FSF начала кампанию против «безопасной загрузки» UEFI

А у меня для Вас плохая новость: все люди больны, и Вы тоже.

=) хистори почисть, а то мамка заругает.

я таки понял что с товарищем Xenius у которого всё, окромя uefi&gpt, лучше, но никем это говно не продвигается, мы до сих пор можем смело пользоваться только ms-dos pt, только legacy bios, только хардкор

а зачем такие вирусы? ботнет работать не будет же

>Что мешает написать туда письмо, но с приложенным списком подписей? Так будет куда эффективнее.

Да, но там же нет разделения по странам, да и пока вообще подписей немного - всего 825... :-/

>некоторые производители оборудования не собираются давать возможность пользователям загружать что-то кроме операционной системы от Microsoft.

Вот так бы взял и UEFал.

Да, мне на прошлой странице уже напомнили... :-/ [просто я думал в контексте ноутбуков, ибо пока что неотключаемый Secure Boot актуален в первую очередь именно для них]

[толсто]все равно ни один дистрибутив ни на одном буке нормально не работает[/толсто]

если видео - интел, то нормально искаробки любой дистр работает. по времени работы от батарейки почти венду догнали. а броадком не нужен.

> так каким же надо быть дебилом

добро пожаловать в реальный мир, нео

>но надеюсь на лучшее.

Пока ситуация с налогообложением/таможней не улучшится и не мечтайте (ибо, придется импортировать кучу-кучу чипов), а учитывая, что это никому и не надо...

> Неудачное у тебя сравнение.

Ты понял о чём тебе было сказано.

Именно такие люди, о которых я сказал, составляют рынок потребителей, и на них ориентируются вендоры.

Пустая сентенция. Ты понятия не имеешь о состоянии рынка потребителей сегодня и не хочешь думать о перспективах его состояния на завтра.

Ты понятия не имеешь насколько хорошо и точно технология security boot будет исполнять декларируемые функции.
Сколько известных тебе пользователей настраивали и использовали UAC в Windows`7, а сколько его тупо отключали?
UAC - полезная, нужная функция? Что происходит при сбое в работе UAC?
Насколько хорошо и точно UAC выполняет декларируемые функции?

Ты понятия не имеешь насколько это техническое решение будет надежно, что и от чего должно защищать.
Ты видишь лишь нужную тебе функцию и в упор не видишь всего остального. Сегодня использование беэдисковых устройств с динамической загрузкой операционной системы, где эта технология _могла_ бы быть востребована, не имеет определяющего значения. Нет никаких технических обоснований вводить такие ограничения на _всех_ устройствах сегодня.
Есть только маркетинговые хотелки определённых вендоров определить развитие устройств с динамической загрузкой на будущее, замкнуть на несколько определённых вендоров, отсечь всех остальных конкурентов, загнать пользователей в стойло.

Ты никогда не видел и не пользовался устройствами залоченными на определённого вендора? Опыт общения с поставщиками телематических служб тебе ничего не говорит?

Хочешь противостоять этому - запрети этим людям покупать.

Странное предложение. Ты бы хотел, чтоб лечащий тебя от отравления врач запретил тебе кушать?

>Для них — никакого, поскольку он бы во всяких серверах пригодился — особенно если загрузчик проверяет цифровую подпись ядра ОС, а это ядро — подписи всех запускаемых приложений, так что после установки ОС её конфигурацию без доступа к железу изменить невозможно — и таким образом гораздо сложней сервер поломать, а если даже кто-то его и поломает, можно будет спокойно устранить уязвимость и пользоваться им дальше — полная переустановка системы не понадобится.

Дай угадаю, ты сервера в глаза не видел, верно? И про политики, ACL, SELinux, AppArmor и аналоги тоже не слышал, да? Аргумент про «пахакают» не катит, ибо эти системы позволяют ограничивать даже действия root'а.

У пользователя компьютера должна быть возможность тем или иным способом использовать Secure Boot с произвольно выбранным им кодом, например через какой-то сертифика, которым он бы мог таковой код подписать.

Ну и какая тогда разница, есть он или нет его вообще? Пользователь, как ты предлагаешь, так и так бы смог запускать любое говно, попутно подписывая и распространяя его.

Какой ещё перл?

Сертификаты и хороши тем, что их могут выдавать далеко не все.

>Через полгодика будет самое время покупать 1366 и 1155 тем, у кого до сих пор 775.

Согласен. Значит вовремя я опаздываю.

А если вендузятник девушка?

>> интересно сколько багов и уязвимостей будет в UEFI ? а какие шикарные сетевые атаки пойдут...

Вряд ли больше, чем в BIOS/PXE.

