Պատկերացնու՞մ եք, որ խոշոր ընկերությունը կխաբի իր հաճախորդներին, հատկապես, եթե այս ընկերությունն իրեն դիրքավորի որպես անվտանգության երաշխավոր։ Այսպիսով, ես մինչև վերջերս չէի կարող: Այս հոդվածը նախազգուշացում է երկու անգամ մտածելու համար Comodo-ից ծածկագրի ստորագրման վկայական գնելուց առաջ:
Աշխատանքիս շրջանակներում (համակարգային կառավարում) պատրաստում եմ տարբեր օգտակար ծրագրեր, որոնք ակտիվորեն օգտագործում եմ սեփական աշխատանքում և միաժամանակ դրանք տեղադրում եմ անվճար բոլորի համար։ Մոտ երեք տարի առաջ ծրագրերը ստորագրելու անհրաժեշտություն կար, այլապես ոչ բոլոր հաճախորդներն ու օգտատերերը կարող էին առանց խնդիրների ներբեռնել դրանք միայն այն պատճառով, որ ստորագրված չէին։ Ստորագրումը վաղուց սովորական պրակտիկա է և որքան էլ ապահով լինի ծրագիրը, բայց եթե այն չստորագրվի, անպայման ուշադրություն կդարձնի դրա վրա.
- Զննարկիչը վիճակագրություն է հավաքում այն մասին, թե որքան հաճախ է ֆայլը ներբեռնվում, և երբ այն ստորագրված չէ, սկզբնական փուլում այն կարող է նույնիսկ արգելափակվել «ամեն դեպքում» և պահպանման համար պահանջել օգտատիրոջ հստակ հաստատում: Ալգորիթմները տարբեր են, երբեմն տիրույթը համարվում է վստահելի, բայց ընդհանուր առմամբ դա վավեր ստորագրություն է, որը հաստատում է անվտանգությունը։
- Ներբեռնումից հետո ֆայլը դիտվում է հակավիրուսով և անմիջապես ՕՀ-ի գործարկումից անմիջապես առաջ: Անտիվիրուսների համար ստորագրությունը նույնպես կարևոր է, սա հեշտությամբ կարելի է տեսնել virustotal-ում, իսկ ինչ վերաբերում է ՕՀ-ին, Win10-ից սկսած, չեղյալ հայտարարված վկայականով ֆայլն անմիջապես արգելափակվում է և չի կարող գործարկվել Explorer-ից։ Բացի այդ, որոշ կազմակերպություններում ընդհանրապես արգելվում է գործարկել չստորագրված կոդ (կազմաձևված է համակարգի գործիքների միջոցով), և դա արդարացված է. բոլոր նորմալ մշակողները վաղուց համոզված են, որ իրենց ծրագրերը կարող են ստուգվել առանց լրացուցիչ ջանքերի:
Ընդհանուր առմամբ, ճիշտ ուղղություն է ընտրված՝ հնարավորության սահմաններում ինտերնետը հնարավորինս անվտանգ դարձնել անփորձ օգտատերերի համար։ Այնուամենայնիվ, իրականացումն ինքնին դեռ հեռու է իդեալական լինելուց: Պարզ մշակողը չի կարող պարզապես վկայական ստանալ, այն պետք է գնել այն ընկերություններից, որոնք մենաշնորհել են այս շուկան և թելադրել իրենց պայմանները դրա վերաբերյալ: Բայց ինչ անել, եթե ծրագրերն անվճար են: Ոչ ոքի չի հետաքրքրում. Այնուհետև ծրագրավորողն ունի ընտրություն՝ անընդհատ ապացուցել իր ծրագրերի անվտանգությունը՝ զոհաբերելով օգտատերերի հարմարավետությունը, թե՞ գնել վկայական։ Երեք տարի առաջ StartCom-ը, որն այժմ ապրում է օվկիանոսի հատակում, շահութաբեր էր, նրանց հետ երբեք խնդիրներ չեն եղել։ Այս պահին նվազագույն գինն ապահովում է Comodo-ն, բայց, ինչպես պարզվում է, կա մի բռնում՝ նրանց համար ծրագրավորողը բառացիորեն ոչ ոք է, և նրան խաբելը սովորական պրակտիկա է։
