[Desenvolupament] El filtre SmartScreen
Jordi Mas
jmas a softcatala.org
dis gen 21 15:32:19 CET 2012
En/na Josep M. ha escrit:
> He intentat baixar-me'l fent clic en el teu enllaç de Softcatalà, des de
> l'ordinador amb W7 + IE 9. Mira't la captura de pantalla adjunta: mateix
> problema!
Respecte això, he parlat amb el Xavi Caballé[1]. El que em diu:
;---------------------------------------------------------------------
Perdona... no havia vist el teu missatge. Benvingut al meravellós món de
l'SmartScreen, la millor tecnologia de Microsoft que ajuda a complicar
la vida sense aportar res de valor.
Per desgràcia, no hi ha una forma fàcil de saltar-se (sense fer
marranades en JavaScript dins de la pàgina i que en qualsevol moment
poden deixar de funcionar). Bàsicament el que fa l'SmartScreen es
aplicar quatre criteris de cerca:
1) Determinar si és phishing/malware via un web service de Microsoft
2) Determinar si hi ha un nombre suficiente de gent que s'ha baixat el
fitxer
3) Passar per l'antivirus local
4) Verificar si el fitxer està digitalment signat
El filtre informa en cas que alguna d'aquestes quatre verificacions no
funcioni (el quart en teoria és opcional)
En el cas del catalanitzador, ben segur que el mostra pel punt 2... no
està a la llista blanca de Microsoft i per això avisa. El problema és
mai no saps que considera Microsoft com un programa popular per
considerar-lo segur, però m'imagino que calen alguns milions de baixades.
La única opció real per evitar l'avís és signar el fitxer amb un
certificat digital emès per una CA en la que confiï Microsoft i sotmetre
el fitxer al logo "Windows 7 ready"
(http://msdn.microsoft.com/en-us/windows/dd203105.aspx). AIxò
evidentment té uns costos econòmics i cal temps.
El punt bo és que els usuaris de l'IE ja estan acostumats a veure aquest
avís i passar d'ell... però és una tocada d'allò que no sona.
Jo aconsellaria detectar a la pàgina web si l'usuari fa servir IE8 o IE9
i dirigir-lo a una pantalla amb instruccions de com baixar-se els
fitxers, responent als diversos missatges d'avís.
X
;---------------------------------------------------------------------
Jo bàsicament faria dues coses seguint el consell del Xavi:
- A curt plaç la solució passa per explicar-ho bé a la web de baixades.
Això com suggereix en Xavi es pot fer usant detecció de navegadors. Pau,
la pilota queda en la teva taulada :)
- Si el Catalanitzador té un cert èxit entre els usuaris, penso que
caldria plantejar-se comprar un certificat digital per signar-lo. Dóna
més confiança a l'usuari i ens ajuda en aquest procés també.
Atentament,
Jordi,
[1] http://caballe.cat/wp/
--
Jordi Mas i Hernàndez -Bloc: http://gent.softcatala.org/jmas/bloc/
Planet Softcatalà -> http://planeta.softcatala.org
Play on-line brain teasers at http://www.gbrainy.com
Més informació sobre la llista de correu Desenvolupament