Здравствуйте, Euro, Вы писали:
E>Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах. А эти сертификаты, дополнительные стримы и окошки с вопросами — это же полная хрень, никого ни от чего не защищающая на деле. Для злоумышленников это точно не преграда, как регистрация в Москве для настоящих террористов Только лишний головняк пользователям и траты на сертификацию для вендоров.
Говорят, в Висте этих предупреждений будет больше. Проблема не только в браузере.
E>Я бы кстати подписался под каким-нибудь некоммерческим проектом против засилья лишней секурности. Что-то типа FSF, но не за открытые исходники, а за отсутствие лишних окошек и платы за убирание надписи Unknown Publisher. Например можно сделать сайт, на котором объяснить пользователям что это за окошки такие и как от них избавиться. Еще можно сделать альтернативного CA для членов проекта и предлагать поставить Root вручную чтобы софт от любого участника мог запускаться без лишних вопросов.
Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
Таким образом, после установки хотя бы одной программы с таким сертификатом, все остальные дистрибутивы станут автоматически подписанными.
Вопрос в том как автоматически незаметно вносить в Root сертификат при инсталляции дистрибутивов? Можно ли это технически реализовать используя API Windows или нужно как-то по другому "врезаться" в систему?
Создавать ещё одну организацию не имеет смысла, т.к. для этого нужны большие деньги. А FSF на такое вполне может пойти. Нужно только предложить.
Здравствуйте, Аноним, Вы писали:
А>Здравствуйте, Euro, Вы писали:
E>>Поширше бы чтоли Firefox и Opera уже распространились. Они не помечают скачанные файлы и вообще ведут себя более пристойно в некоторых смыслах. А эти сертификаты, дополнительные стримы и окошки с вопросами — это же полная хрень, никого ни от чего не защищающая на деле. Для злоумышленников это точно не преграда, как регистрация в Москве для настоящих террористов Только лишний головняк пользователям и траты на сертификацию для вендоров.
А>Говорят, в Висте этих предупреждений будет больше. Проблема не только в браузере.
С точки зрения шаровары проблема именно в IE. Это он стукач дополнительный стрим пишет после загрузки файлов из инета. Хорошо хоть часть народа менеджерами закачек пользуется, а не напрямую качают. Vista RC1 работает в этом смысле почти так же как XP, даже при включенном UAC.
E>>Я бы кстати подписался под каким-нибудь некоммерческим проектом против засилья лишней секурности. Что-то типа FSF, но не за открытые исходники, а за отсутствие лишних окошек и платы за убирание надписи Unknown Publisher. Например можно сделать сайт, на котором объяснить пользователям что это за окошки такие и как от них избавиться. Еще можно сделать альтернативного CA для членов проекта и предлагать поставить Root вручную чтобы софт от любого участника мог запускаться без лишних вопросов.
А>Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
Наверное может такое прокатить, если конечно каких-нибудь бюрократических проблем не возникнет. Только голосов должно быть судя по всему много больше чем один.
А>Создавать ещё одну организацию не имеет смысла, т.к. для этого нужны большие деньги. А FSF на такое вполне может пойти. Нужно только предложить.
Серьезные деньги нужны чтобы сделать своего CA, хотя бы дочернего. Уж очень бизнес-модель привлекательная
Re[25]: Подписывать ли инсталятор
От:
Аноним
Дата:
07.11.06 19:54
Оценка:
А>Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
гы гы гы. И каждый, кто использует их сертификат будет обязан раскрыть исходники. Шароварщики для них такое же зло, как и мыкрасофт.
Вы както не в ту сторону думаете. Щас договоритесь до движения за отмену юридических лиц и чего уж там — налогов.
Здравствуйте, Аноним, Вы писали:
А>>Предложите эту инициативу FSF. Пускай сгенерируют общий сертификат от имени FSF и включат его в популярные дистрибутивы. На сайте пусть разместят инструкции как любой разработчик может помочь распространить этот сертификат включая его в свой инсталлятор.
А>гы гы гы. И каждый, кто использует их сертификат будет обязан раскрыть исходники. Шароварщики для них такое же зло, как и мыкрасофт.
Шаровара это уже более широкое понятие чем try-before-buy. Хотя конечно с этими религиозными перцами лучше не связываться На базе SWRUS например такая организация выглядела бы более органично. Но там сейчас чето не то творится, пипл увлекается модераторством да всякими уставами. Не до насущных проблем руководству судя по всему.
А>Вы както не в ту сторону думаете. Щас договоритесь до движения за отмену юридических лиц и чего уж там — налогов.
Не надо палку перегибать. Не вижу связи с перечисленным, т.к. механизм сертификатов с его поддержкой в операционке создает реальные убытки на пустом месте. Плюсов от него никаких.
