Публиковать подписанные файлы?

Question

Я встроил функцию автоматического обновления в свою программу. Он опрашивает xml в некотором http-URL, и в случае появления новой версии уведомляет пользователя и загружает новые файлы.

Я хочу разрешить перераспределение этих обновлений в закрытых сетях без подключения к Интернету. Администраторы могут загружать все файлы обновлений и размещать их на некоторых HTTP-серверах в сети.

Проблема в том, что URL-адрес XML не будет таким же, поэтому я хочу разрешить изменение этого URL-адреса в файле конфигурации программы. Это открывает двери для издателей вредоносных программ: они могут перераспределить мою программу с другим URL-адресом в файле конфигурации, а затем распространять вредоносные программы в той или иной форме через систему автоматического обновления моей программы, после чего люди скажут, что моя программа - вирус.

Я хочу заблокировать возможность изменить исходное автообновление XML, чтобы заблокировать этот вид распространения вредоносных программ. Как мне это сделать?

Answer 1

Мне кажется, я понял вашу проблему.Но эта проблема не твоя, чтобы справиться.Пользователи должны загружать ваше приложение только из надежного источника.Вы не можете остановить пользователя от загрузки вредоносных программ, это их проблема, если они это сделают.Кроме того, именно пользователи будут добавлять / изменять URL-адрес в файле конфигурации, и вы не можете запретить им добавлять вредоносный URL-адрес в файл конфигурации.И даже если у вас есть исходный URL-адрес обновления, жестко запрограммированный в вашем приложении, для пользователя со злым умыслом не составит труда изменить его, перекомпилировать и распространить.Или же вы можете использовать криптографию, чтобы убедиться, что исходный URL не изменился.