NIS 2010 вопросы и неясности...

[asdf 35]

Видимо уважаемый Umnik в загуле по случаю выходных, поэтому выкладываю файлы для всеобщего обозрения http://depositfiles.com/ru/files/xqwu718kr как уже говорил это файлы установщики от MS Office 2010 подпись от MS у них разумеется есть.

P.S. Прошу Администрацию anti-malware.ru обратить внимание на поведение некоторых участников форума которые со своим юношеским пылом мешают продолжать дискуссию,в репе -1)

[Burbulator 146]

asdf

а можно куда-нибудь еще выложить архив? А то мне не дает скачать: "К сожалению, все слоты для Вашей страны исчерпаны. "

[mennen 100]

  asdf сказал:

это файлы установщики от MS Office 2010 подпись от MS у них разумеется есть.

Очередной баян. Это msi, которые Norton не блокирует, просто выдает плохую репутацию и нет информации о цифровой подписи. Именно .msi не видит. Данную тему уже давно обсуждали в КЛС.

  asdf сказал:

P.S. Прошу Администрацию anti-malware.ru обратить внимание на поведение некоторых участников форума которые со своим юношеским пылом мешают продолжать дискуссию,в репе -1)

А я еще поставлю. Есть конкретные случаи блокирования NIS файлов с цифровой подписью Майкрософт?

[Umnik 997]

Все подписано:

  Цитата

F:\Tools>F:\Tools\sigcheck.exe -u "F:\Downloads\Архивы\bad norton"

Sigcheck v1.70 - File version and signature viewer

Copyright © 2004-2010 Mark Russinovich

Sysinternals - www.sysinternals.com

No matching files were found.

[mennen 100]

  Umnik сказал:

Все подписано

Ну да, Norton же не видит цифровые подписи в .msi...

[asdf 35]

  mennen сказал:

Ну да, Norton же не видит цифровые подписи в .msi...

А какие если не msi должны быть в установшике office , советую сперва подучить мат часть, а то трололо получается

Вопрос на засыпку чего ещё нортон не видит?

[mennen 100]

  asdf сказал:

А какие если не msi должны быть в установшике office facepalm.gif , советую сперва подучить мат часть, а то трололо получается laugh.gif

  mennen сказал:

Есть конкретные случаи блокирования NIS файлов с цифровой подписью Майкрософт?

Norton блокирует файлы?

[asdf 35]

  mennen сказал:

Norton блокирует файлы?

Внимательно читаем выше.

Помимо прочтения матчасти советую ещё поупражняться во внимательности.

Мимоходом чтобы не выглядеть тупым жлобом минус за трололо из моей репы снять и в свою записать.

[mennen 100]

  asdf сказал:

Внимательно читаем выше.

Все ясно.. если красный крестик Вам просто не нравится, то сказать нечего))

[asdf 35]

  mennen сказал:

Все ясно.. если красный крестик Вам просто не нравится, то сказать нечего))

Читать тему видимо лень поэтому советую сделать то же что и я по вашему же вчерашнему совету залить эти файлы без пароля и архива на файлообменник, а потом попробовать скачать.

[mennen 100]

  asdf сказал:

залить эти файлы без пароля и архива на файлообменник, а потом попробовать скачать.

Зачем? Инстальник офиса в .iso формате идет.

[asdf 35]

  mennen сказал:

Зачем? Инстальник офиса в .iso формате идет.

Мысль ниже

  asdf сказал:

И тут важен сам принцип, а не горстка файлов. Уж если такие файлы попадают к нортону в немилость то какая судьба угатована менее именитым разработчиким, тысячи и даже десятки тысяч домохозяек могут качать только то что разрешит "великий и ужасный" Simantec

Важен принцип того что нортон блокирует хорошие файлы, поэтому же файлы с красным крестиком которые уже на hdd нортон и не трогает(наверное всем понятно что это лазейка для скачаного в архиве зловреда или с диска флэшки) тк в симантек знают что это не единственный их касяк или file insight to many false positives.

[Burbulator 146]

  asdf сказал:

Важен принцип того что нортон блокирует хорошие файлы, поэтому же файлы с красным крестиком которые уже на hdd нортон и не трогает(наверное всем понятно что это лазейка для скачаного в архиве зловреда или с диска флэшки) тк в симантек знают что это не единственный их касяк или file insight to many false positives.

На самом деле это все верно: тема даже поднималась на оф. форуме Симантека (и кажется не один раз), но её проигнорировали.

