Re: Windows SmartScreen дурит
От: rkcsoft Россия  
Дата: 18.01.16 18:29
Оценка: +2
Здравствуйте, sushko, Вы писали:

S>Кто виноват и, главное, что делать?


С 1 января Microsoft грозилась перестать поддерживать sha-1.
Comodo обещал их без вопросов обменять при запросе.
Может ваш случай?
Re: Windows SmartScreen дурит
От: PHPRunner  
Дата: 18.01.16 21:36
Оценка: +1
У вас скорее ситуация другая, но вот по отличие локальных файлов и тех которые скачаны из интернета и побайтово одинаковы:
http://habrahabr.ru/company/infopulse/blog/274183/

Здравствуйте, sushko, Вы писали:

S>Собираю дистрибутив, подписываю его электронной подписью (COMODO), проверяю подпись (в Проводнике правой кнопкой мыши на файле, и выбираю Свойства) — все OK. Выкладываю дистрибутив на сервер, скачиваю его же с сервера — в нижней части IE открывает окошко с красной рамочкой, в которой написано "подпись SETUP.EXE повреждена или недопустима". Запускаю скачанный файл — возбуждается окно SmartScreen, кот. говорит. что "система Windows защитила ваш компьютер" и запустить его не дает. Запускаю исходный файл — он прекрасно запускается. Сравниваю два файла (исходный и скачанный) побайтно — они идентичны. Проверяю подпись скачанного файла (правой кнопкой мыши на файле, и потом Свойства) — подпись показывает корректно.


S>Кто виноват и, главное, что делать?
Записки о софтверном бизнесе
Re: Windows SmartScreen дурит
От: okman Беларусь https://searchinform.ru/
Дата: 19.01.16 09:56
Оценка: +1
Здравствуйте, sushko, Вы писали:

S>Кто виноват и, главное, что делать?


SmartScreen можно быстро победить только одним способом — купить EV-сертификат и подписывать файлы им.
DigiCert, например, про свои EV так пишет:

Extended Validation (EV) Code Signing Certificate
https://www.digicert.com/ppc/ev-code-signing.htm?gclid=CNOntsvNtcoCFcXTcgodnZoN5Q

Programs signed by an EV code signing certificate can immediately establish reputation with Microsoft SmartScreen
reputation services—even if no prior reputation exists for that file or publisher. Now, even brand new publishers
have and benefit from an immediate reputation.

Все EV-серты сейчас только SHA-2, так что двух зайцев сразу. Хотя получить EV сложнее, чем Standard Code Signing.

P.S. DigiCert можно купить со скидкой: https://www.digicert.com/friends/sysdev/
Отредактировано 20.01.2016 8:00 okman . Предыдущая версия .
Windows SmartScreen дурит
От: sushko Россия  
Дата: 18.01.16 18:27
Оценка:
Собираю дистрибутив, подписываю его электронной подписью (COMODO), проверяю подпись (в Проводнике правой кнопкой мыши на файле, и выбираю Свойства) — все OK. Выкладываю дистрибутив на сервер, скачиваю его же с сервера — в нижней части IE открывает окошко с красной рамочкой, в которой написано "подпись SETUP.EXE повреждена или недопустима". Запускаю скачанный файл — возбуждается окно SmartScreen, кот. говорит. что "система Windows защитила ваш компьютер" и запустить его не дает. Запускаю исходный файл — он прекрасно запускается. Сравниваю два файла (исходный и скачанный) побайтно — они идентичны. Проверяю подпись скачанного файла (правой кнопкой мыши на файле, и потом Свойства) — подпись показывает корректно.

Кто виноват и, главное, что делать?
Бесплатный генератор отчетов для программ на C/C++
http://www.oxetta.com
Re[2]: Windows SmartScreen дурит
От: sushko Россия  
Дата: 19.01.16 09:23
Оценка:
Здравствуйте, PHPRunner, Вы писали:

PHP>У вас скорее ситуация другая, но вот по отличие локальных файлов и тех которые скачаны из интернета и побайтово одинаковы:

PHP>http://habrahabr.ru/company/infopulse/blog/274183/

Я понимаю, что при скачивании Windows (или Explorer) куда-то ставит какой-то флаг, приведенная Вами статья объясняет, куда она его ставит, но вопрос был не в том, где искать этот файл, а что делать, чтобы на компьютере конечного пользователя Windows не параноил над благополучно подписанным файлом.