2018 թվականի կեսերին ձեռք բերածս վկայականից գրեթե մեկ տարի օգտագործելուց հետո, հանկարծ, առանց փոստով կամ հեռախոսով նախնական ծանուցման, Comodo-ն չեղարկեց այն առանց բացատրության: Նրանց տեխնիկական սպասարկումը լավ չի աշխատում՝ կարող են մեկ շաբաթ չպատասխանել, բայց այնուամենայնիվ կարողացել են պարզել հիմնական պատճառը՝ նրանք համարել են, որ տրված սերտիֆիկատը ստորագրված է չարամիտ ծրագրերով։ Եվ պատմությունը կարող էր ավարտվել այնտեղ, եթե ոչ մի բանի համար՝ ես երբեք չարամիտ ծրագրեր չեմ ստեղծել, և իմ սեփական պաշտպանության մեթոդները թույլ են տալիս ինձ ասել, որ անհնար է գողանալ իմ անձնական բանալին։ Միայն Comodo-ն ունի բանալու պատճենը, քանի որ դրանք թողարկում են առանց ԿՍՊ-ի: Եվ հետո՝ տարրական ապացույցը պարզելու գրեթե երկու շաբաթ անհաջող փորձեր։ Ընկերությունը, որը ենթադրաբար երաշխավորում է անվտանգության պաշտպանությունը, կտրականապես հրաժարվել է իրենց կանոնների խախտման ապացույցներ տրամադրել։
Տեխնիկական աջակցությամբ վերջին զրույցիցԴուք 01:20
Դուք գրել եք «Մենք ձգտում ենք պատասխանել ստանդարտ աջակցության տոմսերին նույն աշխատանքային օրվա ընթացքում»: բայց արդեն մեկ շաբաթ է սպասում եմ պատասխանի։
Վինսոն 01:20
Ողջույն, Բարի գալուստ Sectigo SSL վավերացում:
Թույլ տվեք ստուգել ձեր գործի կարգավիճակը, խնդրում եմ մի րոպե սպասեք:
Ես ստուգել եմ, և պատվերը չեղարկվել է մեր բարձրագույն պաշտոնյայի կողմից չարամիտ/խարդախության/ֆիշինգի պատճառով:
Դուք 01:28
Համոզված եմ, որ դա ձեր սխալն է, ուստի խնդրում եմ ապացույցներ:
Ես երբեք չեմ ունեցել չարամիտ/խարդախություն/ֆիշինգ:
Վինսոն 01:30
Կներես, Ալեքսանդր։ Ես կրկնակի ստուգել եմ, և պատվերը չեղարկվել է մեր բարձրաստիճան պաշտոնյայի կողմից չարամիտ/խարդախության/ֆիշինգի պատճառով:
Դուք 01:31
Ո՞ր ֆայլում եք տեսել վիրուսը: Virustotal-ի հղում կա՞: Ես չեմ ընդունում ձեր պատասխանը, քանի որ դրա մեջ որևէ ապացույց չկա։ Ես գումար եմ վճարել այս վկայականի համար և իրավունք ունեմ իմանալու, թե ինչու են ինձնից զոռով վերցնում իմ գումարը։
Եթե դուք չեք կարող ապացույցներ ներկայացնել, ապա վկայականը անարդարացիորեն հետ է կանչվել և պետք է վերադարձնի գումարը: Հակառակ դեպքում, ո՞րն է ձեր աշխատանքի իմաստը, եթե առանց ապացույցի վկայականները հետ եք կանչում։
Վինսոն 01:34
Ես հասկանում եմ ձեր մտահոգությունը։ Կոդի ստորագրման վկայականը հաղորդվել է չարամիտ ծրագրերի տարածման համար: Համաձայն արդյունաբերության ուղեցույցների. Sectigo-ն որպես սերտիֆիկատների մարմին պարտավոր է չեղյալ համարել վկայագիրը:
Նաև, ըստ վերադարձի քաղաքականության, մենք չենք կարողանա վերադարձնել գումարը թողարկման օրվանից 30 օր հետո:
Դուք 01:35
Ինչո՞ւ եք կարծում, որ սա սխալ կամ կեղծ դրական արդյունք չէ:
Վինսոն 01:36
Կներես, Ալեքսանդր։ Մեր բարձրաստիճան պաշտոնյաների հաղորդման համաձայն՝ պատվերը չեղարկվել է չարամիտ/խարդախության/ֆիշինգի պատճառով:
Դուք 01:37
Ներողություն խնդրելու կարիք չկա, ես վճարել եմ գումարը և ուզում եմ ապացույց տեսնել, որ խախտել եմ ձեր կանոնները։ Դա պարզ է.
