Какая последовательность шагов, чтобы оно не появлялось при запуске проги?
Получается так. Обычный CodeSigning-сертификат не помогает — вроде помогает EV, который стоит в ~5 раз дороже и выдается только юр. лицам.
Вроде должно перестать возникать, если прогу запустит определенное количество пользователей. Какое? Где об этом можно узнать?
Получается замкнутый круг — Windows блокирует запуск, пользователи не запускают -> MS считают что прога никому не нужна и продолжают считать ее опасной.
Или же можно отправить файл MS-ам и они добавят в исключения? Куда отправить?
S>Вроде должно перестать возникать, если прогу запустит определенное количество пользователей. Какое? Где об этом можно узнать?
А хз. С новой программой, наверное, сложно. Если обновление, то значительно проще, конечно же. У меня юзеры почти не ругались при смене сертификата.
Китайцы взломали сервер Пентагона.
1. Каждый китаец попробовал один пароль.
2. Каждый второй пароль был «Мао Цзедун».
3. На 74 357 181-й попытке- сервер согласился, что у него пароль «Мао Цзедун»
Здравствуйте, CyberDemon, Вы писали:
CD>А хз. С новой программой, наверное, сложно. Если обновление, то значительно проще, конечно же. У меня юзеры почти не ругались при смене сертификата.
Windows блокирует на основе сайта, с которого скачали? Откуда знает что это новая версия проги, а не новая прога?
Здравствуйте, Shmj, Вы писали:
S>Windows блокирует на основе сайта, с которого скачали? Откуда знает что это новая версия проги, а не новая прога?
Сертификат новый был
Здравствуйте, Shmj, Вы писали:
S>Какая последовательность шагов, чтобы оно не появлялось при запуске проги?
1. Купить сертификат.
2. Подписать бинарники
3. Для неEV сертификата подождать
S>Получается так. Обычный CodeSigning-сертификат не помогает — вроде помогает EV, который стоит в ~5 раз дороже и выдается только юр. лицам.
Обычный CodeSigning-сертификат помогает если прогу запустит определенное количество пользователей. После этого окно не появляется для очередной подписанной этим сертификатом проги.
Ну не в 5, а в 3.5 раза дороже. И при продажах в $2000/мес отобъётся за пару месяцев. См Про необходимость code signing в цифрах
S>Вроде должно перестать возникать, если прогу запустит определенное количество пользователей. Какое? Где об этом можно узнать?
Если просто запустит определенное количество пользователей — не помогает. Куча бинарей на том же sourcforge без подписи с сотнями тысяч закачек для которых окно по прежнему показывается. (Экстремальный пример с 3+М закачек https://sourceforge.net/projects/orwelldevcpp)
S>Сколько примерно? Десятки сотни или тысячи? Если на Amazon насоздавать вирт. машин с пару десятков с разными IP — поможет?
По моему опыту нужно не меньше сотни установок чтобы Smart Screen расслабился.
Мне надоело ждать и я сделал бесплатную раздачу на sharewareonsale. Через два дня с начала раздачи и после нескольких сотен установок вопрос отпал.
Здравствуйте, Shmj, Вы писали:
S>Здравствуйте, Ivanoff, Вы писали:
I>>Обычный CodeSigning-сертификат помогает если прогу запустит определенное количество пользователей.
S>Сколько примерно? Десятки сотни или тысячи? Если на Amazon насоздавать вирт. машин с пару десятков с разными IP — поможет?
Похоже тысячи, пока наблюдаю дальше. Как будет цифра — добавлю в свой пост.
Здравствуйте, Shmj, Вы писали:
S>Какая последовательность шагов, чтобы оно не появлялось при запуске проги?
Самое простое — раздавать с сайта не EXE, а ZIP. Вся эта хрень возникает исключительно потому, что браузер при скачивании добавляет к EXE NTFS-поток "Zone.Identifier".