Вчера вечером висел на телефоне с COMODO минут сорок, они выписали мне новый сертификат SHA2, я подписал им EXE, выложил на сервер, теперь при скачивании ругается, что "этот файл скачивают редко, и он может нанести вред компьютеру". По идее это означает, что проблему мы победили (такое всегда бывает при смене сертификата подписи), но в св-вах скачанного файла Windows опять показывает подпись SHA1. Ничего не понимаю...
Бесплатный генератор отчетов для программ на C/C++
http://www.oxetta.com
Re[3]: Windows SmartScreen дурит
От: Supporter  
Дата: 19.01.16 09:58
Оценка:
Здравствуйте, sushko, Вы писали:

S>Здравствуйте, PHPRunner, Вы писали:


PHP>>У вас скорее ситуация другая, но вот по отличие локальных файлов и тех которые скачаны из интернета и побайтово одинаковы:

PHP>>http://habrahabr.ru/company/infopulse/blog/274183/

S>Я понимаю, что при скачивании Windows (или Explorer) куда-то ставит какой-то флаг, приведенная Вами статья объясняет, куда она его ставит, но вопрос был не в том, где искать этот файл, а что делать, чтобы на компьютере конечного пользователя Windows не параноил над благополучно подписанным файлом.


S>Вчера вечером висел на телефоне с COMODO минут сорок, они выписали мне новый сертификат SHA2, я подписал им EXE, выложил на сервер, теперь при скачивании ругается, что "этот файл скачивают редко, и он может нанести вред компьютеру". По идее это означает, что проблему мы победили (такое всегда бывает при смене сертификата подписи), но в св-вах скачанного файла Windows опять показывает подпись SHA1. Ничего не понимаю...


Да, победили. Все нормально, немного покачают, наберется статистика и файл станет известным. Такая уж у них дурь.
А на счет SHA-1: смотри не на эту надпись а на Алгоритм Хэширования Подписи. Он должен быть SHA256 теперь.
Re[2]: Windows SmartScreen дурит
От: salnicoff  
Дата: 19.01.16 17:54
Оценка:
Здравствуйте!

On 18.01.2016 21:29, rkcsoft wrote:
> С 1 января Microsoft грозилась перестать поддерживать sha-1.

Так грозилась или перестала? Если перестала, то как это реализуется?
Через какой-то апдейт или заранее была закладка заложена?

--
Александр Сальников.
Posted via RSDN NNTP Server 2.1 beta
Re[2]: Windows SmartScreen дурит
От: wantus  
Дата: 19.01.16 20:40
Оценка:
Здравствуйте, okman, Вы писали:

O>Здравствуйте, sushko, Вы писали:


S>>Кто виноват и, главное, что делать?


O>SmartScreen можно быстро победить только одним способом — купить EV-сертификат и подписывать файлы им.

O>DigiCert, например, про свои EV так пишет:

O>Extended Validation (EV) Code Signing Certificate

O>https://www.digicert.com/ppc/ev-code-signing.htm?gclid=CNOntsvNtcoCFcXTcgodnZoN5Q

Это affiliate link что ли? Ай-яй-яй.

Вот как нада — https://www.digicert.com/friends/sysdev/ — 50% off, no strings attached.
Re[3]: Windows SmartScreen дурит
От: okman Беларусь https://searchinform.ru/
Дата: 20.01.16 07:39
Оценка:
Здравствуйте, wantus, Вы писали:

W>Это affiliate link что ли? Ай-яй-яй.


Я не знаю, что такое affiliate link и почему "ай-яй-яй".


W>Вот как нада — https://www.digicert.com/friends/sysdev/ — 50% off, no strings attached.


Ok, fixed.
Re[4]: Windows SmartScreen дурит
От: wantus  
Дата: 20.01.16 07:56
Оценка:
Здравствуйте, okman, Вы писали:

O>Здравствуйте, wantus, Вы писали:


W>>Это affiliate link что ли? Ай-яй-яй.


O>Я не знаю, что такое affiliate link и почему "ай-яй-яй".

O>

Загуглил — это какой-то google click id. Мои извинения. "Ай-яй-яй" отменяется, но на 50% офф я вынужден настоять.
Re: Windows SmartScreen дурит
От: М.Р. https://www.wincatalog.com
Дата: 22.01.16 14:48
Оценка:
Здравствуйте, sushko, Вы писали:

S>Кто виноват и, главное, что делать?


