Ich kann bestätigen, dass nicht jedes Zertifikat automatisch seine Richtigkeit hat. Habe mal in ner Zeitschrift gelesen, dass von einem namhaften Softwarehersteller Zertifikate entwendet wurden und ich habe auch schon mal ein Adware Programm live gesehen, das signiert war.
Nicht, dass ich Zertifizierung / Signierung generell für wenig aussagekräftig halte - meistens passt das ja, aber es ist eben auch nicht ganz zuverlässig und ein Zertifikat kostet Geld, das nicht jeder Entwickler bereit ist, auszugeben.

Hallo,

ein Software-Entwickler der keine roundabout 100 Euronen jährlich für ein Zertifikat übrig hat, ist kein Software-Entwickler, sondern ein Hinterhof-Schrauber(Programmierer) dem ich mein Auto nicht zur Reparatur anvertrauen würde. Um es mal im KFZ-Jargon auszudrücken. Wenn ich eine SW installieren möchte und sehe einen gelben UAC-Dialog, dann wird das von mir sofort abgebrochen. Es sei denn, die Quelle ist mir sehr gut bekannt. Ich bin noch nicht schlecht damit gefahren.

Es ist klar, und da sind wir alle wahrscheinlich einer Meinung, dass ein Zertifikat keine Garantie für eine saubere (virenfreie) Software ist. Aber, es ist ein kleines Indiz dafür, wie gewissenhaft der Ersteller einer Software (Hinterhof-Klitsche oder Markenwerkstatt?) grundsätzlich arbeitet.

Zudem ging es mir mit dem Zertifikats-Hinweis nicht nur um eine simple Zertifizierung via SW-Zertifikat. Warum haben die Apfel-User weniger derartige Probleme als die Windows-Fraktion? Das sollte man mal hinterfragen. Der Windows-App-Store ist in dieser Hinsicht ein schlechter Witz. Vielleicht weil man Angst hat, im Mobile-Bereich noch mehr Anschluss an die Android-Konkurrenz zu verlieren? Oder weil der Markt für AV-Software so riesig und ertragreich ist, dass man eine Kuh die Milch gibt nicht schlachten kann/möchte?

BTW es geht hier ja primär um eine "Softwareidee für Antivirenergänzung [Lösungsansätze gesucht]" und da finde ich, ist der Markt ausgereizt und gesättigt. Bis auf wirklich gute und einfach zu bedienende Backup-Software. Weil ein gutes Backup die beste Ergänzung für eine AV-Software ist. Acronis & Co sind zwar nicht schlecht, aber das könnte man durchaus noch etwas benutzerfreundlicher machen. In dem Zusammenhang fällt mir noch ein, gibt es eigentlich eine Möglichkeit eine Verschlüsselung einer Datei zu verhindern? Das wäre bei den derzeit akuten Verschlüsselungs-Trojanern mal etwas wirklich Nützliches!

Generell würde ich auch sagen, dass man, sofern man den Anspruch hat, brauchbare SW zu vertreiben, sich um eine Zertifizierung kümmern kann, allerdings setze ich das nicht voraus. Einige sehr gute Proframme laufen auch ohne Zertifikat, ohne, dass das gleich Misstrauen weckt. Wenn der VLC Player kein Zertifikat hätte (von der Herstellerseite runtergeladen) würde ich dem ganzen immer noch vertrauen. Muss aber jeder selbst wissen, wie er damit umgeht. Wünschenswert wäre ein Zertifikat bei brauchbarer SW natürlich schon.

Die Obstkonsumenten haben einen Appstore, in den SW erst nach Prüfung des Apfelgroßbauern wandert. Apple ist da recht streng was die Zulassung für Apps angeht.
Für Windows gibt es keinen Appstore dieser Art. Microsoft und Android Nutzer könnenbzw. müssen sich SW überall zusammensuchen und müssen darauf vertrauen, was der Hersteller sagt. Bei Apple ist das etwas besser (für die Endnutzer) gelöst. Ich bin definitiv kein Applefan, aber was den Appstore angeht können sich andere Softwarekonzerne mal eine Scheibe abschneiden. Alles relevante an Software in einem Appstore, ohne amdere Seiten nutzen zu müssen und vorherige Prüfung der SW sehe ich als sehr sinnvoll an.

Was Backups angeht kann man sicher noch etwas an der User Experience schrauben, aber generell sind Backuplösungen schon garnicht so schlecht.

