А ты уже купил сертификат?

October 15th, 2008 Begemot Posted in Шаровароварение

Я достаю из широких штанин
дубликатом бесценного груза.
Читайте, завидуйте, я
… (с)

 

Навеяно обсуждением на rsdn про полезность подписи программ, в случае false positive антивирусов.

Какой процент среднестатестических  пользователей знает что такое цифровая подпись программ, что значит сертификат от какого-то там VeriSign или Commodo, и как его вообще проверить и главное отличить подписанный софт от неподписанного?

А то народ утверждает что серьозной конторе не иметь сертификата никак нельзя. А я вот думаю что меня про него ни разу не спрашивали.

Я, честно говоря, про сертификаты слышал только в сврусе\рсдн. Все, как обычный пользователь никогда не сталкивался. Винда там что-то когда-то спрашивает, но я всегда отвечал автоматом не читая… И если сейчас станет вопрос проверить подписанная ли программа – я не знаю как.

Спросил у жены, активного пользователя компьютера – она тоже первый раз слышит.

Сдается мне эти сертификаты такой же развод, как и аккредитация сервисов в сврус:)

Итак, небольшой опрос

  1. Вы знаете (как юзер) что такое сертификат и как его проверять?
  2. Вас часто спрашивают про сертификат к вашей программе если у вас его нет?
Related:

9 Responses to “А ты уже купил сертификат?”

  1. Я бы еще про колгон хотел тоже самое узнать, часто ли машинки ломаются без него. Особенно как в рекламе – вся вода сразу на пол вытекает 🙂

  2. Не нужно ничего специально проверять.

    1. Если очень хочется, то подписанность файла видна в свойствах файла (под XP – закладка “Digital signatures”, Висту уже зашатдаунил).
    2. Свежие операционки с неоткрученной секьюрити нередко спрашивают, действительно ли ты хочешь запустить такой-то файл (например, после скачивания его из Интеренета); при этом он показывает в этом диалоге название программы и имя паблишера, взятое из подписи. В случае неподписанного файла или файла с отозванным/просроченным сертификатом юзер созерцает надпись “Unknown publisher”, набранную жирным шрифтом; такая надпись может зародить у юзера сомнение или даже его испугать.
    3. В KAV/KIS 2009 подписанные приложения могут проверяться менее тщательно (например, их может игнорировать проактивная защита).

    Название “сертификат” в отношении этого механизма мало кто употребляет – чаще это называют “цифровая подпись”.

    Разводом это вряд ли можно назвать, т.к. механизм реально работает, хотя и несёт определённые неудобства для девелоперов. Например, частным лицам они обычно не выдаются (если мы говорим о глобальной инфраструктуре).

    ЗЫ. Comodo, а не Commodo. А то ещё сертификат не у тех купишь 😉

    ЗЗЫ. Кстати, PAD-ы тоже можно подписывать, чтобы все видели, что они выпущены тобой и никем не подхаканы.

  3. zel, я постараюсь раскрыть эту тему в ближайщих выпусках:)

    Ippi, спасибо, в принципе про то что винда говорит интересуется при запуске файла и указывает паблишера, я знал. Но, как я уже говорил, я никогда не читаю что там, и автоматом жму “да”. То есть пока не показали скриншоты (на рсдн), я даже не знал что там пишется имя компании или unknown. И уж точно бы мне не пришло в голову думать что если там имя компании, то это что-то гарантирует (раньше в свойствах любого ехе можно было посмотреть инфо о паблишере, и туда писать можно было все что угодно).

    Поинт был в том, что если пользователь пропустил лекцию о том что такое сертификат, кем и кому он выдает, что гарантирует и как его посмотреть, то скорее всего, для него эти два диалога при старте программы мало отличаются.

    И я подозреваю что таких пользователей очень много…

  4. Уверен, что со временем предупреждения о неподписанности станут ещё страшнее. А на Vista x64 уже сейчас нельзя использовать драйвера без цифровой подписи. То есть совсем нельзя.

  5. Ippi, на самом деле можно использовать драйвера без подписи, но для этого нужно загружать винду в специальном режиме.
    А вообще подпись более актуальна именно для драйверов.
    Также к этому относятся различные ActiveX компоненты, загружаемые в виде cab-файлов с сайтов. Если у ActiveX-а не будет подписи, то он просто не запустится – сработает ограничение политики безопасности браузера (IE). Ну и при попытке установить подписанный компонент выдается сообщение типа “Хотите ли вы доверять этому издателю или нет”. И в качестве издателя – название девелопера.

  6. Norfolc, вот уж что точно не поможет пользователям проникнуться вашим продуктом, так это поиски режима “Disable Driver Signature Enforcement” при _каждой_ загрузке ОС 🙂
    Перманентного способа разрешить использование неподписанных драйверов Майкрософт нам так и не оставил…

  7. Читайте кто и что подписал или хотя бы думайте кому права админа даете, а то нас 3 недели назад немного вирусами атаковали. Висты с включенным УАКом пережили без проблем (оно вообще вылетело с исключением), ХРшки с включеным касперским – тоже… Остальные винды переставляли. %)

  8. Ну и про 2 диалога… Разница между маленьким синеньким с дефолтным “Да” и большим желтым на приглушеном по цветам рабочем столе с дефолтным “Нет” ИМХО очень большая – народ второго без всяких лекций пугается. 😉 Но это только если нужны права полного админа: поставить софт, сконфигурировать и т.д.

  9. Ну и про спрашивают. Так это – все куда проще в мире больших заказов: приехали, поставили и пусть работает. Хотя у нас назревает первый проект где мы будем ставить Висту Бизнес, до этого была ХР или Виста с даунгрейтом до ХР.
    А во времена работы с шароваркой – взяли и купили сертификат, т.к. стоил он около пары сотен баков и с лихвой одбился на первом же ОЕМ заказе. 😉 Правда там было ООО и проблем с получением сертификата не было, ну кроме того что еще 5-10 баков заплатили за отправку факсов за границу.