Недавно обновили сертификат (обычный, не EV). Предупреждение SmartScreen упорно висело где-то неделю. Потом выпустили новую версию, после чего оно тут же пропало и больше уже не показывается для этой ЦП. То есть там логика более сложная, чем "набрать X загрузок". Надо пытаться выкладыват разные дистрибутивы и почаще обновлять, пока SmartScreen не исчез.
Re: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, nen777w, Вы писали:
N>2) Для тех кому не нравится мысль самомоу открывать компанию. N> Орагнизовать свою гильдию шароварщиков. Открыть компанию. С узким кругом доверия друг к другу. Купить EV-сертификат который шарить между собой для подписи софта.
Вопрос кто будет заниматься организацией (компании, сертификатами). За спасибо вряд ли кто согласится..
Форум этот открытый, если попадёт хоть один неадекват — серт отзовут, и у всех будут неприятности (возможно и попадание веб сайта в какой-нибудь черный список)
Re[3]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, nen777w, Вы писали:
N> Орагнизовать свою гильдию шароварщиков. Открыть компанию. С узким кругом доверия друг к другу. Купить EV-сертификат который шарить между собой для подписи софта.
У StartCom изначально была ровно эта идея (взаимная валидация). Закончили они, увы, печально.
У меня SmartScreen уходит примерно через несколько месяцев. Наученный печальным опытом, сейчас беру сертификат на 3 года минимум
Re: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, nen777w, Вы писали: N>1) Вроде что бы сертификат набрал "репутацию" нужно около 10-15 тыс установок. Возможно существуют бото-фермы которые могут это осуществить?
Ботофермы, гильдии шароварщиков, это все чревато попадаловом. Отзыв расшареваемого сертификата и вся гильдия дружно сосет лапу. Если платный продукт редко скачиваемый, то имхо лучше пойти по пути дополнительного. Сделать какую либо фривару (если ее еще нет), при выпуске нового серта, подписывать ее за пару недель до релиза платного продукта, серт набирает репутацию. Причем, согласно рекомендациям мелкомягких
При очередном перевыпуске codesign сертификата (не EV) переподписываю второй продукт бесплатный, который давно не обновлялся. И выкладываю на сайт. Smartscreen ругается где-то от нескольких дней до 2 недель (в день у меня 20 закачек).
После прокачки сертификата переподписываю основной продукт — SmartScreen ругается на него где-то день — и все, теперь проходит отлично.
Важно. Оба продукта я НЕ перекомпилировал — они те же самые. Только обновлял codesign подпись в EXE дистрибутиве.
По мне так проблема чересчур драматизирована. Неприятно, но вполне обходится.
Re[5]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, Ivanoff, Вы писали:
I>Уточните, пожалуйста. Переподписывали только инсталлятор? Или все бинари, а исталлятор заново собирался?
При перевыпуске codesign сертификата (в 2020 году и ранее в 2017 году) от Sectigo только переподписывал EXE инсталлятора (продукт не перекомпилировал, потому что старые подписи НЕ устаревают и продолжают работать).
Как написал выше, этого было достаточно чтобы SmartScreen не возбуждался.
А позднее, при плановом обновлении продукта (скажем через 3-4 недели) уже пересобирал весь продукт и все EXE уже с новым сертификатом.
Re[4]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, Aleksid1, Вы писали:
A>Важно. Оба продукта я НЕ перекомпилировал — они те же самые. Только обновлял codesign подпись в EXE дистрибутиве.
Уточните, пожалуйста. Переподписывали только инсталлятор? Или все бинари, а исталлятор заново собирался?
Microsoft Smart Screen, давайте как то искать выход из ситуации
Давайте сообща искать выход из ситуации. У меня пока такие мысли:
1) Вроде что бы сертификат набрал "репутацию" нужно около 10-15 тыс установок. Возможно существуют бото-фермы которые могут это осуществить?
2) Для тех кому не нравится мысль самомоу открывать компанию.
Орагнизовать свою гильдию шароварщиков. Открыть компанию. С узким кругом доверия друг к другу. Купить EV-сертификат который шарить между собой для подписи софта.
Re[2]: Microsoft Smart Screen, давайте как то искать выход из ситуации
N>>2) Для тех кому не нравится мысль самомоу открывать компанию. N>> Орагнизовать свою гильдию шароварщиков. Открыть компанию. С узким кругом доверия друг к другу. Купить EV-сертификат который шарить между собой для подписи софта.
