Na początek, proszę skorzystać z ankiety "Czy warto stosować podpis do aplikacji ?".
Ankieta ważna do: ~09.02.2010.
Doszedłem do wniosku, że zabezpieczenie stosowane w Windows Vista/7 jakim jest UAC (User Account Control) nie powinno występować (system Windows nie powinien pytać przez UAC o pozwolenie na podwyższenie uprawnień), gdy aplikacja jest podpisana cyfrowo, a więc jest ona zaufana.
A co za tym idzie, takim podpisem pozbylibyśmy się tego komunikatu UAC przy każdym uruchomieniu aplikacji podpisanej cyfrowo.
Jednak tak nie jest i nie będzie z prostego powodu i wad podpisu cyfrowego.
Podpis może mieć każdy i znowu potwierdziło się powiedzenie, że "Za pieniądze można wszystko mieć". A więc mając podpis można podpisać cyfrowo trojana... i co wtedy ? UAC nie pyta się, bo przecież plik ma podpis więc jest zaufany...
Więc jaki jest sens tego podpisu ? Znikomy, żeby nie powiedzieć że żaden...
1. Aplikacja podpisana cyfrowo i tak nie jest w pełni zaufana w systemie,
System będzie pytał się o pozwolenie na podwyższenie uprawnień tak samo z podpisem w aplikacji i bez podpisu (z tymże UAC przyjmie kolor niebieski zamiast żółtego).
2. Aplikacja podpisana cyfrowo, która została zmodyfikowana - traci ten podpis, ale system o tym nas nie informuje.
Tylko w Windows Vista/7 jest to w komunikacie UAC wyróżnione, ale większość osób nawet nie rozumie co to ten podpis. A więc aplikacja zmodyfikowana nie będzie miała już podpisu i tak samo się uruchomi jak wcześniej przed modyfikacją kiedy miała jeszcze podpis.
I tu istnieje zasada: jeśli znasz aplikację to i tak jej zaufasz przy uruchomieniu.
Tym samym podpis to tylko dodatek - drogi dodatek.
3. Stosują go tylko firmy
Ze względu na cenę, która jest niewspółmierna do korzyści.
Kiedy zakładałem ten podpis, pytali mnie o nazwę firmy, NIP i różne sprawy związane z firmą.
To ja się pytam ich "Czy tylko firmy mogą złożyć zamówienie o podpis ?" ... Chwila namysłu ze strony konsultanta i odpowiedź "Osoby prywatne także mogą, choć rzadko mamy takie zamówienia".
Hmm, wcale się temu nie dziwię...
Także podsumowując:
Podpis cyfrowy w aplikacji darmowej, a czasem i płatnej nie ma sensu, nie wnosi praktycznie żadnych korzyści z wyjątkiem antywirusów, które podobno automatycznie klasyfikują takie aplikacje za zaufane - ale nie zawsze i nie każdy antywirus tą technikę stosuje.
Napisałem ten post bo jestem Ciekaw opinii innych na temat tego podpisu.
Czy dostrzegacie jakieś zalety ?
Dodam, że podpis kosztuje na rok 600zł (odnowienie na rok ponad 305zł), więc dla dewelopera aplikacji darmowych taki wydatek jest bardzo duży.