обновление программи

Общие вопросы программирования, алгоритмы и т.п.

Модератор: Модераторы

Re: обновление программи

Сообщение olegy123 » 01.07.2017 11:35:55

Ichthyander писал(а):Я продаю программы без цифровой подписи. И иногда у некоторых пользователей программа просто не запускается. Надо найти в свойствах файлах снять галочку, что программа скачена из интернета, тогда брандмауер пропустит. Но покупать цифровую подпись не вижу смысла для программы в моем случае:

Я столкнулся с тем, что Java вдруг решила что программы должны быть подписаны.. Иначе нужно было открывать настройки и принудительно снижать уровень безопсаности. Хорошо что это было на предприятие, нужно было побегать по этажам и у 5 компов сделать этот тюнинг...
Поэтому если вдруг M$ решит что не гоже запускать всякую дрянь - то если у вас конечные обычные пользователи. Вот тогда пользоваться вашей программой сильно ограниченное число пользователей.

Ichthyander писал(а):2. Действительно, если бы была цифровая подпись, то это резко снизит количество ложных срабатываний антивирусов на Вашу программу

Действительно, сертификат говорит о том, что данная программа была издана тому кому регистратор проверил истинность издателя. Но недавно вскрылся случай, когда вирусы на иранском атомном предприятии имели истинный сертификат, регистратор которых был включен во многих OS.

Ichthyander писал(а):P.S. Вот мне интересно, есть ли возможность поставить на программу бесплатную цифровую подпись, как это я делаю к примеру для сайтов. Все подсвечивается зеленым и вроде проблем нет, не понимаю в чем минусы, но проблем не наблюдаю.

проблема в том что будет ли OS доверять данному регистратору. Вы будете перечислять денги, называть счет и приватный код сайту к которого сертификат палевый?

Добавлено спустя 3 минуты 21 секунду:
pupsik писал(а): поройтесь в инете. Вроде встречал: как. Хотя... это хак. Но: в принципе...

Это не хак - это доверие.. Вы готовы доверится проге, у издателя которого нет денег.
Вы готовы есть дешевую колбасу, у которой ни этикетки нет ни состава..

Добавлено спустя 6 минут 56 секунд:
vitaly_l писал(а):от грамотного заражения - вообще ничего не спасёт. Но подпись даёт надежду, что файл не претерпел изменений, в том числе и смены данных в бинарнике ( что вряд ли, т.к. для этого требуется персональное заражение ).

Это дает право OS проверить, у издателя есть лицо? Оно способно нести финансовую ответственность(если это платный сертификат).
Для бесплатного сертификата, как правило нужно принудительно прописать их(кто проверял данные) публичный сертификат для сравнения.

поэтому, это палка с двух концов - нужно подписывать платно или хватит бесплатно. Так и кто уже находится в коробке OS - имеют больше привилегии, по сравнению с другими.
Как пример COMODO - кто то им доверяет, а кто то нет..
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: обновление программи

Сообщение Лекс Айрин » 01.07.2017 11:57:33

olegy123 писал(а): Вы готовы доверится проге, у издателя которого нет денег.
Вы готовы есть дешевую колбасу, у которой ни этикетки нет ни состава..


1) это совсем разные вещи.
2) Пользуемся же мы "бесплатными" FPC/Lazarus/Linux
3) Сотни лет люди ели колбасу изготовленную вручную, без этикетки и даже без срока годности! А ведь тогда не было холодильников. И никто не мог гарантировать, что она была изготовлена не из пойманных в подворотне кабысдохов.
4) На самом деле, если уж подходить строго, никто не может гарантировать ни состав продуктов, ни функциональность программ. Все эти сертификаты не более чем декларации.
Единственный реальный способ гарантированно получить программу без левых закладок это передача ее на флешке прямо от автора. Но и это не избавляет от варианта когда автор намеренно готовит прогу с подарком.
Если не входить в паранойю, то проще закачать прогу на ftp-сервер и дать на него ссылку. Конечно, всегда будет шанс получить перепакованный инсталлятор, но тут ничего не сделать... только предупредить, что желательно использовать оригинальный источник обновления.
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: обновление программи

Сообщение vitaly_l » 01.07.2017 12:47:05

Лекс Айрин писал(а):закачать прогу на ftp-сервер и дать на него ссылку

Вы забыли, что сервер - может случайно заразиться и заразить выложенную на ftp программу. Так вот, сертификат, спасает именно от таких непредвиденных случайных заражений, т.к. если подпись будет нарушена, то системы - начнут ругаться. А если, нарушение подписи обнаружит ещё и ваша программа, устанавливающая обновление, то вы реально спасёте своих клиентов от непредвиденного заражения.

