Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

In Deutschland ist es Pflicht auf Homepages ein Impressum zu führen (mit max. 2 Klicks erreichbar). Außerdem kann jeder bei www.denic.de nachlesen, wem die Domain gehört. Wenn also ein Kunde/Benutzer von meiner Homepage mein Programm runterläd, es versucht zu installieren und dann nach einer Signatur fragt, der hat eben Pech gehabt, wenn er mir nicht glaubt, daß ich ich bin. Solche Kunden brauche und möchte ich nicht. Das Vertrauensverhältnis ist dann sowieso schon leicht gestört.

Der einzige Sinn solcher Lizenzen ist schlicht und einfach: Geld verdienen!

Stellt euch vor, ihr braucht für euer Auto eine Extra-Lizenz, obwohl das Nummernschild (vergleichbar mit Impressum/Denic-Eintrag) fett auf dem Auto ist.

Und erzählt mir jetzt nicht, daß man so eine Lizenz nicht auch mit gefälschten Daten bekommt, um Unfug zu betreiben. Selbst das Post-Ident-Verfahren kann mit gefälschtem Ausweis umgangen werden. Wo genügend kriminelle Energie ist, hilft keine Sicherheitsbarriere.

Das gleiche gilt für die ganzen anderen Schmarotzer wie "Trusted Shops" & Co, die versuchen, mit vermeintlicher Sicherheit Geld zu verdienen. Wenn es nämlich mal knallt und jemand wurde betrogen, dann will niemand der Schuldige sein - und ich spreche aus leidiger Erfahrung!

Oder habt ihr schonmal sowas wie Trusted-Shops z.B. bei Amazon gesehen? Ich nicht und die werden wissen warum...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Sehe ich nicht so (und andere auch). Es gibt bei Firmen Einsatzfälle wo der Admin nicht einfach jedem User gestatten will jeden Download zu starten. Und da kann ein Zertifikat Helfen. Unter .NET hat ja MS mit den "Strong Names" etwas ähnliches (zwar nicht so ganz auf dem gleichen Level) geschaffen.

Es kommt aber teilweise auf die Hürde darauf an die vor dem Fälschen/Stehlen steht. Wenn dein Auto mit gesteckten Zündschlüssel "diebstahlsbereit" herumsteht so wird die Versicherung nichts zahlen. Wird das Auto aufgebrochen so sieht es schon ganz anders aus.
Und wenn du in den Zertifikatsspeicher schaust stehen da 2 Zertifikate die gesperrt wurden. Als vermeindliche Antragssteller steht da Microsoft ...

Sollte sowas bei einem entsprechenden Shop masche sein wird er über früher oder später sein Logo verlieren. Aber sowas kann dir auch bei jeder anderen Firma passieren.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Und Du "beachtest wieder mal nicht" das es Vista nicht kostenlos gibt und das angesichts des Kaufpreises dieser Service nun wirklich nicht zuviel verlangt wäre.
Bei Kommerziellen Anwendungen sollte es doch eh klar sein von wem die kommen. Schliesslich hat man irgendeinen dafür bezahlt.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ein gültiges Zertifikat stellt immerhin sicher, dass die signierte Programmdatei auch unverändert vorliegt und tatsächlich genau die ist, die vom Hersteller kommt - und damit eben nicht etwa eine andere Datei ist, die nur den gleichen Namen trägt.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Ein Impressum oder Denic-Eintrag ist wohl eher mit einem 3-Tage-Kennzeichen zu vergleichen. "Dummerweise" ist aber auch manche Software, inklusive kleiner Hobbysoftware, etwas bekannter als über den Freundeskreis hinaus, dem man immer wieder sagen muss "geh doch mal auf meine Homepage was runterladen"... und dann kann es schonmal passieren, daß die Software auf einem der großen Download-Portale landet... da hilft ja ein Denic-Eintrag auch so viel :roll:
Außerdem gibt es bei erfolgreicher Software immer wieder Trittbrettfahrer, die unter gleichem Namen irgendwas verkaufen wollen, und auch sowas findet gelegentlich den weg in die großen Portale.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Wieso wieder? Ich weiß das Vista Geld kostet. Außerdem gibt es diese Zertifikate nicht erst seit Vista, schon mit Windows XP hat Microsoft diese empfohlen. Jetzt nur etwas auffälliger. Lade mal mit XP SP2 eine EXE aus dem Internet und starte die. Was passiert da wohl... genau, Du sollst den Start bestätigen. Und worauf prüft XP? Auf ein Zertifikat, halt nur nicht so auffällig.

Aber zurück zum Vista-Preis. Was erwartest Du alles für den Preis noch? Das MS kostenlos Deine Anwendungen für Vista zertifiziert? Wäre ja der nächste Schritt. Oder das Du alle MS Games kostenfrei bekommst, wenn diese Vista kompatibel sind. Hätten noch mehr was davon.

Und Du vergisst, dass VeriSign, Comodo, ... nicht zu MS gehören, dass diese Zertifikate auch unter Linux genutzt werden können, das es Zertifikate für SSL gibt, dass es... Sorry, ich kann diese "ich will alles umsonst bzw. alles in einem" Einstellung nicht verstehen.

...:cat:...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Spätestens wenn der Kunde mir das Geld sendet, um zu bezahlen, sollte sein gesunder Menschenverstand ihm sagen, an wen er bezahlt, meinst Du nicht auch?

Wer das nicht schnallt, dem hilft auch keine Lizenz...

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

In bin zwar selber ab und zu der Meinung, daß Menschen im Internet etwas besser aufpassen könnten, aber was Du da von Dir gibst klingt ja schon recht arrogant. Schreibst Du nur Software für Eliten?

Übrigens habe ich jeden Tag mit einem knappen Dutzend Menschen zu tun, die eine Produktfälschung bezahlt haben, was mit Sicherheit nicht passieren würde, wenn diese sich besser über die Herkunft erkundigt hätten - gerade da könnte es unheimlich helfen, wenn signierte Dateien eher die Regel als die Ausnahme wären!

Und zu guter letzt soll es ja noch Leute geben, die rein zum Spaß programmieren und somit Deinen "spätestens"-Zeitpunkt nicht erreichen.

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Moin, moin,

Wie ist das eigentlich: Wenn ich neue Programmversionen herausgebe.
Muß für die dann jedesmal ein neues Zertifikat beantragt werden?

Grüße // Martin

Re: Eigene Anwendungen digital signieren - eine Mini-Einführ
 

Quatsch! Arrogant sollte das nicht klingen. Aber stell Dir mal vor, wenn es andersrum wäre: Ein anderer Global-Player (laß es Oracle oder SAP sein) verlangt von Microsoft, daß die das Betriebssystem für die Software lizenzieren - so nach dem Motto: "Windows Vista ist certified for SAP" oder "SAP Ready". Was meinste, was MS dazu sagen würde? Die wären dann genauso "arrogant".

Dagegen habe ich nichts - doch es sollte bezahlbar bleiben. Nicht jeder kleine Hobby-Programmierer kann mal so eben 500 Euronen hinknallen. Stell' Dir vor, wie arm unsere Softwarelandschaft wäre ohne die ganzen kleinen Tools, die das (IT)Leben so erfreulich machen? Und spätestens wenn MS mir noch mehr Steine in den Weg legt, damit meine Software läuft ohne das der Benutzer irgendwelche Klick-Orgien machen muß, höre ich mit Free- und Shareware auf. Ich kann dem Benutzer ja schlecht in der Doku empfehlen, daß er alle Sicherheitsriegel von Vista öffnen soll...