Редактор кода Notepad++ выпустил обновление механизма автоматического обновления. Это изменение является прямым ответом на недавний инцидент безопасности, когда атака скомпрометировала их серверы и поставила под угрозу пользователей. Новая реализация направлена на предотвращение повторения ситуации, когда через саму систему обновлений программы могли распространяться вредоносные версии.
Механизм двойной блокировки и криптографической проверки 🔒
Техническое решение основано на системе двойной блокировки. Теперь процесс требует явного подтверждения от пользователя для продолжения загрузки и установки, добавляя барьер человеческого взаимодействия. Внутренне усилена криптографическая проверка бинарных файлов. Каждое обновление должно быть подписано цифровой подписью с использованием двух различных ключей: одного от разработчика и другого от внешнего сервиса временных меток, что делает сложным подделку версии без доступа к обоим.
Обновление сейчас требует больше кликов, чем написание Hello World 😅
Пользователи, привыкшие к удобству обновления в один клик, могут почувствовать, что теперь процесс похож на прохождение двух разных таможен. Сначала программа спрашивает, уверены ли вы, затем операционная система допрашивает, доверяете ли вы подписанту, и в конце вы сами должны задаться вопросом, действительно ли вам нужны эти новые функции. Это небольшая цена во времени за безопасность, хотя некоторые уже скучают по невинности времен, когда простая кнопка Обновить не вызывала момент экзистенциального размышления.