Не удалось проверить издателя программы при запуске Валентины

Не удалось проверить издателя программы при запуске Валентины

0
Не удалось проверить издателя программы при запуске Валентины

Современные версии Windows имеют встроенную систему безопасности, которая проверяет наличие цифровых подписей исполняемых файлов. Такие подписи помогают определить происхождение программы, а также обезопасить файлы программы от подмены. Ранее Валентина тоже распространялась с подписью разработчика, и теперь мы потеряли такую возможность. В этой статье мы поговорим почему так произошло и какие последствия для пользователей Валентины.

В современном мире с каждым днем вопрос кибербезопасности становятся все более актуальными. Быстрое развитие интернета тесно связало мир и сделал его ближе. Как следствие – бурное развитие IT индустрии. Скорость обмена информацией просто поражает. Во времена когда зародилась Windows интернет был медленный, а программы распространялась долго. Теперь же миллионы пользователей имеют доступ к информации в момент ее публикации. Это порождает кризис доверия. Взломы, подмены. Без надежной системы проверки источника происхождения программы рано или поздно это может привести к катастрофе.

То каким образом пошла индустрия вызывает много вопросов. Крупные компании хотят заработать, поэтому ввели систему при которой вам продают воздух, циферки. Для того чтобы подтвердить свою личность вам необходимо купить у них сертификат и пройти бюрократическую процедуру определения личности.

markdown_images/uploads/2021/10/04/732935d2a2-publisher.png

Как только Microsoft добавила проверку цифровых подписей в свои новые продукты, мы задумались над приобретением цифровой подписи для себя. И несколько лет мы успешно оплачивали сертификат и распространяли наши версии с цифровой подписью. Как это выглядело вы можете увидеть на картинке выше. Средства на финансирование покупки сертификата брались с заработной платы главного разработчика проекта. Но после потери этого дохода в проекта больше нет возможности приобрести обновления.

Выглядит это так. Для того чтобы начать пользоваться сертификатом необходимо приобрести специальную криптографическую карту и считыватель.

markdown_images/uploads/2021/10/04/99e10356a8-open-source-code-signing_czytnik_2.png

Цена такой карты €69. Конечно же сертификат необходимо приобрести отдельно. Это еще €25.

markdown_images/uploads/2021/10/04/1e499f99c5-standard_3.5.png

Но с недавних пор для нас этого мало. Поскольку они перешли на большую длину ключей необходимо обновить криптографическую карту на более более новую. А это еще €30.99.

Следовательно, цена обновления для нас будет составлять примерно €60. Колоссальная сумма для нашего бюджета. И мы такие не одни. То тут, то там встречаются новости о проектах, которые отказываются возобновлять сертификаты и страдают от этого.

markdown_images/uploads/2021/10/04/ac548e1e2a-vote.png

В нашем чате в Телеграмме мы создали опрос и вот результат который получили. В большинстве своем люди не понимают что это такое, или не считают это необходимым. И они явно не дооценивают крупные корпорации. Механизм предупреждения имеет дизайн, который может легко напугать неопытного пользователя. Можно легко ожидать до 30% отказов среди пользователей при попытке запуска.

Философия лежащая в основе модели распространения Валентины пытается защищать пользователей. Поскольку исходный код проекта открытый и будет оставаться таким, это дает вам ряд уникальных прав: право копировать, модифицировать и распространять пока правила пользования вами не изменяются. Это значительно ограничивает разработчиков в своей возможности получения дохода, а также разрушает их монополию. Модель которую мы выбрали предполагает активное участие сообщества в жизни и развитии проекта. Мы все еще в полной мере не дошли в своем развитии этой идеалистической ситуации. Проект получил много отзывов и идей улучшения. Однако очень незначительная часть желает делать реальный вклад в написание кода или документации, привет желающим наполнять вики.

Ситуация осложняется и еще обвинениями в наш адрес. Когда мы подняли вопрос о возможности сбора средств для приобретения сертификата, в наш адрес начали раздаваться обвинения о том, что продавая товары, мы не должны просить денег у пользователей. Такая формулировка вопроса очень удивляет и разочаровывает. Похоже у людей складывается неправильное впечатление об уровне доходов с продаж из которых мы финансируем разработку проекта. Так, если не учитывать, что я пишу эти строки и слышу океан, а из окна мне видно пальму. Приехал я домой на своем шикарном новом авто, ну вы поняли … .

