены, кроме как в отладочном режиме. А на висте (в т.ч. 32-битной !) так в принципе запрещены неподписанные драйвера.
как я понял для Vista 32-bit сигнатура не обязательна, но очень желательна
Certain configurations of x86 systems will require kernel-mode software to have digital signatures in order to access next generation premium content depending on content protection policy. This paper describes how to manage the signing process for kernel-mode software for Windows Vista.
Здравствуйте, ZayatsZ, Вы писали:
ZZ>А люди вот сдают налоговую отчетность через интернет. И никто не отказывает. Хотя налоговая очень даже госучреждение.
Попробуй отправь в налоговую договор, по которому проводишь деньги в виде электронного документа. Или налоговой проверке предоставь такой документ. Потом расскажешь, что из этого получилось.
ЗЫ. За пределами РФ и в Москве все может быть по другому.
ЗЫ2. Спор бессмысленный, если кто мне не верит, может заплатить 300р лоеру. Лоер скажет то же самое.
Здравствуйте, Doc, Вы писали:
Doc>Здравствуйте, Euro, Вы писали:
Doc>>>Про софт архивы слышали? А после переустановки ОС все легко вспомнить (да и надо ли это помнить)? E>>http://rsdn.ru/Forum/Message.aspx?mid=2206953&only=1
Doc>Что там (в ресурсах) должно быть указано? Откуда скачал? Вы такое хоть раз видели? Doc>А вот изменить эти данные в много раз прощем чем подделать подпись.
В ресурсах указано имя производителя, название и версия продукта. А зачем знать откуда именно скачал? С подписью это проще узнать? И зачем менять свойства в ресурсах, с какой такой коварной целью?
"Doc" <3899@users.rsdn.ru> wrote in message news:2207821@news.rsdn.ru... > Хорошо, спрошу по другому — что делает документ документом? Его отличительный признак?
Чем больше печатей — там "документей" от становится
Здравствуйте, serverside, Вы писали:
S>Здравствуйте, Doc, Вы писали:
Doc>>Что там (в ресурсах) должно быть указано? Откуда скачал? Вы такое хоть раз видели?
S>Многие инсталлеры туда свои данные пихают. А некоторые, не будем указывать пальцем, так вообще этого ресурса не имеют. Вот посмотрел несколько файлов, сделанных awinstall и ghost installer — нету там версионности.
Некошерно. MSI версию имеет обязательно, в NSIS прикручивается легко. На счет остальных инсталляторов не знаю, но если они не позволяют вставлять в сетап версию, то это не есть гуд.
Doc>>А вот изменить эти данные в много раз прощем чем подделать подпись.
S>Но тоже не тривиально. Если отредактировать, скажем, инносетаповский сетап обычным порош... э.. редактором ресурсов, то получишь эксепшн. А вот мы под каждую версию инно зачем-то копались... Зато работает.
Да ну это просто паранойя какая то.. Если кому то приглянется продукт, они могут тупо сделать новый инсталлятор, вставить туда прояна и подписанный, трижды защищенный и т.п. сетап продукта. Сначала установится троян, потом запустится инсталлятор продукта. Да, этот новый инсталлятор будет неподписанным. Но какой обычный юзер это заметит? Даже если часть поведется, в результате будет куча зараженных машин. А то что подписанный инсталлятор просто рядом повалялся и автор нипричем, так юзерам от этого не легче. В этом смысле юниксовые MD5 хэши рулят, с ними уже такой финт ушами не пройдет.
Здравствуйте, Euro, Вы писали:
E>Что линк? Хотите потренироваться — возьмите любой инсталятор на основе NSIS, закройте протектором. Или вам важно чтобы именно я для вас это сделал?
Коль вам влом, подумайте на досуге — что мне мешает развернуть ваш инсталлер, и сбилдить свой, тем же самым NSIS-ом, с вашими картинками и текстами + немного своего кода? И абсолютно не важно, чем вы закрыли инсталлер — он сам распакуется. Но если он подписан, да еще и на вебе большими буквами "ВСЕ НАШИ ФАЙЛЫ ПОДПИСАНЫ СЕРТИФИКАТОМ X Y Z, НЕ ДОВЕРЯЙТЕ UNSIGNED ФАЙЛАМ", то пользователь скорее всего не поставит это самопальное чудо.
Здравствуйте, wellwell, Вы писали:
W>"Doc" <3899@users.rsdn.ru> wrote in message news:2207821@news.rsdn.ru... >> Хорошо, спрошу по другому — что делает документ документом? Его отличительный признак?
