Два чая этому лоровцу :) запостил в ту же минуту!

Желаю тебе удачи с этим. Всего лишь надо договориться с каждым производителем материнских плат. Тот же Мэтью Гаррет говорил, что пытался обсуждать поддержку «стандарта» подписывания загрузчиков вместо PE и что производители не против, если у него завалялась лишняя семизначная сумма. Каждому.

Твоё предложение — примерно о том же плюс о возврате к умершему BIOS. Оплачивать будешь наличными?

NT — это не ядро, это именно линейка ОС.

Основанных на ядре NT.

ядро — это ntoskrnl. попробуй понять смысл этого названия.

Это имя файла ядра.

Ого, бахнуло! ;D

Основанных на ядре NT.

в таком случае покажи, где Microsoft называет _ядро_ "NT".

Сара Шарп, один из участников Linux Foundation и разработчик подсистемы USB 3.0 в ядре, объявила об уходе из сообщества.

Может оно и хорошо ?

Очень жаль. Но теперь она может форкнуть ядро, и показать как следует разрабатывать и лидить проект такого размера.

+100500

Вместо распространения вестей о том, что SecureBoot — это злодейское изобретение MS для ограничения свободы пользователя

Как будто оно не так? Вот если бы по умолчанию ключа от Microsoft не было и вообще, как где-то предлагалось, каждая ОС при установке свой ключ импортировала, а изначально пул ключей был пустой — была бы не гадость.

Не забывай, что например на устройствах с Windows Phone и RT SecureBoot неотключаемый, а отключаемым на x86 его сделали только из-за давления пользователей, и то в требованиях для сертификации Windows 10 отключаемость SB уже не обязательна. Возможно, в следующих версиях Microsoft будет требовать, чтобы его ключ был единственным и неудаляемым.

this is not a dick-sucking contest

:-DD А что же?

Установи в биосе серийник харда, с которого можно грузиться.

А потом вытащи батарейку, сбрось тем самым настройки, и грузись с любого харда, с какого хочешь.

Fuck you

Nvidia!

Вывод: UEFI это DRM.

UEFI — это конечно не DRM, но штука весьма и весьма отвратительная. Начать хотя бы с того, что она обязательно требует файлы в формате Microsoft PE, и не поддерживает ELF или a.out, которые бы подошли гораздо лучше. И SecureBoot можно теоретически использовать и во благо, но в основном он используется против пользователей сейчас.

Зато XNU/Darwin стабильно развивается небольшой, но дружной и стабильной командой.

На десктопах пока нет.

А на мобилках и так творится с начала времён треш угар и содомия с залоченными проприетарными бутлоадерами. Что андроид, что iOS, что WP, только Убунта и Йолла ещё на что-то похожи.

Ты предлагаешь начать бороться тогда, когда тебя уже возьмут за яйца?

Нет, я предлагаю не передёргивать и не выдавать предполагаемое хоть и достаточно вероятное развитие событий за свершившийся факт. И, внезапно SecureBoot покуда есть возможность менять ключи - ничуть не хуже SELinux, покуда есть возможность менять policy. Если убрать и то и то - будет адская технология загона в стойло. Оставить - и технология обеспечения безопасности.

https://www.schneier.com/blog/archives/2009/10/evil_maid_attac.html перечисли бескостыльные способы защититься от этого.

В libreboot есть возможность сделать прошивку read-only (понадобится программатор, чтобы её поменять). Есть TrustedGRUB, не знаю, можно ли его впихнуть в LB, но скорее всего можно, он умеет проверять электронную подпись ядра. Я подозреваю, что и обычный grub2 может её проверить, конфиг GRUB в libreboot записывается в ту же микросхему, куда и весь остальной загрузчик, и можно из него убрать подгрузку конфига извне. Таким образом, не подписанное вашим сертификатом ядро на компьютере с libreboot просто не загрузится. Сертификат (приватную часть) можно хранить на флешке в сейфе и доставать только при обновлении ядра. Микросхему, чтобы к ней нельзя было подцепиться, можно залить эпоксидкой и пока не застыла, придавить сложной печатью. Впрочем остаётся конечно вариант, что горничная подменит всю материнскую плату или просто приклеит к корпусу изнутри жучок и тут уже способа на 100% защититься нету, если не разбирать компьютер каждый раз...

libreboot

У него офигенный список поддерживаемых ноутбуков.