Было бы правильно, здесь выложить пример кода на паскале, как проверить подпись прямо из своей программы, т.к. это будет востребовано всеми. Если кто-то из гуру-мастеров умеет, делитесь, т.к. это нужно знать и уметь делать всем

.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: обновление программи

Сообщение olegy123 » 01.07.2017 13:01:50

Лекс Айрин писал(а):3) Сотни лет люди ели колбасу изготовленную вручную, без этикетки и даже без срока годности! А ведь тогда не было холодильников. И никто не мог гарантировать, что она была изготовлена не из пойманных в подворотне кабысдохов.

"Лекс Айрин" - мне кажется, что вы употребляете боярышник, и покупаете там где не требуют сретификатов, либо они липовые.
Автомобиль - у вас NoName? Если он сломается вы ремонтируете его там где сертифицировано, в случае чего производитель обязуется вам возместить ущерб. Или вы сторонник свободы отношений в этом поле?
Так вот паспорт - это тоже ваш сертификат. И денги - то же крепят опознавательными знаками.

Добавлено спустя 11 минут 4 секунды:
Лекс Айрин писал(а):Если не входить в паранойю, то проще закачать прогу на ftp-сервер и дать на него ссылку.

Лично вам никто не мешает это делать.
Лекс Айрин писал(а):Конечно, всегда будет шанс получить перепакованный инсталлятор, но тут ничего не сделать...

Ну как так? Есть центры, которые подтверждают что это не левак. Ядро системы проверила сигнатуру ключа кто выдал сертификат для подписи программы, со свей в базе.. зеленый свет - претензий к программе нет. Если красный - то увы..

Добавлено спустя 9 минут 51 секунду:
vitaly_l писал(а):Было бы правильно, здесь выложить пример кода на паскале, как проверить подпись прямо из своей программы, т.к. это будет востребовано всеми. Если кто-то из гуру-мастеров умеет, делитесь, т.к. это нужно знать и уметь делать всем

У каждой OS(или VM) существует свой подход.
Легко можно свой написать на базе OpenSSL,GnuPG и других..
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: обновление программи

Сообщение kit » 01.07.2017 13:31:06

Архивирование с паролем поможет?
kit
постоялец
 
Сообщения: 156
Зарегистрирован: 29.09.2016 09:39:07

Re: обновление программи

Сообщение vitaly_l » 01.07.2017 13:32:24

kit писал(а):Архивирование с паролем поможет?

100% нет.

olegy123 писал(а):Легко можно свой написать на базе OpenSSL,GnuPG и других..

Я верю, что это делается парой строчек кода, просто их нужно знать. Это как таковое - не относится к программированию, а скорее к знанию чего именно нужно запустить. Вот я стал читать про OpenSSL и вижу что в примере проверяется сертификат, для сайтов, а не для подписи программ. Возможно там где-то есть и проверка, программного сертификата, но тут ещё важно не только сам сертификат проверить, но и подписанную им программу. И получить пример от специалистов, было-бы очень круто.

.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: обновление программи

Сообщение Лекс Айрин » 01.07.2017 13:35:21

Я не пью. Практически совсем. И уж не собираюсь пить в качестве спиртного лекарство без показаний. И, если уж на то пошло, то самая лучшая водка, которую я пил, оказалась разведенным спиртом... это к вопросу о сертификатах.
Не люблю автомобилей. Компьютер собираю нонейм, ремонтирую сам. Правда, у меня есть знакомые, которые могут подобрать качественный нонейм.
Так как я слесарь СБТ, то вполне могу отремонтировать больше половины приборов вокруг себя, если есть запчасти... иногда и без оных. Была бы машина -- и в ней бы копался. Только у меня нет даже прав.
Что там дальше... телефон у меня один из самых дешевых китайцев. Предыдущий тупо утонул и у него вспухла батарея. Если бы не это, то еще бы долго прослужил... такой же дешевый смарт тоже лежит без батареи.

olegy123 писал(а):Так вот паспорт - это тоже ваш сертификат. И денги - то же крепят опознавательными знаками.

