<html><head><meta http-equiv="Content-Type" content="text/html charset=utf-8"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class="">Hi<div class=""><br class=""></div><div class=""><br class=""><div><blockquote type="cite" class=""><div class="">On 29 Sep 2015, at 20:19, Larry Shaffer <<a href="mailto:larrys@dakotacarto.com" class="">larrys@dakotacarto.com</a>> wrote:</div><br class="Apple-interchange-newline"><div class=""><div dir="ltr" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Hi Sandro,<div class="gmail_extra"><br class=""><div class="gmail_quote">On Tue, Sep 29, 2015 at 11:07 AM, Sandro Santilli<span class="Apple-converted-space"> </span><span dir="ltr" class=""><<a href="mailto:strk@keybit.net" target="_blank" class="">strk@keybit.net</a>></span><span class="Apple-converted-space"> </span>wrote:<br class=""><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex;"><span class="">On Tue, Sep 29, 2015 at 10:45:40AM -0600, Larry Shaffer wrote:<br class=""><br class="">> Currently there is no code signing of drag-drop applications or package<br class="">> installers for QGIS, so users have to switch away from the recommended<br class="">> default setting to allow any installation (see attachment).<br class="">><br class="">> Code signing setup requires:<br class="">><br class="">> * Mac developer account with Apple (~$99 USD/year)<br class=""></span>...<br class=""><span class=""><br class="">> * Should code singing be done? (obviously +1 from me)<br class=""><br class=""></span>To me those who want to use Free Software should get to undersand what<br class="">it means and thus do not rely on trusting Apple as the provider of<br class="">the binary software they use.<br class=""></blockquote><div class=""><br class=""></div><div class="">I'm not talking about the Mac App store here. Apple is providing no software, nor is it (re)distributing the packages. This is about code signing the distribution packages in a way that is inexpensive and provides a 'normal' Mac user experience, which includes developers dealing with the default way a Mac is configured.</div><div class=""><br class=""></div><div class="">Forcing users to 'understand' what it means to use free and open source software by *requiring* them to turn off security features in their OS is not a very reasonable approach to the situation IMO.</div><div class=""><br class=""></div><div class="">The developer account at $99 USD/year is a bit off, as this is only a means of getting a code signing certificate that already has the root certificate authority installed on Macs. We are free to chose a different code signing certificate from a vendor, but even the cheapest (<a href="http://startssl.com/" class="">startssl.com</a><span class="Apple-converted-space"> </span>Class 2 at $59.90 for 2 years) doesn't even come close to Apple's certs, which are good for 5 years. This means an Apple developer account could be signed up for every 5 years, then closed, i.e. cert for $20/year.</div><div class=""> </div><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex;">I hope there's a way for mac owners to add trust of other authorities,<br class="">say for example<span class="Apple-converted-space"> </span><a href="http://osgeo.org/" class="">OSGeo.org</a>, if this is not the case I'd rather see<br class="">those users pay for downloading a signed version. 100 USD for copy<br class="">might be a good price for that.<br class=""></blockquote><div class=""><br class=""></div><div class="">OSGeo, could provide a self-signed root certificate bundle for users to install, or maintain an intermediate signing authority from a trusted root, and any OSGeo project could use that to code sign Mac software (or any software); but, it would require users to install and trust the root or intermediate certificate, which would require admin privileges on the box. While that's a reasonable approach for development versions, like nightlies, it is most certainly *not* a normal Mac or Windows user experience.</div><div class=""><br class=""></div><div class="">For nightlies, it would be a means of warning general users that the software is not a regular distro, which is an approach many software development groups use (self-signed code signing root cert for dev releases versus a preinstalled trusted root cert for stable releases). For general/stable releases it is definitely not a normal thing to do.</div><div class=""><br class=""></div><div class="">Sandro, please try to keep your comments about this more productive and less incendiary.</div></div></div></div></div></blockquote><div><br class=""></div><div>I think that it would make more sense for us to sign the app bundles or installation packages as <a href="http://QGIS.org" class="">QGIS.org</a> if possible than <a href="http://OSGEO.org" class="">OSGEO.org</a> - mainly because there would be a 1:1 recognition between the software being installed and the authority that holds the license. I think USD 99 is a negligible amount to pay for signed packages and for the reasons Larry has already described, the user experience installing on OS X is very suboptimal at the moment. For a nice roadmap on OS X I would like to see in the long run:</div><div><br class=""></div><div>* packages directly downloadable from <a href="http://QGIS.org" class="">QGIS.org</a> (so we get to count installs and the user experience is consistent - many people I have spoken to have been a bit confused when being taken over to kyngchaos’s web site - though I am very grateful for the many years he has been helping us)</div><div>* packages delivered as a complete installation experience (including dependencies) in a single package - be it with an all in one .app bundle or an installation package. I prefer as a .app bundle myself.</div><div>* packages signed so that they work out of the box and don’t require a trip to the security preferences (for the reasons outlined above)</div><div>* ready to run package includes SAGA, OTB, R and whatever ‘best experience’ packages a user needs to be productive on OS X.</div><div><br class=""></div><div><br class=""></div><div>So your signing proposal gets a big +1 from me and I look forward to future proposals to improve the OS X experience.</div><div><br class=""></div><div>Regards</div><div><br class=""></div><div>Tim</div><div><br class=""></div><div><br class=""></div><br class=""><blockquote type="cite" class=""><div class=""><div dir="ltr" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><div class="gmail_extra"><div class="gmail_quote"><div class=""><br class=""></div><div class="">Regards,</div><div class=""><br class=""></div><div class="">Larry Shaffer<br class="">Dakota Cartography<br class="">Black Hills, South Dakota<br class=""></div><div class=""> </div><blockquote class="gmail_quote" style="margin: 0px 0px 0px 0.8ex; border-left-width: 1px; border-left-color: rgb(204, 204, 204); border-left-style: solid; padding-left: 1ex;">--strk;<br class=""></blockquote></div><br class=""></div></div><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">_______________________________________________</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><span style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; float: none; display: inline !important;" class="">Qgis-psc mailing list</span><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><a href="mailto:Qgis-psc@lists.osgeo.org" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">Qgis-psc@lists.osgeo.org</a><br style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class=""><a href="http://lists.osgeo.org/mailman/listinfo/qgis-psc" style="font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;" class="">http://lists.osgeo.org/mailman/listinfo/qgis-psc</a></div></blockquote></div><br class=""><div apple-content-edited="true" class="">
<span><img height="60" width="60" apple-inline="yes" id="92B1D2EE-28B0-40D8-A4F4-A54A7D78272D" apple-width="yes" apple-height="yes" src="cid:DDEF9B12-67C3-4498-BD7D-EC3563CC35A4" class=""></span><div style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px; word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space;" class=""><div class=""><br class="Apple-interchange-newline"><br class=""></div><div class="">Tim Sutton</div><div class="">QGIS Project Steering Committee Member</div><div class=""><a href="mailto:tim@qgis.org" class="">tim@qgis.org</a></div><div class=""><br class=""></div></div><br class="Apple-interchange-newline" style="color: rgb(0, 0, 0); font-family: Helvetica; font-size: 12px; font-style: normal; font-variant: normal; font-weight: normal; letter-spacing: normal; line-height: normal; orphans: auto; text-align: start; text-indent: 0px; text-transform: none; white-space: normal; widows: auto; word-spacing: 0px; -webkit-text-stroke-width: 0px;"><br class="Apple-interchange-newline">
</div>
<br class=""></div></body></html>