BIOS все

Как что? Альтернативный загрузчик появился бы.

Да так себе альтернатива. Он же умеет загружать только ОС Эльбрус и только на своих архитектурах, да и внутри своеобразно устроен.

Есть uboot.

Ну допустим в 2020-м SB еще не будет обязательным, а станет только в 2022 или 2025, что это принципиально меняет?

Вот когда об этом объявят, вот тогда и стоит шум поднимать.

Тут важно, что никто по рукам не даст и не объяснит, что безопасность это хорошо, но пользователь должен иметь право сам выбрать, что ему ставить на комп.

Я с этим не спорю.

Причем, SB можно реализовать (и даже теоретически как бы и предусмотрено), что пользователь сам генерирует и загружает в uefi ключи для загрузки. На практике же его стараются огородить от этого.

На практике большинство пользователей просто хотят, чтобы работало и в такие технические подробности не углубляются. Если бы Linux успел завоевать дескоп, Secure Boot было бы сложнее сделать неотключаемым. А так у большинства стоит Винда и этому большинство просто пох.

На практике большинство пользователей просто хотят, чтобы работало и в такие технические подробности не углубляются.

Можно было бы сделать как опцию, чтобы просто включалась защита от изменений уже поставленного загрузчика. Примерно тоже, что уже было в биос в 90-х, просто продвинутее. Это было бы и просто и реально обеспечивало бы защиту и без навязывания.

Он же умеет загружать только ОС Эльбрус и только на своих архитектурах, да и внутри своеобразно устроен.

Судя по тому что вижу я оно выглядит как старые интеловские биосы только выполнен в командной строке и перечисляет устройства как в acpi (ид шины ид устройства), написан на Си.
Главное что на него смотришь и сразу тебе все понятно, а на коребут смотришь и видишь nih-загрузчик в котором надо попытаться мыслить как авторы этого загрузчика.

А так у большинства стоит Винда и этому большинство просто пох.

В том то и дело что МС борется не с линуксами а с семерочниками. Считай принудительно на десяточку пересаживают. От которой можно ждать только одну рекламу в будущем.

Он больше похож на сановский, коим, вероятно, и вдохновлялся.

Но ты думаешь про UI, а это здорово, конечно, но в деле написания кода под огромный зоопарк железа далеко не главное.

Сам по себе coreboot не оче дружелюбен, но к нему payload'ом можно и uboot и seabios.

Также, есть OVMF/Teanocore.

Причём тут Microsoft, когда речь про Intel? Windows 7 сама умрёт, точно так же как XP - просто от прекращения поддержки. Для этого не нужно ничего менять в прошивке.

Позабавил текст недавней новости про взлом Intel ME и компьютеры для правительства, где этот бэкдор отключался после запуска.

Забавно то, что это называлось «high assurance platform». Т.е. высокодоверенная платформа. В то время как обычно для «доверенных» систем используют слово «trust».

Т.е. тем самым видим разницу между «trust» и «assurance». Trust в случае, если платформе может доверять производитель, и assurance - если пользователь

Можно было по всякому, но в итоге сделали так, как сделали, просто потому что могли. А был бы Linux на десктопах, не смогли бы так сделать или сделать это было бы значительно труднее. Вот к чему приводит фрагментация.

Там нас ждёт что-то вроде TWRP

Это из другой оперы. До загрузки recovery уже бывает несколько загрузчиков.

Причём тут Microsoft, когда речь про Intel?

А ты новость почитай, и посмотри при чём тут МС и виндовс 7, там про 32 битную семёрочку упомянули, считай Интел пошёл на встречу Некрософту.

Такой то зверский оскал корпораций.

Я считаю, давно пора уже выбросить весь этот bios-legacy, CSM и прочий подобный шлак - меньше багов будет. Во всём этом волнует только вопрос SecureBoot'а.

Сам линукс прекрасно грузится в SecureBoot режиме и без проверки подписей модулей, если дистрибутив адекватный (управляется опцией компиляции ведра CONFIG_SECURITY_SECURELEVEL). Ядра без цифровой подписи прекрасно подписываются вручную, я вот без проблем сделал себе подписанный sysrescuecd, например, для загрузки из SHIM+GRUB2. Но для всего этого нужна возможность установки своих ключей, или как минимум изначально подписанный «правильным» ключём загрузчик (shim, например).

Так что, всё зависит от того как в итоге реализуют новый UEFI: будет-ли там SecureBoot отключаться, будет-ли в нем возможность свои ключи устанавливать.

