快捷导航

如果您问答“是的”,那就错了!

请大家参考 微软网站 的有关代码验证机制文章,简单地讲:就是给软件代码加上数字签名,仅用来保证:
(1) 真实性 ( authenticity ) :让用户确信此软件的来源 ( 软件开发商的真实性 );
(2) 完整性 ( integrity ) :确保软件发布后没有被篡改。

看看以下截图就能理解以上两点,当您从 MSN中国 网站上下载和安装 MSN 保护盾( http://im.live.cn/safe/ )时,系统会告诉你此软件的发行者是 上海美斯恩网络通讯技术有限公司,你是否运行此软件,你自己定,缺省按钮是“不运行”,并提醒你“此类文件类型可能危害您的计算机。请仅运行来自您信任的发行者的软件”!这就是正确答案!而国内大部分杀毒软件公司认为只要有数字签名就是信任软件而就直接放行,这绝对是误区。

请大家注意,此文标题反过来讲就是正确的:没有数字签名的软件是绝对不能轻易信任的!请记住:一定不能安装没有数字签名的软件,否则您的电脑就极有可能不是您的了!

还是看Windows在运行没有数字签名的软件是提示什么,如下图所示,会提示“发行者:未知发行者”,并显示一个红色的叉号警告:此文件没有包含有效的数字签名以验证其发行者;而有数字签名的则是黄色问号警告。

对于ActiveX控件,如果没有数字签名,则Windows 直接拦截不允许运行:


举报 使用道具
| 回复

共 3 个关于有数字签名的软件就一定值得用户信任吗?的回复 最后回复于 2014-9-10 09:02

Winnie 版主 发表于 2014-9-4 14:10:30 | 显示全部楼层
用户拿到证书后签名什么程序,CA是没法控制的,就像菜刀厂商不能控制买菜刀的用户不去杀人一样
但是一旦用户用沃通的证书签名恶意代码,被举报,并核实,沃通会立即吊销证书
https://buy.wosign.com/
人生短短几十年,想笑就笑,想哭就哭,不要给自己留下什么遗憾。
举报 使用道具
carol 注册会员 发表于 2014-9-4 15:22:53 | 显示全部楼层
代码签名一定要慎用,不能没事签个木马做测试。
举报 使用道具
Jacky6100 中级会员 发表于 2014-9-10 09:02:53 | 显示全部楼层
没有签名肯定会有风险提示的,
签名后用户在运行软件时也需要看清楚是软件发行商是哪一家公司,软件的用途,
最重要的还要看签名证书的颁发者,是都是受微软信任的CA颁发机构
沃通是受微软信任的证书签发机构,所有证书都是经过严格审核之后才签发证书的
举报 使用道具
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

发新帖

版块推荐百宝箱

快速回复 返回顶部 返回列表