Door Anoniem: Er is dus geen geauthenticeerd pad tussen ontwikkelaar en applicatie - in de zin van signatures die alleen de ontwikkelaar kan zetten en bij update gecontroleerd worden. Het klinkt wel een beetje als een 'perfect storm'. Tot kort daarvoor was er wel degelijk een certificaat, maar dankzij aangescherpte eisen vanuit de Certificate Authorities kreeg Notepad++ geen certificaat meer (als ik het wel heb, omdat 'Notepad++' geen bestaande legale entiteit is/was). De ontwikkelaar heeft toen een paar versies met een self-signed certificaat uitgebracht en de nodige keys om de versie zelf te verifiëren, terwijl hij naar een oplossing zocht. Helaas bleek de automatische update-plugin dus niet het hele proces afdoende te checken. In die periode werd ook de hostingpartij van Notepad++ gecompromitteerd, waarbij voor sommige gebruikers het updateverzoek van de officiële versie naar een aangepaste versie werd omgeleid. Toen dit werd ontdekt is de update-plugin verbeterd om dit onmogelijk te maken, en ...