S>Обычный CodeSigning-сертификат не помогает — вроде помогает EV
Я сейчас подписал два самодельных EXE сертификатами EV и не-EV, закинул на сервер, скачал оттуда, и запустил в недавно обновленной Win10. На оба файла оно выдало одно и то же сообщение — "Check your internet connection, Windows Defender SmartScreen is unreachable...". Связь с интернетом, разумеется, есть, Defender запущен, ошибок не показывает. Разбираться глубже с этим уродским поделием нет никакого желания, но вряд ли за анализ типа сертификата отвечает SmartScreen. Он, скорее, лишь добывает со своего сервера рейтинг и прочие подробности.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Самое простое — раздавать с сайта не EXE, а ZIP. Вся эта хрень возникает исключительно потому, что браузер при скачивании добавляет к EXE NTFS-поток "Zone.Identifier".
Zip не спасет, если чел. использует встроенный в Windows архиватор Давать в формате 7zip?
ЕМ>Я сейчас подписал два самодельных EXE сертификатами EV и не-EV, закинул на сервер, скачал оттуда, и запустил в недавно обновленной Win10. На оба файла оно выдало одно и то же сообщение — "Check your internet connection, Windows Defender SmartScreen is unreachable...". Связь с интернетом, разумеется, есть, Defender запущен, ошибок не показывает. Разбираться глубже с этим уродским поделием нет никакого желания, но вряд ли за анализ типа сертификата отвечает SmartScreen. Он, скорее, лишь добывает со своего сервера рейтинг и прочие подробности.
Здравствуйте, Ivanoff, Вы писали:
I>Обычный CodeSigning-сертификат помогает если прогу запустит определенное количество пользователей. После этого окно не появляется для очередной подписанной этим сертификатом проги. I>Ну не в 5, а в 3.5 раза дороже. И при продажах в $2000/мес отобъётся за пару месяцев. См Про необходимость code signing в цифрах
Добавлю что у DigiCert по волшебной ссылке SYSDEV можно купить EV на год за $224/год и на три года за $165/год.
Присылают hardware token с сертификатом (все EV требуют этот токен насколько я знаю, независимо от выпускающей authority).
Хз правда как они с Россией работают, но как-то наверное работают.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>Разбираться глубже с этим уродским поделием нет никакого желания, но вряд ли за анализ типа сертификата отвечает SmartScreen. Он, скорее, лишь добывает со своего сервера рейтинг и прочие подробности.
Здравствуйте, Ivanoff, Вы писали:
I>Похоже тысячи, пока наблюдаю дальше. Как будет цифра — добавлю в свой пост.
Тысячи — это дофига. Ведь большой процент пользователей это окошко отсеет — не все понимают почему оно возникает. Чисто психологически нажимать не хочется, MS как бы предупреждает что весь риск ты берешь на себя, мы не рекомендуем.
Здравствуйте, Shmj, Вы писали:
S>Здравствуйте, Ivanoff, Вы писали:
I>>Похоже тысячи, пока наблюдаю дальше. Как будет цифра — добавлю в свой пост.
S>Тысячи — это дофига. Ведь большой процент пользователей это окошко отсеет — не все понимают почему оно возникает. Чисто психологически нажимать не хочется, MS как бы предупреждает что весь риск ты берешь на себя, мы не рекомендуем.
Напиши на сайте на странице закачки подробную инфу с этим скриншотом, дай 100% гарантию что все безопасно.
У этой хреновины есть еще и какая то социальная составляющая. Я как-то установил Win10 на виртуалку, скачал свою программу, а винда меня спросила (дословно, точно не помню): Нравиться вам ли эта программа? И пять вариантов ответов начиная от "Очень нравиться" и заканчивая "Очень не нравиться". Больше такого не встречал.
Здравствуйте, Черный Властелин, Вы писали:
ЧВ>Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>>Разбираться глубже с этим уродским поделием нет никакого желания, но вряд ли за анализ типа сертификата отвечает SmartScreen. Он, скорее, лишь добывает со своего сервера рейтинг и прочие подробности.
ЧВ>Таки отвечает, по крайней мере должен — официальная инфа
Don’t sign or distribute malicious code
Distributing code detected as malicious will remove the reputation from a file and
also any reputation from the associated digital certificate – even if signed with
an EV code signing certificate.
Вот это вот всё...
