Обматерить ради общего блага

Очень жаль. Но теперь она может форкнуть ядро, и показать как следует разрабатывать и лидить проект такого размера.

К сожалению я согласен с этим вашим утверждением. Порой лидер должен принимать хоть какое-то решение даже вслепую, просто потому что неопределённость обходится дороже. Демократия, обсуждение, консенсус, это всё хорошо лишь до некоторой степени.

Понимаю этих людей. Мне бы тоже было не приятно общаться с людьми, которые мне хамят, грубят и оскорбляют.

Удалить зонд

как сгенерировать свои собственные PK и KEK, как удалить предустановленные, как подписать собственный загручик и так далее.

Действительно, как? Я так понял, что основная проблема с SecureBoot в том, что производители системных плат и готовых ЭВМ не предоставляют возможности заменить ключи от MS.

Всё это время мой линукс разрабатывала баба?!

Ну ты и нагородил... Зачем превращать софт в комбайн?

А есть другие варианты запускать только подписанный код?

Связки PaX + SELinux вполне достаточно

Да и простого rwx вполне достаточно, пока дело не касается уязвимостей.

А подписывать каждый бинарь

По большому счёту, подписывать каждый бинарь излишне. Достаточно подписывать только то, что запускается при старте системы (демоны + autorun). То, что пользователь запускает сам - это его дело. Единственное исключение всякие trusted os с сертификатами НДВ, но там это очень даже нужно.

особенно на сорц-базед дистрах

Тут просто невозможно что-либо подписать заранее. Либо заводи отдельный билд-сервер и подписывай на нём, либо не используй. Собственно с подписанным ядром ровно та же ситуация.

На 3 матерях с secureboot, которые я тыкал, такая возможность была.

Это зависит от кривожопости вендора

Почитал их переписку. Линус Торвальдс мужик!

Мэтью Гаррет — один из директоров FSF, кстати.

отвергнуть [...], основываясь лишь на личных предубеждениях, без анализа сути

Я думал только на ЛОРе так, оказывается, это отличительная черта всего линукс сообщества

Я таки дико извиняюсь, но какого эта жареная хрень делает в новостях.

последней каплей для него стали некоторые решения

21 Feb 2013

Ну и слоупок

отвергнуть [...], основываясь лишь на личных предубеждениях, без анализа сути

Я думал только на ЛОРе так, оказывается, это отличительная черта всего линукс сообщества

s/всего линукс/любого человека и любого/

Кривожопость реальности

Это зависит от кривожопости вендора

Так-то оно так, только эта кривожопость волнует только 1% маргиналов. Выше уже писали: покупаешь ЭВМ, не можешь сменить ключи, не гарантийный случай, пролетаешь с возвратом. В следующий раз ищешь информацию в интернете, покупаешь ЭВМ с положительными отзывами, а тебе достаётся новая ревизия, в которой замена ключей уже глючит, пролетаешь опять. Жить-то приходится не в фантазиях, а в реальном мире.

MIPS, ARM

На 3 матерях с secureboot, которые я тыкал, такая возможность была.

В стане Wintel (AMD64, x86_64, EM64T) с этим ещё более или менее нормально, а на устройствах с ARM или MIPS?

Ну, да. Как-то так и есть. Покупаешь какой-нибудь фокскон, а он тебе методами партизанскими гадит через кривой DSDT. Проблема не в технологии, а в уродах, которые из них говно собирают.

Но это ж касается не только секуребута. Идея то хорошая, в целом.

В реальном мире лично у меня всего пяток девайсов, и новые я покупать не тороплюсь. 1% маргиналов 1% железа. Ничего не поделаешь.

а на устройствах с ARM или MIPS

На арм только недавно пришли к выводу он нужности uefi и худо-бедно стандартизировали uefi для arm64. На mips, насколько я в курсе, uefi вообще найти нереально.

А secureboot'ом там пока не пахнет.

Что там с ms surface хз. Вроде как вообще только личные ключи мс, так что даже подписанный ключом мс для дров линукс не запустишь, но было бы странно ожидать чего-то другого.

secure boot - это была именно попытка сделать а) тивоизацию под винду б) невозможность обойти подпись драйверов под винду, чтобы под виндой внедрять DRM.

попытка, к счастью, ПОКА ЧТО скорее провалилась, но это не значит, что враг стал белый и пушистый.

Да АНБ-то вообще как раз всё спокойно MS-овским ключом подпишет :)

UEFI это не анальный зонд, анальный зонд называется Secure boot.

