Приветствую.

Тут feedback пришел от нового пользователя.
Все бы ничего особенного, но он пишет, что "в наше время скачивать неподписанные EXE из интернета страшно". Мол вам бы подписать ваш инсталятор. В общем боялся, но купил

Задумался, почитал VeriSign и InstatSSL.
Кто подписывал инсталяторы (да и сами EXE) — есть толк? (Может стали чуть больше качать/покупать)
Ваше мнение: как отностяся обычные end-user к предупреждениям браузера о том, что "publisher неизвестен". Насколько это хуже чем сообщение "Паблишер — ВасяПупкинСофт" (что на мой взгляд одно и то же).

Замечу, речь НЕ идет про ActiveX компоненты. Именно программы для обычных end-user.

Ну и последнее — есть у кого отзывы о использовании для этог VeriSign и InstatSSL. Оба есть в списке MS. Так в чем разница (кроме 4х-кратной в цене)?

Здравствуйте, Doc, Вы писали:

Doc>он пишет, что "в наше время скачивать неподписанные EXE из интернета страшно".
Doc>Кто подписывал инсталяторы (да и сами EXE) — есть толк? (Может стали чуть больше качать/покупать)
Doc>Ваше мнение: как отностяся обычные end-user к предупреждениям браузера о том, что "publisher неизвестен".

У тебя же есть уже мнение юзера

Doc>Насколько это хуже чем сообщение "Паблишер — ВасяПупкинСофт" (что на мой взгляд одно и то же).

Не одно и то же. Сообщение "Паблишер — ВасяПупкинСофт" говорит о том, что ВасяПупкинСофт — конкретная контора, и что она за базар отвечает Что она дала себе труд пройти через процедуру верификации самой себя. Что претензии по заражению инсталятора вирусами принимаются только при ненарушенной цифровой подписи. Что скачивать не страшно. И т.д.

Doc>Ну и последнее — есть у кого отзывы о использовании для этог VeriSign и InstatSSL. Оба есть в списке MS. Так в чем разница (кроме 4х-кратной в цене)?

VeriSign-овский серт работает в ранних версиях винды (до XP SP2). VeriSign нужен для микрософтовских логотипов Designed for и Sertified for. Вообще MS будет иметь дело только с VeriSign-сертом. А так разницы никакой.


--

Здравствуйте, serverside, Вы писали:

S>У тебя же есть уже мнение юзера

Первое такое. Поэтому и сомеваюсь.

S>Не одно и то же. Сообщение "Паблишер — ВасяПупкинСофт" говорит о том, что ВасяПупкинСофт — конкретная контора, и что она за базар отвечает Что она дала себе труд пройти через процедуру верификации самой себя. Что претензии по заражению инсталятора вирусами принимаются только при ненарушенной цифровой подписи. Что скачивать не страшно. И т.д.

Не вижу прямой связи межу подписью и "претензией по заражению инсталятора вирусами". Ведь подписывает полученным ключем сам разработчик (и если зараза попала ДО подписи, то ...). Или я что-то не понял? В FAQ InstatSSL информации не много. Где можно почитать подробнее, но так что бы по сути (не на 10 страниц с водой) — как подписываются приложения?

Doc>>Ну и последнее — есть у кого отзывы о использовании для этог VeriSign и InstatSSL. Оба есть в списке MS. Так в чем разница (кроме 4х-кратной в цене)?

S>VeriSign-овский серт работает в ранних версиях винды (до XP SP2). VeriSign нужен для микрософтовских логотипов Designed for и Sertified for. Вообще MS будет иметь дело только с VeriSign-сертом. А так разницы никакой.

Т.е. цена только за названием выдавшей конторы (в списке MS есть и дургие фирмы, не дешевле VeriSign).

Здравствуйте, Doc, Вы писали:

Doc> "в наше время скачивать неподписанные EXE из интернета страшно"

Конечно Microsoft подложил разработчикам очередную свинью. А юзеры пускай привыкают. 90% freeware будут неподписанными.

Это значит, что многие просто станут отключать назойливые предупреждения Висты. Уже вижу рекламу: Don't Get Mad, Disable annoying Vista pop-ups!