NT - это не название ядра! Это линейка ОС, обозначает New Technology. У ядра венды нет названия (по крайней мере официального), ntoskrnl лишь означает, что это ядро ОС линейки NT... Да-да, просто ядро, без названий. Даже если бы у него было название, его не было бы в названии ОС, т.к. это бессмысленно, ибо никакого другого ядра в вендах нет и быть не может, в отличие от *nix семейства...

И да, X в Mac OS X - это 10. А до этого была Mac OS 9. ВНЕЗАПНО!

facepalm.жпг *sigh*

У фанатиков вафельниц видимо одна извилина на одну тему.

У него офигенный список поддерживаемых ноутбуков.

У coreboot побольше, но там местами нужен блоб VGABIOS

ути-ути

Ящитаю АНБ сможет подписать свой троянский загрузчик

Именно! Поэтому SecureBoot если не удалить ключ Microsoft, бесполезен и только вреден.

Поэтому, я полагаю, единственный вариант быть уверенным в загрузчике — это таскать его на флэшке.

В варианте, который я предложил, защита есть. Можно залить винты эпоксидкой чтобы твой компьютер не разобрали и поместить на нём много трудно компируемой фигни — голографические наклейки на щели корпуса повесить там...

ты измени «shit» на " shit " и ты прозреешь.

Copyright (C) 2007 Matsushita Electric Industrial Co., Ltd.

P.S.: в убунте 15.04 на дефолтном ядре всего 1 фак и ни одного правильного шита

Ну так про это Гаррэт и трудился. Для бескостыльной реализации этого нужен парсер PE в ядре (что имхо всё же не нужно).

Зачем парсер PE в ядре? Есть libreboot, на его основе можно реализовать проверку подписи ядра, подписываемого своим ключом, а микросхему с libreboot можно залить эпоксидкой, чтобы никто не перепрошил.

теперь она может форкнуть ядро, и показать как следует разрабатывать и лидить проект такого размера.

Давно пора. Но лучше ей вложить силы в развитие Hurd, там хотя бы отличия от линукса будут не только организационные, но и технические.

Для этого нужен общелинуксячий удостоверяющий центр, в котором любой бедствующий энтузиаст-проприетарщик сможет подписать свой бинарь/модуль ядра и запустить его в любом дистре. Для этого все/большинство дистров должны включать сертификаты этого центра в свои подписанные ядра.

Зачем? Пусть каждый дистрибутив подписывает модули ядра перед тем как класть их в пакеты. А подписывать или нет проприетарные модули — уже решает каждый отдельный майнтейнер. Я бы в своём дистрибутиве не стал, например, так как они очевидно компрометируют всю безопасность системы и делают бессмысленным само подписание кода.

" shit "

Даже «\bshit\b» лучше. Никогда не обрамляй пробелами слова, которые хочешь найти: они могут оказаться в начале строки или рядом со знаком препинания, например.

Сара Шарп. Это, случайно, не в её честь назвали этот ваш C#? :-)

Зачем парсер PE в ядре? Есть libreboot, на его основе можно реализовать проверку подписи ядра, подписываемого своим ключом, а микросхему с libreboot можно залить эпоксидкой, чтобы никто не перепрошил.

Чтобы получить работающую защиту без потери гарантии и на практически любом современном x86-железе?

NT — это не ядро, это именно линейка ОС.

Основанных на ядре NT.

:) забавно, также как слово джип (я про понятие и его каверзы)

Начать хотя бы с того, что она обязательно требует файлы в формате Microsoft PE, и не поддерживает ELF или a.out, которые бы подошли гораздо лучше.

Почему именно ELF больше PE для firmware подходит? Да и вообще, виндовый PE - это модифицированная версия COFF. Учи матчасть, в общем.

XNU

Закопать и не насиловать. Я хоть маки уважаю, и на работе мак юзаю, но вот ядро у них откровенное дерьмо. Лучше б они туда от FreeBSD или линукса ядро взяли.

" shit "

\bshit\b или <\shit\>. Лор это такой убунтуфорум.

ибо никакого другого ядра в вендах нет и быть не может, в отличие от *nix семейства...

Сейчас не может, а в 2000 не-NT винды были в большинстве.

залить эпоксидкой

залить эпоксидкой

залить эпоксидкой

Ты с этой своей эпоксидкой, как с синей изолентой носишься, прям решение всех проблем... А ты вообще в курсе, что всю эту хрень можно аккуратненько снять не повредив микросхему?

Если это так, приведи мне достоверную статистику.

NT — это не ядро, это именно линейка ОС. ядро — это ntoskrnl. попробуй понять смысл этого названия.