Не вряд ли.
Захочется вендору заставить пользователя сменить железо - отзывает сертификаты - для надёжности запускает вирус с той же функцией - все топают в саппорт, где им отказывают, ибо поддержка закончилась, и рекомендуют купить новое.
Захочется вывести из строя конкурента - нутыпонел... выясняют какие у него сертификаты - отзывают каким-либо образом - устройства конкурента выходят из строя.
Захочется какому-то государству вывести из строя промышленность на определённой территории - выясняют и отзывают сертификаты - выпускают вирус с той же функцией, для надёжности - все устройства на некоторой территории теряют сертификаты - лочатся.
Динамическую проверку сертификатов введут обязательно, явно или неявно, как «функцию надёжности». Сколько хомячков будет терять устройства при сбое «обновления» - страшно подумать.

>Ну и какая тогда разница, есть он или нет его вообще? Пользователь, как ты предлагаешь, так и так бы смог запускать любое говно

Одно дело — случайно (не думая о последствиях) запустить какой-то бинарник (а то и вообще, просто вставив флешку/CD во время загрузки), а другое — произвести нетривиальные для чайника действия над запускаемым кодом.

попутно подписывая и распространяя его.

Ну так предлагается ввести сертификат, код, подписанный которым, будет запускаться только на одной материнской плате — от которой этот сертификат.

Я полагаю, что несмотря на все вышенаписанное, будет несложно приобрести комп/ноут с возможностью отключения этой «защиты», так как хотя бы один производитель решит, что 1% рынка - это 10% его доли на этом рынке, и неплохо было бы эти проценты получить.

В серверном сегменте, скорее всего, подобный вопрос даже не встанет, так как производитель серверов, на которые нельзя ставить линукс/BSD, обречен.

все производители так решат. нечего ссать.

К чему столько текста? Если ты думаешь, что я защищаю пользователей или UEFI - ты ошибаешься. Я всего лишь предоставил факты.

Не факт. Микрософт хорошо умеет уговаривать, а за нею стоит правительство США.

> К чему столько текста? Если ты думаешь, что я защищаю пользователей или UEFI - ты ошибаешься. Я всего лишь предоставил факты.

Очень не хочется, чтоб мои инструменты неожиданно для меня превратились в тыкву, by design. :)

У меня 775 корка квада 9550. И может он уже и не новый, но 1366 и 1155 которые продают сегодня в магазине по средней цене, уделывает на «раз». <br> Думаю что еще годика полтора буду на этой системе, а уже потом посмотрю на что менять. Как бы предпочитаю менять на что-то, что хватит с запасом лет на 5. Путь чуть-чуть дороже, зато так надежнее.

Что же по теме, то подписал. А вдруг поможет. В будущем все рано всех затронет.

Про сервера - поддерживаю. Серввер под виндой - это просто глупо.

Подписался, авось поможет.

сенсация! опенсорс против безопасности и прогресса =))) ЗЫ я подписал петицию или что там, вписал свой mail, НО... пришла ссылка на confirm - я пошел на нее, написало подтверждено - все верно? или это только регистрация в чем-то и там дальше надо голосовать?

Welcome. Your membership in the «Stand up for your freedom to install free software» group has been activated.

Теперь идём на улицу. Будем кидаться Dial-up модемами.Думаю у каждого, один да остался.

у меня несколько

PE is a modified version of the Unix COFF file format. PE/COFF is an alternative term in Windows development.

Ну и [EFI] [Костыли] Кто там ещё считает, что UEFI — это не костыль?

Согдасен. Я его уже руками трогал этот UEFI мышка, все такое. А пошло это все с асусовских матерей с вшитыми линуксами «для интернета».

<trollmode>Это экономически выгодно, ведь полная комплектация и поддержка RedHat дороже самого простого Шindows Server 200X</trollmode>

Ну и что все раскудахтались? Хочет EFI грузить только виндовый загрузчик, ну так ставим винду, потом сносим всё, кроме раздела с виндовым загрузчиком, виндовому загрузчику подсовываем в ини-файл строку с чейном на файл, дэдэшнутый из раздела с grub. Всё, полный профит. Если только виндовый загрузчик чейнлодить разучится... Но тогда он и семёрки с вистами подгружать не сможет.
Так что не ссыте.

ЗЫ: а для нормальных людей сразу расцветёт бизнес по перешиванию материнок и покупатель будет правильно голосовать рублём в дополнение.

> только legacy bios,

Есть же OpenFirmware и OpenBIOS + CoreBoot

> Пользователь, как ты предлагаешь, так и так бы смог запускать любое говно, попутно подписывая и распространяя его.

Ну если он его подпишет сертификатом пользователя, оно будет работать только на его компе и ещё (может быть) там где SB отключено вообще.

И про политики, ACL, SELinux, AppArmor и аналоги тоже не слышал, да?

