Windows smartscreen и приложения BCB

Товарищи может кто сталкивался, начиная с ОС Win 8.1 встроен "фильтр windows smartscreen", который не дает запускать сторонние приложения. Конечно его можно отключить в настройках, но другие то приложения ка кто запускаются без отключения, как это можно сделать?

Миниатюры

 

0

Понимаю что скорее всего нужен сертификат, но он не из дешевых, временный и с куча нюансов ..может есть другой способ?)

0

Сообщение от Dinkin другие то приложения ка кто запускаются без отключения

Только имеющие сертификат

1

Вообщем, занялся вопросом как официально получить необходимый сертификат,проконсультировался с юристами. и оказалось Грусть-печаль-ананасы.
Сертификатов на ПО огромное количество, с разными "настройками", что бы получить сертификат необходимо время, деньги и пройти несколько "квестов".

И так может кому будет полезная информация, что бы Ваше ПО не выдавало :"
- Не удалось проверить издателя программы.
- Файл скачивается редко и может причинить вред компьютеру.
- Windows 8 - Smart Screen защитила компьютер."

Необходимо быть Юр. Лицом, а так же иметь около 500$ каждый год на продление лицензии (сюда не вписаны расходы на услуги комиссии и другую бюрократической канители)

Добавлено через 2 минуты
Так же добавлю, если все таки Вы решились на дачный квест, то должны понимать что до необходимого эффекта, может пройти от месяца до полугода

0

Сообщение от Dinkin Необходимо быть Юр. Лицом, а так же иметь около 500$ каждый год на продление лицензии

$500 - это Вы загнули. За столько денег можно купить EV-сертификат у DigiCert
на три года (по скидке).

Сообщение от Dinkin Так же добавлю, если все таки Вы решились на дачный квест, то должны понимать что до необходимого эффекта, может пройти от месяца до полугода

Сертификат можно получить за несколько дней, а иногда и за несколько часов.
Так что не все так плохо.

1

Убежденный, По возможности можно источник куда можно обратиться за информацией. Так как по двум ИТ юр кантором мне дали консультацию, что дешевле сертификаты не дадут должного эффекта. А такие сроки аргументировали они следующим : Время комиссии на исследованные ПО+ время выдача сертификата+ время когда сертификат будет виден в разных структурах включая и Microsoft (и это при условии если все пройдет гладко)

0

Сообщение от Dinkin можно источник куда можно обратиться за информацией.

Code Signing Certificates for Sysdevs (DigiCert)
https://www.digicert.com/friends/sysdev/

Так как по двум ИТ юр кантором мне дали консультацию, что дешевле сертификаты не дадут должного эффекта.

Для того, чтобы сразу подружиться со SmartScreen-ом, нужен EV-сертификат.
У DigiCert и Symantec такие сертификаты есть, и стоимость тут не при чем:
Про SmartScreen у DigiCert на странице их EV-сертификата сказано:

Establish Reputation with Microsoft's SmartScreen® Filter Programs signed by an EV code signing certificate can immediately establish reputation with Microsoft SmartScreen reputation services—even if no prior reputation exists for that file or publisher. Now, even brand new publishers have and benefit from an immediate reputation.

----

А такие сроки аргументировали они следующим : Время комиссии на исследованные ПО+ время выдача сертификата+ время когда сертификат будет виден в разных структурах включая и Microsoft (и это при условии если все пройдет гладко)

Не, это бред какой-то.
Потребуется какое-то время на оформление документов и прохождение проверок, для EV они
достаточно серьезные. Все, после этого вам пришлют сертификат и можно сразу же им пользоваться.
Никаких "исследование ПО" и "виден в разных структурах" не нужно, сертификаты управляются
цепочкой доверия, криптографическими функциями и revokation-списками. В Microsoft и других
организациях вообще не будут знать, что кто-то там купил сертификат и что-то им подписывают
(если только вы не начнете подписывать malware, в этом случае серт отзовут). Вот и все.

