Re[4]: Как обойти SmartScreen
От: velkin Земля kisa.biz
Дата: 10.08.21 16:44
Оценка:
Здравствуйте, uuuser, Вы писали:

U>а что, подписи уже можно подделывать? или вы своим кастомерам md5 на бересте раздаёте чтобы они подлинность exe'шника проверяли перед запуском?

Я за доверенные источники с которых можно скачать программу, а не за хренов с горы гребущих деньги и шантажирующих независимых разработчиков всплывающими окнами встроенными в операционку. Уверяю, если бы это окно не всплывало, мало бы кто озаботился проверкой установщика. А как раньше то жили, ставили софт с лазерных дисков, а до этого с дискет, причём всё без сертификации. Что касается хеш-сумм, то идея проверки целостности архива, подчёркиваю целостности, вполне себе здравая. Пишу это сообщение с Debian 9 и именно так в мире GNU/Linux и поступают. Как раз приведённый случай с md5.

Качаю: https://download.qt.io/archive/qt/5.9/5.9.9/
qt-opensource-windows-x86-5.9.9.exe
qt-opensource-mac-x64-5.9.9.dmg
qt-opensource-linux-x64-5.9.9.run
md5sums.txt

md5sums.txt
a7d95a18005d9fe1c88b5e7fae5ef771  qt-opensource-linux-x64-5.9.9.run
e57f7ed8a7df6d222328b12ab54faaad  qt-opensource-mac-x64-5.9.9.dmg
8a6e85980361c539267b2b44a56fe063  qt-opensource-windows-x86-5.9.9.exe

ввод
cd /mnt/data_01/archive/distros/qt/qt5.9.9/
md5sum -c md5sums.txt

вывод
qt-opensource-linux-x64-5.9.9.run: ЦЕЛ
qt-opensource-mac-x64-5.9.9.dmg: ЦЕЛ
qt-opensource-windows-x86-5.9.9.exe: ЦЕЛ

Дистрибутивы debian можно скачать точно так же или торрентами, а последние уже имеют хеш-суммы в торрент файле для проверки целостности.

https://cdimage.debian.org/debian-cd/current-live/amd64/bt-hybrid/
[SUM]   MD5SUMS
[CRT]   MD5SUMS.sign
[SUM]   SHA1SUMS
[CRT]   SHA1SUMS.sign
[SUM]   SHA256SUMS
[CRT]   SHA256SUMS.sign
[SUM]   SHA512SUMS
[CRT]   SHA512SUMS.sign
[P2P]   debian-live-10.10.0-amd64-cinnamon.iso.torrent
[P2P]   debian-live-10.10.0-amd64-gnome.iso.torrent
[P2P]   debian-live-10.10.0-amd64-kde.iso.torrent
[P2P]   debian-live-10.10.0-amd64-lxde.iso.torrent
[P2P]   debian-live-10.10.0-amd64-lxqt.iso.torrent
[P2P]   debian-live-10.10.0-amd64-mate.iso.torrent
[P2P]   debian-live-10.10.0-amd64-standard.iso.torrent
[P2P]   debian-live-10.10.0-amd64-xfce.iso.torrent

https://cdimage.debian.org/debian-cd/current-live/amd64/iso-hybrid/
[SUM]   MD5SUMS
[CRT]   MD5SUMS.sign
[SUM]   SHA1SUMS
[CRT]   SHA1SUMS.sign
[SUM]   SHA256SUMS
[CRT]   SHA256SUMS.sign
[SUM]   SHA512SUMS
[CRT]   SHA512SUMS.sign
[   ]   debian-live-10.10.0-amd64-cinnamon.contents
[ISO]   debian-live-10.10.0-amd64-cinnamon.iso
[TXT]   debian-live-10.10.0-amd64-cinnamon.log
[   ]   debian-live-10.10.0-amd64-cinnamon.packages
[   ]   debian-live-10.10.0-amd64-gnome.contents
[ISO]   debian-live-10.10.0-amd64-gnome.iso
[TXT]   debian-live-10.10.0-amd64-gnome.log
[   ]   debian-live-10.10.0-amd64-gnome.packages
[   ]   debian-live-10.10.0-amd64-kde.contents
[ISO]   debian-live-10.10.0-amd64-kde.iso
[TXT]   debian-live-10.10.0-amd64-kde.log
[   ]   debian-live-10.10.0-amd64-kde.packages
[   ]   debian-live-10.10.0-amd64-lxde.contents
[ISO]   debian-live-10.10.0-amd64-lxde.iso
[TXT]   debian-live-10.10.0-amd64-lxde.log
[   ]   debian-live-10.10.0-amd64-lxde.packages
[   ]   debian-live-10.10.0-amd64-lxqt.contents
[ISO]   debian-live-10.10.0-amd64-lxqt.iso
[TXT]   debian-live-10.10.0-amd64-lxqt.log
[   ]   debian-live-10.10.0-amd64-lxqt.packages
[   ]   debian-live-10.10.0-amd64-mate.contents
[ISO]   debian-live-10.10.0-amd64-mate.iso
[TXT]   debian-live-10.10.0-amd64-mate.log
[   ]   debian-live-10.10.0-amd64-mate.packages
[   ]   debian-live-10.10.0-amd64-standard.contents
[ISO]   debian-live-10.10.0-amd64-standard.iso
[TXT]   debian-live-10.10.0-amd64-standard.log
[   ]   debian-live-10.10.0-amd64-standard.packages
[   ]   debian-live-10.10.0-amd64-xfce.contents
[ISO]   debian-live-10.10.0-amd64-xfce.iso
[TXT]   debian-live-10.10.0-amd64-xfce.log
[   ]   debian-live-10.10.0-amd64-xfce.packages

Или ладно, возьмём сертификаты. Где-то там в интернете есть центр сертификации. Но вопрос, откуда пользователь берёт пакет установки? С центра сертификации? Нет, он качает его с сайта разработчика, на худой конец с какого-нибудь магазина. И тогда возникает вопрос, а что собственно здесь сертифицировать? Если пользователь не доверяет этому источнику, то зачем оттуда качает?

Или руководство поручило установить Васе Пупкину софт, но Васян может запороть операционку и без всякого софта если захочет. Сертификат на приложение это даже не защита от дурака, это вообще ни о чём.

Да и в принципе никто не мешал сделать автоматическую систему сертификации, как с тем же подтверждением домена, когда надо расположить на своём сайте определённый файл и тогда поисковик признает тебя владельцем. Потом бы при запуске установщика операционка бы показывала не некого абстрактного владельца, а подтверждённый домен разработчика.

Но сертификация была сделана не для этого, а чтобы драть с людей бабки не работая. Тоже самое делает правительство выдавая лицензии на деятельность. Идея брать налоги не нова, зачем самим работать, когда есть те, кто будет работать за вас.
 
Подождите ...
Wait...
Пока на собственное сообщение не было ответов, его можно удалить.