All Windows Downloads are now code signed

Since Yesterday all Winodws (.exe) downloads are now code signed. Lately Windows has increased their security measures for Internet Explorer and Edge quite a lot (Smartscreen) and it became difficult to open/run any of the maps if downloaded by Edge or IE. Similar to Nortons Reputation system (which is even worse rubbish) Windows only trusts downloads which are downloaded  very very often. (like 10.000 times in a month)  - this resulted in basically only the mtbgermany and velogermany map to be saved without security warnings. Now such a mechanism is not smart at all. The only way to overcome this is to buy a code signing certificate (not that easy actually with the background checks) and sign all downloads. This makes primarily sense if downloads can be done from several servers - and that way you can check the downloads content has not been changed (if you would open up e.g. Firefox download and check if the certificate is from Mozilla - because smartscreen could still be easily fooled by just changing the download and putting a different security certificate). Additional advantage is that if the download is incomplete/corrupt you would also get a warning (could be simply done by checking the MD5 hash too).

While in principal it would be good that Windows request signed downloads - the problem is that they only allow very few certificate vendors (Symantec, Comodo, Digicert/Globalsign and partly StartSSL) - and well not unsurprisingly all of these companies but Comodo and StartSSL are partly owned by Microsoft and the certificates far too expensive for the effort it costs to grant/publish them. There are no certivicates like Cacert or letsencrypt from open initiatives which are accepted. That's the main reason why I did not code sign the downloads already earlier. But well - pressure got too big so now all .exe downloads are code signed with a comodo cert. Oh - BTW the Mac OSx downloads are not code signed - because it's impossible to code sign .7z files.

Also I removed gmt.exe from the installer - in order to pass better with virus scannners. It will now be downloaded automatically if needed for the batch (.bat) files.

 

Besides some other improvements I found a bug in my styles that caused some islands to be flooded. This is now also solved. There will be more noticeable changes in the next few months. I'm working hard on a new hiking layout (maybe this is gonna be a completely new map besides the OpenMTBMap and Velomap - maybe only a layout. I'm still testing a lot). Also I'm thinking about changing the domain from openmtbmap.org to mtbmap.com. mtbmap.com would for sure be easier to remember for people not so much knowing about openstreetmap.org - but I'm wary of changing the domain and name so long established. The hiking maps - if separately available would move to outdoormaps.com (which I originally thought of as new name - before luckily getting mtbmap.com for very cheap). Of course if the hiking map will be separately available - it will be a free download for all premium members on velomap and mtbmap.com/openmtbmap.org.

 

Wishing you all lots of fun with the maps - Felix

19 comments to All Windows Downloads are now code signed

  • glodi

    Hallo extremecarver,
    Seit einiger Zeit lassen sich die Karten nicht mehr unter Windows2000 installieren:
    Der Installer bricht mit folgender Fehlermeldung ab:
    Could not load: T:\nso3.tmp\nsis7z.dll (T:\ ist mein Temp Verzeichnis)
    Sieht so aus, dass der neueste nsis Installer nicht mehr unter Windows2000 funktioniert.

    openmtbmapwin2k

  • thellyopengps

    Guten Abend Felix,

    leider muss ich dir berichten das Defender in meinem W10Pro immer noch de maps als mallware sieht.
    Ich weis nicht das zu lösen. Denn WIndows zieht sich nichts an von meine Zustimmungen.

    Höre gerne von dir!

    Freundliche Grüssen,
    Thelly

    Trojans

    • casi

      Hallo

      Ich bin mir nicht sicher ob ich hier richtig bin, melde aber trotzdem ein ähnliches Problem beim Installieren der soeben runtergeladenen Karten von Neuseeland erhalte ich durch den Norton Scanner die folgende Fehlermeldung Suspicious.Cloud.5. Norton entfernt die Datei und somit werden auch keine Karten geladen
      Was kann ich tun.
      Gruss Martin

      • extremecarver

        Nortno baut hier wie Windows Defender einfach Schrott. Lade die .vbs zu virustotal.com hoch – dann sieht man dass da nur Norton, Windows Defender und evtl noch 1-2 von 90 Virenscannern den false Positive haben. Norton ist was false positives betrifft leider mit das schlechteste Antivirus am Markt. Nod32/kaspersky/Avira – alle um Klassen besser.