Да, паспорт это сертификат. И, если что, фальшивые паспорта тоже имеют обращение
Деньги... это лишь форма оферты, не более. Самодостаточной ценности они не имеют.

vitaly_l писал(а):Вы забыли, что сервер - может случайно заразиться и заразить выложенную на ftp программу.


Я не забыл. Более того, есть варианты подмена ссылок и пр... но я же говорил об отсутствии паранойи))

vitaly_l писал(а):Так вот, сертификат, спасает именно от таких непредвиденных случайных заражений, т.к. если подпись будет нарушена, то системы - начнут ругаться.


Вообще-то не спасает, а затрудняет. Пошукай, что такое md5 коллизии и ужаснись -- это бич любой хеш-функции. Плюс, сейчас существуют методики взлома функции шифрования (поиск md5-коллизии или ее аналога) простым перебором на распределенной бот-сети. И потом, не все обращают внимание на сертификаты. Плюс, есть проблема корневого сертификата, который просто вынужден быть самоподписанным. (фактически, недостоверным).
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: обновление программи

Сообщение olegy123 » 01.07.2017 14:00:45

kit писал(а):Архивирование с паролем поможет?
Это шифрация с синхронным ключом, где ключ(пароль) знают все.
С асинхронным - там участвуют два ключа приватный и производный от него публичный(с генерированный от приватного). Публичных может быть много..
Я закрываю приватным, те кто имеет публичный - откроют.. но повторить приватный ключ они не могут.

Добавлено спустя 35 минут 47 секунд:
Лекс Айрин писал(а):Я не пью. Практически совсем. И уж не собираюсь пить в качестве спиртного лекарство без показаний.

Некоторые пьют чтобы в тонус себя привести..
Лекс Айрин писал(а): ..Только у меня нет даже прав.

даже не какаешь? А по воде ходишь?

Лекс Айрин писал(а):Да, паспорт это сертификат. И, если что, фальшивые паспорта тоже имеют обращение

Да только обычным гражданам этого не нужно, кредитов не дадут, зарубеж не уехать. Даже требуют при покупке продуктов, товаров.

Лекс Айрин писал(а):Я не забыл. Более того, есть варианты подмена ссылок и пр... но я же говорил об отсутствии паранойи))

Подмена ссылками как раз решается доверенными центрами(третьей стороной)..

Паранойя возникает когда оперируешь скорее не своими деньгами, а чужими. И эти люди, которые тебе доверили свои деньги - при тебе закидывают человека в багажник и едут подышать свежим, чистым воздухом, и тот в багажнике тоже едет с ними.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: обновление программи

Сообщение Pavia » 01.07.2017 14:40:36

Ребята пишите ясчё так давно не ржал. :twisted:
Аватара пользователя
Pavia
постоялец
 
Сообщения: 290
Зарегистрирован: 07.01.2011 12:46:51

Re: обновление программи

Сообщение Лекс Айрин » 01.07.2017 16:14:41

olegy123 писал(а):Некоторые пьют чтобы в тонус себя привести..


Последствие психоблокады. В тонус я не приду, только устану быстрее.

olegy123 писал(а):даже не какаешь? А по воде ходишь?


Ну почему? Я вполне нормальный человек с кучей недостатков... и нимб мне точно не достанется..
olegy123 писал(а):Да только обычным гражданам этого не нужно, кредитов не дадут, зарубеж не уехать.


Их как бы не для этого делают. И, если уж на то пошло, хорошую фальшивку определить на вид не так уж и легко. Проще пробить по базе.
olegy123 писал(а):Подмена ссылками как раз решается доверенными центрами(третьей стороной)..


Если есть доверие третьей стороне. А вот тут бывают свои нюансы типа фейковых центров сертификации и пр...

olegy123 писал(а):Паранойя возникает когда оперируешь скорее не своими деньгами, а чужими.


Ну почему. Паранойя вполне достойный комплекс, если его держать в узде.

Pavia писал(а):пишите ясчё


тогда уж "пешите исчо"
Аватара пользователя
Лекс Айрин
долгожитель
 
Сообщения: 5723
Зарегистрирован: 19.02.2013 16:54:51
Откуда: Волгоград

Re: обновление программи

Сообщение olegy123 » 02.07.2017 07:52:18

Лекс Айрин писал(а):Если есть доверие третьей стороне. А вот тут бывают свои нюансы типа фейковых центров сертификации и пр...

