Discussion :

[DarkVader]

Bonjour,

Je suis face à un problème qui me semble actuellement insoluble :
je distribue une application via internet depuis un site récent et la quasi totalité des utilisateurs (semble-t-il)
a un problème de téléchargement lié soit au navigateur (chrome, ie)
et soit de manière plus évidente du fait de leur anti-virus (assez fréquemment Avast).
Une alerte DRep est systématiquement levée (Nom de Domaine insuffisamment connue), quand il ne s'agit pas de faux positifs,
et le téléchargement est bloqué avec une corruption du fichier au téléchargement, quand il n'est pas mis en quarantaine - bref, la totale.

Le team Avast a une réponse toute faite pour ce problème

« DomainRep is a new feature of Avast. It blocks EXE files downloads if these conditions are *all* met:
1. The file is not prevalent enough, ie. not enough Avast users launched the file yet,
2. The domain is not prevalent enough, ie. not enough Avast users downloaded (any) EXE files from the domain yet,
3. The file is not signed or Avast does not trust the signature.

Once one of these conditions are not met anymore, Avast will stop flagging the download. In other words, just wait until more people try to download the file. »

Bref, pour peu que l'on ne dispose pas d'un certificat émanent d'un organisme reconnu,
c'est à savoir qui de la poule ou l'oeuf sera le vainqueur (ou s'ils ne roulent pas pour les émetteurs de certificats).

J'aimerais savoir quelle solution ont adopté (en supposant qu'il en existe une) ceux qui sont confrontés à un problème similaire
car imposer la désactivation de l'anti-virus n'est pas ce qu'il y a de plus engageant pour l'utilisateur final ?

[DarkVader]

J'ai eu des nouvelles :
1/ la confirmation par Avast que seul un certificat émanent d'une des 15 autorités reconnues
afin de signer les applications POURRAIT résoudre le problème - faut pas se mouiller au cas où ... -
et qu'une certification du site avec download en https ne servirait à rien (ce qui serait trop simple et surtout moins couteux), et
2/ qu’apparemment les seuls capables de délivrer un certificat Code Signin ne pratiquent pas des tarifs low coast
(rien en dessous de 200€ l'année quand les 1er prix pour entreprises sont moitié moindre) !

Autant dire qu'avec la tendance du moment à vouloir imposer le https à tous et donc la certification des domaines,
le web pour tous et le logiciel libre se dirigent vers des jours plus sombres et sans vouloir polémiquer,
outre que ceux qui en sont à l'origine ont oublié d'où ils viennent, ils veulent à l'évidence conforter leur position
en confisquant la toile au seul profit d'un web mercantile.


PS: si vous avez des adresses de certificateurs agréés moins chers, je suis preneur

[Jipété]

[...] imposer la désactivation de l'anti-virus n'est pas ce qu'il y a de plus engageant pour l'utilisateur final ?

Temporaire, camarade, désactivation temporaire !

Et avec un gros panneau sur ton site expliquant le pourquoi du comment, et précisant bien que pendant le téléchargement l'utilisateur est invité à ne pas surfer, à cause des risques.

Moi je pense que ça pourrait le faire...

[DarkVader]

Hélas non, ça ne le fait pas
(un compteur de clics me le prouve, entre le nombre d'arrivées sur la page et le nombre de téléchargements réels)
et pourtant j'ai même récemment ajouté un lien vers Virustotal qui permet de scanner l'install.

Le meilleur des informations récentes, ce sont les formalités demandées pour obtenir un certificat 'individuel' -
c'est un truc de ouf.