    • extremecarver

      Windows Defender in dem Fall deaktivieren. Windows Defender und Norton sind einfach Schrott in ihrer Erkennung.

      • thellyopengps

        Defender oder Norton oder z.B. Eset einfach deaktivieren ist ja überhaupt keine alternative Lösung. Den dann steht nur für die 3 VBS-Dateien in die auf dein System Installierte OpenMTBmappe auch dein ganzes System offen. Somit könnte es dir passieren das etwas drauf kommt was du überhaupt nicht möchtest. Und schon gar nicht wenn du nebenbei auch noch Bankgeschäfte mit das System ausführst.
        Aus eigener Erfahrung weiß ich das auch dass zuweisen/zulassen von die 3 Dateien in Defender (über Einstellungen) nach einiger Zeit trotzdem die Warnung und dessen Folgen wieder auftaucht.

        Nebenbei hat das abschalten von Defender auch total keinen Zweck, denn nach einiger Zeit wird er wieder von Windows automatisch eingeschaltet. Und wenn das noch nicht der Fall war geschiet es beim nächstes hochfahren vom System.
        Damit ist wol klar das dies ein erhebliches Problem ist.
        Ich habe mich umgeschaut im Netz und wurde fündig auf die Webseite von JaVaWa.nl

        Base-Camp ist in die Lage eine Karte direkt vom Gerät zu nutzen bzw. zu lesen.

        Nun gibt es eine Möglichkeit um mittels ImDisk Virtual Disk Driver ein Virtuelles USB-Medium auf das System (Festplatte) zu installieren wo dann die Openmtb-Karte die auf SD-Karte vom GPS-Gerät steht hinein kopiert wird.

        Dazu habe ich im Netzt recherschiert und wurde fündig auf die Webseite von JaVaWa
        Link: http://www.javawa.nl/virtueeltoestel.html

        Ich habe mich entschlossen für ImDisk.
        Die Datei von ImDisk findest du hier: http://www.ltr-data.se/opencode.html/#ImDisk

        Zunächst ImDisk muss natürlich installiert werden.
        Um die Arbeit einfach zu machen kannst Du eine Batch-Datei herunterladen, die die Erstellung einer virtuellen Maschine vereinfacht. Die ist unter diesen Link zu bekommen:
        http://www.javawa.nl/downloads/divers/Maak%20virtueel%20toestel_win.zip

        Zunächst ImDisk muss natürlich installiert werden.
        ImDisk wird aus der Windows-Systemsteuerung betrieben.
        Demnächst machst Du einen Ordner wo das Virtuelle Gerät drin zu stehen kommt.

        Setze die entzipte Datei “Erstellen von virtuellen toestel.cmd” in dem Ordner, in dem Du die virtuelle Maschine erstellen möchtest, und führe Sie mittels einem Doppelklick aus.
        Du wirdst gebeten, die gewünschte Größe und Dateinamen an zu geben. Nachdem das Skript abgeschlossen ist, hast Du eine virtuelle Maschine, die sofort einsatzbereit ist.
        Es gibt auch eine neue Batch-Datei im selben Ordner, der die virtuelle Applikation in Zukunft aktivieren kann. Durch eine Verknüpfung zu dieser Batch-Datei im Autostart-Ordner des Startmenüs hinzu zu fügen wird sie jedes Mal beim Start von Windows aktiviert.

