News Notepad++ 8.8.7: Neues Zertifikat soll Authentizität wiederherstellen

[fdsonne]

Noch nie von so einem Unterschied gehoert, schon gar nicht in diese Richtung.

Einen Link hast du ja oben schon bekommen, wobei das gar nicht unbedingt das war, was ich im Kern meinte. Ich meinte das eher im Sinne von, dass eine Business zu Endanwender Beziehung dem Business eine gewisse Haftung auferlegt. Macht das exakt selbe Jemand privat in seinem kleinen Kämmerlein und stellt das public, passiert da gar nix.

Tatsaechlich wurde gerade ein Rene Benko wegen seines privaten Umgangs mit seinen Glaeubigern (noch nicht rechtskraeftig) zu einer Haftstrafe verurteilt, waehrend seine Firmen einfach in Konkurs sind und da wahrscheinlich wenig fuer deren Glaeubiger herausspringen wird. Er wird vermutlich auch wegen seiner Rolle bei diesen Geschaeften angeklagt werden, aber eben auch er und nicht seine Firmen.

Benko ist ein völlig anderes Thema, weil der Mann einerseits in seiner Position wahrscheinlich auch zu gewissen Themen persönlichen haftbar ist - anders als bspw. ein einfacher Angestellter, zumindest in DE. Und andererseits, das von dir genannte Urteil besagt, er hat Kohle beiseite geschafft, man kann ihm da ganz sicher auch unterstellen, von der finanziellen Situation gewusst zu haben und dennoch Schenkungen vorgenommen zu haben.
Das ist halt rechtlich so nicht haltbar und dafür muss er sich verantworten, nur was hat das hier mit dem Kontext zu tun??

Die Abschottung kann nicht so schlimm sein, ich kenne Leute, die git in WSL laufen lassen und den Rest auf der Windows-Seite machen, da wird's fuer Notepad++ wohl auch reichen.

Wo ist das Problem?
Letztlich wird der Zugriff auf Hostressourcen möglich, weil das WSL das können soll. Technisch ist es dennoch zumindest in v2 eine HyperV VM.

Aber ja, theoretisch könnte Wine mit Notepad++ gehen.

Vielleicht versteh ich den Witz deiner Aussage aber auch nicht. Weil was soll das bringen?
Windows hupt, wenn da kein valides Zertifikat verwendet wurde. Was der Entwickler ja auch beschreibt, warum dem so ist für sein Produkt.
Nur was hat es jetzt für einen Sinn, was die selbe Software jetzt ausführen soll, aber der Code Zertifizierung durch eine dritte Stelle einfach weg lässt?
Was hab ich da als Nutzer von? Wenn MICH das nicht interessiert, drück ich die Meldung einfach weg und gut ist. Theoretisch wäre es sogar möglich - und zudem sicherer - wenn der Entwickler ein eigenes Zertifikat nutzen würde anstatt gar keins. Das Unterdrücken der Meldung, wie es als Linux Version oder via Wine wohl der Fall wäre, wäre so ziemlich das unsinnigste was man da fabrizieren kann. Null Vorteil, aber maximal mögliche Nachteile, wenn man an die falschen Binarys gerät.
So nach dem Motto, XUbuntu Webseite jüngst. Ich weiß, ich weiß, dem Linuxer passiert sowas nicht, der lädt ja nie extern sondern nutzt nur Repos, da passier sowas ja nicht, oder doch? 🙊

 

[leonzo]

Vielleicht sollte der Entwickler die Software als Linux-Paket veroeffentlichen. Das koennen Windows-Benutzer dann ueber WSL2 ohne den ganzen Hokuspokus ausfuehren (ist zumindest mein letzter Stand).

Gibt es für Linux was vergleichbar gutes?

 

[mae]

@leonzo Es gibt jede Menge gute Editoren, die unter Linux laufen. Aber normalerweise will man den Editor, den man gewohnt ist. Wer also Notepad++ gewohnt ist, will Notepad++ und nicht GNU Emacs oder vim oder ..., obwohl letztere vermutlich mehr koennen (und zumindest bei mir laeuft Emacs auch unter Windows 10, und wenn da was gehupt hat, habe ich es inzwischen vergessen).