Здравствуйте, Doc, Вы писали:

Doc>Ваше мнение: как отностяся обычные end-user к предупреждениям браузера о том, что "publisher неизвестен". Насколько это хуже чем сообщение "Паблишер — ВасяПупкинСофт" (что на мой взгляд одно и то же).


Есть и другая сторона этого вопроса. Если человек работает как автор или ЧП, то подпись дадут не на "ВасяПупкинСофт", а только на "Вася Пупкин". Насколько такая "разоблачительная" подпись будет способствовать продажам — неизвестно. Но думаю, всё же это лучше её отсутствия.

Здравствуйте, Doc, Вы писали:

Doc>Не вижу прямой связи межу подписью и "претензией по заражению инсталятора вирусами". Ведь подписывает полученным ключем сам разработчик (и если зараза попала ДО подписи, то ...). Или я что-то не понял?

Да все просто. Если подпись нарушена — то в сад. А если не нарушена — значит вирус от разработчика.

Doc>В FAQ InstatSSL информации не много. Где можно почитать подробнее, но так что бы по сути (не на 10 страниц с водой) — как подписываются приложения?

Вот хорошее руководство

Doc>Т.е. цена только за названием выдавшей конторы (в списке MS есть и дургие фирмы, не дешевле VeriSign).

Да, но VeriSign стоит особняком, как эксклюзив для общения с MS.


--

Здравствуйте, retalik, Вы писали:

R> Если человек работает как автор, то подпись дадут не на "ВасяПупкинСофт", а только на "Вася Пупкин".

Автору подпись не продадут. Продают только зарегистрированным фирмам. Поэтому авторы бесплатных программ не смогут подписать инсталляторы, а в Висте будут появляться угрожающие предупреждения.

Это нововведение направлено на то, чтобы разработка софта всё больше стала рассматриваться исключительно как бизнес, а не хобби. Майкрософт диктует свои правила.
Хотя вот то, что мне лично не нравится в этом всем — это высокая цена сертификата. Такая вещь, ИМХО, зарегистрированным фирмам должна раздаваться по символически низкой цене или вообще бесплатно, чтобы входной барьер на рынок оставлять низким, стимулировать конкуренцию и т.п.

Здравствуйте, serverside, Вы писали:

S>Да, но VeriSign стоит особняком, как эксклюзив для общения с MS.

Знаю (читал в требования на получение лого).
Кажется только "Works with ..." можно получить так.

Но пока не вижу смысла $500 за сертификат отдавать, когда есть за $100 (пока ведь логотипы от MS получать не планирую).
А через год видно будет ...

Здравствуйте, <Аноним>, Вы писали:

А>Автору подпись не продадут. Продают только зарегистрированным фирмам. Поэтому авторы бесплатных программ не смогут подписать инсталляторы, а в Висте будут появляться угрожающие предупреждения.

Да что вы на Висту накинулись? Они (предупреждения) и в WinXP есть.

Здравствуйте, Doc, Вы писали:

На твоем сайте в данный момент на главной странице висит две публикации — про сайты и про тоталсайз.
Так вот, обе они начинаются со слов — "Наверное вы не раз задавались вопросом:"
Так глаз режет, честное слово. Я бы в одной из публикаций вступление поменял

Смешно, чес.слово! Как будто подпись нельзя подделать.
Просто никто всерьез пока этим не занимался....

Здравствуйте, Аноним, Вы писали:

А>Автору подпись не продадут.

Чё эта не продадут? Запросто продадут. Там смысл не в том, чтоб дискриминировать, а в том, чтобы идентифицировать.

A>Поэтому авторы бесплатных программ не смогут подписать инсталляторы

Странное заблуждение. Запросто могут. Но только именно как Вася Пупкин, а не ПупкинМегаСофт. Но, очевидно, у авторов бесплатных программ какой-то комплекс на этот счет?

A>зарегистрированным фирмам должна раздаваться по символически низкой цене

А что, 100 баксов в год разве не символически низкая цена для фирмы?


--

Здравствуйте, temnik, Вы писали:

T>Смешно, чес.слово! Как будто подпись нельзя подделать.
T>Просто никто всерьез пока этим не занимался....

Подделать подпись, и сломать криптозащиту VeriSign? Ну тогда по-ходу и банки полетят, и много еще чего. Вряд ли это кому-то удастся. Криптография — наука очень сложная.