O>Вопрос кто будет заниматься организацией (компании, сертификатами). За спасибо вряд ли кто согласится.. O>Форум этот открытый, если попадёт хоть один неадекват — серт отзовут, и у всех будут неприятности (возможно и попадание веб сайта в какой-нибудь черный список)
Как один из вариантов, для того что бы обеспечить надежность, это единый сервер для подписи, и участники должны перепроверять софт который собираютя подписать другие его участники.
Что то вроде binary review.
Re: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, nen777w, Вы писали:
N>Это проблему не решает.
А если через магазин распространять? Это работает? Может суть в том, чтобы закинуть всех в магазин?
Sic luceat lux!
Re[2]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, os77, Вы писали:
O>Здравствуйте, Kernan, Вы писали: K>>А если через магазин распространять? Это работает? Может суть в том, чтобы закинуть всех в магазин?
O>Осталось найти тех кто сделал сабмит x86 приложений в Windows Store, и раскажет как...
Я что-то везде читаю и вижу что они только с UWP работают, а к традиционному надо какую-то магию конвертации применять.
Sic luceat lux!
Re[2]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, Kernan, Вы писали:
N>>Это проблему не решает. K>А если через магазин распространять? Это работает? Может суть в том, чтобы закинуть всех в магазин?
AFAIK туда не любые программы принимаются, а только упакованные как Universal Platform (контейнер по сути). MSI/EXE не поддерживаются.
Если софтине допустим требуется писать или читать из реестра, или использовать COM, это сразу "до свидания".
Или что-то изменилось?
Re[3]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, bnk, Вы писали:
bnk>Если софтине допустим требуется писать или читать из реестра, или использовать COM, это сразу "до свидания".
Я был не в курсе. Тогджа да, попадалово получается.
Sic luceat lux!
Re[3]: Microsoft Smart Screen, давайте как то искать выход и
Интереснее выглядит preview на прямой сабмит EXE/MSI
https://docs.microsoft.com/en-us/windows/uwp/publish/ MSI and EXE support in the Microsoft Store is currently in a limited public preview phase. As the size of the preview expands, we'll be adding new participants from the wait list. To join the wait list, click here
Здравствуйте, bnk, Вы писали:
bnk> AFAIK туда не любые программы принимаются, а только упакованные как Universal Platform (контейнер по сути). MSI/EXE не поддерживаются. bnk> Если софтине допустим требуется писать или читать из реестра, или использовать COM, это сразу "до свидания". bnk> Или что-то изменилось?
Я думал это упаковщик в контейнер (виртуальное окружение).
То есть, возвращаясь к реестру, доступа к реальному реестру не будет, а (возможно) будет к "выдуманному для этой программы".
Re[7]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, bnk, Вы писали:
bnk> R>Тут есть некоторые подробности: https://docs.microsoft.com/en-us/windows/msix/desktop/desktop-to-uwp-prepare
bnk> Я думал это упаковщик в контейнер (виртуальное окружение). bnk> То есть, возвращаясь к реестру, доступа к реальному реестру не будет, а (возможно) будет к "выдуманному для этой программы".
App packages contain a registry.dat file, which serves as the logical equivalent of HKLM\Software in the real registry. At runtime, this virtual registry merges the contents of this hive into the native system hive to provide a singular view of both. For example, if registry.dat contains a single key "Foo", then a read of HKLM\Software at runtime will also appear to contain "Foo" (in addition to all the native system keys).
Although MSIX packages include HKLM and HKCU keys, they are treated differently. Only keys under HKLM\Software are part of the package; keys under HKCU or other parts of the registry are not. Writes to keys or values in the package are not allowed. Writes to keys or values not part of the package are allowed as long as the user has permission.
All writes under HKCU are copy-on-written to a private per-user, per-app location. Traditionally, uninstallers are unable to clean HKEY_CURRENT_USER because the registry data for logged out users is unmounted and unavailable.
All writes are kept during package upgrade and only deleted when the application is removed entirely.
Здравствуйте, Freeze, Вы писали:
F>Недавно обновили сертификат (обычный, не EV). Предупреждение SmartScreen упорно висело где-то неделю. Потом выпустили новую версию, после чего оно тут же пропало и больше уже не показывается для этой ЦП. То есть там логика более сложная, чем "набрать X загрузок". Надо пытаться выкладыват разные дистрибутивы и почаще обновлять, пока SmartScreen не исчез.
