A me, invece, in questi giorni sta capitando di sviluppare qualcosa per Windows e, ve lo assicuro, la questione trova spazio anche lì.
C'è questo simpatico batch file che accompagna Icaros Desktop a partire dalla versione 2.2, icaros_daemon.cmd, che se ne sta lì pacioso a osservare una directory in attesa che arrivi qualche messaggio sotto forma di file batch e, qualora ne arrivi uno, corre a fare ciò che gli viene chiesto. È così che, stringi stringi, avviene la comunicazione tra Icaros Desktop in versione hosted e il sistema operativo che la ospita, quando si tratta di avviare qualche programma di quest'ultimo tramite HostBridge.
Bene, in questi giorni mi sono deciso a compilare il suddetto batch file con un vecchio programma che registrai - tipo - nel 2006, tale Quick Batch File Compiler di Abyssmedia, un tool che permette di trasformare gli script batch di Windows in eseguibili. Lo scopo, naturalmente, non è celare chissà quale segreto industriale agli occhi degli utenti ma, più prosaicamente, quello di avere un icaros_daemon.exe che si possa gestire tramite Task Manager e coi comandi di controllo di Windows, tra cui il fedelissimo taskkill (equivalente del ben noto kill -9 di Linux). Scarico l'ultima versione, cerco tra i vecchi file il codice alfanumerico della licenza, lo registro e mi stupisco di come il mio acquisto di tanti anni fa sia ancora vivo, vegeto e valido pur essendosi susseguite almeno quattro versioni della Finestropoli di Redmond.
QBFC prende in pasto il mio cmd, lo incapsula in un eseguibile e io sono felice come una Pasqua: poche banali modifiche allo script icaros.cmd mi consentono di avviarlo e stopparlo facilmente, senza obbligare l'utente a premere Ctrl+C per farlo manualmente. Annuncio su icarosdesktop.org la notiziuola in pompa magna (come sono bravo io ad annunciare inezie come fossero rivoluzioni... beh, no, Apple è più brava di me!) e decido di installare Icaros hosted su un altro PC con Windows, per la precisione un'edizione di Windows 10 aggiornata all'ultima build ufficiale. E lì capita qualcosa di strano: il demone viene cancellato senza pietà dal sistema operativo.
Fatico a crederci, quando mi arriva una notifica da parte di Windows Defender che mi avvisa di aver rilevato un pericolosissimo malware nel mio eseguibile e, per la sicurezza del mio sistema che poi significa anche la mia sicurezza, ha provveduto a cancellarlo immediatamente. Ora, che il meccanismo intrinseco di icaros_daemon non sia proprio il pinnacolo della security e che anche Icaros Desktop in generale non passerebbe una certificazione PCI, purtroppo, ne sono al corrente anch'io, ma che io adesso mi diverta a mettere trojan in giro per i miei programmi mi pare un tantinello eccessivo.
Così provo a guardare il forum di QBFC e scopro che in realtà il problema di Windows che non digerisce i programmi "fatti in casa" è piuttosto comune, in particolare tra chi usa soluzioni da poveracci come me che, purtroppo, non saprebbero scrivere la medesima banalità in C neanche sotto tortura. La soluzione indicata è quella di contattare ogni singolo produttore di antivirus e "sdoganare" i propri file facendoli inserire in una white list apposita. Decido che forse sia arrivato il momento di rivolgersi a un prodotto concorrente e mi imbatto in un IDE completo chiamato Batch Compiler su Sourceforge.net e, siccome sono solito fidarmi ciecamente di quello che trovo su SF.net, lo scarico immediatamente.
Bastano pochi minuti per capire che il prodotto fa per me. Si basa però sul motore di compilazione di Advanced Bat to Exe Converter Pro di Brandon Dargo, un ulteriore programma che, gratuitamente, permette solo di compilare batch che dovranno essere usati sul medesimo computer. Per poter ridistribuire gli eseguibili occorre invece comprare la versione registrata. Poco male: lo installo per prova, produco un eseguibile, lo trasferisco sul computer "sospettoso" di prima, lo lancio e funziona. Windows non me lo cancella né si lamenta di eventuali magagne per cui, immediatamente dopo, decido di registrare il programma.
Il sito di pagamento viene accolto da Chrome con un'eloquente pagina rossa perché "da qui è possibile scaricare programmi che installano malware o altri software pericolosi", ma io non mi lascio impressionare e procedo con quanto richiesto. In cambio, mi arriva dallo sviluppatore un link altrettanto sospetto da cui Chrome si rifiuta addirittura di fare il download, mentre invece Edge non batte ciglio e Windows 10 mi lascia anche installare il programma senza problemi. Apro, compilo il batch che mi interessa, provo l'eseguibile e... Windows non me lo cancella, ma trova l'ennesimo sospetto trojan su cui fare questioni. Al che, su consiglio dello stesso Brandon Dargo, invio il mio eseguibile a Microsoft spiegando che si tratta solo di un falso positivo e che il mio batch non intende fare nulla di male, considerando che gira in user space e non richiede nemmeno i diritti di amministratore per funzionare.
Ora, la mia speranza è che da Microsoft arrivi un via sostanziale via libera perché, purtroppo, il dietrologo che è in me non può non notare il business che c'è dietro la consegna di firme digitali con cui verificare la provenienza di un programma. Un certificato senza il quale Windows continuerà a proporre, agli utenti che lo installano, un minaccioso messaggio circondato da un alone giallo, Chrome invece lo ammanterà di un bel colore rosso rifiutandosi perfino di scaricarlo e naturalmente basta inviare qualsiasi cosa simile a Virus Total per trovare diverse corrispondenze da parte di questo o quel motore antimalware.
Così ho guardato un po' di prezzi per questi certificati, scoprendo che i più economici sono probabilmente quelli di Ksoftware.net, che li assegnano per circa 80 euro l'anno. Questo permette di verificare l'autore, sì, ma anche di segare le gambe a chi scrive piccole utility e alla fine può fare poco altro che usarle lui stesso e basta. E tutto questo mi ha fatto venire in mente proprio il discorso su libertà e sicurezza: sono disposto ad accettare che Windows mi cancelli automaticamente gli eseguibili che non gli piaccono, anche sulla base di un sospetto, in cambio di una sicurezza maggiore percepita?
Non gli sto consegnando le chiavi del mio PC, di fatto, lasciandogli decidere cosa gli piace e cosa no? Alla fine, il sospetto di alimentare soltanto un business è forte. Molto più forte di quello che mi viene ogni volta che Conte emette un DPCM più restrittivo "per la mia sicurezza".
