AW: Trojaner problem mit UrlDownloadToFile
 

Da die Routine aber direkt in der Ereignisprozedur der Schaltfläche implementiert ist, was auch ungeschickt ist, bleibt an der Stelle nichts anderes übrig, da es keinen übergeordneten Code gibt.

AW: Trojaner problem mit UrlDownloadToFile
 

Kompletter Widerspruch ;)

Hauptsächlich in der Formulierung. Dateien zu signieren, ja überhaupt erstmal gültige ordentliche Versionsresourcen einzutragen hat nichts mit "harmlos erscheinen lassen", sondern mit "seriös machen" zu tun. Und genau das sollte er tun - wenn er ernst genommen werden möchte. Indy zu verwenden gehört jetzt nicht zum seriös machen, wohl aber die Punkte, auf die er gar nicht eingegangen ist.

Einschicken bedeutet nichts anderes, als vor jedem Release wieder neu an alle Hersteller einschicken zu müssen. Und die husten ihm irgendwann einen. Tun wir zumindest, wenn jemand schlampig programmiertes einschickt und beratungsresistent ist. Wobei, die meisten Entwickler sind für Hinweise tatsächlich dankbar :o

AW: Trojaner problem mit UrlDownloadToFile
 

Sorry, aber wenn die Virenscanner-Hersteller Mist bauen, dass sollten sie nicht ignorieren, dass da einer ist, der ihnen jeden Monat sagt, dass doch noch Programmteile des Virenscanners mist sind.
Und die Beratungsresistenz würde ich in diesem Fall bei den Virenscanner-Hersteller ansiedeln, nicht beim einfachen Programmierer. Der wird dadurch nur gehindert.

Und auch schlampig programmiertes Zeug hat durchaus seine Berechtigung zu laufen, ohne dass der Virenscanner einen Trojaner verdächtigt.

Bernhard

AW: Trojaner problem mit UrlDownloadToFile
 

Das Problem ist grundlegender.
Alle Methoden einen Download zu machen, sei es mit UrlDownloadToFile oder den Indys, erfordern das dein Programm auf das Internet zugreifen muss.
Diese ist für eine Firewall oder ein Antivirus-Programm ein nicht gewünschtest verhalten.

Für den Benutzer ist das auch nicht gut, da er dein Programm erst in der Firewall freischalten muss.

Du könntest versuchen den Windows Bits Dienst zu nutzen. Der ist meist in der Firewall freigeschaltet.

Eine Demo findest du in den Quelltexten meiner Session letztes Jahr bei den Delphi-Tagen.
"UpToDate" - Software aktuell halten.
Hat mal jemand einen Link dazu? Ich finde es nicht mehr (hier im Forum).

Alternativ:
Entwickler Mag. 4.2010.

Schon up to date? Onlineupdates mit Delphi

Source

AW: Trojaner problem mit UrlDownloadToFile
 

Ich sage ja nicht, daß ein False Positive kein Mist ist. Aber hier handelt es sich vermutlich nichtmal um Mist.

Wenn ich ein Flugblatt, Dorfblättchen oder sonstiges Pamphlet rausgebe, muss ich den ViSdP nennen. Wenn ich eine Webseite zu meiner Hamsterzucht ins Netz stelle, muss ich ein Impressum dazu packen. Wenn ich Software veröffentliche, ist das auch nicht anders, dann sollte ich die Herkunft angeben, und das gehört in die Versionsresource. Software ist immer potentieller Schadcode, und damit hat der Anwender ein Recht, die Herkunft zu kennen.

Und signieren ist ähnlich. Zugegeben, für Hobby-Freeware-Entwickler nicht günstig. Aber so wie ich kein Auto verkaufen würde, das man nicht abschließen kann, würde ich auch keine Software an den Kunden bringen, die nicht wenigstens so minimal gegen Fremdeinwirkung abgesichert ist.

Insofern: genauso, wie ich jemanden nicht für seriös halte, der seine Meinung zur politischen Lage ohne ViSdP an Laternenmasten klebt, halte ich Software-Autoren, die ihre Software nicht ausreichend kennzeichnen, für unseriös.