Пример — у вас множество программ, они подписаны одним сертификатом. Если какая-то поделка типа Webroot вдруг решит что в одной из программ что-то не так (false-positive), то все ваши программы потяряют репутацию. Это же шедеврально!
A>Вот это вот всё... A>Пример — у вас множество программ, они подписаны одним сертификатом. Если какая-то поделка типа Webroot вдруг решит что в одной из программ что-то не так (false-positive), то все ваши программы потяряют репутацию. Это же шедеврально!
Практическое решение мне видится такое:
Купить 2 сертификата у разных компаний. И держать второй на всякий случай. При случае убедиться что False Positive прошёл и переподписать продающиеся программы вторым сертификатом.
И к слову, я рекомендую ещё и иметь 2х регистраторов. И даже запасной сайт- зеркало, со схожим названием у другого жостера.
У нас был случай, когда хостер начал неожиданно перенос сайтов другому хостеру — типа их купили. Срок переноса 24-48 часов. При этом полетели всякие PHP скрипты из-за разных настроек у хостеров. 3 дня матерились. В соц сетях тогда мы выкладывали ссылки на дистрибутив и на покупку и способ связаться с техподдержкой. В целом все обошлось. В последующие дни народ покупал больше обычного.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Здравствуйте, autopsist, Вы писали:
A>>Вот это вот всё... A>>Пример — у вас множество программ, они подписаны одним сертификатом. Если какая-то поделка типа Webroot вдруг решит что в одной из программ что-то не так (false-positive), то все ваши программы потяряют репутацию. Это же шедеврально!
M_F>Практическое решение мне видится такое: M_F>Купить 2 сертификата у разных компаний. И держать второй на всякий случай. При случае убедиться что False Positive прошёл и переподписать продающиеся программы вторым сертификатом.
Без разницы. При возникновении фолса вам прийдется сперва договариваться с антивирями. Репутация сертификата при этом будет скинута в ноль. Подпишете вторым сертификатом — репутация все равно будет нулевой. Плюс фолс же не по сертификату а по приложению антивири нарисуют.
Мы пока сделали инсталлеры, которые качают основу в 7zip...
В итоге подпись старая, инсталлеры не меняются длительное время.
За антивирями следим, но всеже нет уверенности что не появятся очередные поделки, которые найдут похожие сигнатуры.
Здравствуйте, autopsist, Вы писали:
A>Мы пока сделали инсталлеры, которые качают основу в 7zip... A>В итоге подпись старая, инсталлеры не меняются длительное время. A>За антивирями следим
а как вы за ними следите? отсутствие фолса на инсталлер не означает, что в реальных условиях это антивирь не блокирует скачивание и распаковку хрен знает чего.
Здравствуйте, Shmj, Вы писали:
S>Здравствуйте, Ivanoff, Вы писали:
I>>Похоже тысячи, пока наблюдаю дальше. Как будет цифра — добавлю в свой пост.
S>Тысячи — это дофига.
Здравствуйте, autopsist, Вы писали:
A>Без разницы. При возникновении фолса вам прийдется сперва договариваться с антивирями. Репутация сертификата при этом будет скинута в ноль. Подпишете вторым сертификатом — репутация все равно будет нулевой. Плюс фолс же не по сертификату а по приложению антивири нарисуют.
У второго EV сертификата всё должно остаться нормально с репутацией. Впрочем, если репутация набирается по Subject, а не по конкретному сертификату, то всё может быть.
Здравствуйте, uuuser, Вы писали:
U>Здравствуйте, autopsist, Вы писали:
A>>Мы пока сделали инсталлеры, которые качают основу в 7zip... A>>В итоге подпись старая, инсталлеры не меняются длительное время. A>>За антивирями следим
U>а как вы за ними следите? отсутствие фолса на инсталлер не означает, что в реальных условиях это антивирь не блокирует скачивание и распаковку хрен знает чего.
В нашем распоряжении только вирустотал к сожалению. Хрен знает чего антивири блокируют конечно, но пока не было замечено чтобы они блокировали то, что качается и ставится легитимным установщиком. Были проблемы только с файерволами.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>У нас был случай, когда хостер начал неожиданно перенос сайтов другому хостеру — типа их купили. Срок переноса 24-48 часов. При этом полетели всякие PHP скрипты из-за разных настроек у хостеров. 3 дня матерились.