        Ich hatte kar keine Probleme. Trotzdem empfehle ich:
        Mache zur Sicherheit vorher ein Backup und eine Wiederherstellungspunt.
        Download der Dateien auf eigener Gefahr (die Batch-Datei sowie ImDisk ist vorher zu scannen)

        Gruß, Thelly

        • extremecarver

          Du brauchst es ja nur temporär zu deaktivieren (beim installieren). Da es scheinbar immer blöder wird mit den Fehlermeldungen – werde ich wohl die .vbs entfernen und die Dateien direkt in den Installer packen – wird halt wieder mit gmt.exe wieder Probleme geben. Da windows cmd.exe ja leider nix entpacken kann (vor allem nicht passwortgesichert um gmt.exe erstmal auss der Schusslinie zu nehmen) wird es wohl die bessere Alternative sein.

  • markus.go

    Hallo,smartscreen meldet auch bei mir einen unsicheren Download. Das ist nicht weiter schlimm da ich die Dateien dennoch herunterladen kann. Jedoch meldet der Defender einen Befall mit Troja:VBS/Kalhine.A. Liegt das nun an der Signierung oder sind die Dateien tatsächlich befallen?

    Besten Dank und viele Grüße

    Markus

    • extremecarver

      liegt an den VBS Dateien – und die kannst du einfach in jedem Editor öffnen und anschauen. Warum Bitdefender und Windows Smartscreen/Defender da so einen Schrott bauen (quasi alle anderen Antirusprogramme machen da keine Fehlerkennung wie man auf virustotal.com nachschauen kann) ist echt blöd.

  • Bernd Kaldewey

    Habe derzeit das Problem Karten unter Windows 10 herunterzuladen. Die Dateien werden als unsicher gemeldet. Was kann ich tun. Sitze in Italien und bekomme keine Karten.

    • extremecarver

      Statt einen schrottingen Browser (IE) oder einen halbfertigen Browser (Edge) zu benutzen einen vernünftigen wie Firefox oder Chrome (oder aber über Optionen die Meldung wegklicken – bzw halt Smartscreen und evlt Windows Defender auschalten).

  • tedkopp

    Hi, I am not able to download the Alps map…it is blocked by Smartscreen…
    I tried to disable it but no luck…
    Any suggestions?

  • Uwe Gehring

    Ich habe bei den neuesten Downloads das Problem, dass unter Linux das Entpacken mit 7z zu kryptischen Ordnernamen führt (siehe Screenshot). Liegt das an der Signierung? Wie kann man das vermeiden?

    Bildschirmfotovom2016-09-11115453

    • extremecarver

      Nein – das liegt daran dass ich auf den neuesten nsis Installer geupgradet habe – und unter den meisten Linux Versionen eine sehr veraltete 7z Version verwendet wird – welche da einen Bug hat.
      Siehe mein Bug Report bei Nsis hier: http://forums.winamp.com/showthread.php?t=397010

      – wird sich wohl mit Ubuntu 16.10 bzw anderen Linux Distri ab Ende des Jahres gefixed werden. Aber halt blöd mit LTS Releases. Aber ich möchte nicht auf die alte NSIS Version zurück – da die neue unter Windows 10 ein paar Bugs beseitigt.

  • Felix

    Vielen Dank für die Signierung der Map Downloads! Gerade nochmal 2 Jahre Donation geschickt. Top Arbeit und seit Jahren extrem happy mit diesen Karten und den Updates (Edge 1000). Quasi nie Probleme und geniales Routing abseits der großen Straßen 🙂

    Meine Meinung bzgl. Domainwechsel: Wird sich nicht wirklich lohnen (Aufwand / Nutzen). Dann lieber Onpage SEO verbessern, Social Web Kanäle erschließen, UI / WordPress Theme modernisieren, etc.

    Cheers,
    Felix

    • extremecarver

      Domainwechsel – ja so sicher bin ich mir auch nicht. Dass Theme wechseln ist kompliziert – weil dann müsste ich im Prinzip die ganze Struktur der Website ändern – gibt kaum noch Themes mit Untermenüstruktur.

Leave a Reply