Слышал, слышал, но ведь в любом случае хардверная + софтовая защита лучше чем просто софтовая (правда как я уже говорил, можно было бы аппаратную защиту реализовать гораздо более простым способом ­— загрузочным носителем с RO

Не понимаю, за что весь кипеш? Если OEM-вендоры желают ограничить выбор ОС, которые можно ставить на их железо - то это их полное право. Пусть себе ограничивают - а рынок рассудит, что больше по нраву потребителю. Лично мне плевать на любые ОС кроме Windows на десктопах, а до серверов UEFI не доберется никогда.

> Аргумент про «пахакают» не катит, ибо эти системы позволяют ограничивать даже действия root'а.

Ну linux.com, kernel.org и winehq же похакали.. или там не было SELinux?

Это называется: через жопу

А ты любишь через рот?

>Не вряд ли.

Чтой-то ты там говоришь? http://www.absolute.com/en/products/computrace/features.aspx

Захочется вендору заставить пользователя сменить железо - отзывает сертификаты - для надёжности запускает вирус с той же функцией - все топают в саппорт, где им отказывают, ибо поддержка закончилась, и рекомендуют купить новое.

ФАС, Общество Защиты Прав Потребителей, срок службы.

Захочется какому-то государству вывести из строя промышленность на определённой территории - выясняют и отзывают сертификаты - выпускают вирус с той же функцией, для надёжности - все устройства на некоторой территории теряют сертификаты - лочатся.

Я даже не представляю, откуда ты высосал эту чушь про промышленные станки и прочее оборудование на десктопных мат. платах. А теперь просто скройся в своём бункере, параноик.

>а другое — произвести нетривиальные для чайника действия над запускаемым кодом

Ну так а что мешает отключить антивирус&файрволл/вендовые политики(UAC, да?)/эту новомодную SecureBoot по первому выданному гуглом гайду?

Ну так предлагается ввести сертификат, код, подписанный которым, будет запускаться только на одной материнской плате — от которой этот сертификат.

Ты тоже спецификацию UEFI не читал?

>Ну если он его подпишет сертификатом пользователя, оно будет работать только на его компе и ещё (может быть) там где SB отключено вообще.

И как ты это выдумал?

Слышал, слышал, но ведь в любом случае хардверная + софтовая защита лучше чем просто софтовая

Ммм... Бритва Оккама?

>Ну linux.com, kernel.org и winehq же похакали.. или там не было SELinux?

А что, администрация уже выкатила сценарий взлома? Или там было что-то большее, чем просто утащенный у разработчика SSH-ключ, из-за которого запустили полный аудит безопасности?

> кроме раздела с виндовым загрузчиком, виндовому загрузчику подсовываем в ини-файл строку с чейном на файл, дэдэшнутый из раздела с grub. Всё, полный профит. Если только виндовый загрузчик чейнлодить разучится... Но тогда он и семёрки с вистами подгружать не сможет.

Подписан должен быть не только загрузчик, но и вообще весь код, работающий на уровне ядра.

То есть прощай в винде загрузка предыдущих версий после апгрейда? Не верю. Это будет крах хомячкам и корпоративщикам.

Я люблю как у людей, поставил и работай. Ты же предлагаешь трахаться с двумя загрузчиками.

Я внезапно тоже люблю так, как и ты. Но, если придётся трахнуться с загрузчиками, трахнусь и с тремя.

> И когда неопытные пользователи просят подобрать им железо — тоже.

Оно, конечно, хорошо. Вот только гораздо чаще встречается ситуация, когда у пользователей уже есть железо, на котором уже прекрасно работает Windows, «а этот ваш люнипс не встаёт». И боюсь, предложение выкинуть материнскую плату не найдёт понимания даже у тех, кто заинтересовался было линуксом.

Добро пожаловать в свободный капиталистический мир.

> Интересно, чьё мнение производителям важнее: Microsoft или FSF? Дайте подумать...

На данный момент, разумеется, мнение Microsoft.

<авторитетное мнение>

UEFI, также как DRM, активация софта и прочие подобные плюшки нужны только для того, чтобы пугать хомячков. Сломают на третий день — ключ-то один на все матплаты. И будет grub подписывать сам себя при каждой установке, только и всего.

</авторитетное мнение>

> Вот они и предложили сделать такой вот запрет левых загрузчиков.

А что, одно противоречит другому? Я думаю, в MS прекрасно умеют сочетать приятное с полезным: и пиратские винды блокируют, и конкурирующие ОС. Официальной, естественно, будет первая причина, но вторая стратегически намного важнее.

(а антимонопольный комитет штатов и евросоюза таки вынудит производителей железа делать секьюр-бут отключаемым)

Объясни, пожалуйста, с чего ты решил, что антимонопольный комитет вообще этим озаботится? Их вполне устроит, если дистрибутивы пары коммерческих линуксов получат заветный ключик (что-то мне подсказывает, что первым будет Оракл), а все дистрибутивы, не связанные с ЫНТЫРПРАЙЗОМ, получат от ворот поворот.

Да, я очень хотел бы ошибиться.