web-dev-qa-db-fra.com

Avertissement concernant les fichiers malveillants de Chrome

J'ai créé une application qui comprend un certain nombre de fichiers *.exe. Je les ai regroupés dans un programme d'installation NSIS que j'ai hébergé sur mon site Web. Lorsque j'essaie de le télécharger, Chrome le signale comme potentiellement malveillant. Au début, je pensais que l'URL/le site sur lequel j'étais hébergé n'allait pas être reconnu. Je me suis donc inscrit au stockage Amazon S3 et y ai déplacé le fichier. Même problème. J'ai alors pensé que le compactage des exécutables pourrait causer cela, alors j'ai essayé sans.
Même problème.
Après plusieurs lectures, j'ai décidé d'essayer de signer les exécutables ainsi que le package d'installation EXE.

J'ai créé un cert dev comme suit:

makecert
pvk2pfx 
signtool"http://timestamp.verisign.com/scripts/timstamp.dll" *.exe

Encore malveillant ... Je vérifie les fichiers exe même après le téléchargement et confirme qu'ils ont un onglet de signature numérique, bien qu'il ne s'agisse pas d'un certificat commercial entièrement vérifié, mais je ne peux pas croire que le seul moyen de contourner l'analyse de code à moitié cuit par Chromes est de dépenser 200 $ année pour l’émission d’un certificat de signature de code etc.

Des idées sur la façon dont je peux changer ce que je fais pour éviter ce message méchant?

google-chromedownloadexecutablesigningauthenticode
68
user1242165

J'ai eu exactement ce problème avec un fichier exe téléchargeable sur mon site web. Chaque fois que j'ai essayé de télécharger le fichier à l'aide de Chrome, cela a donné l'avertissement.

La solution que j'ai trouvée était de s'inscrire à Google Webmaster Tools et d'ajouter mon site. Il a fallu plusieurs jours à Google pour explorer mon site et saisir toutes les informations, mais je suis retourné aujourd’hui pour y trouver une foule d’informations.

Maintenant, je peux télécharger mon fichier et il n'y a plus d'avertissement malveillant.

Il semble qu'une fois que Google a vérifié votre site et déterminé que vous n'êtes pas une mauvaise personne, le problème disparaît.

97
Jeff G

Eh bien, les fichiers .exe anonymes sont des menaces potentielles, Chrome empêche les utilisateurs de le faire.

Vous signez les exes, mais je ne suis pas sûr que votre certificat soit appuyé par une autorité de certification, telle que Verisign. Ils vendent ces services. Cependant, je ne suis pas sûr que la signature fera la différence. Chrome lit les noms des fichiers dans le fichier Zip, mais je ne pense pas qu'il décompresse tout le fichier pour lire le signe.

Je peux vous dire une ou deux solutions de contournement, je suis sûr que vous les connaissez:

  1. Modifiez l'extension du fichier et demandez à l'utilisateur de renommer les fichiers en .exe.
  2. Un mot de passe protège votre Zip, votre rar ou autre chose, afin que Chrome ne puisse pas regarder à l'intérieur et ne fournisse pas le mot de passe aux utilisateurs: ce n'est pas un mot de passe secret
7
Alejandro Silvestri

J'ai rencontré ce problème. La solution la plus simple consiste à utiliser un autre [insérer le nom du navigateur ici]. par exemple. firefox.

3
Millar248

J'ai également eu le même problème, et essayé les options décrites ci-dessus aussi, mais pas de chance. J'imagine que j'étais trop impatient d'attendre que Google explore mon site.

J'ai fini par m'inscrire auprès de Softonic et de Upload.com sur CNET, puis j'ai soumis ma candidature pour examen et inclusion sur leurs sites. Après leur approbation, j'ai ajouté le lien vers mon site, le fichier téléchargé fin.

Le seul inconvénient est que vous devez télécharger le programme de téléchargement Softonic pour installer votre application sur softonic, mais CNET propose un "lien de téléchargement direct" vous permettant de télécharger votre programme d'installation d'origine.

2
RooiWillie

Si vous avez un domaine avec un suffixe domain non standard tel que .one, Chrome se plaindra. Donc FireFox d'ailleurs… .. Je ne pense pas que ce soit le problème du PO, mais si vous atterrissez ici parce que vous essayez follement de comprendre pourquoi un fichier .comm tel qu'un fichier .Zip vous avertit Chrome ou FF lors du téléchargement, il se peut très bien que vous deviez utiliser un suffixe de domaine commun tel que .com

0
mcmacerson

J'ai aussi eu ce problème. J'utilise un certificat généré à partir de ma propre autorité de certification et installé auprès des autorités de certification racine de confiance. Au début, signer ne suffisait pas, mais ensuite j'ai ajouté la version du fichier portant mon nom ainsi qu'une icône. Maintenant, Chrome est heureux de le télécharger et de l'exécuter.

0
George Valkov