Здравствуйте форум rsdn, предлагаю поговорить на тему, как жить в России и обходиться без цифровой подписи. Если не ошибаюсь, только Global Sign предлагает вариант — цифровая подпись для ООО, и вроде как завести ООО за маленькие деньги не настолько невозможно, но всё равно как же не хочется этим заморачиваться.
Я, кроме прочего, идейно считаю что стоит держаться без цифровой подписи — потому что она на Западе сейчас может превратиться в инструмент для закручивания гаек и установления тотального контроля со стороны власть имущих. Сегодня они банят того кто вставляет в программу троян, а завтра будет банить того кто в интернете пишет против правящих политиков и тому подобное.
Во-первых у меня вопрос: какие вы знаете проекты, сознательно обходящиеся без цифровой подписи и упоминающие это на своих сайтах. Я слышал про Freetube. Во-вторых, поскольку у меня кажется всё чаще юзеры пишут что срабатывают антивирусы, я думаю отказаться от шифрования кода протектором, или вообще от использования протектора. Что думаете? Моя надежда на то, что на Западе сейчас всё равно крякеры вытеснены в серую зону, для скачивания кряка надо зайти на сайт с троянами, поэтому большинство пользователей не станет связываться с кряками.
Слегка оффтоп, но я не помню, когда я в последний раз запускал чего-то на своем основном компе без подписи. То есть, если подписи нет, то либо сразу в сад, либо — если очень нужно запустить — то во временную VM.
С простыми юзерами, я думаю, там всё еще проще — там строго в сад.
В качестве конструктивного совета — получите один раз серт для подписи, напишите и подпишите универсальный инсталлятор, который умеет вычитывать инструкции по инсталляции из "certificate attribute table" в своем собственном бинарнике. Эти аттрибуты не покрываются подписью и их можно менять. То есть, если нужен новый инсталлятор, берете подписанную "рыбу", прописываете чего надо сделать в ваш кастом аттрибут сертификата в нем и превед -> подписанный инсталлятор.
Здравствуйте, ForToNext, Вы писали:
FTN>Во-первых у меня вопрос: какие вы знаете проекты, сознательно обходящиеся без цифровой подписи и упоминающие это на своих сайтах. Я слышал про Freetube. Во-вторых, поскольку у меня кажется всё чаще юзеры пишут что срабатывают антивирусы, я думаю отказаться от шифрования кода протектором, или вообще от использования протектора. Что думаете?
Продается ли софт без подписи? Да.
Можно ли обойтись без протектора? Да.
Здравствуйте, wantus, Вы писали:
W>В качестве конструктивного совета — получите один раз серт для подписи, напишите и подпишите универсальный инсталлятор, который умеет вычитывать инструкции по инсталляции из "certificate attribute table" в своем собственном бинарнике. Эти аттрибуты не покрываются подписью и их можно менять. То есть, если нужен новый инсталлятор, берете подписанную "рыбу", прописываете чего надо сделать в ваш кастом аттрибут сертификата в нем и превед -> подписанный инсталлятор.
Это надо пилить свой инсталлятор или условный Inno Setup это умеет делать?
QC>Понятно, значит свой инсталлятор. И не факт, что замены атрибутов не будут детектиться антивирусами.
Это стандартный прием, который используется уже лет 20 в remote assistance apps типа Citrix. Типа можно юзеру в траблах послать ссылку на утилиту, они её скачивают, запускают и она сама звонит в нужное место в саппорт с номером тикета и tech на другом конце телефонного звонка получает доступ к машине. Бинарник статичный, но детали куда соединяться и под каким тикетом прописываются в аттрибуты сертификата. У Гугла была такая же ботва с пре-кастомизированными сетапами Хрома. Это hack, конечно, но широко известный и активно используемый (в узких кругах).
Здравствуйте, Qt-Coder, Вы писали:
QC>Здравствуйте, wantus, Вы писали:
W>>Понятия не имею.
QC>Понятно, значит свой инсталлятор. И не факт, что замены атрибутов не будут детектиться антивирусами.