У меня немного иначе. Перешел на sha2 (добавив ключ signtool /fd sha256). Подписывал 4 января, закачал на сайт, скачал — всё ок. 14 января получаю фидбэк, что SmartScreen не даёт запустить на Windows 10. Скачиваю хромом — и правда не даёт — "this file was not commonly downloaded...", проверил на 10 и 8.1 (в Win10 и 8 SmartScreen на всю систему, а не только в IE). Срочно перезалил версию подписаную sha1 31 декабря (специально заготовил на такой случай). Всё нормально. Порыл инет — нигде ничего свежего, кроме напоминания, что подписи нужен траст (как обычно бывает при новом сертификате) и рекламы EV. Но у меня сертификат то старый, просто алгоритм дайджеста сменился. Да и работало всё после 1 января — сам проверял!..

Решилось просто — за неделю на менее критичных продуктах набрался траст и теперь со вчерашнего дня SmartScreen больше не ругается (тьфу x3).

Видимо, с последним обнолвением SmartScreen похерились, возможно частично, базы трастов сертификатов, т.к. дурить он начал сразу же после обновления.
WinCatalog — Disk Catalog Software for Windows
Отредактировано 22.01.2016 14:54 М.Р. . Предыдущая версия .
Re[2]: Windows SmartScreen дурит
От: vf  
Дата: 22.01.16 14:59
Оценка:
Здравствуйте, М.Р., Вы писали:

МР>Видимо, с последним обнолвением SmartScreen похерились, возможно частично, базы трастов сертификатов, т.к. дурить он начал сразу же после обновления.


Траст на сертификат, файл или к чему привязан?
Re[3]: Windows SmartScreen дурит
От: М.Р. https://www.wincatalog.com
Дата: 22.01.16 15:02
Оценка:
Здравствуйте, vf, Вы писали:

vf>Траст на сертификат, файл или к чему привязан?


Траст на сертификат.
WinCatalog — Disk Catalog Software for Windows
Re[2]: Windows SmartScreen дурит
От: uuuser  
Дата: 22.01.16 16:38
Оценка:
Здравствуйте, М.Р., Вы писали:

МР>У меня немного иначе. Перешел на sha2 (добавив ключ signtool /fd sha256).


хмм, я а ничего не добавлял, ещё год назад получил новый сертификат летом подписал как обычно и всё, сейчас из-за этой темы посмотрел, файлы подписаны sha256
Re[3]: Windows SmartScreen дурит
От: М.Р. https://www.wincatalog.com
Дата: 22.01.16 17:28
Оценка:
Здравствуйте, uuuser, Вы писали:

U>Здравствуйте, М.Р., Вы писали:


МР>>У меня немного иначе. Перешел на sha2 (добавив ключ signtool /fd sha256).

U>хмм, я а ничего не добавлял, ещё год назад получил новый сертификат летом подписал как обычно и всё, сейчас из-за этой темы посмотрел, файлы подписаны sha256

Если signtool из относительно нового SDK (не помню точно, какой именно должен быть), то она уже по-умолчанию использует sha256. У меня signtool из SDK 7.1A, там еще sha1 стоит по-умолчанию.
WinCatalog — Disk Catalog Software for Windows
Re[4]: Windows SmartScreen дурит
От: uuuser  
Дата: 22.01.16 17:50
Оценка:
Здравствуйте, М.Р., Вы писали:

МР>>>У меня немного иначе. Перешел на sha2 (добавив ключ signtool /fd sha256).

U>>хмм, я а ничего не добавлял, ещё год назад получил новый сертификат летом подписал как обычно и всё, сейчас из-за этой темы посмотрел, файлы подписаны sha256
МР>Если signtool из относительно нового SDK (не помню точно, какой именно должен быть), то она уже по-умолчанию использует sha256. У меня signtool из SDK 7.1A, там еще sha1 стоит по-умолчанию.

блин, ступил, sha256 в самом сертификате, а файлы подписаны sha1, надо будет переподписать.
Re[4]: Windows SmartScreen дурит
От: vf  
Дата: 22.01.16 19:35
Оценка:
Здравствуйте, М.Р., Вы писали:

МР>Траст на сертификат.


