Народ, а есть какой-то способ обойти Windows SmartScreen?
Каждый раз, как выкладываем обновление, какое-то время этот SmartScreen показывает варнинги пользователям, что этот файл может нанести вред вашему ПК. Понятное дело, что часть пользователей этого пугается и этот варнинг проходит через день-два, но вот хочется и эти день-два проблемы не иметь.
Есть какой-то способ (например, на проверку перед релизом майкрософту отправить) или еще как добиться того, чтобы даже в первые дни варнинг У ПОЛЬЗОВАТЕЛЕЙ не всплывал?
Либо можно в первые несколько дней раздавать апдейт только всяким левым странам, откуда никто толком не покупает, а потом выкладывать для всех остальных.
Здравствуйте, ArcticLine2, Вы писали:
AL>Каждый раз, как выкладываем обновление, какое-то время этот SmartScreen показывает варнинги пользователям, что этот файл может нанести вред вашему ПК. Понятное дело, что часть пользователей этого пугается и этот варнинг проходит через день-два, но вот хочется и эти день-два проблемы не иметь.
Подпись помогает. Не обязательно EV, обычный сертификат тоже работает.
Чтобы быстро набрать рейтинг, мы в свое время купили EV на старте — он набрал репутацию мгновенно. Затем покупали обычный — к нему перешла репутация от EV, видимо по совпадению имени организации.
Здравствуйте, uuuser, Вы писали:
U>а что, подписи уже можно подделывать? или вы своим кастомерам md5 на бересте раздаёте чтобы они подлинность exe'шника проверяли перед запуском?
Я за доверенные источники с которых можно скачать программу, а не за хренов с горы гребущих деньги и шантажирующих независимых разработчиков всплывающими окнами встроенными в операционку. Уверяю, если бы это окно не всплывало, мало бы кто озаботился проверкой установщика. А как раньше то жили, ставили софт с лазерных дисков, а до этого с дискет, причём всё без сертификации. Что касается хеш-сумм, то идея проверки целостности архива, подчёркиваю целостности, вполне себе здравая. Пишу это сообщение с Debian 9 и именно так в мире GNU/Linux и поступают. Как раз приведённый случай с md5.
Или ладно, возьмём сертификаты. Где-то там в интернете есть центр сертификации. Но вопрос, откуда пользователь берёт пакет установки? С центра сертификации? Нет, он качает его с сайта разработчика, на худой конец с какого-нибудь магазина. И тогда возникает вопрос, а что собственно здесь сертифицировать? Если пользователь не доверяет этому источнику, то зачем оттуда качает?
Или руководство поручило установить Васе Пупкину софт, но Васян может запороть операционку и без всякого софта если захочет. Сертификат на приложение это даже не защита от дурака, это вообще ни о чём.
Да и в принципе никто не мешал сделать автоматическую систему сертификации, как с тем же подтверждением домена, когда надо расположить на своём сайте определённый файл и тогда поисковик признает тебя владельцем. Потом бы при запуске установщика операционка бы показывала не некого абстрактного владельца, а подтверждённый домен разработчика.
Но сертификация была сделана не для этого, а чтобы драть с людей бабки не работая. Тоже самое делает правительство выдавая лицензии на деятельность. Идея брать налоги не нова, зачем самим работать, когда есть те, кто будет работать за вас.
Здравствуйте, velkin, Вы писали:
V>Или ладно, возьмём сертификаты. Где-то там в интернете есть центр сертификации. Но вопрос, откуда пользователь берёт пакет установки? С центра сертификации? Нет, он качает его с сайта разработчика, на худой конец с какого-нибудь магазина. И тогда возникает вопрос, а что собственно здесь сертифицировать? Если пользователь не доверяет этому источнику, то зачем оттуда качает?
вы про MITM как я понимаю не в курсе?
V>Но сертификация была сделана не для этого, а чтобы драть с людей бабки не работая. Тоже самое делает правительство выдавая лицензии на деятельность. Идея брать налоги не нова, зачем самим работать, когда есть те, кто будет работать за вас.
ssl это гарантия того что показано и скачено именно то, что должно.
code signing это гарантия того что это именно тот файл и о того разработчика без всяких изменений.
лицензирование деятельности... эээ, ну если вы считаете что предпринимательством и оказанием услуг может заниматься любой и без каких либо гарантий и ответственности, то...