Вообще некоторая ситуация вокруг проекта требует разъяснения. Как мы и планировали, вокруг проекта образуется экосистема предприятий, организаторов курсов и блоггеров. И это замечательно. Но в погоне за деньгами уже никто не видит саму Валентину. Это похоже на толпу которая стала впереди тебя и полностью тебя закрыла. Все что осталось на виду это большой баннер со словами Проект Валентина. Все становятся под ним и поднимают свои баннеры по меньше - они часть Валентины. И это работает. У людей создается впечатление, что они покупают что-то в проекта. Не редки случаи, когда нечистые на руку блоггеры или организаторы курсов не разъясняют своим клиентам происхождения программы. И такие клиенты приходят к нам со сто процентной уверенностью, что это они у нас приобрели какой-то курс. Люди путаются где официальный сайт проекту, кто их авторы, кого благодарить. А вы знаете как зовут главного разработчика? Нет, не Геннадий. Роман. Становится важным не то, кто действительно занимается разработкой, а то кто проведет больше мастер-классов и марафонов. В этом нет ничего плохого. Если Валентина не приносит дохода, то им никто не будет заниматься. Просто не стоит забывать и о цене разработки. Ведь если обанкротится или потеряет мотивацию разработчик, некому будет продолжить этот банкет. Возможно для всех, кто сейчас зарабатывает на проекте это всего лишь хайп? Есть то есть, а не будет, найдем другую программу.

Команде проекту, чтобы выжить приходится не только заниматься разработкой, но и конкурировать на поле информационных продуктов с кучей проектов, которым не нужно непосредственно заниматься разработкой. Это замедляет разработку, делает не четким наш вклад.

В классической коммерции у вас не будет возможности использовать имя проекта на право и на лево. Нет, вам выкрутят руки и быстро прикроют лавочку. Вы будете оплачивать каждую приобретенную копию и не навсегда, а раз в год. И цену будут назначать такую как надо. И поверьте, это не имеет никакого отношения к качеству проекта. Если нет альтернативы, то и качество не будет важно, деться то некуда. Нравится? Думаю не очень. Зато разработчики сыты, одеты и уверены в будущем. И курсы будут проводить только лицензированные организации. Вот так.

Поведение людей, коммерчески эксплуатирующих Валентину, требует нашей реакции. Жаль, что из-за отсутствия понимания среди этой публики пострадает сам проект и простые пользователи. Мы отказываемся поддерживать такие не чисты на руку бизнесы из своего кармана. Четко понимаем, что отсутствие подписи ударит и по нам, но нет другого выбора в этой ситуации, чтобы привлечь внимание к этой проблеме. Мы сами по себе, а они сами по себе.

С самого начала запуска нового сайта на странице скачивания программы есть кнопка по которой вы можете сделать пожертвование. И именно потому, что она крайне не популярна, мы не будем объявлять сбор средств. Вместо этого мы пойдем другим путем.

Следующие версии программы для Windows будут выпущены без ключа. Именно поэтому и существует эта статья. Чтобы разъяснить сложившуюся ситуацию. В дальнейшем, если сообщество не справится с предупреждениями Windows, мы введем практику публикации подписанных сборников и будем брать небольшую плату за скачивание каждой версии. Где-то 1-2€ для того, чтобы окупить покупку ключа. Это вынужденный шаг. Поскольку мы можем надеяться только на покупательную способность собственных пользователей.

Какие существуют альтернативы?

  • Вы можете использовать версии от наших коллег из проекту Seamly2D. В них скорее всего никогда таких проблем не будет.
  • Или же приобрести себе ключ, создавать собственные сборки и распространять среди своих подписчиков. Это не так сложно и исходный код все еще остается открытым.
  • Обновляться реже и таким образом делать расходы минимальными.
  • Не использовать Валентину.

Шансы на то, что мы не будем нуждаться сертификата низкие. Опыт пользователей Mac OS, имеющих сходную проблему, показывает, что очень многие из них не могут самостоятельно найти решение. А хаос, образовавшийся из-за деятельности организаторов курсов и проблемы внутри самого проекту не позволяет быть уверенным, что пользователи четко знают, где находится официальный сайт. Мало того, это не отменяет шанса для самой инфраструктуры проекта быть взламаной.

Комментарии

Пока без коментариев.

Оставьте свой комментарий