Здравствуйте, Brahmaputra, Вы писали:
B>Допустим, в приложении есть главный екзешник, вспомогательные экзешники, консольные утилиты, dll. Это все подписывать?
Здравствуйте, rean, Вы писали:
B>>Допустим, в приложении есть главный екзешник, вспомогательные экзешники, консольные утилиты, dll. Это все подписывать?
R>Цель подписи какая? От этого и стоит думать, что подписывать, а что не стоит.
Здравствуйте, rean, Вы писали:
R>- Некоторые утилиты, манипулирующие рабочим столом или системой (например, поверх видео окна поместить свое окно) без подписи Windows не загрузятся.
Кидание ярлыка на рабочий стол инсталлятором сюда относится? В последнее время вижу, многие софтины этого не делают.
R>- Пользователь уверен в производителе программы, может его разыскать, подать на него в суд и т.п. R>- Пользователь может доверять производителю, зная, что запускает его бинарник, а не пропатченный злоумышленником или вирусом.
Или не доверять, увидев русскую фамилию..
R>Ништяки для нас:
R>- Потенциально антивирусы могут быть более лояльными к подписанными бинарниками (но это не гарантирует лояльность).
А реально?
R>- Можно узнать, когда именно был создан бинарник, понимая, что никто не сможет подменить бинарник за ту же дату.
Кому это надо, кроме 3 человек на планете?
R>Так что про свои бинарники еще можно подумать, а подписывая чужие бинарники, подумать вдвойне.
Инсталл.exe — чей бинарник? Его генерит генератор, а не автор программы.
Здравствуйте, rean, Вы писали:
r> Лично я некоторые программы подписываю своим сертификатом, выданным самому себе (я сам себе корневой центр выдачи сертификатов)
Здравствуйте, rean, Вы писали:
R>>>Спросите на форуме, у меня опыта нет в этом. U>>вот с этого и нужно было начинать, а то буков много, а толку как обычно
R>А уж от вашего самодовольного смайлика и желания нахейтить на ровном мести толка так вообще — можно нобелевку давать. R>Еще один лох, отдавший кучу баксов за воздух и желающий оправдать свои деньги?
вот с этого и нужно было начинать!
зачем лезть в темы которые к вашей религии отношения не имеют? какую полезную информацию вы можете донести если являетесь теоретиком да ещё и с извращённой точкой зрения по данной теме ?
Здравствуйте, rean, Вы писали:
r>>>> Лично я некоторые программы подписываю своим сертификатом, выданным самому себе (я сам себе корневой центр выдачи сертификатов) R>>>Какой в этом смысл??? R>>Для идентификации неизменности бинарника.
R>Вот, хейтер поставил второй смайлик. Товарищ uuuser не понимает, как так может быть, что люди используют подпись, с пользой для себя и БЕСПЛАТНО!
смайлик потому что смешно!
Лично я некоторые программы подписываю своим сертификатом, выданным самому себе
Здравствуйте, rean, Вы писали:
R>>>- Можно узнать, когда именно был создан бинарник, понимая, что никто не сможет подменить бинарник за ту же дату. N>>Кому это надо, кроме 3 человек на планете?
R>Лично вам. Вот вчера я обнаружил что мою программу «якобы взломали». Скачал крак, внутри инсталлятор. Не измененный. Парой-тройкой клика это определил. R>Крак, разумеется, не работает.
Нахрена для этого какая-то подпись, когда можно просто сравнить файл с оригиналом?
Здравствуйте, uuuser, Вы писали:
U>смайлик потому что смешно!
U>
Лично я некоторые программы подписываю своим сертификатом, выданным самому себе
U>
Что в этом смешного? Можно придумать дофига применений асимметричному алгоритму подписи/шифрования. Почему сразу становится смешно, если к паре ключей добавляется еще и сертификат?
Подписывать бинарники можно в овер дохрена сценариев, в которые не входит лишь один — проверка подписи виндой. Да и то лишь частично не входит — во время работы иснталлятора.
Например у нас есть прога, которая для работы требует админских прав. В случае неподписанного бинарника винда будет выводить окошко о неизвестном издателе при каждом запуске. Но если мы подпишем прогу своим сертификатом, то достаточно будет при инсталляции установить корневой сертификат и все. Далее при каждом использовании прога уже будет доверенной в винде.
Здравствуйте, rean, Вы писали:
r> А умные хомячки что будут делать? Вопиться в припадке от того что это сразу уничтожит их компьютер, превратит его в ботнет, снимет все деньги на всех счетах?
