грубая манера вести дискуссии, стала для неё (как для человека с совершенно иными этическими принципами) попросту невыносима.

Да неужели эта долбаная феминистка свалила.

Страшная шо ппц же

О, визуалы подтянулись.

«Guys, this is not a dick-sucking contest.» В этом Линус прав. Но это и не соревнование, кто кого обхамит. И вот об этом он забывает. Забори оппонента аргументами. Убеди его. Но, у меня складывается впечатление, что в интернете юзеры разучились отделять спор от оскорблений. То есть, назвать чьи-то слова «бредом» это вообще уже в порядке вещей. Неужели, это хорошо?

Ящитаю АНБ сможет подписать свой троянский загрузчик

Поэтому, я полагаю, единственный вариант быть уверенным в загрузчике — это таскать его на флэшке.

Во-первых, довольно симпатичная. Да, я знаю, что есть и фото пострашнее, но тут уж от фотографа зависит, можно так снять, что любой крокодилом покажется.

Во-вторых, а твоё фото можно увидеть и покритиковать?

Словил ли его лопоухий юзер, поставил ли его агент АНБ, проникший тайком в жилище, вариантов много.

Видишь ли, это проблема, когда у тебя на компьютере внезапно может появиться вредоносный код. Этот код может заменить собой загрузчик, может перепрошить контроллер жетского диска или банально прописать себя в авторан. Это три варианта, которые я спонтанно выдумал, вероятно есть гораздо больше. От чего из перечисленного тебя спасет secure boot?

Прости за дурацкую аналогию, но можно на левое ухо натянуть презерватив, чтобы в него инфекцию не надуло.

Проблема в том, что вредоносный код вообще откуда-то взялся, да не просто так, а в таком месте, откуда он может навредить. Так не должно быть. И secure boot эту проблему не решает. Ну или решает, но подписывать надо весь исполняемый код, а не загрузчик с ядром. Но сами же потом взвоем.

Насчет страшилок и полной информации я с тобой согласен. К полной информации относится и тот факт, что мс действительно использует secure boot для ограничения пользователей.

Ящитаю АНБ сможет подписать свой троянский загрузчик

Для этого АНБ должно заиметь мой закрытый ключ в сценарии «я вшил свои ключи, а MS-совские и Canonical-овские» удалил.

Впрочем, загрузчик на флешке это тоже хорошая идея. Вот тут, как раз, парни именно так и сделали.

сообщество разработчиков ядра Linux

? :)

а MS-совские и Canonical-овские» удалил.

Кто тебе так сказал? Проприетарная прошивка материнки?

Как же всё-таки хорошо, что ты никаких важных решений в этой жизни выполнять не будешь.

По словам Гаррета, последней каплей для него стали некоторые решения Линуса Торвальдса

Мда, аргументация у товарища слабовата.

По первой ссылке дискуссия вообще без участия Торвальдса (это он отклонял предложения? почему нет пруфлинков тогда?), по второй - довольно резонное замечание Торвальдса вида «не надо в kernel space пихать навязанный МС стандарт верификации ключей (UEFI?) в целях совместимости, при наличии существующего открытого стандарта». Пока, по впечатлениям, у Гаррета конкретно бомбануло от жёсткой, но справедливой критики. И что это за подход - «ухожу, но на самом деле не ухожу»? Сару туда же, даже вчитываться в детали лень, «феминистка» - это диагноз.

но всякие Шарпы много хуже.

Именно. Хотя Мигелюшка был бы рад.

If you can't stand the heat, get out of the kitchen.

объявил об уходе и Мэтью Гаррет

Светлая ему память. С его уходом efi в linux — всё, а это значит, что через пять-семь лет лялиху просто не останется железа, где он сможет спокойно загружаться и работать без лютых костылей типа grub2.

При этом мне нравится манера ведения проекта Линусом — называет вещи своими именами, говорит/пишет как есть, а не занимается подбором аккуратных слов. А истерички должны страдать, да.

efi в linux — всё

Назло возьмут и выпилят?

get out of the kitchen

Да не, пусть как раз там остаётся.

От чего из перечисленного тебя спасет secure boot?

может заменить собой загрузчик

и частично от

перепрошить контроллер жетского диска

Ну или решает, но подписывать надо весь исполняемый код

Ну так про это Гаррэт и трудился. Для бескостыльной реализации этого нужен парсер PE в ядре (что имхо всё же не нужно).

Ну или решает, но подписывать надо весь исполняемый код

Ну так про это Гаррэт и трудился.

Расскажи мне как ты будешь подписывать например javascript в браузере. Да, он тоже относится ко всему исполняемому коду.

Лол с этих АТЕНШОНВОР.

Назло возьмут и выпилят?

Без развития кода оно просто загнётся, особенно на бюджетных поделках типа ASUS, которые выплёвываются по сто штук, и на каждой свой кривой фирмварь, где запуск чего-то отличного от венды зависит от погоды на Марсе.

что имхо всё же не нужно

Это без всяких ИМХО нужно, и перечисленные тобой причины — лишь малая часть того, для чего нужен труд Гаррета.

