Здравствуйте, uuuser, Вы писали:
U>смайлик потому что смешно!
U>
Лично я некоторые программы подписываю своим сертификатом, выданным самому себе
U>
Что в этом смешного? Можно придумать дофига применений асимметричному алгоритму подписи/шифрования. Почему сразу становится смешно, если к паре ключей добавляется еще и сертификат?
Подписывать бинарники можно в овер дохрена сценариев, в которые не входит лишь один — проверка подписи виндой. Да и то лишь частично не входит — во время работы иснталлятора.
Например у нас есть прога, которая для работы требует админских прав. В случае неподписанного бинарника винда будет выводить окошко о неизвестном издателе при каждом запуске. Но если мы подпишем прогу своим сертификатом, то достаточно будет при инсталляции установить корневой сертификат и все. Далее при каждом использовании прога уже будет доверенной в винде.
Здравствуйте, rean, Вы писали:
r> А умные хомячки что будут делать? Вопиться в припадке от того что это сразу уничтожит их компьютер, превратит его в ботнет, снимет все деньги на всех счетах?
Умные такое ставить просто не будут, потому что умные.
з.ы. Когда Lenovo поставила свой корневик в предустановленные винды, вони было на весь инет. А тут какой-то дерзкий Вася Пупкин...
Здравствуйте, rudzuk, Вы писали:
R>з.ы. Когда Lenovo поставила свой корневик в предустановленные винды, вони было на весь инет. А тут какой-то дерзкий Вася Пупкин...
Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
Тут смотря как этот процесс подать. Во-первых можно ставить не из инсталлятора, а из проги и при первой необходимости. Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить» ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать.
Здравствуйте, NWP, Вы писали:
NWP> Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
company name с самоподписанным сертом... агащазблин.
NWP> Тут смотря как этот процесс подать. Во-первых можно ставить не из инсталлятора, а из проги и при первой необходимости.
То есть безпроблемность запуска этим уже не решается.
NWP> Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить»
Вот я и говорю, только тупые хомяки такую фигню схавают. Одно дело, когда так делает софт специально на это заточенный (всякие безопасниковые снифалки и прочие фидлеры), и совсем другое, когда это будет делать нечто ни коим образом с этой темой не связанное.
NWP> ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать.
После чего попадаешь в базу антивирей и несешь заслуженное наказание.
Здравствуйте, rudzuk, Вы писали:
NWP>> Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
R>company name с самоподписанным сертом... агащазблин.
А какие проблемы? Сам ты можешь выпустить какой угодно серт.
R>То есть безпроблемность запуска этим уже не решается.
Мы с чего разговор начали то? Проследи ветку.
С того, что есть куча сценариев, кроме установки проги, когда подписанные бинарники могут быть полезными.
NWP>> Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить»
R>Вот я и говорю, только тупые хомяки такую фигню схавают. Одно дело, когда так делает софт специально на это заточенный (всякие безопасниковые снифалки и прочие фидлеры), и совсем другое, когда это будет делать нечто ни коим образом с этой темой не связанное.
Опять же обрати внимание какой сценарий мы обсуждаем — софт ТРЕБУЕТ админских прав, так что он вполне может быть из "этих".
NWP>> ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать. R>После чего попадаешь в базу антивирей и несешь заслуженное наказание.
Не факт. Вполне себе легальное АПИ можно заюзать. Но, конечно, это не этичное поведение проги. Для шаровары не пойдет. А вот для корпоративного софта — вполне. Мы писали такой инсталлятор, который ставил два десятка корневых сертов (налоговских, ПФР, ФСС и прочие госы), и чтобы пользователю не тыкать два десятка раз на стандартное окно Windows, делали подавление этого окна и установку этих корневых в тихом режиме. Ни какие антивирусники и прочие файрволы не ругались. Много лет этот софт уже работает и ставится десяткам тысячам пользователей.
Здравствуйте, NWP, Вы писали:
NWP> R>company name с самоподписанным сертом... агащазблин.
NWP> А какие проблемы? Сам ты можешь выпустить какой угодно серт.
Я о том, что company name с самоподписанным сертом это и есть Вася Пупкин. Выглядит настолько же "солидно".
NWP> R>То есть безпроблемность запуска этим уже не решается.
NWP> Мы с чего разговор начали то? Проследи ветку.
Я отвечал на твое:
Например у нас есть прога, которая для работы требует админских прав. В случае неподписанного бинарника винда будет выводить окошко о неизвестном издателе при каждом запуске. Но если мы подпишем прогу своим сертификатом, то достаточно будет при инсталляции установить корневой сертификат и все. Далее при каждом использовании прога уже будет доверенной в винде.
NWP> R>Вот я и говорю, только тупые хомяки такую фигню схавают. Одно дело, когда так делает софт специально на это заточенный (всякие безопасниковые снифалки и прочие фидлеры), и совсем другое, когда это будет делать нечто ни коим образом с этой темой не связанное.
NWP> Опять же обрати внимание какой сценарий мы обсуждаем — софт ТРЕБУЕТ админских прав, так что он вполне может быть из "этих".
К чему тогда разговоры, о том, что серт можно ставить не сразу, а только когда понадобится?
