google-chrome - 为什么我在 ClickOnce 部署后突然在 Chrome 中收到 "Not commonly downloaded"警告？

Question

将我的 ClickOnce 应用程序中的 Telerik 升级到版本 2014.3.1202.40。 (永远不确定最好的方法。安装后，我对 Telerik 控件的所有引用都被破坏了，我不得不删除每个项目中的所有 Telerik 引用并重新添加它们。所以，我可能会在错误的方式。但那是另一回事。)

在进入生产环境之前，我将我的应用程序部署到我的 Web 服务器上的临时文件夹。该应用程序使用 Comodo 的商业代码签名证书进行签名，该证书在 2019 年之前不会过期。我已经多次上传新版本，没有任何问题。但是现在，由于我升级了 Telerik 控件，我无法下载和安装该应用程序。这是发生的事情:

在 Chrome 中，我输入网址:http://porpoiseanalytics.com/PorpoiseStaging/setup.exe

我收到“不常下载”警告，而我以前从未收到过。我在 Firefox 和 IE 上都没有收到任何错误。

如果我告诉 Chrome 保留该文件，我就可以启动它。安装也会在所有其他浏览器上开始。

在下载文件的大约 3/4 的过程中，Avast 使用 DRep 病毒阻止了它(我猜缺乏声誉)。如果我关闭 Avast，它安装正常。 ClickOnce 安装日志显示错误:“从文件 [应用程序].exe 加载 list 时发生异常: list 可能无效或无法打开文件。”

为什么我的应用程序在下载了几个月没有问题后突然表现得好像没有声誉一样。但是，在我在 VS2010 中修改应用程序然后删除并重新添加 Telerik dll 后，我突然没有声誉。更糟糕的是，现在我位于 ttp://porpoiseanalytics.com/PorpoiseDownload/setup.exe 的生产下载突然以同样的方式运行。

我承认我对声誉、签名和 clickonce 没有足够的了解。但我确实知道，在我们没事之前，在部署应用程序之后，我们被标记为恶意软件。我在程序中做了一些代码更改(不是很多)，但我也替换了 Telerik dll。可能与签名和发布有关，但我无法弄清楚。请帮忙。谢谢。

Answer 1

我想我想通了。尽管我已在主 UI 项目(安装程序)中签署了 list ，但未签署可执行文件。在一些帮助下，学会了如何做到这一点:

使用 signtool 下载 Windows 7 SDK。

在 Visual Studio 中，打开主 UI 项目中的项目属性。

打开编译选项卡，然后单击构建事件按钮。

在构建后事件中，输入:

"C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Bin\signtool.exe"sign/f "$(ProjectDir)[代码证书文件名]"/p "[密码]"/t http://timestamp.comodoca.com/authenticode "$(ProjectDir)obj\$(ConfigurationName)\[exe name].exe

其中[证书文件名称]是代码签名证书文件的名称，例如private_key.pfk，[password]是导出证书时使用的密码(如果密码中包含%，则用%%对其进行转义，因此 pass%word 将输入为 pass%%word)，而 [exe name] 是您的主要项目可执行文件的名称。

在解决方案中的其他项目中，通过在相同的构建后位置插入类似的命令行来签署这些项目:

"C:\Program Files (x86)\Microsoft SDKs\Windows\v7.0A\Bin\signtool.exe" sign /f "$(ProjectDir)DAD_Code_Certificate.pfx" /p "<password>" /t http://timestamp.comodoca.com/authenticode "$(TargetPath)

原始问题

我的理论是，最初的问题是由 Avast 2015 中的一项新功能引起的，该功能执行 DomainRep(声誉？)检查，如果多个条件都满足，警报就会响起并停止下载。因为我的可执行文件没有签名，所以它满足所有要求。

有可能(虽然我真的不确定这一点)因为这个 DRep 警报，谷歌将我们网站上的安装程序标记为恶意，导致首次开始下载时出现红色“未正常下载”警告。

至少，这是我最好的猜测。其他人肯定会比我更了解这一点(并且首先会通过签署可执行文件来避免它)。