Signierung einer (free) exe
 

Moin,
ich habe nen "ChatGPTEditor" erstellt (FMX) und würde diesen gerne for free weitergeben. jetzt habe ich aber das problem, dass ich noch nie eine exe signiert habe und alles, was im netz so steht, mich eher verwirrt.

hat von euch jemand ne idee, weil es ja auch eigentlich nichts kosten sollte - wenn ich's schon kostenlos verteile?

waer super!

...de Schorsch

AW: Signierung einer (free) exe
 

For-Free geht nur selbst-signiert, aber das ist für eine Weitergabe ungeeignet, da du dann auch die Signatur mitgeben und jeder sie manuell bei sich installieren müsste.
delphi self-signed
https://docwiki.embarcadero.com/RADS...rtificate_File

und das Andere ... naja
https://www.delphipraxis.net/212860-...ml#post1522110

code signing certificate

AW: Signierung einer (free) exe
 

Du musst die exe ja nicht signieren. Die dient nur dazu, um mehr "Vertrauen" zu schaffen. Bzw. Windows zu überzeugen, dass dieses Stück Software aus "dem Internet" vertrauenswürdig ist, weil derjenige, der sie verteilt, jemand anderem Geld dafür bezahlt hat, der versichert, dass die Software vertrauenswürdig ist. Bzw. ja eigentlich nur, dass die Software wirklich von dem Entwickler stammt, von dem sie vorgibt zu stammen und sie nicht von dritten manipuliert wurde.

Bei "großer" Software ist das durchaus sinnvoll. Bei kleinen Hobby-Projekten kann man über den Sinn gut streiten. Klar, es ist nervig, wenn Windows ständig warnt, dass man vorsichtig sein sollte. Aber andererseits (ohne dir zu nahe treten zu wollen ;-) ): Was bringt es dem Anwender, wenn da steht: Die Software kommt von "de Schorsch", also ist alles in Ordnung damit?

Es bleibt letztlich die Frage: Wem vertraue ich? Vertraue ich dir, dass du deine Webseite ordentlich abgesichert hast, so dass dort kein dritter deine Dateien manipulieren kann? Oder möchte ich eine Bestätigung von einer "vertrauenswürdigen Stelle" haben, dass sie nicht manipuliert wurde? Daran, dass ich dir vertrauen muss, dass du mir keinen Schweinkram unterschieben willst, muss ich ja sowieso - daran ändert auch die Signatur nichts. ;-)

AW: Signierung einer (free) exe
 

super Antwort - das hatte ich mir auch schon gedacht.

ich vermerke ja schließlich kontaktdaten, readme, etc. - und wers nicht haben will.. ;-)

schWE

AW: Signierung einer (free) exe
 

Ich persönlich veröffentliche alles mit Quelltext, so dass jeder selbst hineinschauen und kompilieren kann, wenn man sicher gehen möchte.

Du kannst ja eine portable Version anbieten, die keine Adminrechte braucht. Denn das ist für mich als Anwender ein geringeres Risiko, als wenn ich nur die Möglichkeit eines nicht signierten Setups habe, dem ich Adminrechte geben muss.

AW: Signierung einer (free) exe
 

Kleiner Einspruch zu "ungeeignet". Ich habe das früher mal gemacht und hatte den Eindruck, dass die Beschwerden etwas weniger geworden sind. Es bringt nicht viel, aber auch nicht nichts.
Zwischenversionen z.B. für Betatester mache ich immer noch so, die können dann auch wenn sie wollen mal das eigene Zertifikat installieren. Offizielle Versionen werden von meinem Auftraggeber "richtig" zertifiziert.

AW: Signierung einer (free) exe
 

Ja, aber es geht auch um die Zielgruppe.
Nicht jeder einfache "DAU" kann sowas trotz SmartScreen installieren ( und das ist vielleicht auch gut so ).
In dem Fall wäre die Signierung sicherlich besser, die Profis kommen sicher auch ohne klar, es gibt ja Virenscanner und VM's.

AW: Signierung einer (free) exe
 

Die Signatur als "Sicherheit", da bringt self-signed kaum Vorteile, gegenüber dem Aufwand für die meisten Endkunden (DAU).

Sollte dann doch jemand "Professionelles" es unbedingt signiert haben wollen, dann kann er die unsignierte EXE auch selber signieren, mit einer eigenen Signatur.
Oder bezahlt dafür, dass du es "ordentlich" signierst.

AW: Signierung einer (free) exe
 

Wurden für so etwas nicht AppStores erfunden, sodass man sich um so etwas nicht mehr kümmern muss, kein Geld ausgeben und jeder DAU kann einfach auf "installieren" klicken?

AW: Signierung einer (free) exe
 

Ja, aber die App muss für den Store signiert sein, richtig ?
Sonst kommst Du nicht in den Club :stupid:

AW: Signierung einer (free) exe
 

Soweit ich mich erinnere kann man im Windows App Store

1. Die aus dem RAD Studio ausgespuckte .appx hochladen und der Rest geht von selbst
2. Seinen fertig signierten Kram mit eigenem Installer und allem dort einstellen

AW: Signierung einer (free) exe
 

Es gibt die Möglichkeit es von Delphi signieren zu lassen (anstatt selber das SignTool z.B. im AfterBuild auszuführen),
> Projektoptionen > Bereitstellung > Provisionierung > Build-Typ = Win XX Bit - Anwendungs-Store
aber auch dort muß von irgendwo die Signatur reingegeben werden.