Ergänzung (22. Oktober 2025)

Ich meinte das eher im Sinne von, dass eine Business zu Endanwender Beziehung dem Business eine gewisse Haftung auferlegt. Macht das exakt selbe Jemand privat in seinem kleinen Kämmerlein und stellt das public, passiert da gar nix.

Bei einem Gewerblich-zu-Kunde-Beziehung gibt es mehr Verpflichtungen wie bei einem Geschaeft unter Privatleuten. Aber wenn es keine gewerbliche Beziehung ist, gibt es auch keine Haftung. Beim CRA wurde lange herumgewerkt, um Umgehungskonstruktionen zu verhindern, ohne freier Software unnoetige Buerden aufzuerlegen, und nach allem, was ich gelesen habe, haben sie das hinbekommen, aber von einem Unterschied zwischen Firma und Person habe ich da nichts gelesen; das als Umgehungskonstruktion zu verwenden, waere auch sehr leicht: Privatperson verteilt die Software, damit waeren bei so einem Unterschied die Verpflichtungen weg, und eine Firma kassiert fuer die Wartung.

Ich wuerde erwarten, dass bei der Softwarehaftung die Linie ebenso gezogen wird, da geht's ja bei der Linie um dasselbe, und man schreibt gerne von Richtlinien und Gesetzen ab, die einen Aspekt schon durchgearbeitet haben.

Warum irgendein aussereuropaeischer Zertifikatersteller wegen einer EU-Richtlinie, die noch nicht einmal fertig ist, darauf bestehen soll, dass eine Firma das Zertifikat beantragt, ist mir schleierhaft. Geuebte Taeter gruenden staendig Firmen, und manche Staaten ruehmen sich damit, wie leicht es ist, bei ihnen eine Firma zu gruenden, und werden in anderen Staaten als Vorbild genannt. Also eigentlich sagt es nicht wirklich etwas aus, wenn ein Zertifikat auf eine Firma laeuft. Kann man einen Briefkasten in Liechtenstein verklagen?

Vielleicht versteh ich den Witz deiner Aussage aber auch nicht. Weil was soll das bringen?
Windows hupt, wenn da kein valides Zertifikat verwendet wurde.

Ich gehe davon aus, dass Windows nicht hupt, wenn man sich eine Software in die Linux-Distribution in WSL installiert. Das wuerde es bringen.

Was hab ich da als Nutzer von? Wenn MICH das nicht interessiert, drück ich die Meldung einfach weg und gut ist. Theoretisch wäre es sogar möglich - und zudem sicherer - wenn der Entwickler ein eigenes Zertifikat nutzen würde anstatt gar keins. Das Unterdrücken der Meldung, wie es als Linux Version oder via Wine wohl der Fall wäre, wäre so ziemlich das unsinnigste was man da fabrizieren kann. Null Vorteil, aber maximal mögliche Nachteile, wenn man an die falschen Binarys gerät.

Der Vorteil fuer den Entwickler waere, dass er den ganzen Zertifizierungshokuspokus nicht mitmachen muesste. Je nachdem, welche Installationsmethode er fuer seine Software unter Linux waehlt, gibt es schon gewisse Absicherungen dagegen, dass dem Benutzer etwas von einer dritten Partei untergeschoben wird. Siehe z.B. die Installationsmethode fuer gforth auf Debian. Da wird der Key des Entwicklers bei jeder Installation des Pakets ueberprueft.

 

[Ranayna]

Gibt es für Linux was vergleichbar gutes?

Ich bin ja nur privat auf Linux unterwegs gewesen, und nutze da Notepad++ deutlich weniger als in der Firma.