[Umnik 997]

А можно почитать обсуждение про игнорирование ЭЦП на msi? Я так понял, это уже обсуждали где-то ранее.

[Burbulator 146]

Umnik

Обсуждалось не игнорирование ЭЦП на какой-то тип файлов, а неоднозначность вердикта "Bad" в File Insight. Приводились примеры, когда реальная зараза, имевшая статус Bad, блокировалась File Insight при скачке из инета, но благополучно запускалась с флэшки (с последующим заражением).

А где - надо искать на оф. форуме симантека, давно это было и безрезультатно.

[Umnik 997]

Я не знаю алгоритмы Симантека. Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

[mennen 100]

  Umnik сказал:

Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

Нортон просто не видит цифровой подписи в файлах .msi

[Burbulator 146]

  Umnik сказал:

Вердикт "Bad" на файле с подписью МС - это разве не игнорирование подписи?

File Insight, по каким-то причинам не умеет читать подписи на .msi

На exe или dll такой проблемы не было бы.

Вопрос имхо в другом: каким образом легитимные файлы получают статус Bad?? И такое (Bad для хороших файлов) встречается, как по мне, слишком часто

[Burbulator 146]

Кстати, в 2012 бете бага-фича с цифровыми подписями для MSI пофиксена:

[Umnik 997]

Burbulator

Мне как тестировщику более интересно сейчас - на сколько опасно присвоение Bad в данном случае? Поясню:

1. Если статус bad означает поднятие алерта в режиме автоматического принятия решений - это первый приоритет, но в целом можно выпустить в релиз при условии, что будет пофикшено ближайшим автопатчем

1.1. Если в алерте при этом будет рекомендация "Запретить", "Блокировать" и т.п. - это первый приоритет с запретом релиза (стоповый для подписания, если угодно)

2. Если это означает поднятие алерта в только в интерактивном режиме, то это второй или первый приоритет (на совести тест менеджера), но с разрешением релиза. Фикс можно не делать, но неплохо бы все-таки исправить в ближайшем крупном обновлении. Решить это нужно от отзывам в ТП.

2.1. Предлагаемое дефолтовое действие в алерте не имеет значения, т.к. интерактив включает около 5% пользователей (+-).

3. Если этот статус не несет смысловой нагрузки для 95% пользователей (читай - на него обращают внимание только гики; либо - его еще найти надо, либо оба варианта вместе) - это второй приоритет и не может влиять на подписание релиза. Даже фиксать это не обязательно и можно год эту багу игнорировать, с последующим копированием на новый проект.

Я правильно понял, что тут вариант 3?

[DaTa 182]

http://community.norton.com/t5/Norton-Inte...eck/td-p/441186

Создал тему. Посмотрим как на нее отреагируют.

[ANDYBOND 283]

  Umnik сказал:

Burbulator

Мне как тестировщику более интересно сейчас - на сколько опасно присвоение Bad в данном случае? Поясню:

1. Если статус bad означает поднятие алерта в режиме автоматического принятия решений - это первый приоритет, но в целом можно выпустить в релиз при условии, что будет пофикшено ближайшим автопатчем

1.1. Если в алерте при этом будет рекомендация "Запретить", "Блокировать" и т.п. - это первый приоритет с запретом релиза (стоповый для подписания, если угодно)

2. Если это означает поднятие алерта в только в интерактивном режиме, то это второй или первый приоритет (на совести тест менеджера), но с разрешением релиза. Фикс можно не делать, но неплохо бы все-таки исправить в ближайшем крупном обновлении. Решить это нужно от отзывам в ТП.

2.1. Предлагаемое дефолтовое действие в алерте не имеет значения, т.к. интерактив включает около 5% пользователей (+-).

3. Если этот статус не несет смысловой нагрузки для 95% пользователей (читай - на него обращают внимание только гики; либо - его еще найти надо, либо оба варианта вместе) - это второй приоритет и не может влиять на подписание релиза. Даже фиксать это не обязательно и можно год эту багу игнорировать, с последующим копированием на новый проект.

Я правильно понял, что тут вариант 3?

Алерт будет в любом случае, но дальше вариант 3. И хорошо, что в 2012 исправили.

[mennen 100]

  asdf сказал:

и такие файлы которым нортон даёт три зелёные палки

файлы покажите.

[Umnik 997]

  ANDYBOND сказал:

Алерт будет в любом случае

Как он выглядит?

[ANDYBOND 283]

Файл такой-то имеет репутацию такую-то. Вопросов пользователю не задаётся, ибо это просто информация.