Мелкософт и «Secure Boot» опять

Но MS активно работает над этим.

M$ не имеет власти над производителями железа.

Что толку от того, что 1% перестанет покупать какое-то там оборудование?

для производителя - никакого толку, для 1% толк известный.

многие вообще линуксы ставят

Не многие, а единицы.

на кой им значок венды?

Дабы продолжать продавать большинство своих ноутбуков с Windows. Заметь, именно продолжать — сейчас большинство всех производителей проходят эту сертификацию.

Secure boot — это безопасность

Эта безопасность нафиг нужна большинству линуксоидов, ССЗБизм тут не при чем, а хрень только усложняет установку для новых юзеров.

Аж целый один троян-маячок, да и тот в 2013 году! И ради этого городить secure-boot с какими-то подписями и прочей анально огороженной прочей ерундой. И это при тысячах рекламно-воровских зловредах из сети.

для производителя - никакого толку, для 1% толк известный.

Какой еще известный толк? Этот процент так и не сможет покупать большую часть ноутбуков (как сейчас). А всем остальным на это будет пофиг.

И ради этого городить secure-boot с какими-то подписями и прочей анально огороженной прочей ерундой.

Причем, на линуксе. Я фигею с этого Lincor.

сейчас большинство всех производителей проходят эту сертификацию.

потому что в целом ее условия хороши. если же там будут очевидные ограничения, количество сертифицируемых производителей заметно снизится.

Я должен тебя огорчить, но MS держит всех производителей железа за задницу. Если ты не можешь пройти сертификацию, ты получаешь огромные убытки в продаже ноутов и готовых десктопов.

Какой еще известный толк?

возможность установить линукс.

потому что в целом ее условия хороши.

Её условия не сильно изменились с прошлой версии. Более того, для производителей особой разницы теперь нет. Тем не менее, для альтернативных ОС это теперь угроза.

Сейчас я могу купить произвольный ноут и поставить туда линукс.

Через N лет я смогу выбирать только из очень ограниченного списка устройств.

В чем тут толк?

Аж целый один троян-маячок
в абсолютные лидеры среди угроз

важно не количество троянов, а их распространенность.

да и тот в 2013 году

где гарантия, что другой буткит не появится в 2015 году на линуксе? факт в том, что буткиты - действительно серьезная и распространенная угроза.

И ради этого городить secure-boot с какими-то подписями и прочей анально огороженной прочей ерундой.

цифровые подписи - это не «анально огороженная ерунда», а технология, благодаря которой, в частности, ты можешь иметь хоть какую-то приватность в интернетах.

где гарантия, что другой буткит не появится в 2015 году на линуксе?

Потому что в 2015 так и нету обычных вирусов для линакса. Не говоря уже об умеющих эскалировать свои привелегии.

факт в том, что буткиты - действительно серьезная и распространенная угроза.

бгг, посмеялся

цифровые подписи - это не «анально огороженная ерунда», а технология, благодаря которой, в частности, ты можешь иметь хоть какую-то приватность в интернетах.

молодец, все правильно сказал. только причем тут secure boot?

SecureBoot имеет право на жизнь, если пользователь может сам установить свои ключи и удалить/отключить предустановленные производителем.

SecureBoot имеет право на жизнь, если пользователь может сам установить свои ключи и удалить/отключить предустановленные производителем.

Этот вопрос нигде не оговорен, т.е. все зависит от производителя. А мы знаем, как производители к альтернативным ОС относятся.

Потому что в 2015 так и нету обычных вирусов для линакса.

скорее всего, из-за нераспространенности. новости об уязвимостях мелькают чуть ли не каждый месяц, ничто не мешает их эксплуатировать.

Не говоря уже об умеющих эскалировать свои привелегии.

www.linux.org.ru/tag/уязвимость . половина этих уязвимостей - выполнение произвольного кода. половина этих программ работает от рута.

важно не количество троянов, а их распространенность.

Так нет никакой распространенности буткитов.

цифровые подписи - это не «анально огороженная ерунда»

Да, когда ты можешь создать и установить их сам. А когда тебе нужен именно ключ от микрософт и ни от кого другого, то это анальное рабство в терминальной стадии. И никакой борьбой с мифическими буткитами это не оправдать.

Так нет никакой распространенности буткитов.

Trojan.Mayachok.2 был одним из самых распространненых троянов среди всех.

Да, когда ты можешь создать и установить их сам. А когда тебе нужен именно ключ от микрософт и ни от кого другого, то это анальное рабство в терминальной стадии.

ППКС. вот только при чем тут Secure Boot?

ничто не мешает их эксплуатировать.