золотой коммент. прямо хоть на стену вешай.

Да кому нужна 32 битная семёрочка? Большинство пользователй семёрки сидят на 64 битах. К тому же к 2020 году Windows 7 просто перестанут поддерживать и она отомрёт сама собой, так же как XP.

Меньше старых багов, которые давно починили. Больше новых, которые ещё предстоит чинить. Прошивки компов становятся всё монструозне и монструознее. Хотя по хорошему их функциональность должна быть минимальной - проинициализировать железо и запустить загрузчик операционной системы с диска.

а как Intel может это воплотить в жизнь?

Уберут i286 совместимость и ку-ку.

К тому времени все компьютеры и серверы полностью переведут на UEFI Class 3, в котором не будет обратной совместимости с устаревшим режимом загрузки CSM.

что означает, что установить w7 (и кажется еще w8) будет невозможно потому что там в установщике баго-фича, которая умеет тестировать наличие дисков только в legacy режиме. В чистом uefi оно тупо на этом этапе виснет.

Уберут i286 совместимость и ку-ку.

Ты наверное хотел сказать, уберут реальный режим? i286 - это другое.

Надеюсь что этого не будет.

а может они еще таймер какой заложили во все компы с биос, чтобы они перестали в 2020 работать?

так, быстро скупаем старое железо!

да, по истечении таймера все компы с БИОС взорвутся!

Прошивки компов становятся всё монструозне и монструознее

А это потому что компьютерная техника тоже всё усложняется и усложняется. Отсюда и усложнение прошивок. Уже давно недостаточно просто брать и выполнять код из нулевого сектора диска. Требуется обеспечивать безопасность и модульность.

Концепция UEFI вполне себе оправдана, в том числе и пресловутый SecureBoot. Вот только, необходим минимализм, жесткая стандартизация, и открытость. Со всем этим текущие реализации подкачали, увы.

Следующую версию венды мс сделают на базе бсд, а для всего своего старья сделают какой-нибудь wine. И все вендовозы будут ходить _официально_ на ЛОР, как на винфак. И настанет веднекапец, впрочем ЛОРу тоже настанет оный.
Конец близок, покайтесь!

Надеюсь что этого не будет.

Это только наименьшее из возможных зол.

Это как раз будет плохо, так как проприетарщики любят указывать чему работать, чему нет и если адоб и пр. решат что 32 бит версия софта не нужна то может собраться стадо слонопотамов.

> Прошивки компов становятся всё монструозне и монструознее

А это потому что компьютерная техника тоже всё усложняется и усложняется. Отсюда и усложнение прошивок. Уже давно недостаточно просто брать и выполнять код из нулевого сектора диска. Требуется обеспечивать безопасность и модульность.

Не вижу никакой связи с усложнением железа. Требования безопасности проистекают не от сложности железа, а от необходимости. Вполне достаточно и из первого сектора начинать загружаться. От каких именно угроз спасает SecureBoot и делает это лучше других решений?

Концепция UEFI вполне себе оправдана, в том числе и пресловутый SecureBoot. Вот только, необходим минимализм, жесткая стандартизация, и открытость. Со всем этим текущие реализации подкачали, увы.

Чем именно она оправдана? Компьютеры прекрасно работали и с обычным BIOS. UEFI изначально проектировалась в качестве платформы для всякого рода зондов и блобов. Достаточно вспомнить EFI Byte Code (EBC) - драйверную прослойку в UEFI. Если со временем они отменят реальный режим во время бута, они превратят компьютер в виртуальную машину и ваши линуксы (как впрочем и винда) будут работать в неком аналоге virtualbox из прошивки. Тебе такая перспектива нравится? Мне нет. Посмотри сколько хайпа вокруг Intel ME.

ТС, это косяк! Ты в желтых страницах что ли? Зачем так пугать?

Никто _не_ собирается запрещать отключать Secure Boot — а Linux с UEFI уже давно дружит.

ваши линуксы (как впрочем и винда) будут работать в неком аналоге virtualbox из прошивки

Какой, нахрен, VirtualBox? Почитай, что такое SMM. Всё уже 25 лет как реализовано без всяких гипервизоров, намного проще, быстрее и архитектурно лучше, нахрена ещё что-то делать?

Зачем так пугать?

Ты испугался себя самого.

Никто _не_ собирается запрещать отключать Secure Boot.

А в цитате, которую я привёл, что написано?

Что это запрещено в UEFI 3+ — а в UEFI 3 ещё можно.