А если это будет просто хак системы, то тогда Symantec/Kaspersky будет отлавливать такие инсталляторы, и всё равно такой номер не пройдёт.

Здравствуйте, serverside, Вы писали:

S>Здравствуйте, Аноним, Вы писали:

А>>Автору подпись не продадут.

S>Чё эта не продадут? Запросто продадут. Там смысл не в том, чтоб дискриминировать, а в том, чтобы идентифицировать.

На OISV кто-то писал, что продают только заранее проверенным фирмам и точка. Поэтому хочу задать встречный вопрос всем читателям этого форума:

Кому-нибудь из русскоязычных авторов ПО уже удалось подписать свой инсталлятор на своё имя и фамилию (физическое лицо а не ЧП) ?

Если кто-то смог подписать на фирму, то тоже отзовитесь пожалуйста, и опишите по-подробнее процедуры и какие требования для проверки фирм зарегистрированных в СНГ предъявляют Comodo, Thawte, VeriSign и прочие поставщики сертификатов.

Здравствуйте, Аноним, Вы писали:

А>Если кто-то смог подписать на фирму, то тоже отзовитесь пожалуйста, и опишите по-подробнее процедуры и какие требования для проверки фирм зарегистрированных в СНГ предъявляют Comodo, Thawte, VeriSign и прочие поставщики сертификатов.

http://ssl.rbc.ru/product/devcert.shtml


--

Здравствуйте, Аноним, Вы писали:

А>Подделать подпись,

Не подделать подпись, а получить какой-нить сертификат, от наиболее лояльного выдавальщика серитификатов, на левую фирму. Думаю это не так сложно.
И потом подписывать этим левым сертификатом все что угодно, и никакая винда не пикнет.

А>и сломать криптозащиту VeriSign?

Что есть — "криптозащита VeriSign"??? VeriSign это никакая не криптозащита.


А>Ну тогда по-ходу и банки полетят, и много еще чего. Вряд ли это кому-то удастся. Криптография — наука очень сложная.

Криптография, то может наука и сложная но к верисигн и выдаче сертификатов почти не имеющая никакого отношения. Ты видно не совсем понимаеш какое место в криптографии занимает certificate authority, каким является VeriSign, Comodo, etc

Здравствуйте, serverside, Вы писали:

И еще вопросик, зашел на страницу покупки в OpenSSL. Предлагают выбрать длину ключа и криптопровайдера.
Пояснений на что это повлияет нет. Что это такое я знаю, но вот как это может отразиться в дальнейшем и что лучше выбрать?

Здравствуйте, ASX, Вы писали:

А>>и сломать криптозащиту VeriSign?

ASX>Что есть — "криптозащита VeriSign"??? VeriSign это никакая не криптозащита.

Хорошо, криптографические алгоритмы, которые использует Verisign для генерации private public keys.

ASX>Криптография, то может наука и сложная но к верисигн и выдаче сертификатов почти не имеющая никакого отношения. Ты видно не совсем понимаеш какое место в криптографии занимает certificate authority, каким является VeriSign, Comodo, etc

Все я понимаю, просто иногда сумбурно выражаюсь.

Здравствуйте, Doc, Вы писали:

Doc>И еще вопросик, зашел на страницу покупки в OpenSSL. Предлагают выбрать длину ключа и криптопровайдера.
Doc>Пояснений на что это повлияет нет. Что это такое я знаю, но вот как это может отразиться в дальнейшем и что лучше выбрать?

Оставляй все по дефолту.


--

Здравствуйте, ASX, Вы писали:

ASX>И потом подписывать этим левым сертификатом все что угодно, и никакая винда не пикнет.

Не пикнет до поры до времени. А настучат — аннулируют серт, и пикнет. Зайди в своё хранилище сертификатов в Винде — там на отдельной вкладке перечисленны даже поддельные серты от микрософта!

Смысл сертификатов не в том, чтобы надурить винду — а в том, чтобы произвести впечатление на тех, кто готов этим впечатлиться. Например, на Микрософт. На корпоративных клиентов. На параноиков. На антивирусников. Рассматривай это как галстук или визитку. Как id, в конце концов.