[Petya V4sechkin]

Georg5, данный твик соответствует отключению параметра Проверять аннулирование сертификатов издателей в настройках IE.

Цитата:

Данный твик регистра отключает только проверку сертификатов *.msi файлов и всё?

Любых сертификатов.

[Georg5]

То есть, я правильно понял, затрагивает только *.msi файлы и проверку SSL подключений в IE? Больше ничего?

[Petya V4sechkin]

Georg5, затрагивает любые сертификаты, не только у *.msi.

[Georg5]

Угрозы безопасности значит нет? По сути ничего не изменилось просто теперь не лезет в инет каждый раз и всё. Я прав? Какие файлы запускать, а какие нет я разберусь без вмешательства самой Windows.

[Charg]

Цитата Georg5:

Угрозы безопасности значит нет? »

В смысле нет? Проверка сертификата на вшивость это дополнительный слой защиты, который ты выключил. Естественно одной дырой в системе стало больше.

[Georg5]

Ну это уж с какой стороны смотреть. Как и в случае с проверкой SSL сертификатов в браузерах, OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время. Тоже самое касается уже и *.msi, *.msu и других подобных файлов которым нужна верификация сертификата. Сервера проверки получают данные какие приложения устанавливались и в какое время. Тут уже приходится выбирать между конфиденциальностью и сомнительным способом защиты от подделки файла или его подмены. Я к примеру UAC всегда отключаю и ничего страшного. Лучшая защита компьютера это голова на плечах. Главное что бы не пустая.

[Казбек]

Цитата Georg5:

Лучшая защита компьютера это голова на плечах. Главное что бы не пустая »

О роли головного мозга в защите операционной системы

Отключать не рекомендуется. Ответ на вопрос: "Почему?"

1. Certificate Revocation List (CRL)
2. Disabling the revocation check in production environments isn't recommended

Цитата Georg5:

Я к примеру UAC всегда отключаю и ничего страшного. »

Так ли страшен контроль учетных записей (UAC)?

[Busla]

Цитата Georg5:

Сервера проверки получают данные какие приложения устанавливались и в какое время. »

это преувеличение:
Обычно одним и тем же сертификатом подписано всё ПО издателя.
Сертификат проверяется не только при установке.
механизм OCSP можно вообще выключить.

[Charg]

Цитата Georg5:

OCSP сервера получают данные о том что ты посетил такой-то сайт в такое-то время »

А еще этими данными владеют:
1. очевидно провайдер, и скорее всего его вышестоящий провайдер тоже;
2. владельцы днс-серверов которые ты используешь;
3. кулхацкер вася который вскрыл админку твоего роутера либо просто подключился по вайфаю и сниффером смотрит весь трафик;
4. авторы зловредов, которые с ненулевой вероятностью у тебя есть (да, для того чтобы словить чего-нибудь не обязательно запускать сиськи.exe, есть еще уязвимости в ОС; из недавних - wannacry).
Ну и еще всякиеразные люди о которых я так сходу не вспомню.
Такие махинации с отключением функций сродни листочка подорожника поверх перелома - чувство "я что-то сделал" появляется, но эффективность стремится к 0.