Здравствуйте, icezone, Вы писали:

I>Здравствуйте, PeterOne, Вы писали:

PO>>Поделитесь, как вы делаете web installer в InnoSetup?

I>https://github.com/jrsoftware/issrc/blob/main/Examples/CodeDownloadFiles.iss

Спасибо, этот пример я видел. Я не смог найти решение для распаковки ZIP с прогрессом внутри InnoSetup окна.

Здравствуйте, PeterOne, Вы писали:

PO>Спасибо, этот пример я видел. Я не смог найти решение для распаковки ZIP с прогрессом внутри InnoSetup окна.

у тебя в проекте куча файлов чтобы zip использовать?
я напрямую десяток файлов дергаю с сервера — все красиво, с прогрессом и без архиватора

Удивительно, но сертификат от Apple для подписи кода под macOS/iPhone сейчас намного проще получить из России, чем codesign для Windows. И дешевле. Я уже второй раз после начала войны продлил подписку Apple Developer, второй раз оплачивал в рублях с мобильного счета МТС.

А гражданам РФ сейчас вообще можно получить сертификат подписи кода у зарубежной компании?

Здравствуйте, Nonmanual Worker, Вы писали:

NW>А гражданам РФ сейчас вообще можно получить сертификат подписи кода у зарубежной компании?

Я в globalsign заказывал HSM сертификат — 18 т.р., проверки простые, ничего заверять ни у кого не надо, но только для ИП и выше.
Но для получения требуется CRS, а как его сгенерировать вопрос...

Здравствуйте, PeterOne, Вы писали:

PO>Поделитесь, как вы делаете web installer в InnoSetup?

PO>Я сделал веб-инсталлер, который подгружает другой неподписанный installer и тот уже устанавливает.

PO>Думал сделать подгрузку ZIP пакета и сразу все устанавливать в главном веб-инсталляторе. Но столкнулся с проблемой — в InnoSetup нет возможности распаковывать ZIP. Можно таскать условный unzip.exe, но как-то некрасиво установка будет выглядеть — консольное окно без нормального прогресса распаковки.

Я скачиваю zip, в основном лежит 7z, он без консолей. При распаковке стартует бесконечный прогресс (0, 0).

Здравствуйте, Nonmanual Worker, Вы писали:

Попытался переделать инсталятор, сделать типа web. Небольшой постоянный инсталятор скачивает zip с сайта.
Виндовый автивирус сразу стал ругаться на зловред. Плюнул. Верифицирую сертификат на частное лицо.

Здравствуйте, Nonmanual Worker, Вы писали:

NW>Попытался переделать инсталятор, сделать типа web. Небольшой постоянный инсталятор скачивает zip с сайта.
NW>Виндовый автивирус сразу стал ругаться на зловред. Плюнул. Верифицирую сертификат на частное лицо.

А токен купили или заказывете вместе с подписью? Мне говорят, для Sectigo нужен YubiKey, который можно свободно на авито купить. Но прокатит ли это с новой подписью не знаю.

Майкл из KSoftware не отвечает на тикеты совсем.

Здравствуйте, Alexander Avdonin, Вы писали:

AA>А токен купили или заказывете вместе с подписью? Мне говорят, для Sectigo нужен YubiKey, который можно свободно на авито купить. Но прокатит ли это с новой подписью не знаю.
AA>Майкл из KSoftware не отвечает на тикеты совсем.

https://www.ebay.com/itm/115654712377 вот такой купил. Еще не ставил т.к. валидация в процессе.

Треш с Sectigo продолжается второй месяц.
Поменял я валидацию на Individual Person. Т.к. у меня нет единого документа с фото и адресом то мне пришлось сделать face-to-face валидацию по 3м документам с заверением у нотариуса.
Отослал документы в Sectigo. Пишут 'Unable to verify the address.'. Спрашиваю в чем причина? Молчат. Адрес что указал при регистрации отличается порядком следования номера улицы от того что указан в face-to-face счете.
Пишу — в этом дело? Исправьте адрес в акакунте, сам это сделать не можешь. Пищут 'Unable to verify the address.' Опять спрашиваю в чем дело. Так несколько раз.
Пишу в чат, все рассказываю, пишут выясняем причину. Говорю — может дело в адресе? Пишут да. Пришлите другие документы. Говорю смените адрес в аккаунте на тот что заверен и проверен и все будет ок. Непонимают, пишу по разному 5 раз, объясняю как дуракам. Вроде поняли. ХЗ что дальше будет...

Здравствуйте, Nonmanual Worker, Вы писали:

NW>Треш с Sectigo продолжается второй месяц.
NW>Поменял я валидацию на Individual Person. Т.к. у меня нет единого документа с фото и адресом то мне пришлось сделать face-to-face валидацию по 3м документам с заверением у нотариуса.
NW>Отослал документы в Sectigo. Пишут 'Unable to verify the address.'. Спрашиваю в чем причина? Молчат. Адрес что указал при регистрации отличается порядком следования номера улицы от того что указан в face-to-face счете.
NW>Пишу — в этом дело? Исправьте адрес в акакунте, сам это сделать не можешь. Пищут 'Unable to verify the address.' Опять спрашиваю в чем дело. Так несколько раз.
NW>Пишу в чат, все рассказываю, пишут выясняем причину. Говорю — может дело в адресе? Пишут да. Пришлите другие документы. Говорю смените адрес в аккаунте на тот что заверен и проверен и все будет ок. Непонимают, пишу по разному 5 раз, объясняю как дуракам. Вроде поняли. ХЗ что дальше будет...

