%20%E4%BB%A3%E7%A0%81%E7%AD%BE%E5%90%8D%E8%AF%81%E4%B9%A6%E6%98%AF%E5%90%A6%E5%8F%AF%E4%BB%A5%E4%BF%9D%E6%8A%A4%E4%B8%8B%E8%BD%BD%E7%A8%8B%E5%BA%8F.png)
我的一个朋友在他的网站上提供了一些软件,但安装程序感染了一些恶意软件。感染发生在托管服务器上,而我的朋友却不知道。显然这是一个非常严重的问题。
我有一些可供下载的软件。我正在考虑使用扩展验证 (EV) 代码签名证书。它的主要宣传优势是让用户更有信心安装您的软件。警告更少。
目前我没有签名的安装程序。如果我使用了一个并且安装程序被恶意软件感染,下载程序会好转吗?他们会看到与现在不同的内容吗?恶意软件可以很容易地隐藏任何签名——只需在 exe 中进行异或操作即可。如果它只是将安装程序包装在其恶意软件中,用户会看到不同的内容或收到不同的警告吗?
答案1
安装程序中存在的签名主要提供三项内容:
- 正直:如果安装程序的内容发生任何变化,签名验证将失败
- 身份:用户可以看到谁签署了安装程序
- 相信:当安装程序由受信任的发布者证书签名时,用户可能不会收到警告
但是,如果安装程序文件完全被取代正如您的朋友所看到的,新文件将只带有其他人的签名(或根本没有)。最终用户将看到与现在针对不受信任/未签名的软件所看到的相同的警告,并可以选择忽略它们。
因此,它是更安全地签署您的软件。否则,它看起来与恶意安装程序没有什么不同,这些警告有助于防止恶意安装程序。