Следует ли обновлять настольные приложения?

Question

Множество программ тихо обновляется, в частности Chrome, который всегда должен постоянно обновляться, но большинство операционных систем могут быть настроены на тихое обновление, и многие другие программы также могут быть, хотя это часто не является стандартным и даже реже обязательным ,

Но, я создал программы, которые молча обновляют себя и жалуются на проблемы с безопасностью. Итак, вы считаете, что программы должны быть

• Необходимо принудительно обновить?

• Необязательно обновлять, без модификации по умолчанию?

• Необязательно обновлять без изменений, без модификации без изменения по умолчанию?

И каковы потенциальные проблемы с безопасностью с помощью программы тихого обновления?

Answer 1

Зависит от того, как вы определяете молчаливое обновление и какова природа программы ... Я бы предпочел, чтобы мой антивириальный пакет молчал, но если мой sdk начал делать это, я был бы грустной пандой.

Это может быть язык-агностический вопрос, но он, безусловно, не является агностическим.

Обновление: Думая об этом больше, в значительной степени зависит от обслуживания, которое подает приложение, и какова природа и актуальность обновления на самом деле. На ум приходят исправления безопасности и определения virii.

Даже несмотря на все сказанное, в этот день и возраст мобильных вычислений, я бы отказался от какой-либо сетевой активности программой с нулевым пользовательским взаимодействием/уведомлением (или возможностью ее задержать). Я говорю, что как человек, у которого была какая-то ОС (windows), тихо загрузила пакет обновления (более 100 мегабайт), пока я был привязан к мобильному телефону на 3g, что стоило мне почти 30 долларов в виде перегрузок.

Сохранение в соответствии с этим отношением «первый пользователь». Я изо всех сил пытаюсь найти законную причину для выполнения неактивных обновлений, когда альтернатива обновления фона выполняет ту же самую работу, информирует пользователя и не делает шаг на anyones toes

Answer 2

Независимо от того, следует ли обновлять прогрм, зависит от приложения и пользователей. Что касается риска безопасности, в основном есть два риска: наиболее очевидно, с точки зрения пользователей обновленное приложение не является старым приложением и может изменять поведение, которое им нравится или зависит от него или просто не работает на их компьютере вообще. Во-вторых, актуальная проблема безопасности заключается в том, что процесс обновления может быть искажен, и в этом случае ваше обновление является трояном.

Answer 3

Некоторые пользователи (меня, например) раздражают, когда что-то делается с их компьютером без их разрешения. Итак, что бы вы ни делали, получите разрешение пользователя, прежде чем делать автоматические обновления, и пусть пользователь отключит автоматическое обновление в любое время.

Answer 4

Лично я считаю, что программы, которые вынуждены молча обновлять, не могут быть и речи. В среде с высокой степенью безопасности, в которой выполняется аудит программного обеспечения, ваше «обновление» представляет собой попытку ввести неизвестный код в среду без разрешения, следовательно, автоматически рассматривается как вредоносная. Требуется лишь небольшое число пользователей, которые считают ваше программное обеспечение вредоносным, чтобы создать проблему.

Даже в менее напряженной обстановке я считаю, что антисоциально лишать ваших пользователей возможности задерживать обновления по их собственным причинам. Я мог бы предположить, каковы эти причины: например, они могут полагаться на какое-то поведение старой версии, но основной момент состоит в том, что причиной являются ваших пользователей, а не ваш. Вы не узнаете, что это такое, поэтому, если вы уважаете своих пользователей в малейшей степени, вы не можете заставить их менять программное обеспечение на своей машине только потому, что считаете, что новая версия лучше.

Это означает, что по умолчанию обновление по-видимому является хорошей идеей на данный момент. В частности, Windows решила в течение последних 15 лет, так как это было реально осуществимо, а не внедрять какое-либо интегрированное управление обновлениями для приложений. В результате ужасный беспорядок интрузивных стратегии обновления программного обеспечения, и наименее навязчивая стратегия доступна, мне кажется, чтобы быть:

1. проверка обновлений, когда программа запускается (и периодически в то время как он работает), не все время в каком-то неуловимом фоновом процессе.
2. устанавливать обновления молча, если пользователь не сказал, что они заинтересованы в обновлениях, и в этом случае сообщите им об обновлении и (если они сказали, что их хотят попросить) спросите их, устанавливать ли это или нет.
3. Предоставьте пользователю простой способ проверить историю обновлений.

Флажок по-умолчанию по умолчанию, «искать и устанавливать все обновления в будущем», представляется мне адекватным разрешением, но проконсультируйтесь с вашим собственным адвокатом.

В условиях безопасности, если ваша процедура обновления действительно безопасна, ваша процедура обновления будет слишком. Поэтому, если мы хотим принять совершенство, нет никакой разницы.

Однако, если пользователь не доверяет вашей процедуре обновления, они могут не захотеть принимать обновления, когда они находятся на, например. небезопасной беспроводной сети, поскольку они могут быть обеспокоены, например, что кто-то получил поддельный сертификат SSL для вашего домена. Очевидно, что атаки MITM могут выполняться в сетях, отличных от небезопасных беспроводных сетей, но в этом случае они гораздо более распространены, поэтому риск выше. Молчаливое обновление не позволяет пользователю управлять этим риском таким образом, с которым им удобно, вместо этого он управляется так, как вам удобнее (автор программного обеспечения). Вы должны думать о том, чей комфорт более важен, и опять же о том, какое уважение у вас есть для ваших пользователей.

Первый человек, чье молчание обновляется на конференции Black Hat, тем самым забрасывая каждую машину в комнате, достаточно глупо, чтобы установить их программное обеспечение, получит именно тот охват, который они заслуживают в технической прессе.

Answer 5

Всегда есть две стороны этого и варианты расходятся.

Я хотел бы попробовать упростить вещи:

Это приложение, которое мы действительно не заботятся о версии, что последние всегда лучше использовать?

Тогда просто сделайте это приложение, чтобы сделать это automagically.

Приложения, IMHO должны иметь это:

• Любое приложение сервис (тот, который работает в области часов, и мы просто использовать его и на самом деле не волнует, что многое о версионности)
• Анти вирус (мы на самом деле хотите быть в курсе, и не хотите, чтобы обновить определения вирусов каждый день/неделю)
• FTP-клиент
• Виртуальные машины Инструменты
• и т.д ...

---

Является ли это все остальное, делать, как Paint.NET делает:

или некоторые Mac приложения

Приложения, IMHO должны иметь это:

• CRM, ERP и т.д. (мы никогда не должны портить здесь, много клиентов могут иметь плагин для точной версии)
• Браузеров (вы никогда хотят IE8 будет автоматически изменен на IE9)
• Developer Tools
• т.д.