LINUX.ORG.RU

История изменений

Исправление praseodim, (текущая версия) :

Так ты определись, у тебя режим совместимости с BIOS (CSM), или всё же BIOS?

Ну есть два варианта: все фичи uefi и вроде может и режим.

M$ быстренько смекнули, что можно запилить величайший вендор-лок, проплатили кому надо и сколько надо, теперь или покупай венду, или соси лапу.

Ну и при чем тут безопасность? Кстати, уже припоминаю была малварь, которая использовала баги uefi

Он как раз и должен был защищать от пользователя (например, от его флэшек с малварью). xD

Кого защищать?

Пользователю как раз нужно, чтобы установленную им ОС никто не модифицировал посторонний. SB вместо этого мешает пользователю ставить свою ОС и разрешает непонятно кому ставить, что угодно, если у него загрузчик подписан MS или производителем.

Для пользователя было бы просто и удобно, если он отключит SB, установит СВОЮ систему, затем включит SB, при этом вычисляется и сохраняется криптохэш загрузчика, а пользователь может выставить пароль на изменение настроек SB. И больше никто, даже с ЭЦП от MS или вендора в принципе не мог бы установить ничего. Разве что ROM с биосом переписать на матплате.

Сейчас же некоторые прошивки позволяют юзеру в режиме с отключенным SB добавить в список сертификатов свой, но это далеко не самая простая и плохо документированная процедура.

Исходная версия praseodim, :

Так ты определись, у тебя режим совместимости с BIOS (CSM), или всё же BIOS?

Ну есть два варианта: все фичи uefi и вроде может и режим.

M$ быстренько смекнули, что можно запилить величайший вендор-лок, проплатили кому надо и сколько надо, теперь или покупай венду, или соси лапу.

Ну и при чем тут безопасность? Кстати, уже припоминаю была малварь, которая использовала баги uefi

Он как раз и должен был защищать от пользователя (например, от его флэшек с малварью). xD

Кого защищать?

Пользователю как раз нужно, чтобы установленную им ОС никто не модифицировал посторонний. SB вместо этого мешает пользователю ставить свою ОС и разрешает непонятно кому ставить, что угодно, если у него загрузчик подписан MS или производителем.

Для пользователя было бы просто и удобно, если он отключит SB, установит СВОЮ систему, затем включит SB, при этом вычисляется и сохраняется криптохэш загрузчика, а пользователь может выставить пароль на изменение настроек SB. И больше никто, даже с ЭЦП от MS или вендора в принципе не мог бы установить ничего. Разве что ROM с биосом переписать на матплате.