Умные такое ставить просто не будут, потому что умные.
з.ы. Когда Lenovo поставила свой корневик в предустановленные винды, вони было на весь инет. А тут какой-то дерзкий Вася Пупкин...
Здравствуйте, rudzuk, Вы писали:
R>з.ы. Когда Lenovo поставила свой корневик в предустановленные винды, вони было на весь инет. А тут какой-то дерзкий Вася Пупкин...
Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
Тут смотря как этот процесс подать. Во-первых можно ставить не из инсталлятора, а из проги и при первой необходимости. Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить» ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать.
Здравствуйте, NWP, Вы писали:
NWP> Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
company name с самоподписанным сертом... агащазблин.
NWP> Тут смотря как этот процесс подать. Во-первых можно ставить не из инсталлятора, а из проги и при первой необходимости.
То есть безпроблемность запуска этим уже не решается.
NWP> Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить»
Вот я и говорю, только тупые хомяки такую фигню схавают. Одно дело, когда так делает софт специально на это заточенный (всякие безопасниковые снифалки и прочие фидлеры), и совсем другое, когда это будет делать нечто ни коим образом с этой темой не связанное.
NWP> ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать.
После чего попадаешь в базу антивирей и несешь заслуженное наказание.
Здравствуйте, rudzuk, Вы писали:
NWP>> Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
R>company name с самоподписанным сертом... агащазблин.
А какие проблемы? Сам ты можешь выпустить какой угодно серт.
R>То есть безпроблемность запуска этим уже не решается.
Мы с чего разговор начали то? Проследи ветку.
С того, что есть куча сценариев, кроме установки проги, когда подписанные бинарники могут быть полезными.
NWP>> Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить»
R>Вот я и говорю, только тупые хомяки такую фигню схавают. Одно дело, когда так делает софт специально на это заточенный (всякие безопасниковые снифалки и прочие фидлеры), и совсем другое, когда это будет делать нечто ни коим образом с этой темой не связанное.
Опять же обрати внимание какой сценарий мы обсуждаем — софт ТРЕБУЕТ админских прав, так что он вполне может быть из "этих".
NWP>> ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать. R>После чего попадаешь в базу антивирей и несешь заслуженное наказание.
Не факт. Вполне себе легальное АПИ можно заюзать. Но, конечно, это не этичное поведение проги. Для шаровары не пойдет. А вот для корпоративного софта — вполне. Мы писали такой инсталлятор, который ставил два десятка корневых сертов (налоговских, ПФР, ФСС и прочие госы), и чтобы пользователю не тыкать два десятка раз на стандартное окно Windows, делали подавление этого окна и установку этих корневых в тихом режиме. Ни какие антивирусники и прочие файрволы не ругались. Много лет этот софт уже работает и ставится десяткам тысячам пользователей.
Здравствуйте, NWP, Вы писали:
NWP> R>company name с самоподписанным сертом... агащазблин.
NWP> А какие проблемы? Сам ты можешь выпустить какой угодно серт.
Я о том, что company name с самоподписанным сертом это и есть Вася Пупкин. Выглядит настолько же "солидно".
NWP> R>То есть безпроблемность запуска этим уже не решается.
NWP> Мы с чего разговор начали то? Проследи ветку.
Я отвечал на твое:
Например у нас есть прога, которая для работы требует админских прав. В случае неподписанного бинарника винда будет выводить окошко о неизвестном издателе при каждом запуске. Но если мы подпишем прогу своим сертификатом, то достаточно будет при инсталляции установить корневой сертификат и все. Далее при каждом использовании прога уже будет доверенной в винде.
NWP> R>Вот я и говорю, только тупые хомяки такую фигню схавают. Одно дело, когда так делает софт специально на это заточенный (всякие безопасниковые снифалки и прочие фидлеры), и совсем другое, когда это будет делать нечто ни коим образом с этой темой не связанное.
NWP> Опять же обрати внимание какой сценарий мы обсуждаем — софт ТРЕБУЕТ админских прав, так что он вполне может быть из "этих".
К чему тогда разговоры, о том, что серт можно ставить не сразу, а только когда понадобится?
NWP> R>После чего попадаешь в базу антивирей и несешь заслуженное наказание.
NWP> Не факт. Вполне себе легальное АПИ можно заюзать. Но, конечно, это не этичное поведение проги. Для шаровары не пойдет. А вот для корпоративного софта — вполне.