Re[27]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 00:42
Оценка:
E>Не надо палку перегибать. Не вижу связи с перечисленным, т.к. механизм сертификатов с его поддержкой в операционке создает реальные убытки на пустом месте. Плюсов от него никаких.
Ну отчего ж. У меня есть сертификат, у конкурентов нет. Плюс налицо.
Здравствуйте, Euro, Вы писали:
E>На базе SWRUS например такая организация выглядела бы более органично.
Не пойму, вы хотите, чтобы СВРУС выдавал сертификаты на неподтвержденные документально имена? Зачем? Чтобы его сертификат моментально выкинули из рута по стуку первого же недоброжелателя, коих в СВРУСе предостаточно?
Здравствуйте, Alex Mova, Вы писали:
E>>На базе SWRUS например такая организация выглядела бы более органично. AM>Не пойму, вы хотите, чтобы СВРУС выдавал сертификаты на неподтвержденные документально имена? Зачем? Чтобы его сертификат моментально выкинули из рута по стуку первого же недоброжелателя, коих в СВРУСе предостаточно?
Почему сразу на неподтвержденные? Сейчас смущает то, что за сертификатами нужно обращаться за океан, платить неплохие деньги (ежегодно), только ради того чтобы в возникающих при запуске софта окошках было название вендора, а не Unknown Publisher. И нужно это только честным производителям. Зачем писателю троянов сертификат, если окошки с надписями все равно будут появляться? Ну будет там написано Пупкин и Ко. вместо Unknown Publisher. Так если это троян, то все претензии к Пупкину, а не к тому кто сертификат выдавал. Думаю вирусописатели в здравом уме не станут давать свои координаты сертификатом, достаточно чтобы нельзя было получить сертификат от рута на чужое имя. Смысл то именно в том, чтобы был общий известный, управляемый рут, а не у каждого по руту. Заморские CA сейчас эту сферу монополизировали и рулят ценами. Столько вендоров уже в России, Украине, Белоруси — давно пора уже регионального рута иметь.
Выкидывать из рута по стуку это конечно вероятно если именно SWRUS иметь ввиду Кого подпускать к рулению рутом вот в чем вопрос
Здравствуйте, Euro, Вы писали:
E>Здравствуйте, Euro, Вы писали:
E>>Столько вендоров уже в России, Украине, Белоруси — давно пора уже регионального рута иметь.
E>А вот и он: E>http://ssl.ru/ru/certification/developer
E>Только цены как всегда чуть повыше
Здравствуйте, Аноним, Вы писали:
А>Да эта ж просто другая морда того же РБК.
Хм, да, так и есть.. Остается регистрировать сертификаты на юрлицо раз народ подсуетился. Ладно обычная шаровара, unlock из свойств помогает. С драйверами такой финт ушами не предусмотрен.
Здравствуйте, Euro, Вы писали:
E>Сейчас смущает то, что за сертификатами нужно обращаться за океан
Покупай на rbc, какие проблемы?
E>достаточно чтобы нельзя было получить сертификат от рута на чужое имя.
И как это СВРУС будет делать? Вернее, если он это будет делать (проверять документы), то чем он будет отличаться от того же rbc?
E>Смысл то именно в том, чтобы был общий известный, управляемый рут, а не у каждого по руту. Заморские CA сейчас эту сферу монополизировали и рулят ценами. Столько вендоров уже в России, Украине, Белоруси — давно пора уже регионального рута иметь.
Ну так и организуй это дело, раз ты видишь в этом смысл. В СВРУСе этим заниматься нет никакого смысла.
E>Выкидывать из рута по стуку это конечно вероятно если именно SWRUS иметь ввиду Кого подпускать к рулению рутом вот в чем вопрос
Организуй свой, и рули им как считаешь нужным. Сделай правильно, вместо того, чтобы рассказывать кто, как и насколько дешево это должен тебе сделать.
Здравствуйте, Alex Mova, Вы писали:
AM>Покупай на rbc, какие проблемы?
Сори, пропустил топик про rbc.
AM>Организуй свой, и рули им как считаешь нужным. Сделай правильно, вместо того, чтобы рассказывать кто, как и насколько дешево это должен тебе сделать.
Дельный совет Пока только rbc вроде этим в России занимается, ниша хорошая.
Здравствуйте, Euro, Вы писали:
AM>>Организуй свой, и рули им как считаешь нужным. Сделай правильно, вместо того, чтобы рассказывать кто, как и насколько дешево это должен тебе сделать. E>Дельный совет Пока только rbc вроде этим в России занимается, ниша хорошая.
RBC — это всего лишь реселлеры. А свой собственный СА организовать — это от нескольких сотен $К, если не больше. Странно ожидать после этого от владельцев благотворительности.