Совпадение? Не думаю..
Re[4]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, Ivanoff, Вы писали:
I>Вопрос в сторону. А почему бы уже не переехать на 64 бита? Наша статистика говорит, что у юзеров 32 битных windows менее 2%.
При чем тут 64 бита, если речь про EXE vs UWP?
Re[5]: Microsoft Smart Screen, давайте как то искать выход из ситуации
I>Не, ну если докапываться до формулировок, то UWP — это разве не EXE? Или что имелось ввиду? I>ЗЫ. Изначально было не очень понятно, что суть проблемы не в битности.
разные платформы — win32 и WinRT
Re[7]: Microsoft Smart Screen, давайте как то искать выход из ситуации
N>Давайте сообща искать выход из ситуации. У меня пока такие мысли:
А может просто сделать скачиватель своего софта и один раз подписать с отметкой времени?
Типа инсталлятор innosetup, скачивает 7z, разжимает в папки и переименовывает в EXE. Вроде даже кто-то тут на RSDN какие-то нюансы реализации такого скачивателя приводил.
Чем не идея продукта для продажи?
Типа настроить с какого сайта скачать 7zip, настроить пароль и название. И кнопку создать скачиватель.
Далее её шароварщик подписывает своим сертом и пользуется много лет, просто меняя 7zip архивы на своём сайте.
Здравствуйте, Matrix_Failure, Вы писали:
M_F>Здравствуйте, nen777w, Вы писали:
N>>Давайте сообща искать выход из ситуации. У меня пока такие мысли:
M_F>А может просто сделать скачиватель своего софта и один раз подписать с отметкой времени?
M_F>Типа инсталлятор innosetup, скачивает 7z, разжимает в папки и переименовывает в EXE. Вроде даже кто-то тут на RSDN какие-то нюансы реализации такого скачивателя приводил.
Воооооот...
M_F>Чем не идея продукта для продажи? M_F>Типа настроить с какого сайта скачать 7zip, настроить пароль и название. И кнопку создать скачиватель. M_F>Далее её шароварщик подписывает своим сертом и пользуется много лет, просто меняя 7zip архивы на своём сайте.
У нас скачиватель (установщик) настраивается сервером — спрашивает параметры и дальше отрабатывает. Продавать не думали, специфичная уж больно штука и настроек через чур много надо реализовать, чтобы всем угодить. Сертификат кстати давно протух по времени, пока не переподписывали скачивалку — и так хорошо работает.
Re[2]: Microsoft Smart Screen, давайте как то искать выход из с
Здравствуйте, Matrix_Failure, Вы писали:
M_F>А может просто сделать скачиватель своего софта и один раз подписать с отметкой времени?
M_F>Типа инсталлятор innosetup, скачивает 7z, разжимает в папки и переименовывает в EXE. Вроде даже кто-то тут на RSDN какие-то нюансы реализации такого скачивателя приводил.
Этим самым отсекаем юзеров без интернета/с ограниченным интернетом. Есть также те, кто хочет иметь дистрибутив в своих архивах на случай, если "вендор умрет и сайт программы исчезнет".
Re[8]: Microsoft Smart Screen, давайте как то искать выход из ситуации
Здравствуйте, Aniskin, Вы писали:
A>Здравствуйте, Matrix_Failure, Вы писали:
M_F>>А может просто сделать скачиватель своего софта и один раз подписать с отметкой времени?
M_F>>Типа инсталлятор innosetup, скачивает 7z, разжимает в папки и переименовывает в EXE. Вроде даже кто-то тут на RSDN какие-то нюансы реализации такого скачивателя приводил.
A>Этим самым отсекаем юзеров без интернета/с ограниченным интернетом.
Ooops! Чтобы скачать установщик тоже нужен интернет.
Но да, есть клиенты, которые скачали на флешку и ставят потом где-то еще на машину без инета. Такие примерно 1-2 человека в год попадаются.
Никто не мешает предусмотреть наличие обычного сетапа и, если надо, portable версии. При этом и то и другое можно вообще не подписывать.
A>Есть также те, кто хочет иметь дистрибутив в своих архивах на случай, если "вендор умрет и сайт программы исчезнет".
На самом деле те, кто хочет иметь дистр в архивах ни о чем не подозревая (не думая) кладут в архив инсталлятор-качалку.
В общем проблема надуманная.
Re: Microsoft Smart Screen, давайте как то искать выход из ситуации