Анука с этой части поподробнее.. Мои знания заканчиваются на "доверие третьей стороне" тем, что нужно им доверять.
Поделись лайфхаком, как мне стать санитаром в банковском лесу? И америкосов с натовцами на колени поставить.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Re: обновление программи

Сообщение vitaly_l » 02.07.2017 09:38:52

olegy123 писал(а):Поделись лайфхаком, как мне стать санитаром в банковском лесу? И америкосов с натовцами на колени поставить.

Так это очень просто!

1) Регистрируетесь в качестве доверенного сертификатора и ваши сертификаты, начнут котироваться браузерами и ОС.
2) Собираете команду, со знанием нескольких языков и платите им крутую зарплату, за процедуру оформления регистрации фирм.
3) Начинаете регистрировать и проверять регистрируемых, а равно и распространять бесплатные сертификаты, за свой счёт.

Естественно что, тропа к Вам не только не зарастёт, но превратится в шоссе! Вас все будут боготворить и молиться на Вас!
В итоге, Вы легко поставите всех америкосов с натовцами "на колени", т.к. рано или поздно, основные их клиенты начнут приходить к Вам.
Ну а, если вдруг, предложите стартап В.В.Путину, то он возможно даст Вам денег или наймёт вместо Вас своего регистратора и поставит его на Госбюджет, так что сможете не только победить, но и заработать ( ну или дать идею как другим заработать много денег из Госбюджета ).

.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: обновление программи

Сообщение debi12345 » 02.07.2017 23:56:27

Минимальная цена сертификата сегодня 3281.86 руб.

"LetsEncrypt.com" - бесплатные сертификаты (2..3 месяца + автопродление) от Mozilla-комьюнити. Ессно (во избежание MITM и прочих злоупотреблений) без СА-прав.
Аватара пользователя
debi12345
долгожитель
 
Сообщения: 5759
Зарегистрирован: 10.05.2006 23:41:15
Откуда: Ташкент (Узбекистан)

Re: обновление программи

Сообщение vitaly_l » 03.07.2017 06:51:43

debi12345 писал(а):Ессно (во избежание MITM и прочих злоупотреблений) без СА-прав.

В феврале 2017 я столкнулся с тем что, бесплатные сертификаты за 2016-2017 год - отозвали, и мне пришлось перейти на платный. Правда это было с другой компанией по выдаче бесплатного сыра. Но это мелочи.

Суть в том что, предлагаемый вами сертификат для валидации доменов и для подписи программ не подходит.


.
Аватара пользователя
vitaly_l
долгожитель
 
Сообщения: 3333
Зарегистрирован: 31.01.2012 16:41:41

Re: обновление программи

Сообщение olegy123 » 03.07.2017 09:45:09

debi12345 писал(а):"LetsEncrypt.com" - бесплатные сертификаты

Там две проблемы: 1) короткий срок. 2) системы понятие не имеют о LetsEncrypt.com.
Поэтому их нужно вносить в ручном режиме как "доверенные".

Вообще центры это "палка с двух концов" - с одной стороны они хотят денег за услуги, с нашим курсом они не маленькие. С другой стороны - они должны работать круглосуточно и стабильно. Требуют платных ресурсов.
Тут одна надежда на гейропу, или на гей сообщество из Сан-Франциско, что они подключат сервера к возобновляемым источникам, будут контролировать работоспособность и безопасность на уровне общественных, силовых структур и все это будет оплачивать их гейский бюджет. Ну и это, геи их европы нагнут гейев из залива чтобы они включили во все девайсы.
Я хотел выразится языком духовных скреп - но модератор заволнуется, вспотеет, что лучше не надо.

С электронными деньгами скорее сертификация будет основана персонально..

vitaly_l писал(а):В итоге, Вы легко поставите всех америкосов с натовцами "на колени", т.к. рано или поздно, основные их клиенты начнут приходить к Вам.

Виталя, тут разговор о другом шел, о нелегальном центре. Твой кореш, Лекс Айрин трекнул языком, что в курсе о неких возможностей, как лихо обмануть и грязно надругаться над всех банковской системой, а по по возможности даже устроит прослушку важных рож.. Этот центр будет поважнее нелегального казино с блэк джеком и этих.. девушек.
olegy123
долгожитель
 
Сообщения: 1643
Зарегистрирован: 25.02.2016 12:10:20

Пред.След.

Вернуться в Общее

Кто сейчас на конференции

Сейчас этот форум просматривают: Google [Bot] и гости: 4

Рейтинг@Mail.ru