Здравствуйте, uuuser, Вы писали:
U>лицензирование деятельности... эээ, ну если вы считаете что предпринимательством и оказанием услуг может заниматься любой и без каких либо гарантий и ответственности, то...
Конечно. Только благодаря тому, что можно заниматься предпринимательством и оказанием услуг без всяких гарантий и отвественности мы все тут. Это написано в любом лицензионном соглашении.
И, конечно, беспокойство о MITM колоссально преувеличено.
Здравствуйте, ArcticLine2, Вы писали:
AL>Каждый раз, как выкладываем обновление, какое-то время этот SmartScreen показывает варнинги пользователям, что этот файл может нанести вред вашему ПК. Понятное дело, что часть пользователей этого пугается и этот варнинг проходит через день-два, но вот хочется и эти день-два проблемы не иметь.
Не выкладывайте обновление, выкладывайте программу которая сама скачивает обновления, а сама не обновляется
Здравствуйте, uuuser, Вы писали:
U>вы про MITM как я понимаю не в курсе?
Для этого есть https, а если и это как-то взломали... Стоп, а зачем обсуждать эту чушь, для начала ещё попробуй влезь в чужой канал. По мне так можно привести более реальный пример, взлом сайта и заражение программ на нём.
U>ssl это гарантия того что показано и скачено именно то, что должно. U>code signing это гарантия того что это именно тот файл и о того разработчика без всяких изменений.
Так и в GNU/Linux всё это есть, просто в коммерческих операционках за это нужно платить.
U>лицензирование деятельности... эээ, ну если вы считаете что предпринимательством и оказанием услуг может заниматься любой и без каких либо гарантий и ответственности, то...
Да, я считаю созданием программ может заниматься любой, причём без гарантий и ответственности. Если разработчик хочет зарабатывать на этом и оформить всё официально, то это его право.
Здравствуйте, Aquilaware, Вы писали:
A>Здравствуйте, ArcticLine2, Вы писали:
AL>>Каждый раз, как выкладываем обновление, какое-то время этот SmartScreen показывает варнинги пользователям, что этот файл может нанести вред вашему ПК. Понятное дело, что часть пользователей этого пугается и этот варнинг проходит через день-два, но вот хочется и эти день-два проблемы не иметь.
A>Подпись помогает. Не обязательно EV, обычный сертификат тоже работает.
Обычный сертификат есть. Но все равно первое время этот смартскрин показывается.
Здравствуйте, velkin, Вы писали:
U>>вы про MITM как я понимаю не в курсе? V>Для этого есть https,
для которого нужно купить ssl сертификат
V> а если и это как-то взломали... Стоп, а зачем обсуждать эту чушь, для начала ещё попробуй влезь в чужой канал. По мне так можно привести более реальный пример, взлом сайта и заражение программ на нём.
а для этого нужно купить code signing сертификат
V> Или лучше сказать это был ловкий развод на деньги как и вся система сертификации.
но ведь ваша религия вам не позволит?
U>>ssl это гарантия того что показано и скачено именно то, что должно. U>>code signing это гарантия того что это именно тот файл и о того разработчика без всяких изменений. V>Так и в GNU/Linux всё это есть, просто в коммерческих операционках за это нужно платить.
ну так на то они и коммерческие
вы попробуйте бесплатно влезть на какую-нибудь игровую приставку
V>Да, я считаю созданием программ может заниматься любой, причём без гарантий и ответственности.
так созданием программ может заниматься любой, и без гарантий и ответственности, бесплатный линух или винда с окном варнинга
V> Если разработчик хочет зарабатывать на этом и оформить всё официально, то это его право.
вы со своим самоваром, да ещё и возмущаетесь?
V>
Право, но не обязанность.
линух и полтора процента юзеров с таким же мировоззрением вас ждут!
Здравствуйте, Sharowarsheg, Вы писали:
U>>лицензирование деятельности... эээ, ну если вы считаете что предпринимательством и оказанием услуг может заниматься любой и без каких либо гарантий и ответственности, то... S>Конечно. Только благодаря тому, что можно заниматься предпринимательством и оказанием услуг без всяких гарантий и отвественности мы все тут. Это написано в любом лицензионном соглашении.