Здравствуйте, serverside, Вы писали:
S>RBC — это всего лишь реселлеры. А свой собственный СА организовать — это от нескольких сотен $К, если не больше. Странно ожидать после этого от владельцев благотворительности.
Всегда злит когда кто-то из воздуха деньги делает и не делится Об этом песнь на самом деле, а не о благотворительности. Бизнес то будет приносить хорошую прибыль и быстро окупит все затраты. Только рулить таким хозяйством и строить отношения с инвесторами и партнерами это такой экстрим на любителя. Мне по крайней мере пока совсем не хочется снова в такую кабалу лезть.. Когда своих денег на такое хватит другое дело
Здравствуйте, serverside, Вы писали:
E>>Всегда злит когда кто-то из воздуха деньги делает и не делится
S>Мн-э-э... Шаровара тоже — деньги из воздуха. Во всяком случае, кракеры аналогичную аргументацию используют. Их тоже злит.
Шаровару можно покупать или не покупать, люди сами решают. Сертификаты же _навязываются_ всем производителям, причем очень настойчиво. Шаровара как правило решает определенную объективную проблему, т.е. улучшает что-либо в определенной области. Сертификаты "решают" искусственно созданную проблему, т.е. возникшую на пустом месте, "из воздуха". Как если бы например регистраторы начали брать "входные" несколько $k в качестве подтверждения серьезности намерений. Или производители антивирусов распространяли вирусняки для повышения продаж. От троянов и других вирусов есть антивирусы, на хрена еще сертификаты нужны спрашивается?? Кракеры с их аргументацией просто дети по сравнению с такими глобальными разводами
Re[26]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 19:11
Оценка:
Здравствуйте, Euro, Вы писали:
E>С точки зрения шаровары проблема именно в IE. Это он стукач дополнительный стрим пишет после загрузки файлов из инета. Хорошо хоть часть народа менеджерами закачек пользуется, а не напрямую качают. Vista RC1 работает в этом смысле почти так же как XP, даже при включенном UAC.
Если всё дело в стриме, записанном после загрузки файлов из инета с помощью Internet Explorer... то получается если программу распространять в ZIP архиве, то в Висте эти дурацкие сообщения вообще не появятся при попытке установить ПО — при запуске распакованного инсталятора? Или я что-то не до конца понимаю?
Re[28]: Подписывать ли инсталятор
От:
Аноним
Дата:
08.11.06 19:20
Оценка:
Здравствуйте, Alex Mova, Вы писали:
AM>Здравствуйте, Euro, Вы писали:
E>>На базе SWRUS например такая организация выглядела бы более органично. AM>Не пойму, вы хотите, чтобы СВРУС выдавал сертификаты на неподтвержденные документально имена? Зачем? Чтобы его сертификат моментально выкинули из рута по стуку первого же недоброжелателя, коих в СВРУСе предостаточно?
Самодельный сертификат WebMoney уже выкинули из рута? Что-то я не понимаю, объясните мне пожалуйста, неужели майкрософту так хочется портить со всеми отношения и всех "выкидывать" из рута кроме Verisign, Comodo, Thawte ? Какое они имеют право такое делать через свой live update, если сертификат был установлен при полном согласии и желании юзера?
Здравствуйте, <Аноним>, Вы писали:
А>Самодельный сертификат WebMoney уже выкинули из рута?
Как бы его оттуда выкинули, если его там отродясь не было? Каждый пользователь Вебмани _сам_ его туда устанавливает, при этом в процессе установки всплывает, если не ошибаюсь, три или четыре предупреждения.
А> Что-то я не понимаю, объясните мне пожалуйста, неужели майкрософту так хочется портить со всеми отношения и всех "выкидывать" из рута кроме Verisign, Comodo, Thawte ? Какое они имеют право такое делать через свой live update, если сертификат был установлен при полном согласии и желании юзера?
Если речь о ручной установке сертификата, то зачем городить огород с какими-то сторонними организациями — нагенерил сам сертификатов и предлагай пользователю их установить.
А, я понял, вы хотите, чтобы сертификат устанавливался один раз при установке первой программы этой группы разработчиков, а для остальных программ этот процесс проходил бы уже гладко и незаметно?
Здравствуйте, Alex Mova, Вы писали:
AM>А, я понял, вы хотите, чтобы сертификат устанавливался один раз при установке первой программы этой группы разработчиков, а для остальных программ этот процесс проходил бы уже гладко и незаметно?
Именно. Только группа должна быть такой величины, чтобы установленные сертификаты в конце концов покрыли более-менее заметную часть аудитории. Если каждый будет предлагать поставить свой сертификат, то у пользователей в хранилище будет большая свалка. А если будет один-два известных third-party, то почему бы и нет.
Только лишний головняк пользователям и траты на сертификацию для вендоров.