W>Чем больше печатей — там "документей" от становится
Печати, подпись, для некоторых специальный бланк, но главное не это. Главное что это должна быть бумага. Сколько печатей и подписей не ставь на глинянную табличку, документом она от этого не станет, разве что через 1000 лет как археологический...
Здравствуйте, Alex Kirhenshtein, Вы писали:
AK>Коль вам влом, подумайте на досуге — что мне мешает развернуть ваш инсталлер, и сбилдить свой, тем же самым NSIS-ом, с вашими картинками и текстами + немного своего кода?
Об этом сказано чуть выше, сбилдить свой можно всегда. Чужой защищенный протектором подправить сильно сложнее чем подписанный. Во втором случае разрушится подпись, но многие этого не заметят и результат будет не лучше.
AK>Но если он подписан, да еще и на вебе большими буквами "ВСЕ НАШИ ФАЙЛЫ ПОДПИСАНЫ СЕРТИФИКАТОМ X Y Z, НЕ ДОВЕРЯЙТЕ UNSIGNED ФАЙЛАМ", то пользователь скорее всего не поставит это самопальное чудо.
Никогда не встречал такой надписи. Тем более таких внимательных пользователей
Здравствуйте, Euro, Вы писали:
E>Об этом сказано чуть выше, сбилдить свой можно всегда. Чужой защищенный протектором подправить сильно сложнее чем подписанный. Во втором случае разрушится подпись, но многие этого не заметят и результат будет не лучше.
Так вот MS идет тем путём, чтоб больше пользователей заметило. И это правильно, на мой взгляд.
AK>>Но если он подписан, да еще и на вебе большими буквами "ВСЕ НАШИ ФАЙЛЫ ПОДПИСАНЫ СЕРТИФИКАТОМ X Y Z, НЕ ДОВЕРЯЙТЕ UNSIGNED ФАЙЛАМ", то пользователь скорее всего не поставит это самопальное чудо.
E>Никогда не встречал такой надписи. Тем более таких внимательных пользователей
Как только пойдет волна (которую поднимет Виста, скажем) — эти надписи буут почти у каждого. Цифровая подпись — это просто еше один аргумент "за". Выбирая между двумя одинаковыми софтинками, я выберу ту, которая будет подписана. Это значит что автор:
а) не поленился
б) не зажмотился (ибо если для него три сотни в год — много, то для него и многое другое может быть проблемным)
Как результат — это автом не нравится гораздо больше.
Здравствуйте, Alex Kirhenshtein, Вы писали:
AK>Так вот MS идет тем путём, чтоб больше пользователей заметило. И это правильно, на мой взгляд.
А по-моему правильно качать сетапы только с сайта производителя и не доверять файлопомойкам. Есть там подпись или нет, в этом случае уже роли не играет.
AK>Как только пойдет волна (которую поднимет Виста, скажем) — эти надписи буут почти у каждого. Цифровая подпись — это просто еше один аргумент "за". Выбирая между двумя одинаковыми софтинками, я выберу ту, которая будет подписана. Это значит что автор: AK>а) не поленился AK>б) не зажмотился (ибо если для него три сотни в год — много, то для него и многое другое может быть проблемным)
AK>Как результат — это автом не нравится гораздо больше.
У каждого свои критерии. По мне так главное хороший софт или плохой, а есть ли у автора желание его подписывать дело десятое. Кто-то хлеб в ближайшем ларьке покупает, а кому то обязательно нужно за ним в самый большой и проверенный гипермаркет ездить, что поделаешь
Здравствуйте, Doc, Вы писали:
Doc> — расписаться, отсканить, добавить к оригиналам Doc>3) Получить файлы сертификата через сайт Doc>Все. У меня ушло менее суток, как я говорил.
Т.е. ты сам все перевел, расписался, что перевод правильный, отсканил и выслал?
А как они интерено проверяли эти бумажки? Тебе звонили?
Так можно школьную грамоту за хорошее поведение перевести, и выслать им
Здравствуйте, Euro, Вы писали:
E>Здравствуйте, Alex Kirhenshtein, Вы писали:
AK>>Так вот MS идет тем путём, чтоб больше пользователей заметило. И это правильно, на мой взгляд.
E>А по-моему правильно качать сетапы только с сайта производителя и не доверять файлопомойкам. Есть там подпись или нет, в этом случае уже роли не играет.
Почитайте про прозрачные прокси, про dns spoffing, man in the middle — для самых маньяков. Сайт производителя ничего не значит — это может быть фейк. А подписанный сетап — значит. Его можно проверить, в конце концов.