AW: Signierung einer (free) exe
 

Nein, da bist Du auf das Framing hereingefallen. Die AppStores und auch die Signatur wurden erfunden, um die unerwünschten Hobbyprogrammierer, die den Firmen das Geschäft versauen, aus dem "Markt" zu drängen, oder sie zumindest zur Kasse zu bitten.

AW: Signierung einer (free) exe
 

Potz Donner! Dann sind wir da ja wirklich einer großen Sache auf der Spur!

AW: Signierung einer (free) exe
 

Moin @ALL,
also erstmal Danke fuer das rege feedback. doch letztendlich mach ich einfach: garnix, denn ich will das tool ausschliesslich denen geben, die es haben wollen (kein store, etc.) - und dann sollen sie selber zusehen und es "verteilen"...

uebriegns: wers haben will: einfach winken (ich finds sau cool und sollte die tage fertigwerden / erstmal nur fuer windows und nur in "english")

wuensch euch ne schoene restwoche...

...de Schorsch

AW: Signierung einer (free) exe
 

Das ist schon durchaus richtig, was dummzeuch da schreibt. Das gleiche existiert ja auch bei Website-Zerfikaten. Es gibt die mit Kaufzertifikate als EV, OV oder DV. Aber da gibt es halt als Alternative die DV von Let's Encrypt. Google und Mozilla agieren ganz stark gegen die kommerziellen Zertifizierungsstellen. Im August 2019 wurde die teuerste Stufe (EV) komplett sinnlos gemacht. OV und DV konnte man ohne größere Ahnung vom Thema auch vorher schon nicht unterscheiden. Kommerzielle Zertifikate eignen sich seither im Prinzip nur noch für Leute, die gleichzeitig zu unfähig zur Einrichtung der automatischen Erneuerung sind und zu faul, das alle zwei bis drei Monate für Let's Encrypt manuell zu machen, da sie bis zu 398 Tage gültig sind. Google und Mozilla wollen demnächst Zertifikaten von mehr als drei Monaten Dauer nicht mehr vertrauen, weil Diebstahl und so. Dann ist das Geschäftsmodell der kommerziellen Anbieter dahin.

Es wäre halt ganz nett, wenn es eine Art DV für Software gäbe, also was vollautomatisiert und kostenlos gemacht werden kann. Anders als im Web hat Offenheit auf dem PC und noch viel weniger auf mobilen Geräten Unterstützer. Da darf man als Hobbyentwickler wohl dankbar sein, dass es auf Android noch Sideloading gibt.

AW: Signierung einer (free) exe
 

Let's Encrypt entstand ja, als Idee, dass es wesentlich besser ist, wenn es möglichst viel benutzt wird, ohne dass es an den Kosten und Umständlichkeit festhängt.
Genauso, wie Microsoft inzwischen auch "illegale" Installationen mit Sicherheitsupdates versorgt. (die Bösen bestrafen vs. alle Anderen besser zu schützen)

Grade da es bei den AppStores quasi Pflicht ist, wäre es schön, wenn es dort inklusive wäre. (vielleicht über die größe der Einnahmen der Käufe, InAppKäufe und Werbung anteilig deren Kosten verteilen)

AW: Signierung einer (free) exe
 

ich faends cool, wenn man das einfach in Delphi einbinden koennte und beim Compilieren entscheiden/anhaken kann, ob das mit eingebunden werden soll - oder Embarcadero wuerde selbst Zerfikate mit anbieten...

AW: Signierung einer (free) exe
 

Für CodeSigning-Zertifikate muss im Gegensatz zu Webserver-Zertifikaten eine besondere Validierung des Zertifikatskäufers stattfinden.

Let's Encrypt stellt Domain Validation (DV) Zertifikate zur Verfügung. Die werden ausgestellt für registrierte Domains, daher ist deren Besitzer bekannt.

CodeSigning-Zertifikate kann man ohne Domain kaufen, daher ist eine eigene Organization Validation (OV) oder Extended Validation (EV) notwendig.


Daher würde, wenn Embarcadero die Lizenzen bereitstellt, auch eine Validierung des Käufers stattfinden müssen.

AW: Signierung einer (free) exe
 

Wenn ich der Besitzer meiner Domain bin, wäre es doch zu geil, wenn ich jenes bereits validiertes Zertifikat dann auch für meinen Code benutzen könnte, bzw. so in etwa.

Nja, Emba müsste nicht direkt den Käufer verifizieren, sondern bietet zur gekauften Lizenz den Download eines damit verbundenen Zertifikates an.

AW: Signierung einer (free) exe
 

Ja, aber für jede eigene Domäne eine OV mit allen Schritten (telefonische Kontrolle unter einer registrierten Telefonnummer usw.) durchlaufen zu müssen wäre dann nicht mehr zum jetzigen Preis einer Domäne zu haben. Dann ist die DV zum kleinen Geld mir doch schon angenehmer.

AW: Signierung einer (free) exe
 

Öööhm. Kann man denn Let´s Encrypt Zertifikate für code signing verwenden?

Ich dachte für code signing müsste das Zertifikat Organization Validation (OV) sein.

AW: Signierung einer (free) exe
 

Nein, kann man nicht. Da hast du vollkommen recht.

AW: Signierung einer (free) exe
 

Jupp, geht nicht ... aber man darf ja nochmal träumen dürfen, wie es wäre, wenn es ginge. ::duck: