TV-Browser-Forum

Die UAC Abfrage zeigt unter Windows immer an, dass der Herausgeber undbekannt ist und der Installer keine digitale Signatur hat.

Die Signatur würde gewährleisten, dass die Binaries von euch sind und die Integrität stimmt, ein Nebeneffekt wäre, dass die UAC Abfrage nicht mehr unter warnendem gelb hervorgehoben werden würde, sondern eine blaue Farbe hätte und der Herausgeber dabei stehen würde.

Da ihr natüriich ein gültiges Certificat benötigt habe ich mal etwas für euch gesucht, was es da für Open Source Projekte so gibt.
Auf Stackoverflow gibt es eine Frage mit dem Titel "Code signing certificate for open source projects", wenn ihr nach dem Titel in einer Suchmaschine sucht, dürftet ihr die Seite recht schnell finden. Links darf ich als Gast leider keine posten.
In diesem Artikel findet ihr dann unten in den Kommentaren einen Link, der folgendes im URL Namen trägt: cert_offer_en_open_source_cs
Die Seite, die darauf zeigt, könnte ebenfalls hilfreich sein.

Ansonsten gibt's noch einen Artikel mit dem Titel "Free Code Signing Certificates – Is It Really Possible?" der hier ebenfalls hilfreich sein könnte. Auch hier werde ich als Gast keine Links setzen, aber mit einer Suche dürftet ihr den schneell finden.

Ach noch etwas. Gegen Fehlalarme von Antivirensoftware kann eine digitale Signatur auch helfen.-

Das könnte es erst dann geben, wenn die Zertifikate kostenlos sind, so lange die jährliche Gebühren aufrufen, sehe ich keinen Grund die Pakete zu signieren, da man die unsignierten installieren kann.

Vielleicht könntet ihr einen Sponsor finden, der euch das Zertifikat finanziert?
Gibt man TV-Browser in einer Suchmaschine ein, dann ist bspw. die Zeitung Chip gleich der zweite Link, nacb eurem, der auf den TV Browser verweist. Vielleicht wären die bereit euch auch das Zertifikat zu finanzieren?

Ansonsten gäbe es noch die Möglichkeit die Installer wenigstens noch mit OpenPGP zu signieren, das verhindert dann zwar nicht, dass UAC ein gelbes Warnfenster meldet, aber zumindest diejenigen, die sich mit OpenPGP auskennen, könnten dann wenigstens die Installer für sich verifizieren und die gelbe UAC Meldung dann ohne abnicken.

Was kostenlose Signaturen für Code betrifft verweise ich nochmal auf den Artikel "Free Code Signing Certificates – Is It Really Possible?". DIe wird es also höchstwahrscheinlich nie geben.

ds10 hat geschrieben: ↑01 Jun 2020, 23:14 sehe ich keinen Grund die Pakete zu signieren, da man die unsignierten installieren kann.

Gründe gibt es, diese habe ich schon genannt.
Historisch gibt es z.B. auch einen. Wenn ich mich nicht irre, waren mal TV Browser Installer im Umlauf, die nicht von euch waren und Ads & Co oder gar Malware enthielten. Eine Signatur hätte hier den Nutzern helfen können.

Daher empfehle ich auch die TV-Browser-Pakete nur über unsere Webseite herunter zu laden.

Gerade, wenn man die Politik von chip.de mit ihren Installern betrachtet, ist es besser nicht mit einer solchen Seite zu kooperieren.
Virenscanner, die sich von Zertifikaten ablenken lassen, taugen nix. Leider ist das eine der heutigen Modeerscheinungen geworden.

es gibt zunehmend mehr leute, die sagen, virenscanner taugen generell nix. und die haben durchaus fundierte argumente.

Gast_Oskar hat geschrieben: ↑01 Jun 2020, 23:26 Vielleicht könntet ihr einen Sponsor finden, der euch das Zertifikat finanziert?

Wie wäre es denn, wenn du der Sponsor bist?

ds10 hat geschrieben: ↑01 Jun 2020, 23:14 Das könnte es erst dann geben, wenn die Zertifikate kostenlos sind, so lange die jährliche Gebühren aufrufen, sehe ich keinen Grund die Pakete zu signieren, da man die unsignierten installieren kann.

Über welchen Betrag reden wir? Vielleicht wäre ja Gast_Oskar bereit diesen Betrag zu spenden/sponsern?

Sponsoring ist da keine Option, denn ich müsste der Vertragspartner der Zertifizierungsstelle sein und der Sponsor kann sich dann einfach zurück ziehen und dann hätte ich die Möglichkeit das selbst zu bezahlen oder einfach den Vertrag zu kündigen, was dann zu einem ungültigen Zertifikat führen würde. Das wäre weit schlechter als kein Zertifikat, daher wird es kein Zertifikat für den Installer geben. Ende der Diskussion.