Аналогично долбаюсь с поддержкой Sectigo по другому вопросу (купил серт через KSoftware на 4 года, выпустили на 3 с обещанием продлить, а теперь KSoftware не отвечает и перевыпускать серт никто не собирается). В квесте с поддержкой дошел до какого-то сениор менеджера, но результата нет. C 2007 года покупал у них сертификаты — больше не буду.

А как вы собираетесь на токен SafeNet записывать сертификат? Мне ответили, что сейчас для Sectigo подходят только токены YubiKey 5 FIPS (и только FIPS, которые дороже в два раза).

По моему опыту для верификации адреса всегда DUNS на ИП работал.

Здравствуйте, Alexander Avdonin, Вы писали:

AA>Аналогично долбаюсь с поддержкой Sectigo по другому вопросу (купил серт через KSoftware на 4 года, выпустили на 3 с обещанием продлить, а теперь KSoftware не отвечает и перевыпускать серт никто не собирается). В квесте с поддержкой дошел до какого-то сениор менеджера, но результата нет. C 2007 года покупал у них сертификаты — больше не буду.

У знакомого шареварщика такая же ситуация. Сертификат был оплачен на 4 года (выдан на 3 года). Сейчас не может получить оплаченный на 1 год, техподдержка говорит покупайте новый, мы вроде как выпустим +1 год бесплатно. Доверия им нет.

У меня истекает сертификат. На руках веб-инсталлер только, как аварийное решение.

Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?

Здравствуйте, PeterOne, Вы писали:

PO>Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?

Таких способов нет. Однако, если серт еще не истек, то можно подготовиться таким образом — https://rsdn.org/forum/shareware/8532828.1

Автор: wantus
Дата: 25.05.23

Здравствуйте, wantus, Вы писали:

W>Здравствуйте, PeterOne, Вы писали:

PO>>Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?

W>Таких способов нет. Однако, если серт еще не истек, то можно подготовиться таким образом — https://rsdn.org/forum/shareware/8532828.1

Автор: wantus
Дата: 25.05.23

Читал давно о таком решении. По идее антивирусники должны ругаться на такое решение.

Подумаю, может и не такой плохой вариант.

Здравствуйте, PeterOne, Вы писали:

PO>У меня истекает сертификат. На руках веб-инсталлер только, как аварийное решение.
Веб-инсталер будет лучшим вариантом. Вторичный пакет при этом можно подписывать просроченным сертом, но без метки времени.

PO>Никто не слышал о способах взлома и использования истекшего сертификата чтобы подписать свой код?
Поищи DSignTool или HackSigntool, но вряд ли он тебе существенно поможет. Там используется подмена сервера времени для эмуляции подписи на дату, когда сертификат был еще действительный. Но вряд ли ты найдешь валидный сертификат сервера времени. А те что в интернетах валяются уже отозваны.

Можно, конечно, сгенерить свой серт для сервера времени и через веб-инсталер запросить добавление в доверенные. Но, боюсь, ты быстро попадешь в базы АВ.

Здравствуйте, pva, Вы писали:

pva>Здравствуйте, PeterOne, Вы писали:

PO>>У меня истекает сертификат. На руках веб-инсталлер только, как аварийное решение.
pva>Веб-инсталер будет лучшим вариантом. Вторичный пакет при этом можно подписывать просроченным сертом, но без метки времени.

А это чем-то лучше чем вообще не подписывать? Для антивирусов лусше?


Типа видно что ехе файл не менялся?

Здравствуйте, pva, Вы писали:
>для сервера времени и через веб-инсталер запросить добавление в доверенные. Но, боюсь, ты быстро попадешь в базы АВ.

Тогда уж можно свой самоподписанный серт попросить добавить в доверенные. Никто так не пробовал делать?

Посоветуйте как подписать uninstaller в вебинсталере InnoSetup?

1. Создал вебинсталер. Подписал его.

2. Скачивается неподписанный основной инсталлятор и запускается (вебинсталер закрывается автоматически).

3. Устанавливается основной инсталлятор и создает uninstaller файл.

Не понимаю, как подписать uninstaller? Взять заранее, подписать и подменять в процессе установки?

Здравствуйте, PeterOne, Вы писали:

PO>Не понимаю, как подписать uninstaller? Взять заранее, подписать и подменять в процессе установки?

Зачем? Смысла в подписи uninstaller никакого.

Здравствуйте, Matrix_Failure, Вы писали:

pva>>Веб-инсталер будет лучшим вариантом. Вторичный пакет при этом можно подписывать просроченным сертом, но без метки времени.
M_F>А это чем-то лучше чем вообще не подписывать? Для антивирусов лусше?
M_F>Типа видно что ехе файл не менялся?
Да, контроль целостности загруженного и доверенности источника.