Hallo,

ein Software-Entwickler der keine roundabout 100 Euronen jährlich für ein Zertifikat übrig hat, ist kein Software-Entwickler, sondern ein Hinterhof-Schrauber(Programmierer) dem ich mein Auto nicht zur Reparatur anvertrauen würde. Um es mal im KFZ-Jargon auszudrücken. Wenn ich eine SW installieren möchte und sehe einen gelben UAC-Dialog, dann wird das von mir sofort abgebrochen. Es sei denn, die Quelle ist mir sehr gut bekannt. Ich bin noch nicht schlecht damit gefahren.

Es ist klar, und da sind wir alle wahrscheinlich einer Meinung, dass ein Zertifikat keine Garantie für eine saubere (virenfreie) Software ist. Aber, es ist ein kleines Indiz dafür, wie gewissenhaft der Ersteller einer Software (Hinterhof-Klitsche oder Markenwerkstatt?) grundsätzlich arbeitet.

Zudem ging es mir mit dem Zertifikats-Hinweis nicht nur um eine simple Zertifizierung via SW-Zertifikat. Warum haben die Apfel-User weniger derartige Probleme als die Windows-Fraktion? Das sollte man mal hinterfragen. Der Windows-App-Store ist in dieser Hinsicht ein schlechter Witz. Vielleicht weil man Angst hat, im Mobile-Bereich noch mehr Anschluss an die Android-Konkurrenz zu verlieren? Oder weil der Markt für AV-Software so riesig und ertragreich ist, dass man eine Kuh die Milch gibt nicht schlachten kann/möchte?

BTW es geht hier ja primär um eine "Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]" und da finde ich, ist der Markt ausgereizt und gesättigt. Bis auf wirklich gute und einfach zu bedienende Backup-Software. Weil ein gutes Backup die beste Ergänzung für eine AV-Software ist. Acronis & Co sind zwar nicht schlecht, aber das könnte man durchaus noch etwas benutzerfreundlicher machen. In dem Zusammenhang fällt mir noch ein, gibt es eigentlich eine Möglichkeit eine Verschlüsselung einer Datei zu verhindern? Das wäre bei den derzeit akuten Verschlüsselungs-Trojanern mal etwas wirklich Nützliches!

Weil dort vor allem nach Signaturen gescannt wird und nicht nach Heuristik. Was dein Programm macht, wird dort kaum bis gar nicht analysiert.
Wenn das Programm tatsächlich irgendwo läuft, könnte die Heuristik mancher Virenscanner darauf reagieren.

Diverse Erpressungstrojaner der letzten Zeit wurden z.B. durch die Heuristik einiger Hersteller auch erkannt bevor sie bekannt wurden und Signaturen davon existierten.

Theoretisch ja... nennt sich TPM. Allerdings wurde auch diese Lösung zerrissen nach dem Motto "ich will die Kontrolle über den PC behalten, wenn ich einen Virus installiere, dann will ich das auch" usw.
Deshalb hat sich das nicht weit verbreitet.
(Wobei sich viele wohl eher Sorgen machen, dass ihre Raubkopien dann nicht mehr laufen...)

Generell würde ich auch sagen, dass man, sofern man den Anspruch hat, brauchbare SW zu vertreiben, sich um eine Zertifizierung kümmern kann, allerdings setze ich das nicht voraus. Einige sehr gute Proframme laufen auch ohne Zertifikat, ohne, dass das gleich Misstrauen weckt. Wenn der VLC Player kein Zertifikat hätte (von der Herstellerseite runtergeladen) würde ich dem ganzen immer noch vertrauen. Muss aber jeder selbst wissen, wie er damit umgeht. Wünschenswert wäre ein Zertifikat bei brauchbarer SW natürlich schon.

Die Obstkonsumenten haben einen Appstore, in den SW erst nach Prüfung des Apfelgroßbauern wandert. Apple ist da recht streng was die Zulassung für Apps angeht.
Für Windows gibt es keinen Appstore dieser Art. Microsoft und Android Nutzer könnenbzw. müssen sich SW überall zusammensuchen und müssen darauf vertrauen, was der Hersteller sagt. Bei Apple ist das etwas besser (für die Endnutzer) gelöst. Ich bin definitiv kein Applefan, aber was den Appstore angeht können sich andere Softwarekonzerne mal eine Scheibe abschneiden. Alles relevante an Software in einem Appstore, ohne amdere Seiten nutzen zu müssen und vorherige Prüfung der SW sehe ich als sehr sinnvoll an.