А как же лютая фрагментация, регулярные обновления и прочие ништяки линакса?

половина этих программ работает от рута.

на сервере.

А как же лютая фрагментация

на практике почти у всех стоят bash, coreutils, Mesa, FreeType etc., так что уязвим любой дистрибутив.

регулярные обновления

на арчике - да. а в более распространенных дистрибутивах до обновления еще ждать и ждать, за это время можно успеть поймать трояна. да и можно просто-напросто забыть обновиться.

на сервере.

а сервера уже не компьютеры и им защита не нужна? а bash, apt (к слову об убунтах хомячков), wget и программы, линкующиеся с libpng стоят не только на серверах, а внезапно у всех, причем все эти программы каждый пользователь наверняка периодически запускает от рута.

VBR не выполняется при UEFI-загрузке. SecureBoot не работает при Legacy-загрузке. SecureBoot не защищает от Mayachok и подобных буткитов.

на арчике - да. а в более распространенных дистрибутивах до обновления еще ждать и ждать, за это время можно успеть поймать трояна.

О боже, какой же ты идиот. Да простят меня модераторы, но не могу уже читать вторую страницу эталонного тупняка. Все дистрибутивы бекпортируют исправления безопасности в поддерживаемые собой версии пакетов.

а сервера уже не компьютеры и им защита не нужна?

на сервера гораздо проще через php-решето проникнуть

а bash, apt (к слову об убунтах хомячков), wget и программы, линкующиеся с libpng стоят не только на сервера, а внезапно у всех

только вот апдейты на все дистрибутивы прилетели в течение дня

причем все эти программы каждый пользователь наверняка периодически запускает от рута

тот самый хомячок, о котором ты так кричишь — не запускает.

это был просто пример очень распространенного буткита, поражающего, наверное, десятки и сотни тысяч компьютеров.

Все дистрибутивы бекпортируют исправления безопасности в поддерживаемые собой версии пакетов.

представим такую ситуацию: в программе закрывают критическую уязвимость и в той же версии ломают API, в том числе внутренний. бэкпортировать что-либо становится невероятно сложно. пересобирать придется тучи пакетов, если они вообще успели обновиться до нового API.

тот самый хомячок, о котором ты так кричишь — не запускает.

и пакетный менеджер, конечно, тоже. боюсь спросить: как же он тогда обновляется?

2015 год

делать ребут

ССЗБ

представим такую ситуацию: в программе закрывают критическую уязвимость и в той же версии ломают API. пересобирать придется тучи пакетов, если они вообще успели обновиться до нового API.

В таком случае разработчики дистрибутива самостоятельно пишут исправление. На то они разработчиками и называются.

Я еще раз попытаюсь вбить мысль в твой мозг: неванильным дистрам пофиг на версии. В большинстве случаев они тупо наложат патч с исправлением на свою версию. Либо же подправят его немного и наложат.

Более того, большое количества софта само поддерживает несколько веток.

Иди уже почитай матчасть и не позорься, а?

В таком случае разработчики дистрибутива самостоятельно пишут исправление. На то они разработчиками и называются.

Я еще раз попытаюсь вбить мысль в твой мозг: неванильным дистрам пофиг на версии. В большинстве случаев они тупо наложат патч с исправлением на свою версию. Либо же подправят его немного и наложат.

и сколько времени это займет в худшем случае? алсо интересно, как будут разработчики дистрибутива патчить проприетарный софт.

А мы знаем, как производители к альтернативным ОС относятся.

Я не знаю. Буду рад, если ты мне расскажешь. И обрадуюсь ещё больше, если это не будет пустыми словами.

Через N лет я смогу выбирать только из очень ограниченного списка устройств

Так и щас так же. Тот же линукс работает нормально на весьма ограниченном круге ноутбуков. Но как-то напряга нет - выбрать можно.

Антивангелист майкрософта вообще не должен покупать ноутбук с предустановленной вендой, так что проблема надумана.

Кому нужен windows без мешка легаси, написанного под x86? Win RT как бы намекает, что никому.

Выход один - покупать железо заранее. Тот же ноут для учебы/работы - не думаю, что он по мощности должен быть сравним с кластером. Мне вполне хватает HPшного (Lenovo вернул в магазин), гибридная графика от AMD работает отлично, ядро гружу напрямую через UEFI, секурбутом и не пахло там.

ППКС. Но то, что ещё одной проблемой становится больше, определённо не радует.

и сколько времени это займет в худшем случае? алсо интересно, как будут разработчики дистрибутива патчить проприетарный софт.