та он же про госрегулирование задвинул:
V> Тоже самое делает правительство выдавая лицензии на деятельность. Идея брать налоги не нова, зачем самим работать, когда есть те, кто будет работать за вас.
S>И, конечно, беспокойство о MITM колоссально преувеличено.
то есть мобильные провайдеры не встраивают рекламу в http траффик, а бесплатные wi-fi сети вообще безгрешны?
Здравствуйте, uuuser, Вы писали:
U>>>вы про MITM как я понимаю не в курсе? V>>Для этого есть https, U>для которого нужно купить ssl сертификат
Нет, не нужно, можно пользоваться бесплатными решениями. Да и в целом эта тема заглохла: EV-сертификаты мертвы, а сертификат попроще можно получить и так.
V>> а если и это как-то взломали... Стоп, а зачем обсуждать эту чушь, для начала ещё попробуй влезь в чужой канал. По мне так можно привести более реальный пример, взлом сайта и заражение программ на нём. U>а для этого нужно купить code signing сертификат
С чего бы или не терпится что-нибудь купить. Тогда лучше защитить свой сервер, а не заниматься не относящимися к делу покупками. Хотя если очень хочется себя убедить, что сертификат нужен, то лично я возражений не имею, не мне же его покупать.
V>>Право, но не обязанность. U>линух и полтора процента юзеров с таким же мировоззрением вас ждут!
Это для всех операционок, но если брать Windows как самую популярную десктопную операционку, то претензий по сертификатам для прикладного софта у меня к ней нет. Естественно пока нет, раз сертификация не обязательна хочешь делай, хочешь не делай. По большому счёту говоря о сертификатах для программ нужно прежде всего вспомнить об Apple. Но есть и просто закрытые платформы у Sony, Microsoft, Nintendo.
Или объясни тогда, как раньше весь мир жил без сертификации программ на той же Windows? Что, там тоже полтора процента что-ли было? Программы без сертификатов это прошлое винды, и скажу, что это отличное прошлое. Именно из-за винды я и говорю, что не должно быть никаких сертификатов. Это винда меня научила, что когда хочешь установить приложения, то просто запускаешь установку и всё.
Здравствуйте, ArcticLine2, Вы писали:
AL>Здравствуйте, Aquilaware, Вы писали:
A>>Здравствуйте, ArcticLine2, Вы писали:
AL>>>Каждый раз, как выкладываем обновление, какое-то время этот SmartScreen показывает варнинги пользователям, что этот файл может нанести вред вашему ПК. Понятное дело, что часть пользователей этого пугается и этот варнинг проходит через день-два, но вот хочется и эти день-два проблемы не иметь.
A>>Подпись помогает. Не обязательно EV, обычный сертификат тоже работает.
AL>Обычный сертификат есть. Но все равно первое время этот смартскрин показывается.
В своей подписи на этом форуме ссылку на скачивание ставишь, затем поддерживаешь тему, вливая про ненужность сертификатов и порабощение сторами и всё. Через недельку твоя поделка прокачана по полной и смарт скрина нет.
Здравствуйте, ArcticLine2, Вы писали:
AL>Привет.
AL>Народ, а есть какой-то способ обойти Windows SmartScreen?
AL>Каждый раз, как выкладываем обновление, какое-то время этот SmartScreen показывает варнинги пользователям, что этот файл может нанести вред вашему ПК. Понятное дело, что часть пользователей этого пугается и этот варнинг проходит через день-два, но вот хочется и эти день-два проблемы не иметь.
AL>Есть какой-то способ (например, на проверку перед релизом майкрософту отправить) или еще как добиться того, чтобы даже в первые дни варнинг У ПОЛЬЗОВАТЕЛЕЙ не всплывал?
Варианты:
1. Выполнить рекомендации майкрософта:
Distribute your apps through the Windows Store
Digitally sign your programs (Standard or EV code signing). У майкрософта в почете Symantec и DigiCert.
Don’t sign or distribute malicious code
Apply for a Windows Logo or Windows 8 Desktop App Certification
2. Проверить свой апп с помощью Windows App Certification Kit (WACK) из состава Windows SDK.
Соответственно свести варнинги к минимуму.
3. Раньше можно было засабмитить на sysdev.microsoft.com и репутация давалась авансом почти сразу.
Теперь этой страницы нет.
