Re: [EGD-discu] Signature installateur windows

[ Thread Index | Date Index | More ergodis.org/discussions Archives ]

Petit retour d'expérience qui tombe à point : hier j'ai voulu aider une néophyte a avoir un simple azerty win enrichi sous Windows (10 familial), après 2 h, toujours pas moyen d'installer le pilote Galéron, ni le pilote Liégeois, ni même télécharger PKL Galéron… À chaque fois des gros avertissements en rouge, « ne pas exécuter » comme seule option, ou un blocage au téléchargement. Et il faut croire que les bandeaux rouges d'avertissements sont psychologiquement très efficaces car je n'ai pas réussi à faire faire ce que je voulais.. On comprend que la modification de pilotes non signées puisse émette un avertissement de ce genre, mais ça m'inquiète tout de même de savoir les utilisateurs win les plus à plaindre niveau dispo fr sont cantonnés à l'azerty win basique car les rares échappatoires sont « tagés en rouge » par Microsoft…

Le pilote win bépo n'est effectivement pas signé et envoie les mêmes avertissements… red alert.

– A2

Le 15 mars 2016 à 16:28, Julien Blanc <whity@xxxxxxx> a écrit :
Le 15/03/2016 09:53, Mimoza a écrit :
Salut
Pas pour … en tous cas pas tout de suite.
Le simple fait de venir sur le site pour cela montre que la personne est familière avec l'outil informatique, du moins un minimum, donc comprendra très bien pourquoi l’exécutable n'est pas signé.

 Là je ne te suis pas. Au contraire, je pense que c’est plus choquant pour quelqu’un de familier avec l’outil informatique (le néophyte va voir un gros avertissement, et cliquer « je m’en fous », comme il fait toujours dans ces cas là).

Perso, ça ne me réjouis pas d’imaginer que l’installateur a été potentiellement corrompu :
- directement sur le site
- pendant le transfert

(les deux cas existent, pour le deuxième, télécharger à travers tor (ainsi qu’à tord et à travers, d’ailleurs :) ) est un bon moyen d’avoir le problème).

Si elle se donne la peine de lire les message d'info et ne clique pas frénétiquement sur Ok/Suivant comme font 90% des gens.

 Aujourd’hui elle n’a aucun moyen de vérifier (il me semble qu’on ne donne même pas un md5 du fichier).

Ensuite si l'on sort une nouvelle version de la dispo pour la normalisation il es urgent d'attendre.

 Il me semble que le certificat certum permet de signer plusieurs exécutables (càd qu’on ne repaie pas pour chaque version, mais plutôt pour une durée) — à vérifier cela dit.

Perso, payer un inconnu pour qu'il dise que tu es bien toi m'a toujours paru aberrent … mais bon.

 À minima le tiers s’engage sur le fait qu’il a fait une vérification (dans le cas présent, l’email). C’est toujours un plus par rapport à ne rien avoir.

Julien

PS : je viens de penser que potentiellement, tuxfamily pouvait avoir déjà l’infrastructure / les certificats pour signer. Ça pourrait être une autre solution.


--
Pour ne plus recevoir les messels de cette liste de discussion, envoyez un messel avec pour destinataire discussions-REQUEST@xxxxxxxxxxx et pour sujet "unsubscribe".



Mail converted by MHonArc 2.6.19+ http://listengine.tuxfamily.org/