Кейлогеры тоже легальное апи используют, однако же...
У себя дома, вы можете делать что угодно, но для массового софта это неприемлемое решение.
Здравствуйте, NWP, Вы писали:
U>>смайлик потому что смешно! U>>
Лично я некоторые программы подписываю своим сертификатом, выданным самому себе
U>>
NWP>Что в этом смешного? Можно придумать дофига применений асимметричному алгоритму подписи/шифрования. Почему сразу становится смешно, если к паре ключей добавляется еще и сертификат? NWP>Подписывать бинарники можно в овер дохрена сценариев, в которые не входит лишь один — проверка подписи виндой. Да и то лишь частично не входит — во время работы иснталлятора.
NWP>Например у нас есть прога, которая для работы требует админских прав. В случае неподписанного бинарника винда будет выводить окошко о неизвестном издателе при каждом запуске. Но если мы подпишем прогу своим сертификатом, то достаточно будет при инсталляции установить корневой сертификат и все. Далее при каждом использовании прога уже будет доверенной в винде.
установка корневого сертификата юзеру в данном случае не рассматривается от слова вообще, поэтому дофига применений в студию!
Здравствуйте, rean, Вы писали:
r> Любой инсталлятор, запускаемый от администратора, может наделать в системе столько бед, что представить себе трудно.
Поэтому нефиг запускать неподписанные/самоподписанные приложения с требованием админских привилегий.
r> По какому такому закону это ваше заслуженное наказание& Установка пользовательского рут сертификата — это штатная фича винды.
Может, перед тем как строчить простыни текста, стоит внимательно прочитать о чем шла речь? А речь шла о подавлении предупреждения об установке корневика.
Здравствуйте, rean, Вы писали:
r> R>Поэтому нефиг запускать неподписанные/самоподписанные приложения с требованием админских привилегий.
r> Нефиг вообще заниматься шареварой. Лучше дворником. Свежий воздух, физупражнения. Полезно для здоровья.
Очень хотелось возразить, но аргументировать нечем? Понимаю.
r> r>> По какому такому закону это ваше заслуженное наказание& Установка пользовательского рут сертификата — это штатная фича винды.
r> R>Может, перед тем как строчить простыни текста, стоит внимательно прочитать о чем шла речь? А речь шла о подавлении предупреждения об установке корневика.
r> Ну извините, что напряг ваш мозг. Не знал, что у вас сложности с прочтением текста.
Прочитать не смог ты, а сложности, выходит, у меня...
Здравствуйте, NWP, Вы писали:
NWP>Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
NWP>Тут смотря как этот процесс подать. Во-первых можно ставить не из инсталлятора, а из проги и при первой необходимости. Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить» ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать.
Вот только Windows тебе не даст эту прогу запустить. Так что все что ты написал — не исполнится.
Здравствуйте, rudzuk, Вы писали:
NWP>> А какие проблемы? Сам ты можешь выпустить какой угодно серт.
R>Я о том, что company name с самоподписанным сертом это и есть Вася Пупкин. Выглядит настолько же "солидно".
Ни где не будет видно, что это самоподписанный сертификат. Будет вылазить обычное окно. Будет написано, провереный издатель Company Name, а не «неизвестный издатель». И это сообщение будет у пользователя при каждом запуске операции требующей админских прав.
NWP>> R>То есть безпроблемность запуска этим уже не решается.
NWP>> Мы с чего разговор начали то? Проследи ветку.
R>Я отвечал на твое:
В обсуждаемом сценарии надо один раз поставить корневой, при первом использовании, с соответствующим моменту предупреждением.
R>К чему тогда разговоры, о том, что серт можно ставить не сразу, а только когда понадобится?
К тому что один раз сделал, а дальше имеешь плюшки. Неужели сложно представить?
Ситуация 1.
Пользователь запускает прогу и каждый раз видит окно «разрешить поге от неизвестного издателя внести изменения в комп?» каждый раз. Раз-за разом.
Ситуация 2.
Пользователь запускает прогу и видит сообщение составленное сообразно ситуации, нише программы и ЦА о том, что сейчас будет поставлен сертификат. Затем ставится серт и далее всегда при каждом запуске ему будет выходить окно «разрешить проге от проверенного издателя Company Name и бла, бла,бла»
Вполне себе решение проблемы. И ничего плохого и уж тем более смешного, заслуживающего аж полдесятка смайлов, в этом нет.
