PureBoard

Hallo in die Runde,

in wieweit signiert Ihr Eure Software, damit Windows diese nicht wie einen Aussätzigen behandelt? Bzw. Nutzer davon abhält diese zu
installieren und zu nutzen..

Für kommerzielle Projekte scheint mir das bereits unabdingbar. Leider sind die Zertifikat Kosten inzwischen auf über 100 EUR pro Jahr gestiegen.
Ich frage mich, ob man statt einer Einzelperson auch einen Verein zertifizieren kann und sich dann die Kosten teilen könnte?

Wie geht Ihr mit dem Thema um?

Meine kommerziellen Projekte sind recht speziell und werden jeweils nur von wenigen Kunden genutzt, daher verzichte ich auf die teuren Zertifikate.
Hier will ja Microsoft nur Geld machen.

Ich lade die fertigen Versionen selbst bei Virustotal hoch, so lernen Virenscanner sie früh kennen.
Die Admins setzen in den wenigen Fällen, wo doch ein Alarm von einem Virenscanner getriggert wird, Ausnahmen.
Kam bisher etwa drei mal vor und nur in einem Fall war es ärgerlich weil man erst durch Bürokratie musste um die Ausnahme zu kriegen.

Die ganzen Scanner sind eh großteils Vodoo-Magie. Oft hilft es eine minimale Änderung zu machen und ein Programm wird nicht mehr erkannt,
und generell sinkt die Erkennungsrate schon, wenn man die Details angibt wie Versionsnummer und Kontaktadresse.

Als ich vor 15 Jahren zum Test einen Spionagetrojaner geschrieben habe (ohne Verbreitungsfunktion), wurde der lustigerweise von keinem Tool erkannt,
trotz Keylogger, Screencapture und Remote Execute Funktionen. Der Quellcode hab ich leider verschlampt, sonst wär es ja interessant, wie die Erkennung heute wäre. Dafür triggern auch heute noch simpelste und total harmlose Programme ohne jede Netzwerkfunktion Fehlalarme.

Das Geld würde ich mir auch sparen. Wird der "geklaute" Code nur ein wenig verändert oder nur leicht umgestellt, dann ist Schluss mit der autom. Erkennung.... so wie Macros schon schieb.

Virenscanner, Zertifikate etc. sind ein Riesen Markt/Geschäft und den lassen die, die damit Geld verdienen, sich nicht kaputt machen... das lasse ich mal so in dem Raum stehen... nur so zum nachdenken

Virenscanner wären ja toll, wenn sie nicht ihre dämlichen Heuristiken hätten. Denn die sind das eigentliche Problem. Meist erkennbar an dem angeblich erkannten Virus, der irgendwas mit "Generic" im Namen trägt.

Und ich stimme auch northstarex zu: Virenscanner sind hauptsächlich eine Geldgrube für die AV-Hersteller. Und eine kleine Hilfe für Leute, die das Internet immer noch nicht verstanden haben oder auch nie werden und sich von Werbung verleiten lassen oder Phishing-Mails ernst nehmen.

Es sollten eher Programme Pflicht werden, die nach Anschalten des Computers erst Mal eine Pflichtvorlesung darüber halten wie man einen Computer zu bedienen hat, vor allem wenn sie mit sensiblen Daten arbeiten und in einer Firma arbeiten, die inkompetente Admins haben.

Virenscanner und Falsch-Positiv-Alarme sind definitiv ärgerlich und ein Problem.

Aber darum geht es bei der Code-Signierung nicht.

Ist ein Windows Programm (Executable) nicht signiert, wird es dem Nutzer beim Öffnen als gefährlich dargestellt
und eine Ausführung zunächst verhindert. Der Nutzer muss sich schon ein bischen auskennen und Mut haben,
dass Programm doch zu starten.

Das ist, wenn man Software über den Shareware Bereich anbietet, fast schon ein Knock out.

nö... eigentlich nicht. Im Shrewarebereich ist das wohl gang und gebe, dass da kaum ein PRG signiert ist. Wäre mir jetzt neu, wenn das anders wäre.

M.M.n.: Den meisten Normal-Usern, die sich mit PCs und Sicherheit nicht auskennen, ist es egal, ob signiert ist oder nicht. Die klicken so oder so immer auf "Ja" oder "OK", auch wenn eine Anwendung Admin-Zugriff auf nicht berechtigte Bereiche benötigen. Deshalb funktionieren Angriffsszenarien wie Phishing-Mail usw. gut.
Nur erfahrende User und Unternehmen achten mehr auf die Sicherheit ihres PCs und ihrer Daten.
Ich kenne im Shareware-Bereich auch sehr viele Anwendungen, die nicht teuer signiert wurden.
Auch ich verwende nicht signierte Anwendungen. Man muss die Software kennen und dem Hersteller vertrauen.

Interessant. Ich habe da einen ganz anderen Eindruck. Zumal es für den unbedarften Nutzer auf den ersten Blick gar keine Möglichkeit zu geben scheint, dass Programm doch auszuführen..

Achso die SmartScreen-Funktion.
Wenn man auf "Weitere Informationen" klickt, dann erscheint ein zweiter Button "Trotzdem ausführen" und dann kann man die Anwendung trotzdem ausführen.

Wenn es darum geht, kannst du auch direkt an Microsoft das Softwaresample senden,
dann wird die Smartscreenmeldung noch schneller verschwinden als wenn man es über Virustotal macht:
https://www.microsoft.com/en-us/wdsi/filesubmission

Außerdem kann die Smartscreenmeldung selbst dann erscheinen, wenn man mit einem Zertifikat signiert.
https://security.stackexchange.com/ques ... utable-why
Also außer du zahlst noch mehr Geld, denn dann ist deine Anwendung natürlich sicher ...