фрибсд будет пилить теперь, уже заманивают. http://sarah.thesharps.us/2015/10/05/closing-a-door/#comment-147878

Я думал только на ЛОРе так, оказывается, это отличительная черта всего линукс сообщества

Ровно как и демонстративное хлопанье дверью.

Тогда крики тролошколоты про 1% станет фактом.

А, что это не факт?

Unless a male committer threatens a female committer. We all know how that goes. Don’t suggest unsafe places. FreeBSD core’s handling of that situation proved it is not a community that is welcoming to women.

Пусть к Тео идёт)

По ссылке всё правильно написано. Никаких личных предубеждений, исключительно грамотная техническая позиция.

как для человека с совершенно иными этическими принципами

А как же равенство?

UEFI это не анальный зонд, анальный зонд называется Secure boot.

Мэтью как раз занимался (и занимается) Secure boot.

-2 невменяемые истерички. Весьма характерно, что именно им не понравилась токсичность сообщества ядра — именно этим людям с высокой культурой общения, которые заменяли мнения, с которыми они были не согласны, на «fart fart fart».

да не, нормальный англоязычный синий чулок

Вот именно.

У меня встречный вопрос. Если FSF & Linux Foundation активно пилят свой CA LetsEncrypt, то нельзя ли расширить его полномочия до подписи bootloader и продавить это решение стандартом дабыиметь возможность прошить ключи в секурбут, устанавливающие доверие к LF LetsEncrypt CA?

fart fart fart fart

Хосспаде, и вот эта дама еще про «грамотные обсуждения без перехода на личности» рассуждает! Hypocrisy in a nutshell

Правильно, нетолерантность должна быть искоренена

в git будет теперь новая команда

$ git fuck <menteiner>

http://southparkstudios.mtvnimages.com/shared/locations/miscellaneous-devitze...

анальный зонд называется Secure boot.

хм. Почему secure boot является анальным зондом?

UEFI это не анальный зонд

UEFI - это проприетарная ось со своими драйверами и приложениями, которую ты, в отличии от венды, не можешь взять и выпилить с диска. Давай, расскажи, какой UEFI неанальный зонд.

Это радует, линуксокапец близко.

Ничуть не анальнее бивиса, зато хоть как-то стандартизированна.

EFI сам по себе большое зло.

Платных разработчиков ядра Linux и без того предостаточно!

Если выпилят поддержку не-m$ подписей то будет плохо. Остается лишь верить в антимонопольные органы западных стран, хотя в их порядочность я верю всё меньше и меньше...

фрибсд будет пилить теперь, уже заманивают.

Про фришный CoC она уже раньше высказывалась, цетирую: «Don't be easily offended» means «the only offense that matters is what the majority would find offensive.» E.g. white cis male.

Любому проекту будет лучше, если феминистки типа Сарочки будут оскобляться чувствами и отвлекать людей от работы где-нибудь в другом месте.

Вопрос спорный, но утверждать, что UEFI - не зонд - глупость.

Пожары возникают при спорах, когда люди продвигают какие-то свои идеи, а их не принимают. Это другие люди, активные.

Активность, она очень разная бывает, как и польза от оной. Истерички типа Адрии и Сары могут думать, что на самом деле пытаются улучшать коммюнити, защищают права майноритиз и все такое, но почему-то в результате с ними никто не хочет иметь дело и лишний раз убеждаются, что с воинствующими феминистками каши не сваришь и софт не попишешь.

баба с возу - антилопе легче

zink> Сабж проталкивал в ядро парсинг РЕ, чтобы из них выковыривать подпись от МС

Во-во - проталкивал подстилание экосистемы СПО под проприетарщиков. Мэтью Гаррет - это враг человечества.

Если выпилят поддержку не-m$ подписей то будет плохо

ну так-то да, конечно. Подобных «если» вообще можно пачку привести. Сам механизм-то вполне себе норм.

А в чем проблема написать открытую UEFI прошивку?

Я здесь имел ввиду поддержку одного производителя, который свою плату будет периодически обновлять. Ввиду отсутствия конкуренции доход для него был бы ощутимый.

В такой ситуации события будут развиваться таким образом: MS воспользуется своим монопольным положением и сделает так, что винда просто не будет нормально работать на материнках этого производителя, продавцы железа просто не будут продавать материнки, на которых не работает винда, а большинству линуксоидов довольно быстро поднадоест квест с добыванием матиринки, на которой линукс, таки, запустится. Ах, да, судебное разбирательство, почему винда не работает на материнках этого производителя компания-производитель не переживет. Юристы MS сумеют затянуть дело на много лет и много денег.

Hello, my name is Linus and I pronounce linux as this is not a dick-sucking contest.