особенно на бюджетных поделках типа ASUS

Зачем нам бюджетые поделки типа ASUS? Останется одна единственная поддерживаемая, значит будем пользоваться одной единственной. Есть даже мнение, что это было бы к лучшему.

Расскажи мне как ты будешь подписывать например javascript в браузере.

Ну очевидные вещи я не расписывал, думал и так догадаетесь.

Естественно у пользователя (по крайней мере с разрешения админа) должна быть возможность запускать не подписанный код. Иначе даже лапши на баше не запустишь.

Но если система инициализации и DE/WM будут запускать только подписанные бинари и скрипты (как они кстати подписываются?), то это будет вполне неплохо. Что делать с ~/.bashrc и т.п. не знаю, но думаю это тоже решаемо.

В таком случае не подписанный код может быть запущен только по твоему разрешению. Естественно это не серебряная пуля, и от подписанного дырявого демона или отсутствия мозга не спасёт. Но это дополнительная безопасность и возможность доверять «базе».

Зачем нам бюджетые поделки типа ASUS?

Как минимум потому, что их большинство.

Останется одна единственная поддерживаемая, значит будем пользоваться одной единственной.

Мыши плакали, плевались, но продолжали жрать кактус.

Есть даже мнение, что это было бы к лучшему.

Тогда крики тролошколоты про 1% станет фактом.

Ну очевидные вещи я не расписывал, думал и так догадаетесь.

Ну больше так не думай. Мне твои очевидные вещи кажутся настолько глупыми, что я о них не догадался. Но для порядка я конечно спрошу еще раз.

Так что ты планируешь делать с javascript в браузере? Бегать по всем сайтам и подписывать его? При каждом обновлении станицы спрашивать пользователя: «А не желаете ли вы, сэр, запустить местный javascript?» Или есть ещё варианты?

И причём здесь EFI? Ты описал работу SELinux, который к подписанным efi-программам отношения имеет чуть меньше, чем никакого.

Это без всяких ИМХО нужно

ИМХО, все же нет.

Поддержка парсера PE в ядре равносильна утверждению сервиса МС стандартным линуксячьим удостоверяющим центром.

Здесь я всё же согласен с Линусом. Есть x509, подписывать можно им. Хоть это и не так архитектурно клёво (ядро и код/модули будут подписаны разными ключами).

Для этого нужен общелинуксячий удостоверяющий центр, в котором любой бедствующий энтузиаст-проприетарщик сможет подписать свой бинарь/модуль ядра и запустить его в любом дистре. Для этого все/большинство дистров должны включать сертификаты этого центра в свои подписанные ядра.

Но как показывает практика общелинуксячий только systemd. Даже ядро, и то форкнули.

Здесь оба решения плохие, а хороших пока не видно.

Как минимум потому, что их большинство.

Винды тоже большинство. Все дружно пошли сносить линуксы.

Мыши плакали, плевались, но продолжали жрать кактус.

Дай подумать. Ты сейчас в контексте запуска линукса назвал кактусом плату, которую этот самый линукс поддерживает. А те, которые он не поддерживает - это не кактус, да?

Тогда крики тролошколоты про 1% станет фактом.

Тебя как-то очень сильно волнует мнение большинства в общем и тролошколоты в частности. Я не вижу для этого объективных причин. Ты сам не только что из школы выпустился?

так что ты планируешь делать с javascript в браузере?

В зависимости от настроек, либо не запускать вообще, либо запускать не подписанным. Так же со всем остальным, запускаемым непосредственно пользователями.

И причём здесь EFI? Ты описал работу SELinux, который к подписанным efi-программам отношения имеет чуть меньше, чем никакого.

При том, что secureboot часть efi. secureboot проверяет ядро, ядро проверяет модули и elf-загрузчик, загрузчик проверяет init, инит проверяет демоны и дм, дм проверяет wm, wm проверяет autorun.

А selinux, насколько я в курсе, не умеет проверять подписи. Или его научили?

ЗЫЖ Я спать.

Поддержка парсера PE в ядре равносильна утверждению сервиса МС стандартным линуксячьим удостоверяющим центром.

Но никто не заставляет тебя включать поддержку efi в ядре → подписывать ядро проприетарным ключом от проприетарщиков, а для специфичных машин можно и потерпеть. Кстати, для десктопа это не так важно, так что вообще плевать на подписи, которые нужны. (=

В зависимости от настроек, либо не запускать вообще, либо запускать не подписанным. Так же со всем остальным, запускаемым непосредственно пользователями.

Ок. Тоесть либо у нас отвалится половина веба, либо безопасность остается в той же жопе что и была.

Нет, в принципе это конечно хорошо, что вообще появится такой выбор. Вот только для этого придется перелопатить линуксовое ядро и весь юзерспейс. Увы, но слишком много работы ради сомнительного профита. Не взлетит.

Тряпки. А Линуса нужно слушать, а не истирить и хлопать дверью

Винды тоже большинство.

Для плоско мыслящих анонов: Если на рынке заведомо бажных плат становится с каждым годом больше, то найти нормальную будет проблематично, и если окажется, что купленная плата — говно, то придётся менять, а бажный фирмварь ефи, который, кстати, спокойно работает с дефолтной для продавца вендой, под условия гарантии не подходит, так что придётся возиться с тем, что есть.