нет, все штатными средствами IS делается, скачивание файлов на этапе установки
QC>>Понятно, значит свой инсталлятор. И не факт, что замены атрибутов не будут детектиться антивирусами.
W>Типа можно юзеру в траблах послать ссылку на утилиту, они её скачивают, запускают и она сама звонит в нужное место <...>
Я извиняюсь, но вы представляете, какая это плохая корпоративная практика, когда каждому юзеру можно не просто что-то установить на свой рабочий компьютер, но и стимулируется его толерантность к ссылкам на запускаемые файлы в интернете. Да, ссылка ведёт на сайт с сертификатом, надо проверить доменного имени, соответствие имени компании и названию продукта в сертификате, и самостоятельно принять решение о доверии. Это просто немыслимо!
Я понимаю, что этот механизм реально работает, но в интересах Citrix. Желание зарабатывать деньги на безопасности превышает желание заботиться о безопасности пользователей, заставлять принимать их более долгие, но более безопасные практики. Это печальная история.
Что до меня — я бы и с подписью программу не поставил вообще, а так в любом случае использовал дырявый VirualBox (кроме игр строго сторов и фотошопа). Уже хоть что-то. И, конечно, компьютер с Windows у меня второй, хобби/игровой.
Конец полу-офтопика, но к теме отношение, вроде имеет.
Здравствуйте, ForToNext, Вы писали:
FTN>Здравствуйте форум rsdn, предлагаю поговорить на тему, как жить в России и обходиться без цифровой подписи. Если не ошибаюсь, только Global Sign предлагает вариант — цифровая подпись для ООО, и вроде как завести ООО за маленькие деньги не настолько невозможно, но всё равно как же не хочется этим заморачиваться. Я, кроме прочего, идейно считаю что стоит держаться без цифровой подписи — потому что она на Западе сейчас может превратиться в инструмент для закручивания гаек и установления тотального контроля со стороны власть имущих. Сегодня они банят того кто вставляет в программу троян, а завтра будет банить того кто в интернете пишет против правящих политиков и тому подобное.
Global Sign на ИП вполне себе выдают. Если ты еще не ИП, то почему? 6% налогов вместо 13%. Или ты налоги не платишь?
FTN>Во-первых у меня вопрос: какие вы знаете проекты, сознательно обходящиеся без цифровой подписи и упоминающие это на своих сайтах.
7zip?
FTN>Во-вторых, поскольку у меня кажется всё чаще юзеры пишут что срабатывают антивирусы, я думаю отказаться от шифрования кода протектором, или вообще от использования протектора. Что думаете? Моя надежда на то, что на Западе сейчас всё равно крякеры вытеснены в серую зону, для скачивания кряка надо зайти на сайт с троянами, поэтому большинство пользователей не станет связываться с кряками.
Здравствуйте, icezone, Вы писали:
I>нет, все штатными средствами IS делается, скачивание файлов на этапе установки
Про скачивание то понятно, у меня так и сделано, что неизменяемая часть (подписанный exe) качает изменяемую (zip). Но по захадкоженной ссылке. А оказывается можно было не хардкодить. Сомневаюсь что инно сетап умеет вычитывать атрибуты из своего бинарника.
Здравствуйте, icezone, Вы писали:
I>Продается ли софт без подписи? Да. I>Можно ли обойтись без протектора? Да.
Вот ещё вопрос. Кроме проблем с антивирусами, есть проблемы с недовольством Windows — надо объяснить юзерам, как ставить программу, если Windows Defender выдаёт грозное предупреждение. Что бы вы посоветовали про это написать на сайте? Ещё я слышал что у Microsoft Edge защита более жёсткая и с ним надо именно написать инструкцию, как поэтапно ставить программу.
Здравствуйте, Qt-Coder, Вы писали:
QC>Здравствуйте, icezone, Вы писали:
I>>нет, все штатными средствами IS делается, скачивание файлов на этапе установки QC>Про скачивание то понятно, у меня так и сделано, что неизменяемая часть (подписанный exe) качает изменяемую (zip). Но по захадкоженной ссылке. А оказывается можно было не хардкодить. Сомневаюсь что инно сетап умеет вычитывать атрибуты из своего бинарника.