Требования безопасности проистекают не от сложности железа, а от необходимости

Требования безопасности, конечно, нет.

А сложность прошивок зависит и от сложности железа в том числе. Взять хотя-бы появление совершенно новых форматов и видов устройств хранения с новыми протоколами, контроллерами, стандартами. Также и с другими устройствами дела обстоят: всё становится быстрее, сложнее и интеллектуальее.

Именно благодаря прогрессу в железе - BIOS за свои ~30 лет стал одним сплошным сборищем костылей уже, и назрела необходимость в замене. Является-ли UEFI достаточно хорошей заменой - это уже вопрос для дискуссии, но то что замена старому 16 битному BIOS'у с мегабайтом оперативки, необходима - должно быть очевидно, по-моему.

Скорее что-то вроде U-Boot.

Какие именно костыли появились в BIOS и кому они так мешают? Необходимость в большем объёме доступной памяти обусловлена разве что новыми зондами. Что такое нужно инициализировать, на что не хватает одного мегабайта?

Хорошо. А если архитектуру x86 закопают и сделают стек-машину...

Какие именно костыли появились в BIOS и кому они так мешают?

Самое первое что приходит в голову - костыли для поддержки CHS, который уже нигде не нужен вообще. Или эмуляция legacy IDE и обращение к диску через соотв. прерывание, там где это ненужно совсем.

И так везде. Писать\отлаживать option-rom для устройств собственной разработки (в моей практике - это был raid контроллер) вообще сплошная веселуха, особенно, когда не знаешь как те или иные костыли работают в разных биосах.

Вы погуглите немного, там реально, везде костыли одни. Потому-что компы и используемые технологии мягко говоря изменились за последние 30 лет. 16 бит и 1 мегабайт памяти, действительно, уже не хватает даже для инициализации прошивок устройств.

Но можно сделать костыль, который будет грузиться через uefi и искать bios-совместимый загрузчик и пускать его.

Если из процессора уберут поддержку запуска 16 битного кода и реального режима - то не выйдет.

Я считаю, давно пора уже выбросить весь этот bios-legacy, CSM и прочий подобный шлак - меньше багов будет.

главный шлак он в SMM находится, все эти эмуляции PS/2 клавиатуры и прочее говнище, вот это бы выкинуть.

Я бы вообще предложил, чтобы настройка системы велась через ME. А на основном процессоре тренинги памяти запускались, ну может ещё чего по мелочи.

одно конечно плохо, все эти usb стеки для клавиатуры.

Самое первое что приходит в голову - костыли для поддержки CHS, который уже нигде не нужен вообще.

Простая арифметическая формула для пересчёта из LBA.

Или эмуляция legacy IDE и обращение к диску через соотв. прерывание, там где это ненужно совсем.

Это конечно посложнее CHS, но опять же не вижу особых проблем реализовать транслятор IDE-SATA. У всех производителей BIOS он давно реализован и больше этим никто не заморачивается.

Я пока не услышал каких-то костылей, тобишь каких-то кривых и нестандартных решений для обхода трудно решаемых проблем.

И так везде. Писать\отлаживать option-rom для устройств собственной разработки (в моей практике - это был raid контроллер) вообще сплошная веселуха, особенно, когда не знаешь как те или иные костыли работают в разных биосах.

А разработка под UEFI - не такая веселуха? Там всё стройно и красиво?

Есть POWER9, который мощнее, чем аналогичные решения на x86. Надо пиарить это и на реддите доставать представителей AMD.

Секундочку, а как Intel может это воплотить в жизнь? Ведь BIOS обычно пишут другие компании.

Уже нет. Да и BIOS давно уже нет.

Это не PowerPC - это POWER. Впрочем, конкретно в том ноутбуке может быть и PowerPC.

На AMD этот самый UEFI и будет.

Intel ME поломали только на чтение. Модифицировать пока не могут - ключи нужны или надо крянуть механизм, который отрубает компьютер через пол часа использования неавторизованной прошивки.

но коребут вообще какое-то не понятное (в плане реализации) не работающее говнище.

Что там не работает? По пунктам давай.

Сам линукс прекрасно грузится в SecureBoot режиме

Только в том случае, если производитель материнской платы сподобился дать пользователю возможность свои ключи залить.

...постоянно включённому режиму Secure Boot.

А я уже был готов, так же ждите к 2030 году M$ откажется подписывать ядра фряхи и линукса и кряки для программ в оффтопике перестанут работать...