Ich hatte Notepadqq ausprobiert, das sich auf die Fahne geschrieben hat Notepad++ weitestgehend nachzubauen. Aber ich habe das nur oberflaechlich verwendet, daher weiss ich nicht ob es ein tatsaechlich vollwertiger Ersatz sein kann. Blockauswahl konnte es jedenfalls nicht

 

[M@tze]

Jo ist das Ziel, die Codesigning Zertifikate werden sicher nachziehen auf ähnliche Werte, daher pushen ja alle die Online Signatur Dinger.
Azure Trusted Signing kostet relativ wenig (10€ oder so im Monat für 5000 Signiervorgänge) und der rotiert die Zertifikate im 3 Tages takt oder so.

Da bin ich gespannt, wie das in Zukunft aussehen wird. 5000 Signiervorgänge im Monat - das läuft bei uns pro Stunde... 😂

 

[fdsonne]

Bei einem Gewerblich-zu-Kunde-Beziehung gibt es mehr Verpflichtungen wie bei einem Geschaeft unter Privatleuten. Aber wenn es keine gewerbliche Beziehung ist, gibt es auch keine Haftung.

?? Bleib doch mal bitte beim Kontext. Bezogen auf diesen war meine Aussage, wenn du als Firma bei so einer Zertifizierungsstelle via B2B Geschäft Dinge erwirbst und deren Bedingungen usw. zustimmst, bist du zumindest theoretisch bei Zuwiderhandlung haftbar. Privat ist das um Längen schwieriger teils gar unmöglich, die Person zu greifen. Vor allem bei digitalen Medien, wo manche mit Pseudonymen arbeiten anstatt Klarnamen.
Das ist auch einer der Gründe warum dir privat wahrscheinlich Niemand der großen CAs derartige Zertifikate raus gibt.

Also eigentlich sagt es nicht wirklich etwas aus, wenn ein Zertifikat auf eine Firma laeuft. Kann man einen Briefkasten in Liechtenstein verklagen?

Das hat irgendwie was von whatsaboutism. Welche Rolle spielt das?
Privat bekommst du offensichtlich derartige Zertifikate nicht oder nicht so einfach. Das ist schlicht Fakt und kann auch durch den Artikel hier nachgeprüft werden. Der Npp Entwickler beschreibt exakt dieses Thema

Ich gehe davon aus, dass Windows nicht hupt, wenn man sich eine Software in die Linux-Distribution in WSL installiert. Das wuerde es bringen.

Ne, das würde dem Nutzer nix bringen, eher im Gegenteil. Denn er verliert damit die Absicherung dass der Code durch ein derartiges Zwrtifikat signiert wurde.
Die Meldung kann man doch auch Unterdrücken? Wozu den Aufwand betreiben wenn mich das nicht interessiert?

Der Vorteil fuer den Entwickler waere, dass er den ganzen Zertifizierungshokuspokus nicht mitmachen muesste. Je nachdem, welche Installationsmethode er fuer seine Software unter Linux waehlt, gibt es schon gewisse Absicherungen dagegen, dass dem Benutzer etwas von einer dritten Partei untergeschoben wird. Siehe z.B. die Installationsmethode fuer gforth auf Debian. Da wird der Key des Entwicklers bei jeder Installation des Pakets ueberprueft.

Es geht dabei aber nicht um den Entwickler sondern den Nutzer.

Es ist ultra mühsam so eine Unterhaltung zu führen wenn du dabei nicht auf der gleichen Ausgangsbasis agierst. Den Nutzer Vorteil, vor allem als uninformierter Dau, wenn das OS hupt, dass das Binary keine durch die Trustkette geprüft, valide Signatur hat, muss man sehen wollen.
Das auf biegen und brechen wegzubekommen bringt keine Vorteile. Vor allem im Windows Umfeld, wo das neben vielleicht dem Store?? Die einzige halbwegs passende Methode ist, gegen zu prüfen ob der Kram valide ist.
Man könnte auch Linux Repo Like für jede Quelle Schlüssel importieren, dann wäre die Signatur auch valide. Aber Aufwand und so. Am Ende ist unter Windows ein theoretisch hohes Risiko durch gefälschte Webseiten mit ähnlich klingenden Namen sehr präsent. Das Unterdrücken so einer Validierung ergibt demnach absolut keinen Sinn.