Petit retour d'expérience qui tombe à point : hier j'ai voulu aider une
néophyte a avoir un simple azerty win enrichi sous Windows (10
familial), après 2 h, toujours pas moyen d'installer le pilote Galéron,
ni le pilote Liégeois, ni même télécharger PKL Galéron… À chaque fois
des gros avertissements en rouge, « ne pas exécuter » comme seule
option, ou un blocage au téléchargement. Et il faut croire que les
bandeaux rouges d'avertissements sont psychologiquement très efficaces
car je n'ai pas réussi à faire faire ce que je voulais. On comprend que
la modification de pilotes non signées puisse émette un avertissement de
ce genre, mais ça m'inquiète tout de même de savoir les utilisateurs win
les plus à plaindre niveau dispo fr sont cantonnés à l'azerty win
basique car les rares échappatoires sont « tagés en rouge » par Microsoft…
Le pilote win bépo n'est effectivement pas signé et envoie les mêmes
avertissements… red alert.
– A2
Le 15 mars 2016 à 16:28, Julien Blanc <whity@xxxxxxx
<mailto:whity@xxxxxxx>> a écrit :
Le 15/03/2016 09:53, Mimoza a écrit :
Salut
Pas pour … en tous cas pas tout de suite.
Le simple fait de venir sur le site pour cela montre que la
personne est familière avec l'outil informatique, du moins un
minimum, donc comprendra très bien pourquoi l’exécutable n'est
pas signé.
Là je ne te suis pas. Au contraire, je pense que c’est plus choquant
pour quelqu’un de familier avec l’outil informatique (le néophyte va
voir un gros avertissement, et cliquer « je m’en fous », comme il
fait toujours dans ces cas là).
Perso, ça ne me réjouis pas d’imaginer que l’installateur a été
potentiellement corrompu :
- directement sur le site
- pendant le transfert
(les deux cas existent, pour le deuxième, télécharger à travers tor
(ainsi qu’à tord et à travers, d’ailleurs :) ) est un bon moyen
d’avoir le problème).
Si elle se donne la peine de lire les message d'info et ne
clique pas frénétiquement sur Ok/Suivant comme font 90% des gens.
Aujourd’hui elle n’a aucun moyen de vérifier (il me semble qu’on ne
donne même pas un md5 du fichier).
Ensuite si l'on sort une nouvelle version de la dispo pour la
normalisation il es urgent d'attendre.
Il me semble que le certificat certum permet de signer plusieurs
exécutables (càd qu’on ne repaie pas pour chaque version, mais
plutôt pour une durée) — à vérifier cela dit.
Perso, payer un inconnu pour qu'il dise que tu es bien toi m'a
toujours paru aberrent … mais bon.
À minima le tiers s’engage sur le fait qu’il a fait une vérification
(dans le cas présent, l’email). C’est toujours un plus par rapport à
ne rien avoir.
Julien
PS : je viens de penser que potentiellement, tuxfamily pouvait avoir
déjà l’infrastructure / les certificats pour signer. Ça pourrait
être une autre solution.
--
Pour ne plus recevoir les messels de cette liste de discussion,
envoyez un messel avec pour destinataire
discussions-REQUEST@xxxxxxxxxxx
<mailto:discussions-REQUEST@xxxxxxxxxxx> et pour sujet "unsubscribe".