Уточнить хочу, правильно ли я понял, если один подписанный файл заработал доверие, то все остальные (обновления, и просто другие продукты) подписанные тем же сертификатом качаются уже без вопросов? А при продлении сертификата сохраняется траст?
Re[5]: Windows SmartScreen дурит
От: rkcsoft Россия  
Дата: 22.01.16 19:44
Оценка:
Здравствуйте, vf, Вы писали:

vf>Уточнить хочу, правильно ли я понял, если один подписанный файл заработал доверие, то все остальные (обновления, и просто другие продукты) подписанные тем же сертификатом качаются уже без вопросов?


Скорее всего да. У меня три проекта, как только на один смартскрин перестал возбуждаться, так сразу же и на других это прошло.
Но пользователей дофига, поэтому порог перехода из одного состояния в другое не подскажу.
Re[6]: Windows SmartScreen дурит
От: wantus  
Дата: 22.01.16 22:05
Оценка:
Здравствуйте, rkcsoft, Вы писали:

R>Здравствуйте, vf, Вы писали:


vf>>Уточнить хочу, правильно ли я понял, если один подписанный файл заработал доверие, то все остальные (обновления, и просто другие продукты) подписанные тем же сертификатом качаются уже без вопросов?


R>Скорее всего да. У меня три проекта, как только на один смартскрин перестал возбуждаться, так сразу же и на других это прошло.


Это просто совпало, скорее всего. SmartScreen'овский траст — он per-application.
https://blog.digicert.com/ms-smartscreen-application-reputation/
Re[7]: Windows SmartScreen дурит
От: vf  
Дата: 23.01.16 10:42
Оценка:
Здравствуйте, wantus, Вы писали:

W>Это просто совпало, скорее всего. SmartScreen'овский траст — он per-application.


При подписи как-то указывается уникальный application id? Не совсем понимаю, как МС определяет, что файл является обновлением доверенного application?
И наоборот, если это так, что мешает разработчику использовать один application id для всех продуктов, чтобы сразу получать траст?

Без этого механизма получится per-file.
Re[7]: Windows SmartScreen дурит
От: М.Р. https://www.wincatalog.com
Дата: 23.01.16 11:28
Оценка:
Здравствуйте, wantus, Вы писали:

W>SmartScreen'овский траст — он per-application.

W>https://blog.digicert.com/ms-smartscreen-application-reputation/

Практика говорит, что траст даётся на сертификат. Теория, та, что по Вашей ссылке, тоже это подтверждает:

Reputation for unsigned software is based on fingerprints while reputation based on signed software is based on the associated code signing certificate and the reputation of the CA that issued the code signing certificate.


И действительно, какие у SmartScreen объективные входные данные, чтобы отличить одно приложение от другого? Никаких, только сертификат. Иначе нужно было бы регистрировать приложение где-то (по типу апп-сторов).
WinCatalog — Disk Catalog Software for Windows
Re[5]: Windows SmartScreen дурит
От: М.Р. https://www.wincatalog.com
Дата: 23.01.16 11:39
Оценка:
Здравствуйте, vf, Вы писали:

vf>Уточнить хочу, правильно ли я понял, если один подписанный файл заработал доверие, то все остальные (обновления, и просто другие продукты) подписанные тем же сертификатом качаются уже без вопросов?


Всё верно.

vf>А при продлении сертификата сохраняется траст?


Как я понимаю этот процесс, и с чем сталкивался на практике — с точки зрения цифровой подписи, продления как такового не существует. То есть, вам выдают новый сертификат с новыми сроками истечения. А далее — новый сертификат, соответственно, новый траст. А продлением это называется лишь со стороны бизнес процессов CA (возможно, Вам не придется проходить повторную валидацию), ну и цена может быть ниже, чем изначальная покупка.
WinCatalog — Disk Catalog Software for Windows
Re: Windows SmartScreen дурит
От: consign  
Дата: 25.01.16 03:44
Оценка:
Здравствуйте, sushko, Вы писали:

S>Выкладываю дистрибутив на сервер, скачиваю его же с сервера — в нижней части IE открывает окошко с красной рамочкой, в которой написано "подпись SETUP.EXE повреждена или недопустима".


У меня эта хрень выдает сообщения про "поврежденные файлы" у дров Radeon и кучи другого софта. Может, у разработчиков SmartScreen просто руки из жопы?
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.