По следам уязвимости баша — 1,5 суток

Так и щас так же. Тот же линукс работает нормально на весьма ограниченном круге ноутбуков. Но как-то напряга нет - выбрать можно.

4.2

Антивангелист майкрософта вообще не должен покупать ноутбук с предустановленной вендой, так что проблема надумана.

Венду можно вернуть сейчас.

это долго. но мне больше интересен ответ на 2-ой вопрос.

Венду можно вернуть сейчас

Тот еще квест на пару недель. Проще модель с FreeDOS/Linux купить, такие 100% будут всегда.

Венду можно вернуть сейчас.

Этим ты накажешь производителя ноутбука, а не MS.

Это достаточно быстро, чтобы никому нафиг не было выгодно вкладывать деньги в поиск уязвимостей для использования их в вирусах

Этим ты накажешь производителя ноутбука, а не MS.

Лолчто?

Тот еще квест на пару недель. Проще модель с FreeDOS/Linux купить, такие 100% будут всегда.

Мне за рабочий день вернули.

и все же, как можно пропатчить проприетарщину? а 0-day уязвимости могут существовать по 20 лет.

Производитель закупает оптом кучу OEM лицензий у MS. Потом ты получаешь крохи с возврата у производителя. А теперь вопрос. Какое распределение финансов в этой операции?

Подсказка: MS все равно остаётся в выгоде

А теперь вопрос. Какое распределение финансов в этой операции?

Производитель отправит мою лицензию обратно в пул лицензий (т.е. она не пропадет), сэкономив при следующей закупке сумму большую, чем вернет мне. Вот и все.

а 0-day уязвимости могут существовать по 20 лет.

Со вут? Нужно потратить деньги на их поиск, а это не выгодно, если их через сутки уже все закроют.

и все же, как можно пропатчить проприетарщину?

Поставить свежую версию проприетарщины или выкинуть её нафиг. Из убунты даже опенсорц выкидывают, если не могут поправить секьюрити-баги.

Хотя вообще то да, лузером только ты останешься :) из-за разницы между закупочной ценой и возвратом. И это вместо того, чтоб поддержать вариант с предустановленной альтернативной ОС и соответственно вознаградить затраты производителя на допиливание продукта под эту ОС, тоесть и дальнейшие перспективы.

а это не выгодно, если их через сутки уже все закроют.

20 лет - не сутки. а деньги тратить не обязательно, можно кодить фофан, ВНЕЗАПНО обнаружить скрытую уязвимость, которая сделает эксплуатирующего б-гом и перейти на темную сторону.

Поставить свежую версию проприетарщины

у нее изменился API, а в зависимостях версии программ гораздо большие, чем в дистрибутиве. и у них, конечно же, тоже изменился API.

или выкинуть её нафиг

попробуй выкинуть из убунты Skype или Flash Player.

и наслаждаться безопасностью.

Безопасность не навязывают насильно, иначе это называется рэкетом. Пользователь сам должен решать чем ему наслаждаться.

Secure Boot без рэкета - это

1) Наличие переключателя, позволяющего вообще от него отказаться.

2) Возможность простым способом «защититься». Например, BIOS при загрузке, обнаружив изменение загрузчика не запрещает вообще загрузку, а спрашивает что дальше делать и среди опций, в частности, как минимум возможность указать не обращать внимание на эти изменения.

3) Для параноидальной защиты в недружественном окружении иметь возможность включить действительно жестко загрузку только подписанных модулей.

В любом случае у пользователя, как ХОЗЯИНА своей вещи должен быть ВЫБОР. Если хозяина его лишают - это рэкет.

Пример: репозитории Linux и всякие сторы для Iphone. В одном случае свобода и безопасность, во втором - привязка к производителю и запрет неугодных программ.

во втором - привязка к производителю и запрет неугодных программ

к Secure Boot это отношения не имеет. кроме того, я не понял, зачем нужно все вышеперечисленное, если можно попросту подписать нужное ядро.

Для большей свободы. Вот я, к примеру, не хочу подписывать ведро, мож религия не позволяет мне это делать; в этом случае и необходима возможность переключения режима. Чем больше вариантов у конечного юзера, тем лучше.

к Secure Boot это отношения не имеет

Имеет, потому что без него трудно осуществляется и слишком очевидно. А так MS как бы вообще ни причем, если OEM-поставщик сделал SB неотключаемую и ключи свои невозможно вставить.

кроме того, я не понял, зачем нужно все вышеперечисленное, если можно попросту подписать нужное ядро.

Ты упорно не понимаешь главное: у владельца техники должен быть, что с ней делать. Кроме того, разработчику тоже каждый раз ядро подписывать? И не всегда это просто сделать.