не проще ли свой VPS держать и не зависеть от хостера?
Здравствуйте, Shmj, Вы писали:
S>Это:
S>Image: DntRun.png
S>Какая последовательность шагов, чтобы оно не появлялось при запуске проги?
Нашел свою старую прогу с подписью — выложил на хост, скачал — ошибка окошко не возникает. Проге уже лет 8.
Нашел вторую, которой пользовался только я один — подпись есть, срок 8 лет — окошко возникает! Т.е. все-таки важно запускали ли прогу другие пользователи, просто срок ничего не решает.
Получается, по сути, MS ввели обязательную плату за публикацию прог — покупай именно EV в любом случае, просто на физ. лицо не годится. Х.З. сколько нужно ждать и сколько пользователей должно запустить. Вообще смысла нет в серте, получается.
S>Получается, по сути, MS ввели обязательную плату за публикацию прог — покупай именно EV в любом случае, просто на физ. лицо не годится. Х.З. сколько нужно ждать и сколько пользователей должно запустить. Вообще смысла нет в серте, получается.
Это было понятно с самого появления EV сертификатов.
Но ИМХО есть относительно простое решение.
При необходимости набрать репутацию для нового сертификата можно сделать уведомление по старым, проверенным клиентам, что мол вышла новая (тестовая) версия, поставьте пожалуйста — скачать отсюда. А на сайте временно оставить старую, чтобы новые потенциальные клиенты не натыкались на окошко Windows protected your PC. Старым можно объяснить, что если выдалось окошко, то нажать тут для запуска.
Более того, такое уведомление можно запускать не по всем странам, а например по РФ или по Индии или по Вьетнаму где люди не параноят по поводу надписей. А для набора репутации сертификата любая страна подойдёт.
Здравствуйте, autopsist, Вы писали:
A>Мы пока сделали инсталлеры, которые качают основу в 7zip... A>В итоге подпись старая, инсталлеры не меняются длительное время. A>За антивирями следим, но всеже нет уверенности что не появятся очередные поделки, которые найдут похожие сигнатуры.
Интересная идея!
Кстати, а инсталлеры, которые загружают основу в 7zip вручную делали или какие-то инструменты для этого есть или это надстройка над Innosetup?
Здравствуйте, Matrix_Failure, Вы писали:
M_F>При необходимости набрать репутацию для нового сертификата
А как, кстати, можно узнать эту самую репутацию? Просмотрел несколько профильных статей — везде трындят о том, как и зачем репутация формируется, но ни слова о том, как ее можно проверить.
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>А как, кстати, можно узнать эту самую репутацию? Просмотрел несколько профильных статей — везде трындят о том, как и зачем репутация формируется, но ни слова о том, как ее можно проверить.
Ни как проверить ни какаих-либо конкретных шагов как убрать триклятое окошко. Ясно что просто баблишка нужно заплатить. Исключение — если прога для хобби.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Здравствуйте, autopsist, Вы писали:
A>>Мы пока сделали инсталлеры, которые качают основу в 7zip... A>>В итоге подпись старая, инсталлеры не меняются длительное время. A>>За антивирями следим, но всеже нет уверенности что не появятся очередные поделки, которые найдут похожие сигнатуры.
M_F>Интересная идея! M_F>Кстати, а инсталлеры, которые загружают основу в 7zip вручную делали или какие-то инструменты для этого есть или это надстройка над Innosetup?
CreateInstall. У нас обычные инсталлеры на нем тоже собраны. Наверное и InnoSetup умеет подобное...
Здравствуйте, Евгений Музыченко, Вы писали:
ЕМ>А как, кстати, можно узнать эту самую репутацию? Просмотрел несколько профильных статей — везде трындят о том, как и зачем репутация формируется, но ни слова о том, как ее можно проверить.
Так скачать хромом и запустить. Если выдаётся окошко Windows Protected Your PC — значит ещё не набралась.
По моим прикидкам, при наличии подписи достаточно 250-1000 запусков для набора репутации.
Давать в формате 7zip?