NWP> R>После чего попадаешь в базу антивирей и несешь заслуженное наказание.
NWP> Не факт. Вполне себе легальное АПИ можно заюзать. Но, конечно, это не этичное поведение проги. Для шаровары не пойдет. А вот для корпоративного софта — вполне.
Кейлогеры тоже легальное апи используют, однако же...
У себя дома, вы можете делать что угодно, но для массового софта это неприемлемое решение.
Здравствуйте, NWP, Вы писали:
U>>смайлик потому что смешно! U>>
Лично я некоторые программы подписываю своим сертификатом, выданным самому себе
U>>
NWP>Что в этом смешного? Можно придумать дофига применений асимметричному алгоритму подписи/шифрования. Почему сразу становится смешно, если к паре ключей добавляется еще и сертификат? NWP>Подписывать бинарники можно в овер дохрена сценариев, в которые не входит лишь один — проверка подписи виндой. Да и то лишь частично не входит — во время работы иснталлятора.
NWP>Например у нас есть прога, которая для работы требует админских прав. В случае неподписанного бинарника винда будет выводить окошко о неизвестном издателе при каждом запуске. Но если мы подпишем прогу своим сертификатом, то достаточно будет при инсталляции установить корневой сертификат и все. Далее при каждом использовании прога уже будет доверенной в винде.
установка корневого сертификата юзеру в данном случае не рассматривается от слова вообще, поэтому дофига применений в студию!
Здравствуйте, rean, Вы писали:
r> Любой инсталлятор, запускаемый от администратора, может наделать в системе столько бед, что представить себе трудно.
Поэтому нефиг запускать неподписанные/самоподписанные приложения с требованием админских привилегий.
r> По какому такому закону это ваше заслуженное наказание& Установка пользовательского рут сертификата — это штатная фича винды.
Может, перед тем как строчить простыни текста, стоит внимательно прочитать о чем шла речь? А речь шла о подавлении предупреждения об установке корневика.
Здравствуйте, rean, Вы писали:
r> R>Поэтому нефиг запускать неподписанные/самоподписанные приложения с требованием админских привилегий.
r> Нефиг вообще заниматься шареварой. Лучше дворником. Свежий воздух, физупражнения. Полезно для здоровья.
Очень хотелось возразить, но аргументировать нечем? Понимаю.
r> r>> По какому такому закону это ваше заслуженное наказание& Установка пользовательского рут сертификата — это штатная фича винды.
r> R>Может, перед тем как строчить простыни текста, стоит внимательно прочитать о чем шла речь? А речь шла о подавлении предупреждения об установке корневика.
r> Ну извините, что напряг ваш мозг. Не знал, что у вас сложности с прочтением текста.
Прочитать не смог ты, а сложности, выходит, у меня...
Здравствуйте, NWP, Вы писали:
NWP>Ну во первыя ты ставишь не в предустанлвденные винды, а во вторых не вася пупкин, а вполне себе COMPANY NAME при таком сценарии.
NWP>Тут смотря как этот процесс подать. Во-первых можно ставить не из инсталлятора, а из проги и при первой необходимости. Во-вторых можно пользователя предупредить своими словами так, чтобы не пугать. Чтонить типа «для поверки подлинности ПО требуется установить сертификат COMPANY NAME, нажмите да чтобы подолжить» ну и в третьих — окно об у танлвки корневого можно подавить, хот, конечно, лучше так не делать.
Вот только Windows тебе не даст эту прогу запустить. Так что все что ты написал — не исполнится.
Здравствуйте, rudzuk, Вы писали:
NWP>> А какие проблемы? Сам ты можешь выпустить какой угодно серт.
R>Я о том, что company name с самоподписанным сертом это и есть Вася Пупкин. Выглядит настолько же "солидно".
Ни где не будет видно, что это самоподписанный сертификат. Будет вылазить обычное окно. Будет написано, провереный издатель Company Name, а не «неизвестный издатель». И это сообщение будет у пользователя при каждом запуске операции требующей админских прав.
NWP>> R>То есть безпроблемность запуска этим уже не решается.
NWP>> Мы с чего разговор начали то? Проследи ветку.
R>Я отвечал на твое:
В обсуждаемом сценарии надо один раз поставить корневой, при первом использовании, с соответствующим моменту предупреждением.
R>К чему тогда разговоры, о том, что серт можно ставить не сразу, а только когда понадобится?
К тому что один раз сделал, а дальше имеешь плюшки. Неужели сложно представить?
Ситуация 1.
Пользователь запускает прогу и каждый раз видит окно «разрешить поге от неизвестного издателя внести изменения в комп?» каждый раз. Раз-за разом.
Ситуация 2.
Пользователь запускает прогу и видит сообщение составленное сообразно ситуации, нише программы и ЦА о том, что сейчас будет поставлен сертификат. Затем ставится серт и далее всегда при каждом запуске ему будет выходить окно «разрешить проге от проверенного издателя Company Name и бла, бла,бла»
Вполне себе решение проблемы. И ничего плохого и уж тем более смешного, заслуживающего аж полдесятка смайлов, в этом нет.