Видал конечно неадекватов на ЛОРе, но чтобы таких....Ты вообще отделяешь понятия «Название ядра» от «Название исполняемого файла ядра»?

разумеется, разделяю. иначе я бы написал ntoskrnl.exe. повторюсь, Microsoft нигде не называет ядро "NT".

Microsoft нигде не называет ядро «NT».

Сам придумал?

http://storage2.static.itmages.ru/i/15/1008/h_1444282311_6184445_714b08c8ab.png

То есть, ты называешь прошивку операционной системой только на основании того, что она может предоставлять GUI?

А если на моей матери не работает libreboot? Пойти купить поддерживаемую?

Зачем? Пусть каждый дистрибутив подписывает модули ядра перед тем как класть их в пакеты.

Чтобы драйвер нвидиа/wifi/какая-нибудь неведомая хрень у простого пользователя, включившего secureboot смог заработать без чтения километровых портянок по генерации ключей, вкомпилирования их в ядро, поднятия отдельного билдсервера с приватным ключом и прочими танцами.

Убейся, нуб

но вот ядро OS X (Darwin, если быть точным) называется XNU, и в названии ОС оно не упомянуто. UNIX и его название здесь не при чём.

Ядро называется Mach, окружение называется XNU, голая ОС называется Darwin, а сочетание XNU/Mach + GUI называется OS X, причем Х в нем никакого отношения к юниксу не имеет, а просто римская цифра «десять». Тьху, развелось воинствующих дилетантов.

Ты с этой своей эпоксидкой, как с синей изолентой носишься, прям решение всех проблем... А ты вообще в курсе, что всю эту хрень можно аккуратненько снять не повредив микросхему?

Не в курсе. Ну можно чем-нибудь другим залить. Ну и вряд ли это можно сделать быстро, особенно если залить ей не только микросхему, но и винты, которые нужны для разборки.

А если на моей матери не работает libreboot? Пойти купить поддерживаемую?

Тогда проверь Coreboot, может быть оно будет работать но с блобом VGABIOS. Если и там нет, то да, больше никак.

Чтобы драйвер нвидиа/wifi/какая-нибудь неведомая хрень у простого пользователя, включившего secureboot смог заработать без чтения километровых портянок по генерации ключей

Они заведомо непроверяемы на отсутствие троянов, поэтому, если без них никак, проще просто выключить secureboot

Если и там нет, то да, больше никак.

Вот для этих случаев, а так же для тех, кто не хочет менять родную прошивку матери, Гаррэт и хотел запилить парсер PE, на что Торвальдс посоветовал поискать альтернативные решения.

Они заведомо непроверяемы на отсутствие троянов, поэтому, если без них никак, проще просто выключить secureboot

А ещё проще сделать chmod -R 777 / . Некоторые проги правда на такое обидяться, но тем не менее.

Большая часть людей клала на этот ваш АНБ. Им важно, чтобы Вася Пупкин из соседнего подъезда не добрался до их банк-клиента, логинов/паролей и порнушки. Или чтобы злые хакеры не угнали всю базу клиентов какого-нибудь сервиса. Или чтобы с сервера спам не рассылался.

И удостоверяющий центр микросовта для этих целей вполне подходит, так же как и дрова нвидии и броадкома. И да, на всякий случай повторюсь, я не считаю наличие парсера PE в ядре и привязку к сервисам мс хорошим решением, я говорю о том, что проблема есть, а хороших путей решения пока нет.

Ну а если ты собрался бороться с АНБ, то лучше начать с изучения своей материнки на предмет наличия гипервизора, TPM и прочих страшных штук. Убедиться, что ты не можешь провести полный аудит и сделать вдольchmod 777.

Если тебе не нравится Линус, значит тебе не нравится линукс. Снеси линукс, пересядь на винду/мак, молись на Тима Кука, и закрой пожалуйста вкладку с ЛОР.

А с какой стати я должен на кого-либо молиться? Нормальные люди используют лучшую по их мнению ОС, а не поклоняются её создателю.

Ядро называется Mach, окружение называется XNU

нет, ядро называется XNU и в нём есть код Mach, но оно не микроядерно.

Б-же, да что ж ты такой тугой-то? Это указание принадлежности ядра, а не название... С тем же успехом они могли написать System Kernel или Kernel of NT... У тебя там, кстати, чуть ниже Wolfram Kernel, не думаешь же ты, что это название ядра такое - Wolfram? Нет же, т.к. это указание принадлежности ядра, а не название... Кончай уже смешить людей!