Was Backups angeht kann man sicher noch etwas an der User Experience schrauben, aber generell sind Backuplösungen schon garnicht so schlecht.

Dateien vor Verschlüsselung schützen stelle ich mir sehr einfach vor (vllt liege ich da falsch, aber ich glaube das Konzept wäre umsetzbar):
Man nehme (programmiere) eine Software, die ein Dateisystem erstellt, auf das Lesen/Schreiben erst nach Passworteingabe und dann nur für eine bestimmte Zeit und für ein bestimmtes Programm möglich ist. Ich glaube, dass das recht einfach umsetzbar wäre.
(Geht das so oder stelle ich mir das zu einfach vor?)
Edit: Das wäre so noch nicht bombensicher, da die Partition selbst noch formatiert (bzw. Kopiert, verschlüsselt und entfernt) werden kann, aber die bloße Verschlüssenung von Dateien innerhalb der Partition wäre damit nicht mehr möglich. Und ich habe noch nie von einer Schadsoftware gehört, die sich an ganzen Partitionen vergriffen hat (Bitte um Aufklärung, falls das doch üblich/vorgekommen sein sollte)

Ein Zertifikat ist schneller an die Software gedengelt, als man denkt.

Es muss auch kein offiziell abgesegnetes sein, wenn man die Benutzer "kennt" (Software für einen bestimmten Kundenkreis) oder es sich im Hobby-/Freeware-Bereich bewegt. Dann gibt man den Fingerprint des Zertifikats heraus und ein jeder kann dann die Vertrauensstellung für dieses Zertifikat entsprechend einmalig setzen.

(siehe meine Signatur)

Natürlich ist das umständlicher als ein gekauftes und offiziell abgesegnetes Zertifikat, aber dafür auch für nix Geld.

Dass das bei Software sehr einfach geht, irgendein Zertifikat zu nehmen, das keine wirkliche Aussagekraft hat, ist klar. Mir stellt sich gerade die Frage, inwiefern das in Browsern geht. Kann man da auch ein selbst signiertes https mit SSL und grüner Leiste haben, ohne, dass da was hintersteht, oder ist das per Browser wirklich vertrauenswürdig abgesegnet? Mein Browser (Chrome vorwiegend) macht mich hin und wieder darauf aufmerksam, dass bestimmte Seiten ein Zertifikat haben, das irgendwie nicht 100% abgesegnet ist. Andere Seiten hingegen sind durch VeriSign oder so zertifiziert und das scheint vertrauenswürdig und fälschungssicher zu sein. Genau kenne ich mich mit der browserinternen Zertifizierung nicht aus. Mag mir jemand in ein paar Worten sagen, ob man dem Ganzen vertrauen kann und woran ich evtl sehen kann, dass etwas wirklich signiert ist oder auch nicht?

Ich habe mal gehört, dass Google sich selbst zertifiziert hat und bin daher unsicher, ob das nur geht weil es Google ist und in der "Liste vertrauenswürdiger Zertifikatsaussteller" ist oder ob das jeder x beliebige auch kann.

Mir ist gerade ein Konzept eingefallen, wie man (relativ) gut prüfen könnte, ob ein Programm vertrauenswürdig ist oder nicht.
Man braucht eine definitiv vertrauenswürdige Intersetseite (Stiftung Software Warentest o.ä.), die Programme prüft und auf ihrer Seite kurz schreibt, was das Programm macht und welche Checksummen es hat und natürlich, dass das ganze vertrauenswürdig ist. Bei der Installation kann das Programm dann sagen "guck mal auf softwarecheck.de/lookup?=meineMD5Checksumme" und der Nutzer kann dann sehen, dass dieses Programm mit der Checksumme als gut gekennzeichnet wurde. Um die Echtheit solch einer Seite zu garantieren, kann der Nutzer einem kostenlosen Account anlegen mit einer bestimmten Nachticht, die am oberen Rand der Seite immer zu sehen ist, sodass der Nutzer selbst auf einer gefälschten Seite sehen kann, ob es das Original ist, oder nicht.

