fbpx
-4.2 C
София

Windows Defender SmartScreen е вреден за независимите разработчици

Най-четени

Даниел Десподов
Даниел Десподовhttps://www.kaldata.com/
Новинар. Увличам се от съвременни технологии, информационна безопасност, спорт, наука и изкуствен интелект.

Да кажем, че сте независим разработчик и сте създали собствено приложение. За да опростите инсталирането, направили сте инсталираща програма и започвате да я разпространявате. Някой смел експериментатор зарежда и стартира инсталиращата програма, но веднага вижда строгото предупреждение:

Windows SmartScreen блокира стартирането на изпълнимия файл

И наистина, в текущата Windows среда активно се блокира стартирането на двоични файлове чрез функцията SmartScreen.

Но какво е това SmartScreen?

SmartScreen събира инсталационните данни от всички потребители на операционната система Windows, за да определи „репутацията“ на приложението. Ако програмата няма добра репутация, получавате това предупреждение. В подобна ситуация повечето потребители изтриват .exe файла, понеже го считат за вредоносна програма. Но SmartScreen може да бъде заобиколен като се кликне върху препратката More info и след това програмата да се стартира.

Рекетът с цифровия подпис

Но как се създава репутация на приложение? Преди всичко Microsoft трябва да има възможност да събира информация за това, кой е публикувал въпросното приложение, а това става с помощта на сертификат за подписване на кода. Очевадно е, че неподписаните приложения винаги ще извикват SmartScreen. По-коварното е, че вземането на този сертификат за подпис на кода струва твърде много за един независим разработчик. Към днешен ден няма никакъв еквивалент на Let’s Encrypt за подписване на кода и ще ви се наложи да купувате необходимия сертификат от авторитетните центрове за сертифициране. Диапазонът на цените е доста широк, но цената за една година е около $100.

Да предположим, че сте клъвнали на тази примамка, купили сте си една прекалено високо оценена поредица от прости числа, умножени помежду си от компютъра, подписали сте си кода и повторно публикувате вашето приложение, правилно нали? Не е правилно.

Създаването на репутация е уловка от типа на Параграф 22

Дори и с цифров подпис SmartScreen отново се задейства. В края на краищата, вие сте неизвестен нов издател, а процесът по създаване на репутация за SmartScreen е една абсолютна „черна кутия“. И така, ето какъв е номерът в стил Параграф 22: за да си създадете репутация, трябва колкото се може повече хора да инсталират вашето приложение и Microsoft да натрупа статистиката на инсталациите. Но за да накарате хората да инсталират вашия софтуер, трябва да се избавите от това съобщение, което явно намеква и предполага, че вашият код може да нанесе вреда на потребителския компютър.

По-нататък става по-зле.

Ако се опитате да публикувате своята програма с помощта на пакетния мениджър WinGet (гогато излезе от бета версията, нищо че е изцяло копиран от AppGet мениджър, навярно ще замени Windows Store), то ще получите следното съобщение:

Microsoft WinGet счита стартирането на SmartScreen за „грешка“, а вашето приложение се квалифицира като „вредоносно“

Според тези думи на Microsoft, вашето приложение се счита за вредоносно, ако задейства SmartScreen. Препоръчва се файлът да се изпрати за разглеждане по специално предложен линк. Ако кликнете върху този линк, ще получите следния отговор:

„Ние разгледахме вашата заявка и потвърждаваме, че предоставените файлове са чисти. Антивирусния софтуер Windows Defender не реагира.

Съобщението, което сте забелязали е уведомление от програмата SmartScreen. То показва, че вашето приложение няма достатъчна репутация в нашата система.

Предупрежденията за репутацията на приложенията са предназначени да информират крайния потребител, когато приложенията нямат определена положителна репутация. Това не означава, че приложението е вредоносно, а само, че е „неизвестно“. Обърнете внимание, че потребителите все пак имат възможност да го заредят и стартират.

В повечето случаи приложението с цифров подпис органично създава репутация, ако само не се е случило нещо, което би могло да очерни съществуващата репутация. Например, използването на сертификат за подписването на вредоносни програми. Ние ще направим разследване по този въпрос и ще се свържем с вас, ако ни потрябва допълнителна информация“.

На практика се казва, че вашето приложение е чисто, но ние нищо няма да правим със SmartScreen. Нашите повелители на облачните ботове ще решат кога може да ви се има доверие.

По-нататък става още по-зле.

Да допуснем, че умните алгоритми най-после решат, че вие сте надежден издател. Идва време, когато срокът на действие на вашия сертификат изтича и вие го продължавате. Обикновено онлайн в интернет. Но в света на софтуера на Microsoft вашата репутация става равна на нула. SmartScreen не разпознава обновяването на сертификатите и ви счита за нов издател. Налага се отново да преминете през този болезнен процес.

Този ефект може да бъде смекчен, ако си купите сертификат с по-дълъг срок на действие. Но в този случай неговата цена става непреодолима бариера за повечето независими разработчици, които може и да не получат възнаграждения, които да покрият цената на този сертификат.

EV сертификатите за подпис на кода

За огромен брой независими разработчици това е краят на пътя. За издателите има още едно решение: сертификатът за разширена проверка за подписването на кода (EV). Ако подпишете своя код с един от тези сертификати, то автоматично заобикаляте SmartScreen. Той е запазен предимно за корпорациите и като си личи от неговото име, предвижда допълнителна проверка на информацията. Това става с помощта на центровете по сертификация.

Популярният център за сертификация Digicert.com продава тези сертификати за колосалните $699 на година.

И още, независимият разработчик ще трябва да се справи с неща като създаването на юридическо лице – трябва да си направи фирма и да плати тази наистина възмутителна цена на сертификата. Естествено, за повечето независими разработчици, това не е реалистично.

„Разработчици, разработчици, разработчици“

„Разработчици, разработчици, разработчици“ – крещеше Стив Балмър от сцената. Една от легендарните прояви на бившия генерален директор на Microsoft. Тези печално известни думи бяха произнесени през далечната 2006 година. Четиринадесет години по-късно, вече по времето на Сатя Надела Microsoft е хвалена за това, че е станала по-отворена откогато и да било. Но по ирония на съдбата излиза, че Microsoft е направила Windows средата изключително враждебна по отношение на своите любими разработчици. За да се оправи тази ужасна ситуация е необходимо да се промени SmartScreen или начина по който работят сертификатите за подпис на кода.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

14 Коментара
стари
нови оценка
Отзиви
Всички коментари

Нови ревюта

Подобни новини