Статья — бред. Нет, Windows 10 не исполнилось 5 лет, потому что разница между первой и последней Windows 10 огромна. Это как написать, что Windows вообще исполнилось 35 лет, но есть нюанс (с)
Пользователи не приняли, им не оставили выбора. В чём-то система стала лучше, в чём-то сильно хуже. Избавиться от отдела тестирования было огромной ошибкой.
Производитель не перестал поддерживать Windows 7, а будет ещё 2.5 года.
А если разработчик распространяет ПО бесплатно, почему он всегда должен быть недоверенным или вообще платить за сертификацию? ПО должно быть дружелюбным для пользователя независимо от цены.
В том-то и дело, что всё мимо. Конкретно этот драйвер работает только без Secure Boot, это указывал автор, но я пробовал другие и они работают с Secure Boot. Единственное отличие, что заметил — это диалог подтверждения доверия при установке из inf и необходимость использования ключа /ForceUnsigned при интеграции, но оба эти пункта легко автоматизируются. Четвёртый пункт интересный, скорее всего несложно добавить в систему соответствующую отметку.
А вообще механизм проверки сертификатов несколько глючный, например на Win7 без KB3125574 диалог подтверждения издателя будет возникать всегда, а драйвера без валидной подписи интегрируются успешно без ключа /ForceUnsigned.
Это не совсем так, если репутация высокая, файл запустится сразу же, не смотря на NTFS-поток (пример). Насколько я помню, анализируется не только сертификат, но и пути распространения.
Обычно сертификат выдаётся на 1-3 года, после чего превращается в тыкву и годится разве что для подписи драйверов без штампа времени, а уж о бесплатной раздаче вообще не помню.
Вам как пользователю наоборот невыгодно, что не можете легко запустить новую программу только потому, что на уровне системы этот механизм плохо продуман. В статье идёт речь о том, что фильтр SmartScreen работает с презумпцией виновности, тогда как с людьми наоборот работает презумпция невиновности, что более логично и правильно.
Всё так и есть, антивирусов развелось как собак, а сами они и центры сертификации плевать хотели на разработчиков и их пользователей, главное состричь побольше. Неплохой вариант был бы таким, когда разработчик за небольшую сумму сертификации получает иммунитет сразу для всех антивирусов (можно на уровне системы запрещать работу несертифицированных антивирусов), а программа с валидной подписью получала бы статус вредоносной только при экспертной проверке, чтобы исключить ложное срабатывание. Но так-то да, такая система сделает ненужными антивирусы, а они там гребут будь здоров и будут сопротивляться.
Кстати, я тоже читал, что конкретно для Win10 драйвер ядра нужно подписывать только EV-сертификатом, однако подписал это и драйвер прекрасно работает везде, включая Win10 x64, хотя сертификат самый обычный (был куплен, когда DigiCert ещё не свернули программу для Sysdevs).
Как уже написали выше, «это значит, что человеку с улицы за небольшие деньги их не получить», только и всего. Знаете какая модель будет близка к гарантированной? Если при первом посещении сайта браузер спросит пользователя, доверяет ли он этому открытому ключу, а пользователь сравнит его лично у владельца сайта, и при каждом новом сертификате будет повторять эту процедуру, тогда вероятность MITM будет сведена к минимуму. Только массово это не будет делать никто и никогда, ибо неудобно. При существующей модели маловероятен именно массовый взлом с подменой сертификатов, а для слежки за конкретным человеком существует много векторов атаки, особенно если для этого есть финансы или полномочия.
Certificate Transparency отличная штука, но работает она не для всех сайтов и в случае если лога нет, Chrome устанавливает соединение без предупреждений. Firefox имеет свой список, но в большинстве случаев они совпадают (задумайтесь, как часто вы видели https-сайт, который открывается в одном браузере и не открывается в другом). В интернете всё ещё используется незащищённый DNS мохнатых годов и он же используется в новейших ОС по умолчанию. Это я к тому, что если в CloudFlare можно одним кликом включить проксирование и конечный пользователь ничего не заметит, то и для особо заинтересованных людей это не станет непреодолимой задачей.
Пользователи не приняли, им не оставили выбора. В чём-то система стала лучше, в чём-то сильно хуже. Избавиться от отдела тестирования было огромной ошибкой.
Производитель не перестал поддерживать Windows 7, а будет ещё 2.5 года.
А вообще механизм проверки сертификатов несколько глючный, например на Win7 без KB3125574 диалог подтверждения издателя будет возникать всегда, а драйвера без валидной подписи интегрируются успешно без ключа /ForceUnsigned.