Hätte sowas Potential? Gibt es das vllt schon?

Und wer vertraut dem Vertrauer? Und wenn der Vertrauer gehackt wird bzw. dessen Website?

Nein, da kommt dann wohl eher etwas, was wir bei den Mobiles schon kennen:
http://www.heise.de/newsticker/meldu...t-3157290.html

Es muss nur tief genug im System verankert sein und 100% Sicherheit gibt es auch nicht.

Wer vertrait dem Vertrauer kann man bei der Browserzertifizierung auch fragen. Da ist für mich die grüne Zeile auch kein Freifahrtsschein, dass die Downloads wirklich sicher sind.

Dass das gehackt werden kann ist klar, aber es ging mir generelk um die Idee an sich. Die ist glaub ich recht gut.

Das in dem Link ähnelt dem Ursprungspost dieses Threads und ist etwa das, was ich anfangs meinte, allerdings für Linux. Ich fänd es gut, wenn man Windows (auf ähnliche Weise) sicherer machen könnte, da das OS von einem Großteil der Nutzer genutzt wird und somit eine größere Zielgruppe hat, zumal ich Linuxusern unterstelle, dass sie tendentiell eher weniger zusätzlichen Schutz nötig haben als Windowsnutzer.

Ich glaube der ganze Thread dreht sich nur um den Sicherheitswahn/Paranoia der meisten am Gespräche beteiligten.
Unsignierte Programme erst gar nicht zu starten oder Webseiten ohne Zertifikate nicht zu besuchen bzw. erstmal nicht zu vertrauen ist doch bescheuert (sorry).
Das beste Virenprogramm/Zertifikat ist ein gesunder Menschenverstand in meinen Augen. Bei den meisten Seiten/Programmen sieht man meist auf den ersten Blick wie vertrauenswürdig es ist. Der Eindruck kann zwar vor allem bei Phishing täuschen, aber wer den oben genannten Verstand oder/und Google gebraucht wird sich nicht mal auf solche Seiten verirren bzw. auf solche Links klicken.

Mein Antivirenprogramm habe ich glaube ich seit Jahren nicht mehr "passiv" gebraucht.
Das einzige Anwendungsgebiet bleibt wenn ich bewusst etwas runterlade wo ich schon vorher davon ausgegangen bin dass es ein Schadprogramm sein könnte um das heruntergeladene Programm dann explizit von meinem Antivirenprogramm überprüfen und ggf. löschen zu lassen.

Unterm Strich ist natürlich nichts 100%ig sicher, aber zu mindestens 90% brauche ich weder Zertifikate/Antivirenprogramme oder eine Signatur um Dinge korrekt als sicher oder unsicher einzustufen.
Natürlich kann man auch mal falsch liegen und kann dann nur hoffen dass man sich nichts schlimmes eingefangen hat, aber lieber so als jeden Klick den ich mache 3x bestätigen zu müssen und auf einen Großteil guter und harmloser Software zu verzichten.

Ist klar, dass "man" das mithilfe gesunden Menschenverstandes auf den ersten Blick sieht, allerdings nur, wenn "man" etwas Ahnung hat, die ich dem durchschnittlichen Nutzr mal nicht zuschreiben würde. Paranoid hin oder her. Man kanns auch lassen. Wie gesagt: Leute auf diesem Firum werden sowas wohl nie brauchen, aber andere vllt. schon. Ich nutze auch kein AV Programm bzw. schicke verdächtiges erstmal zu virustotal. Das reicht mir völlig aus. Generell habe ich diesen Thred der Erstellung von SW gewidmet, die unerfahreneren Nutzen evtl. helfen könnte. Und das und nicht mehr war der Plan. Wenn man es nüchtern betrachtet sollte jeder Download eh nur von Leuten durchgeführt werden, die wissen, was sie tun. Da das aber nicht immer der Fall ist gibt es ja überhaupt auch erst Antivirenprogramme und Adblocker (abgesehen davon dass Ads nur nerven.)