[Desenvolupament] El filtre SmartScreen

Jordi Mas jmas a softcatala.org
dis gen 21 15:32:19 CET 2012 

En/na Josep M. ha escrit:
> He intentat baixar-me'l fent clic en el teu enllaç de Softcatalà, des de 
> l'ordinador amb W7 + IE 9. Mira't la captura de pantalla adjunta: mateix 
> problema!

Respecte això, he parlat amb el Xavi Caballé[1]. El que em diu:

;---------------------------------------------------------------------
Perdona... no havia vist el teu missatge. Benvingut al meravellós món de 
l'SmartScreen, la millor tecnologia de Microsoft que ajuda a complicar 
la vida sense aportar res de valor.

Per desgràcia, no hi ha una forma fàcil de saltar-se (sense fer 
marranades en JavaScript dins de la pàgina i que en qualsevol moment 
poden deixar de funcionar). Bàsicament el que fa l'SmartScreen es 
aplicar quatre criteris de cerca:

1) Determinar si és phishing/malware via un web service de Microsoft
2) Determinar si hi ha un nombre suficiente de gent que s'ha baixat el 
fitxer
3) Passar per l'antivirus local
4) Verificar si el fitxer està digitalment signat

El filtre informa en cas que alguna d'aquestes quatre verificacions no 
funcioni (el quart en teoria és opcional)

En el cas del catalanitzador, ben segur que el mostra pel punt 2... no 
està a la llista blanca de Microsoft i per això avisa. El problema és 
mai no saps que considera Microsoft com un programa popular per 
considerar-lo segur, però m'imagino que calen alguns milions de baixades.

La única opció real per evitar l'avís és signar el fitxer amb un 
certificat digital emès per una CA en la que confiï Microsoft i sotmetre 
el fitxer al logo "Windows 7 ready" 
(http://msdn.microsoft.com/en-us/windows/dd203105.aspx). AIxò 
evidentment té uns costos econòmics i cal temps.

El punt bo és que els usuaris de l'IE ja estan acostumats a veure aquest 
avís i passar d'ell... però és una tocada d'allò que no sona.

Jo aconsellaria detectar a la pàgina web si l'usuari fa servir IE8 o IE9 
i dirigir-lo a una pantalla amb instruccions de com baixar-se els 
fitxers, responent als diversos missatges d'avís.

X
;---------------------------------------------------------------------

Jo bàsicament faria dues coses seguint el consell del Xavi:

- A curt plaç la solució passa per explicar-ho bé a la web de baixades. 
Això com suggereix en Xavi es pot fer usant detecció de navegadors. Pau, 
la pilota queda en la teva taulada :)

- Si el Catalanitzador té un cert èxit entre els usuaris, penso que 
caldria plantejar-se comprar un certificat digital per signar-lo. Dóna 
més confiança a l'usuari i ens ajuda en aquest procés també.

Atentament,

Jordi,

[1] http://caballe.cat/wp/

-- 
Jordi Mas i Hernàndez -Bloc: http://gent.softcatala.org/jmas/bloc/
Planet Softcatalà -> http://planeta.softcatala.org
Play on-line brain teasers at http://www.gbrainy.com

Més informació sobre la llista de correu Desenvolupament