Dateien vor Verschlüsselung schützen stelle ich mir sehr einfach vor (vllt liege ich da falsch, aber ich glaube das Konzept wäre umsetzbar):
Man nehme (programmiere) eine Software, die ein Dateisystem erstellt, auf das Lesen/Schreiben erst nach Passworteingabe und dann nur für eine bestimmte Zeit und für ein bestimmtes Programm möglich ist. Ich glaube, dass das recht einfach umsetzbar wäre.
(Geht das so oder stelle ich mir das zu einfach vor?)
Edit: Das wäre so noch nicht bombensicher, da die Partition selbst noch formatiert (bzw. Kopiert, verschlüsselt und entfernt) werden kann, aber die bloße Verschlüssenung von Dateien innerhalb der Partition wäre damit nicht mehr möglich. Und ich habe noch nie von einer Schadsoftware gehört, die sich an ganzen Partitionen vergriffen hat (Bitte um Aufklärung, falls das doch üblich/vorgekommen sein sollte)

Ein Zertifikat ist schneller an die Software gedengelt, als man denkt.

Es muss auch kein offiziell abgesegnetes sein, wenn man die Benutzer "kennt" (Software für einen bestimmten Kundenkreis) oder es sich im Hobby-/Freeware-Bereich bewegt. Dann gibt man den Fingerprint des Zertifikats heraus und ein jeder kann dann die Vertrauensstellung für dieses Zertifikat entsprechend einmalig setzen.

(siehe meine Signatur)

Natürlich ist das umständlicher als ein gekauftes und offiziell abgesegnetes Zertifikat, aber dafür auch für nix Geld.

Dass das bei Software sehr einfach geht, irgendein Zertifikat zu nehmen, das keine wirkliche Aussagekraft hat, ist klar. Mir stellt sich gerade die Frage, inwiefern das in Browsern geht. Kann man da auch ein selbst signiertes https mit SSL und grüner Leiste haben, ohne, dass da was hintersteht, oder ist das per Browser wirklich vertrauenswürdig abgesegnet? Mein Browser (Chrome vorwiegend) macht mich hin und wieder darauf aufmerksam, dass bestimmte Seiten ein Zertifikat haben, das irgendwie nicht 100% abgesegnet ist. Andere Seiten hingegen sind durch VeriSign oder so zertifiziert und das scheint vertrauenswürdig und fälschungssicher zu sein. Genau kenne ich mich mit der browserinternen Zertifizierung nicht aus. Mag mir jemand in ein paar Worten sagen, ob man dem Ganzen vertrauen kann und woran ich evtl sehen kann, dass etwas wirklich signiert ist oder auch nicht?

Ich habe mal gehört, dass Google sich selbst zertifiziert hat und bin daher unsicher, ob das nur geht weil es Google ist und in der "Liste vertrauenswürdiger Zertifikatsaussteller" ist oder ob das jeder x beliebige auch kann.

Mir ist gerade ein Konzept eingefallen, wie man (relativ) gut prüfen könnte, ob ein Programm vertrauenswürdig ist oder nicht.
Man braucht eine definitiv vertrauenswürdige Intersetseite (Stiftung Software Warentest o.ä.), die Programme prüft und auf ihrer Seite kurz schreibt, was das Programm macht und welche Checksummen es hat und natürlich, dass das ganze vertrauenswürdig ist. Bei der Installation kann das Programm dann sagen "guck mal auf softwarecheck.de/lookup?=meineMD5Checksumme" und der Nutzer kann dann sehen, dass dieses Programm mit der Checksumme als gut gekennzeichnet wurde. Um die Echtheit solch einer Seite zu garantieren, kann der Nutzer einem kostenlosen Account anlegen mit einer bestimmten Nachticht, die am oberen Rand der Seite immer zu sehen ist, sodass der Nutzer selbst auf einer gefälschten Seite sehen kann, ob es das Original ist, oder nicht.

Hätte sowas Potential? Gibt es das vllt schon?

Und wer vertraut dem Vertrauer? Und wenn der Vertrauer gehackt wird bzw. dessen Website?

Nein, da kommt dann wohl eher etwas, was wir bei den Mobiles schon kennen:
http://www.heise.de/newsticker/meldu...t-3157290.html

Es muss nur tief genug im System verankert sein und 100% Sicherheit gibt es auch nicht.