Segurança

Por que o Windows mostra aviso · Como verificar autenticidade · Nosso compromisso

🛡️ Sobre o aviso "normalmente não é baixado"

Ao baixar o PTtool.exe, o Microsoft Edge, Chrome ou SmartScreen do Windows pode mostrar uma mensagem do tipo “este arquivo normalmente não é baixado”. Isso é esperado e NÃO significa que o arquivo contém malware. Entenda abaixo.

Por que o Windows avisa?+

Executáveis .exe hospedados em domínios novos ou distribuídos por autores pequenos sem certificado comercial Authenticode aparecem como “reputação desconhecida” no SmartScreen da Microsoft. É um sistema probabilístico — ele bloqueia antes de confirmar, baseado em estatísticas de download globais.

A partir de milhares de downloads confirmados como seguros, o Windows adquire reputação do binário e o aviso desaparece sozinho. Infelizmente, um certificado EV Authenticode dá reputação instantânea mas custa ~US$ 400/ano. No momento estamos em construção de reputação orgânica.

Como saber se o arquivo é autêntico?+

Todo release publicado aqui tem um SHA-256 mostrado publicamente no site. Após baixar, compare o hash local com o publicado. Se bater byte a byte, o arquivo é exatamente o que nós distribuímos.

No PowerShell do Windows, rode:

Get-FileHash -Algorithm SHA256 "$HOME\Downloads\PTtool-2026.4.1.exe"

Ou use nosso verificador online — arraste o .exe e ele compara com o SHA-256 publicado.

E como executar mesmo com o aviso?+
  1. Verifique o SHA-256 (passo acima)
  2. No aviso do navegador, clique em “Manter” / “Keep”
  3. Ao executar, se o SmartScreen bloquear, clique em “Mais informações”“Executar assim mesmo”
  4. O PTtool abre normalmente
O PTtool faz algo malicioso?+

Não. É uma ferramenta de auxílio visual puramente local. Verifique você mesmo — tudo é auditável:

  • O código-fonte está público em github.com/lumezencio/zzPTtool (repositório do monorepo; pasta PTtool/)
  • Não acessa memória de processos do jogo
  • Não estabelece conexões de rede com o servidor do jogo
  • Só lê/escreve arquivos gráficos .bmp / .png / .tga na pasta de instalação do jogo que você escolher
  • Single outbound check ao iniciar: rpgtools.com.br/api/updater/check (só verifica se há nova versão — você pode bloquear no firewall)
Tem plano de assinar digitalmente o .exe?+

Sim. Assim que a reputação orgânica estabilizar ou recursos permitirem, adotaremos um certificado Authenticode EV para assinar cada release. A infraestrutura do projeto já está preparada para receber o certificado (ver PTtool/CODE-SIGNING.md).

Enquanto isso, a verificação via SHA-256 publicado aqui é matematicamente equivalente à proteção contra adulteração que o Authenticode oferece — só não é automática.

Posso reportar um problema de segurança?+

Sim. Envie descrição privada para lucianomezencio@gmail.com com [SECURITY] no assunto. Responderemos em até 72h.