Nie zainstalujesz już aplikacji na Windowsie prosto z linka w przeglądarce. Bo bezpieczeństwo
Moduł Instalator aplikacji w Windowsie 10 i Windowsie 11 pozwalał deweloperom na wygodne i łatwe zapewnianie swoim użytkownikom nowoczesnych aplikacji, bez konieczności odsyłania ich do Microsoft Store. Niestety wykryto w nim poważną wadę - na tyle istotną, że Microsoft zdalnie wyłączył cały moduł.
Jedną z ważniejszych nowości jakie wprowadził Windows 10 jest nowy i nowoczesny format pakietów instalacyjnych aplikacji. MSIX - bo o nim mowa - jest zgodny z aplikacjami typu Win32, WPG i Windows Forms. Jest obsługiwany przez moduł Instalator aplikacji zaszyty w systemach Windows 10 i Windows 11. MSIX zastępuje wszystkie dotychczasowe technologie, w tym AppX czy MSI, zapewniając higienę, porządek i interfejs do łatwego serwisowania i uaktualniania aplikacji.
MSIX jest związaną z Microsoft Store technologią, ale nie wymaga od twórców oprogramowania publikacji software’u w sklepie Microsoftu. Może funkcjonować też jako samodzielny pakiet, obsługuje też różne inne formy dystrybucji - w tym uruchamiany z poziomu przeglądarki internetowej instalator. Ten ostatni, jak właśnie przyznał sam Microsoft, okazał się niedoskonały. I właśnie jest wyłączany.
Zabezpiecz swój komputer, telefon, tablet. I doczytaj o nowych zagrożeniach:
Chodzi o metodę ms-appinstaller URI, dzięki której użytkownik może kliknąć na stosowne łącze w przeglądarce i od razu zainstalować pożądaną aplikację, bez konieczności uprzedniego pobrania samego pliku instalacyjnego. To właśnie przestało działać.
Instalowanie aplikacji z Windows bezpośrednio z przeglądarki. Znów trzeba pobrać plik.
To oczywiście nie oznacza, że wszyscy twórcy oprogramowania, którzy wybrali ten sposób jego dystrybucji mają teraz jakiś problem z oferowaniem go użytkownikom. Deweloper nie musi wykonywać żadnych działań - użytkownik po kliknięciu w łącze zamiast instalatora zobaczy standardowy komunikat przeglądarki o dostępności pliku do pobrania. Użytkownik może jak kiedyś pobrać plik, otworzyć go i zainstalować apkę.
Ale co właściwie się stało?
Jak tłumaczy Microsoft nie ma żadnej technicznej usterki. Moduł wymaga jednak przeprojektowania, bo - jak tłumaczy firma - nie chroni odpowiednio przed tak zwaną socjotechniką. MSIX w połączeniu ms-appinstaller URI można wykorzystać do stworzenia bardzo wiarygodnie i bezpiecznie wyglądających instalatorów, które wstrzykują do systemu złośliwe, kradnące dane i szkodliwe aplikacje. Przestępcy mogą przy jego pomocy przekonać ofiarę do instalacji oprogramowania i okraść ją z danych i pieniędzy.
Pobranie pliku instalacyjnego do pamięci komputera i uruchomienie go lokalnie pozwala wbudowanym w Windowsa zabezpieczeniom (i aplikacjom antywirusowym innych firm, jeżeli tak użytkownik zdecydował) na dokładniejszą analizę instalowanej aplikacji i - w razie potrzeby - na ostrzeżenie użytkownika przed zagrożeniem. Firma nie komunikuje dalszych planów, informując tylko, że w przewidywalnej przyszłości uruchamianie instalatorów bezpośrednio w środowisku przeglądarki pozostanie niemożliwe.