EV-сертификаты отличаются от обычных специальным свойством (OID). Когда SmartScreen встречает
цифровую подпись с EV-сертификатом, он сразу устанавливает доверие. То же самое с green bar
браузерах с SSL-сертификатами. Ждать, пока сертификат попадет в списки каких-то там
структур, не нужно. В этом и суть EV: строгие проверки, выдают только юр.лицам, доверие в
SmartScreen (для Authenticode-сертификатов) и зеленая полоска в адресной строке браузера
(для SSL-сертификатов).

1

Убежденный, и еще вопрос,а как вообще имея сертификат,прикрутить его к RAD приложениям?)

0

Просто подписываете исполняемый файл, который будут скачивать пользователи. И все.
В Windows SDK есть утилита signtool для этого, используется так, например:
Сертификат к этому времени должен быть установлен в хранилище.

Еще говорят, что обычными (не EV) сертификатами тоже можно бороться со
SmartScreen, только обычно должно пройти некоторое время и набраться
определенное количество загрузок. Тогда файл будет считаться безопасным.
Зато стоят такие сертификаты немного дешевле. Я в свое время покупал у
GlobalSign на три года за ~350 USD.

1

Убежденный, а обычные сертификаты также обязательно на юр. лицо?

0

Нет. Symantec, Thawte, COMODO, DigiCert, StartSSL, GoDaddy и
некоторые другие организации продают сертификаты физ.лицам.
Вполне реально пройти все проверки и получить серт за 2-3 дня.

1

Убежденный, огромное спасибо за ценную информацию

0

Да, и еще я бы посоветовал следующее.

Во-первых, не гнаться за дешевизной.
Например, StartSSL продает очень дешево, но зато когда у сертификата кончается
срок действия сертификата, все ранее сделанные подписи становятся невалидными
(вне зависимости от наличия штампа времени - timestamp).

Во-вторых, если нужна поддержка XP-Vista, то лучше явно указать, что
нужен серт с SHA-1, а не SHA-256, т.к. подписи с SHA-256 "понимает"
только Windows 8 и выше (и частично Windows 7).

--------

Некоторое время назад я на форуме RSDN подробно описывал процесс покупки
сертификата у GlobalSign, легко ищется по "сертификат для подписи драйвера,
частное лицо". Чтобы было представление, с чем придется столкнуться.

2

Спасибо!
Но вот подумал:
1) если выпускается апдейт программы, каждый раз нужно его сертифицировать?
2) Если ПО upd упакована и виртуализирована, могут ли возникнуть проблемы с сертификацией?
3) Если в разработанном ПО участвую платные компоненты или сторонние приложения.необходимо ли как то это подкреплять?

Добавлено через 13 минут
Просторы интернета даже выдают конторы, у которых есть бесплатные сертификаты, но они как то урезаны.

0

Сообщение от Dinkin 1) если выпускается апдейт программы, каждый раз нужно его сертифицировать?

Да, каждую новую версию программы нужно будет подписывать заново.
"Сертифицировать" - этот термин означает немного другое.

Сообщение от Dinkin 2) Если ПО upd упакована и виртуализирована, могут ли возникнуть проблемы с сертификацией?

А с чего бы им возникнуть ?
Я подписывал софт, включая драйверы, который был упакован VMProtect-ом,
все нормально работало.

Сообщение от Dinkin 3) Если в разработанном ПО участвую платные компоненты или сторонние приложения.необходимо ли как то это подкреплять?

Нет.
У меня ощущение, что Вы путаете подписывание кода и сертификацию.
Для подписывания кода не нужно никуда ничего отправлять и заверять.
У вас есть сертификат и есть exe, который нужно этим сертификатом
подписать. Вызываете signtool.exe и готово. Занимает 5-10 секунд.
Если exe меняется (перекомпилировали, поменяли ресурсы, информацию о
версии и т.п.), нужно его заново переподписать.

Сообщение от Dinkin Просторы интернета даже выдают конторы, у которых есть бесплатные сертификаты, но они как то урезаны.

Что-то я не припомню таких. Хотя нет, видел какую-то организацию,
которая подписывает open source бесплатно.

2

Да, действительно для меня сертификацию и подпись было одно и тоже =)
PS, некоторые конторы даже требуют исходный код, дабы убедиться в отсутствии вредоносных моментов

0