Здравствуйте, uuuser, Вы писали:
U>Здравствуйте, velkin, Вы писали:
V>>Или ладно, возьмём сертификаты. Где-то там в интернете есть центр сертификации. Но вопрос, откуда пользователь берёт пакет установки? С центра сертификации? Нет, он качает его с сайта разработчика, на худой конец с какого-нибудь магазина. И тогда возникает вопрос, а что собственно здесь сертифицировать? Если пользователь не доверяет этому источнику, то зачем оттуда качает?
U>вы про MITM как я понимаю не в курсе?
Тут скорее не про MITM, а расчёт на более вероятное событие, такое как взлом хостинга. У меня за 10 лет два раза хостинг ломали. Один раз турецкие хакеры удалили весь сайт, другой раз добавили скриптом в HTML какую то рекламу. Им ничто не мешало подменить exe файл на другой, например с вирусом или трояном.
Система с сертификатами и smart screen-ом уменьшила бы ущерб.
Здравствуйте, Matrix_Failure, Вы писали:
MF> U>вы про MITM как я понимаю не в курсе?
MF> Тут скорее не про MITM, а расчёт на более вероятное событие, такое как взлом хостинга. У меня за 10 лет два раза хостинг ломали. Один раз турецкие хакеры удалили весь сайт, другой раз добавили скриптом в HTML какую то рекламу. Им ничто не мешало подменить exe файл на другой, например с вирусом или трояном.
Здравствуйте, velkin, Вы писали:
U>>для которого нужно купить ssl сертификат V>Нет, не нужно, можно пользоваться бесплатными решениями. Да и в целом эта тема заглохла: EV-сертификаты мертвы, а сертификат попроще можно получить и так.
, $3.5 в год это не деньги
U>>а для этого нужно купить code signing сертификат V>С чего бы или не терпится что-нибудь купить. Тогда лучше защитить свой сервер,
а как вы докажете юзеру что ваш сервер не взломан?
V>Это для всех операционок, но если брать Windows как самую популярную десктопную операционку, то претензий по сертификатам для прикладного софта у меня к ней нет. Естественно пока нет, раз сертификация не обязательна хочешь делай, хочешь не делай.
V>Или лучше сказать это был ловкий развод на деньги как и вся система сертификации.
или есть?
V>Или объясни тогда, как раньше весь мир жил без сертификации программ на той же Windows?
а давайте вспомним как раньше весь мир жил без презервативов или ремней безопасности, или ещё чего
V>Программы без сертификатов это прошлое винды, и скажу, что это отличное прошлое. Именно из-за винды я и говорю, что не должно быть никаких сертификатов. Это винда меня научила, что когда хочешь установить приложения, то просто запускаешь установку и всё.
ну так делайте и продавайте софт только для тех версий винды где нет SmartScreen, это же элементарно
а в новых версиях SmartScreen есть, и выполняет очень важную функцию безопасности, предупреждает юзеров о последствиях установки хрен знает чего из "отличного прошлого"
Здравствуйте, uuuser, Вы писали:
U>>>лицензирование деятельности... эээ, ну если вы считаете что предпринимательством и оказанием услуг может заниматься любой и без каких либо гарантий и ответственности, то... S>>Конечно. Только благодаря тому, что можно заниматься предпринимательством и оказанием услуг без всяких гарантий и отвественности мы все тут. Это написано в любом лицензионном соглашении.
U>та он же про госрегулирование задвинул: U>
V> Тоже самое делает правительство выдавая лицензии на деятельность. Идея брать налоги не нова, зачем самим работать, когда есть те, кто будет работать за вас.
Ну да, а что здесь неправда?
S>>И, конечно, беспокойство о MITM колоссально преувеличено. U>то есть мобильные провайдеры не встраивают рекламу в http траффик, а бесплатные wi-fi сети вообще безгрешны?
Мобильные провайдеры встраивают рекламу в http траффик в полном соответствии с договором, который ты с ними заключил. А если нет, то в суд можно подать. В любом случае, это проблема между клиентом и его провайдером, и не касается всех сайтов мира. Скажем, если где-то в Уганде в мой сайт провайдер встроил рекламу, то пусть угандийские пользователи там у себя сами разберутся. Про бесплатные wifi-сети не в курсе, ни одной не видел. По крайней мере официальных, где есть кому претензии предъявить.