а скриптового движка внутри IS для этого недостаточно?
Здравствуйте, ForToNext, Вы писали:
FTN>Вот ещё вопрос. Кроме проблем с антивирусами, есть проблемы с недовольством Windows — надо объяснить юзерам, как ставить программу, если Windows Defender выдаёт грозное предупреждение. Что бы вы посоветовали про это написать на сайте? Ещё я слышал что у Microsoft Edge защита более жёсткая и с ним надо именно написать инструкцию, как поэтапно ставить программу.
Если ставить не в Program Files, а в AppData без админских полномочий, то одним грозным окном меньше становится
Если под жесткой защитой Edge подразумевает SmartScreen, то решается отправкой false positive в адрес мелкомягких
Здравствуйте, ForToNext, Вы писали:
FTN>Здравствуйте форум rsdn, предлагаю поговорить на тему, как жить в России и обходиться без цифровой подписи. Если не ошибаюсь, только Global Sign предлагает вариант — цифровая подпись для ООО, и вроде как завести ООО за маленькие деньги не настолько невозможно, но всё равно как же не хочется этим заморачиваться. FTN>Я, кроме прочего, идейно считаю что стоит держаться без цифровой подписи — потому что она на Западе сейчас может превратиться в инструмент для закручивания гаек и установления тотального контроля со стороны власть имущих. Сегодня они банят того кто вставляет в программу троян, а завтра будет банить того кто в интернете пишет против правящих политиков и тому подобное. FTN>Во-первых у меня вопрос: какие вы знаете проекты, сознательно обходящиеся без цифровой подписи и упоминающие это на своих сайтах. Я слышал про Freetube. Во-вторых, поскольку у меня кажется всё чаще юзеры пишут что срабатывают антивирусы, я думаю отказаться от шифрования кода протектором, или вообще от использования протектора. Что думаете? Моя надежда на то, что на Западе сейчас всё равно крякеры вытеснены в серую зону, для скачивания кряка надо зайти на сайт с троянами, поэтому большинство пользователей не станет связываться с кряками.
если уж стать белым человеком не судьба, то я посоветую:
1. свой инсталятор(вечный exe) который скачивает dll(инсталятор) или уже сам дистрибутив и устанваливает
2. не запрашивать права админа для инсталятора, ставить в юзера (если софту они нужны для инсталла или для работы, то это сложнее, но лучше просить и объяснять не на сайте а в уже установленном софте)
3. если будет возможность подписать, то не использовать 'certificate attribute table', антивирусы ругаются на попыкту оттуда что-то считать (лишний фолс на virus total не нужен)
4(optional) если нет подписи, то сделать с продукте вечные exe, основной запускаемый файл и по воможности все остальные, код в dll
я видел софт вообще без подписи который скачался и запустился и на вирустотале выдал 0, то есть всё дело в репутации конкретного exe, если вы заметили то на вечные exe инсталлеры перешли почти все, потому что на любой новый даже подписанный exe скаченный из инета винда и хром ругается.
W>В качестве конструктивного совета — получите один раз серт для подписи, напишите и подпишите универсальный инсталлятор, который умеет вычитывать инструкции по инсталляции из "certificate attribute table" в своем собственном бинарнике. Эти аттрибуты не покрываются подписью и их можно менять. То есть, если нужен новый инсталлятор, берете подписанную "рыбу", прописываете чего надо сделать в ваш кастом аттрибут сертификата в нем и превед -> подписанный инсталлятор.
Да, забыл сказать, что там есть нюанс — инструкции по установке имеет смысл подписать своим собственным rsa/dsa ключом, его public часть прошить в сам инсталлятор и после вычитывания инструкций проверять подпись. Это гарантирует, что никто кроме вас этот инсталлятор кастомизировать не сможет... потому как хитрые парни с malware могут эксплойтнуть это дело на раз-два.