Oder ein anderes Beispiel: wer sein eigenes Auto nicht abschließt, ist gegen Diebstahl nicht versichert und hat letztendlich sogar noch Teilschuld an dem, was mit dem gestohlenen Auto passiert. Weil er grob fahrlässig war. Und Schlampigkeit ist auch grob fahrlässig.

Damit möchte ich jetzt niemanden persönlich angreifen. Und auch F/Ps nicht generell schönzureden. Wir selber versuchen zwar, F/Ps manchmal auch auf Kosten einer geringen Erkennungsrate zu vermeiden, aber ganz vermeiden lassen sie sich nunmal nicht. Und genau wie beim Auto-Beispiel gibt's halt irgendwo eine moralische "Selbst-Schuld"-Schranke. Die, ich wiederhole mich, von eigentlich seriösen Herstellern auch durch die Bank anerkannt wird.

AW: Trojaner problem mit UrlDownloadToFile
 

Ich kann da jetzt natürlich nur für mich sprechen. Aber wenn ich durch eine AV-Software mit einem False Positive konfrontiert werde, denke ich mir absolut NICHT "ach ist das ein unseriöses Programm". Sondern: dämliche Virensoftware! Da du ja in der Branche tätig zu sein scheinst kann ich dazu also abschließend nur sagen: Hochmut... ;-)

AW: Trojaner problem mit UrlDownloadToFile
 

Dass eine Software mal False Positives hat, ist normal und unvermeidbar.

Dass aber manche Antivirensoftware wie Antivir vor einer Weile (in letzter Zeit ja offenbar nicht mehr so) oder AVG im Moment andauernd False Positives anzeigt, ist nicht mehr normal...

AW: Trojaner problem mit UrlDownloadToFile
 

Stimmt, für den Kunden ist die Schutzsoftware immer die Dumme. Entweder blockiert sie den Codec, den er doch absichtlich installiert, um diese tollen kostenlosen Pornos aus der Email-Werbung anzusehen, oder aber sie lässt ihn durch und sein Rechner wird infiziert. Recht machen kann man's ihm nicht ;)

Ok, das ist in vielen Fällen nicht soo schlimm, aber Du bringst ein eigentlich gutes Beispiel...

Ist das Hochmut, wenn ich lieber für den Kunden als für die Software-entwickler spreche? Ist es wirklich mein Job, dem Kunden zu erklären, daß Software X sich zwar einen Dreck um Standards und Verantwortung kümmert und sich wie Schadsoftware verhält, in Wirklichkeit aber nur schlampig ist?

Aber ich wiederhole mich nochmal: ich bin kein Freund von F/Ps. Wie jaenicke schon schreibt, sie sind unvermeidbar, aber übertriebene generische Erkennungen sorgen nur für gute Ergebnisse in Tests (die nur gegen Schadsoftware-Datenbanken testen, und oft F/Ps ignorieren), schaden aber letztendlich sogar der Sicherheit des Kunden, weil der so genervt ist, daß er echte Schadsoftware bald übersieht, weil er sie irgendwann mit einem "ach noch ein F/P" einfach wegklickt.

Wir machen das nicht (wobei, das sagen vermutlich alle :D ), und ich find's wie gesagt wenn übertrieben auch fernab von gut, aber wenn Entwickler Grundzüge der Seriösität missen lassen, habe ich ziemlich wenig Mitleid mit ihnen. Wenn das Hochmut ist, dann sei es so.

AW: Trojaner problem mit UrlDownloadToFile
 

Ein simples Raise löst die Exception neu aus.
Diese wird von der VCL auf oberster Ebene abgefangen und über angezeigt.
Dieses Standardverhalten macht "im Prinzip" genau das Gleiche wie MessageDlg: es zeigt die Fehlermeldung in einem modalen Fenster an.
Aber ein raise macht noch etwas mehr: es unterbricht den Programmfluss und gibt die Kontrolle an die Windows-Message-Loop zurück.
Dieses Verhalten ist hier ebenfalls erwünscht, denn welchen Sinn macht es wenn der Download des Updates gescheitert ist das Programm weiterlaufen zu lassen?