Երեք տարի վճարեցի, հետո պատճառ բերեցիր ու ինձ թողեցիր առանց տեղեկանքի ու առանց իմ մեղքի ապացույցի։
Վինսոն 01:43
Ես հասկանում եմ ձեր մտահոգությունը։ Կոդի ստորագրման վկայականը հաղորդվել է չարամիտ ծրագրերի տարածման համար: Համաձայն արդյունաբերության ուղեցույցների. Sectigo-ն որպես սերտիֆիկատների մարմին պարտավոր է չեղյալ համարել վկայագիրը:
Դուք 01:45
Կարծես չես հասկանում։ Որտե՞ղ եք տեսել դատարանը, որն առանց ապացույցի դատավճիռ է կայացնում։ Դուք հենց դա արեցիք: Ես երբեք չարամիտ ծրագիր չեմ ունեցել: Ինչու՞ ապացույց չեք ներկայացնում, եթե կա: Ի՞նչ կոնկրետ ապացույց է վկայականի չեղարկումը:
Վինսոն 01:46
Կներես, Ալեքսանդր։ Մեր բարձրաստիճան պաշտոնյաների հաղորդման համաձայն՝ պատվերը չեղարկվել է չարամիտ/խարդախության/ֆիշինգի պատճառով:
Դուք 01:47
Ո՞ւմ կարող եմ պարզել վկայականը չեղյալ համարելու իրական պատճառը:
Եթե չես կարող պատասխանել, ասա ում հետ կապվեմ:
Վինսոն 01:48
Խնդրում ենք կրկին տոմս ուղարկել՝ օգտագործելով ստորև նշված հղումը, որպեսզի հնարավորինս շուտ պատասխան ստանաք:
Դուք 01:48
Շնորհակալություն:
Այս արդյունքը մեկուսացված չէ, չաթում բանակցությունների ամբողջ ժամանակ, լավագույն դեպքում, նույն բանն են պատասխանում, տոմսերը կամ ընդհանրապես չեն պատասխանվում, կամ պատասխանները նույնքան անօգուտ են։
Ես նորից տոմս եմ ստեղծումԻմ խնդրանքը.
Ես պահանջում եմ ապացույց, որ ես խախտել եմ կանոն, որը հանգեցրել է չեղյալ հայտարարման: Ես սերտիֆիկատ եմ գնել և ուզում եմ իմանալ, թե ինչու են գումարս վերցնում ինձանից։
«Չարամիտ/խարդախություն/ֆիշինգ»-ը պատասխանը չէ: Ո՞ր ֆայլում եք տեսել վիրուսը: Virustotal-ին հղում կա՞: Խնդրում եմ տրամադրեք ապացույց կամ վերադարձրեք գումարը, ես հոգնել եմ տեխնիկական աջակցություն գրելուց և մեկ շաբաթից ավելի է սպասում եմ։
Շնորհակալություն:
Նրանց պատասխանը.
Կոդի ստորագրման վկայականը հաղորդվել է չարամիտ ծրագրերի տարածման համար: Համաձայն արդյունաբերության ուղեցույցների. Sectigo-ն որպես սերտիֆիկատների մարմին պարտավոր է չեղյալ համարել վկայագիրը:
Հույսը, որ կապիկը չէ, որ ինձ կպատասխանի, լրիվ կորած է։ Հետաքրքիր դիագրամ է հայտնվում.
- Վաճառում ենք վկայական։
- Վեց ամսից ավելի է սպասում ենք, որ PayPal-ի միջոցով հնարավոր չլինի վեճ բացել։
- Մենք հետ ենք կանչում և սպասում հաջորդ պատվերին։ Շահույթ!
Քանի որ ես նրանց վրա ազդելու այլ մեթոդներ չունեմ, կարող եմ միայն հրապարակայնացնել նրանց խարդախությունը։ Comodo-ից, որը նաև հայտնի է որպես Sectigo, վկայագիր գնելիս, դուք կարող եք հանդիպել նույն իրավիճակին:
Թարմացում հունիսի 9.
Այսօր ես տեղեկացրեցի CodeSignCert-ին (ընկերությանը, որի միջոցով ես գնել եմ վկայականը), որ քանի որ նրանք դադարել են պատասխանել, ես իրավիճակը ներկայացրել եմ հանրային քննարկման՝ այս հոդվածի հղումով: Որոշ ժամանակ անց նրանք վերջապես ուղարկեցին virustotal-ի սքրինշոթը, որտեղ տեսանելի էր ծրագրի հեշը :
VirusTotal -
Իրավիճակի իմ գնահատականը.
Վստահաբար կարող եմ ասել, որ սա կեղծ դրական է։ Նշաններ:
- Նշանակում Generic շատ դեպքերում:
- Ոչ մի հայտնաբերում հակավիրուսային առաջատարներից:
Դժվար է ասել, թե կոնկրետ ինչն է առաջացրել հակավիրուսների նման արձագանքը, բայց քանի որ ֆայլը շատ հնացած է (այն ստեղծվել է գրեթե մեկ տարի առաջ), ես չունեի պահված 1.6.1 տարբերակի սկզբնական կոդը՝ ֆայլը երկուական վերստեղծելու համար։ . Այնուամենայնիվ, ես ունեմ վերջին տարբերակը 1.6.5, և հաշվի առնելով հիմնական ճյուղի անփոփոխությունը, այնտեղ նվազագույն փոփոխություններ են կատարվել, բայց այդպիսի կեղծ պոզիտիվներ չկան.
VirusTotal -
CodeSignCert-ը ծանուցվել է կեղծ դրականի մասին, երբ բանակցությունների հետագա արդյունքները հասանելի լինեն, հոդվածը կթարմացվի այնքան ժամանակ, մինչև իրավիճակը լիովին լուծվի:
Source: www.habr.com