Ладно, пойду работать, пожалуй. Давайте остановимся на том, что это просто проклятые буржуины грабят рабочий народ.
Здравствуйте, Alex Kirhenshtein, Вы писали:
E>>А по-моему правильно качать сетапы только с сайта производителя и не доверять файлопомойкам. Есть там подпись или нет, в этом случае уже роли не играет.
AK>Почитайте про прозрачные прокси, про dns spoffing, man in the middle — для самых маньяков. Сайт производителя ничего не значит — это может быть фейк. А подписанный сетап — значит. Его можно проверить, в конце концов.
Опустим про прозрачные прокси и спуфинг, лучше не надо. Если вы тоже занимаетесь профессионально сетевой защитой, то неторопливое обсуждение деталей может затянуться надолго, и не для этого форума оно То о чем вы пишете называется фишинг. Используется в основном для воровства персональных данных пользователей путем заманивания их на поддельные сайты банков да платежных систем. Чтобы заманивали на сайты мелких производителей софта, да заставляли скачивать поддельные сетапы — о таком никогда не слышал. Для известных производителей типа Микрософт, Гугл или Мозилла действительно судя по всему есть вероятность использования их сайтов для фишинга. Для мелкого шароварщика это скорее теоретизирование и попытки уменьшить эту вероятность с 1e-4 до 1e-10 доли процента. Не пугайте так коллег, они и так уже от любого шороха вздрагивают.
Здравствуйте, Euro, Вы писали:
S>>Но тоже не тривиально. Если отредактировать, скажем, инносетаповский сетап обычным порош... э.. редактором ресурсов, то получишь эксепшн. А вот мы под каждую версию инно зачем-то копались... Зато работает.
E>Да ну это просто паранойя какая то..
Что паранойя? Обеспечивать поддержку редактирования инносетаповских экзешников нашим редактором? Хм, может, ты и прав. Надо будет доктору показаться. Есть, наверное, и более достойные занятия в жизни
Здравствуйте, serverside, Вы писали:
S>Что паранойя? Обеспечивать поддержку редактирования инносетаповских экзешников нашим редактором? Хм, может, ты и прав. Надо будет доктору показаться. Есть, наверное, и более достойные занятия в жизни
Имелась ввиду боязнь того, что инсталлятор софтинки малоизвестной конторы кто-нибудь использует в гадких целях.
Здравствуйте, wellwell, Вы писали:
>> Хорошо, спрошу по другому — что делает документ документом? Его отличительный признак? W>Чем больше печатей — там "документей" от становится
Я к этому и клонил.
А в приведенном мной законе говориться что электронная подпись может быть эквивалентом.
Т.е. все же база есть, но проще сдать бумагу "старого вида", чем ломать стены непонимания
Здравствуйте, ASX, Вы писали:
ASX>Т.е. ты сам все перевел, расписался, что перевод правильный, отсканил и выслал?
Да, перевод делали сами. Но высылали еще и сканы документов на русском.
ASX>А как они интерено проверяли эти бумажки? Тебе звонили? ASX>Так можно школьную грамоту за хорошее поведение перевести, и выслать им
А зачем мне звонить? Цель звонка?
Потом, я не думаю что я первый клиент из России. Поэтому по переводу найти соотвествующие цифры и пробить — дело не сложное.
AFAK сейчас проверить подобные реквизиты можно даже через инет (правда доступ к такой БД налоговая дает за плату).
Кстати, если вскроется подлог — сертификат сразу обнулят, деньги не вернут.
... << RSDN@Home 1.1.4 stable SR1 rev. 568>>
Re[54]: Подписывать ли инсталятор
От:
Аноним
Дата:
10.11.06 16:10
Оценка:
Здравствуйте, Alex Kirhenshtein, Вы писали:
AK>Как только пойдет волна (которую поднимет Виста, скажем) — эти надписи буут почти у каждого.
Это очень спорное утверждение.
А если проводить аналогию сертификатов с гражданскими паспортами, то возникает следующий вопрос — почему, извините, каким-то буржуйским фирмам позволено выдавать глобальные цифровые идентификационные документы иностранным компаниям и иностранным гражданам?
По-моему выдачей цифровых идентификационных сертификатов для граждан должен заниматься РОВД (районный отдел внутренних дел), а не корпорация Verisign. И для фирм — государственные органы соответствующих стран.
Ну тогда по-ходу и банки полетят, и много еще чего. Вряд ли это кому-то удастся. Криптография — наука очень сложная.
?
да ты все правильно резюмировал