Ты сейчас в контексте запуска линукса назвал кактусом плату, которую этот самый линукс поддерживает.

Здесь я имел в виду, что придётся юзать одну единственную плату, которая рано или поздно устареет, а код, разработанный на ней не будет развиваться по очевидной причине.

Тебя как-то очень сильно волнует мнение большинства в общем и тролошколоты в частности. Я не вижу для этого объективных причин.

Меня волнует снижение популярности по причине антирекламы → невостребованность → угасание интереса разработчиков к платформе → большая невостребованность → смерть платформы → переход на безальтернативную проприетарщину оставшихся энтузиастов.

ППКС. Только ещё и PM — всё, ACPI — всё, хоткеи и хоть какое-то энергосбережение на ноутах — всё и так далее.

Если мне не изменяет память, он едва ли не один этими всеми вещами там занимался. Будем надеяться, что найдётся продолжатель.

При том, что<...>

Ну ты и нагородил... Зачем превращать софт в комбайн? Инит должен запускать, DM должен позволять ввести пароль и выбрать сессию, wm должен управлять окнами. А проверять достоверность источника бинаря должен тот, кто под это заточен, а не раскидывать функционал по независимым компонентам.

А selinux, насколько я в курсе, не умеет проверять подписи. Или его научили?

Связки PaX + SELinux вполне достаточно. А подписывать каждый бинарь, особенно на сорц-базед дистрах, мейнтейнер задолбается (в случае с гентой, например, мейнтейнеру придётся учесть ВСЕ комбинации ВСЕХ доступных юзов + возможность наложения сторонних патчей).

Я, как всегда, поддерживаю Линуса, за исключением того момента, когда он высказал своё позитивное мнение касательно systemd.

Не совсем так... Он высказался по systemd весьма неоднозначно и обтекаемо, типа, что некоторые идеи интересные, но реализация и подход к делу, а особенно отношение к тому, что уже есть и работает десятки лет - мудацкие... Подробней читай в моих публикациях...

Во-вторых, а твоё фото можно увидеть и покриповать?

fixed.

Если на рынке заведомо бажных плат становится с каждым годом больше, то найти нормальную будет проблематично

Читай отзывы, ищи официальную поддержку.

так что придётся возиться с тем, что есть.

Проблемы локальных законодательств шерифа не колышат. Опять таки читай отзывы из тех стран, где с этим проще.

Здесь я имел в виду, что придётся юзать одну единственную плату, которая рано или поздно устареет, а код, разработанный на ней не будет развиваться по очевидной причине.

Я здесь имел ввиду поддержку одного производителя, который свою плату будет периодически обновлять. Ввиду отсутствия конкуренции доход для него был бы ощутимый.

Меня волнует снижение популярности по причине антирекламы → невостребованность → угасание интереса разработчиков к платформе → большая невостребованность → смерть платформы → переход на безальтернативную проприетарщину оставшихся энтузиастов.

У нас кроме 1% интелодесктопов половина интернетов на линуксе работает, половина смартфонов, в эмбеддед его постоянно пихают, энтерпрайз на нём сидит, облака, суперкомпьютеры. У студиоузов шило в жопе по поводу швабодки и открытости. Пограмисты совсем распустились, подавай им непременно либы под lgpl, mit итд. Сейчас у разработчиков интерес внезапно возьмет и угаснет.

Нет он может конечно. Одновременно с вендекапцом, ввиду какой-нибудь техносингулярности.

Не разделяю я твоих страхов. Скорее линуксовый юзерспейс сам скатится в проприетарщину.

Еще одно преимущество базарной модели разработки - нельзя централизованно насадить феминацистскую пропаганду.

Как раз, вероятно, что в случае с Шарп, кухня - это то, где ей действительно нужно находиться...

вот только никто не обещает, что ты сможешь заливать свои ключи

визуалы

Алё, что за мракобесие на моём лоре?

Подскажите, а какие меры есть в UEFI против того, что любой школьник напишет bat-файл, стирающий/изменяющий загрузчики на маленьком FAT32 разделе? Всегда забавляла эта фича. Не понятно, почему вирусы до сих пор этого не делают в массовом порядке

Раздел нужно сначала примонтировать.

А что, есть ещё другие?

На одно uac-окно больше. Пользователи виндоуз нажимают эти окна на автомате, не выходя из бессознательного состояния )

О, визуалы подтянулись.

*сказал человек, представляющий команду GIMP* лал :D

С тем же успехом пользователи виндоуз могут нажать OK на любом другом запросе на повышение привилегий, да хоть на установку фильтрующего обращения к диску драйвера. Не понятно, при чём тут UEFI.

Разница в том, что раньше мне было не страшно ставить винду в дуалбут. Если вирусы и появятся - дальше винды они не пролезут. Т.к. мало кто станет заморачиваться с модификацией MBR и доступом к ext-fs. А с приходом UEFI появилась возможность накатить кросплатформенных паразитов просто заменив файлики на универсальной кросплатформенной незащищенной ФС )