На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
Здравствуйте, minorlogic, Вы писали:
M>UEFI: долгожданный наследник BIOS и заклятый друг Linux M>http://www.3dnews.ru/offsyanka/618151/
M>На смену старой, как компьютерный мир, системе BIOS приходит нечто совершенно новое под названием UEFI. К сожалению, помимо массы полезных новшеств, UEFI принесет с собой немало проблем. Так, не исключено, что уже в следующем году установка некоторых дистрибутивов Linux на новые компьютеры станет попросту невозможной…
Ну и что за бред? EFI, если что, используется на маках уж не знаю сколько.
Linux дружит с EFI чуть ли не со времен появления первых спецификаций (кстати, coreboot (бывший OpenBIOS), по-моему, тоже умеет быть EFI).
А вот от XP народу придется отказаться. MS держит EFI только с Vista/7.
Здравствуйте, DOOM, Вы писали:
DOO>Ну и что за бред? EFI, если что, используется на маках уж не знаю сколько. DOO>Linux дружит с EFI чуть ли не со времен появления первых спецификаций (кстати, coreboot (бывший OpenBIOS), по-моему, тоже умеет быть EFI). DOO>А вот от XP народу придется отказаться. MS держит EFI только с Vista/7.
Речь в статье не о UEFI в целом , а о подписанных рагрузчиках.
Здравствуйте, minorlogic, Вы писали:
M>Речь в статье не о UEFI в целом , а о подписанных рагрузчиках.
Эту опцию можно просто отключить.
At the end of the day, the customer is in control of their PC. Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves. We work with our OEM ecosystem to provide customers with this flexibility. The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision.
Здравствуйте, Don Reba, Вы писали:
M>>Речь в статье не о UEFI в целом , а о подписанных рагрузчиках.
DR>Эту опцию можно просто отключить.
DR>
At the end of the day, the customer is in control of their PC. Microsoft’s philosophy is to provide customers with the best experience first, and allow them to make decisions themselves. We work with our OEM ecosystem to provide customers with this flexibility. The security that UEFI has to offer with secure boot means that most customers will have their systems protected against boot loader attacks. For the enthusiast who wants to run older operating systems, the option is there to allow you to make that decision.
Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите.
Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Summary: We don't really support secure boot right now, but that's ok because you can't buy any hardware that supports it yet. Adding support is probably about a week's worth of effort at most.
Конечно, меня больше бы устроило сообщение, что дебианщики готовы к Secure boot (все-таки они некоммерческие). Но, думаю, и они решат вопрос (пока что-то даже обсуждений не нашел).
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств.
Вы часто покупаете фирменные компы в сборе? На ноутбуках и планшетах подделка SLIC не требуется.
Здравствуйте, Константин Б., Вы писали:
ТКС>>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств.
КБ>Вы часто покупаете фирменные компы в сборе?
А при чем здесь я? И фирменные компы в сборе?
КБ>На ноутбуках и планшетах подделка SLIC не требуется.
Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Uzumaki Naruto, Вы писали:
UN>Бред полный... если что-то в ядре будет не совместимо — выйдет просто новая версия ядра, если ядро уже не поддерживает... надо глядеть changes...
Не совместима будет лицензия, заставляющая делать публичным ключ для подписи GRUB'а и принцип "защиты", требующий, чтобы кто попало не мог подписать загрузчик. Это исправить гораздо труднее, чем просто код
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Здравствуйте, Константин Б., Вы писали: ТКС>>>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств. КБ>>Вы часто покупаете фирменные компы в сборе? ТКС>А при чем здесь я? И фирменные компы в сборе?
Ну если кто и будет делать неотключаемый секьюр-бут — то это будут оем-партнеры микрософт.
КБ>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
Здравствуйте, Константин Б., Вы писали:
ТКС>>Здравствуйте, Константин Б., Вы писали: ТКС>>>>Конечно, бутлоадер аттак настолько много, что окончательная победа над ними — единственное, чего не хватает для полной безопасности, хуже только BIOS-вирусы Не смешите. ТКС>>>>Зато основным методом пиратской активации Windows (причем, практически безупречным) является подделка SLIC с помощью бутлоадера. Так что MS сделает все, чтобы "безопасная" загрузка была неотключаемой в как можно большем числе устройств. КБ>>>Вы часто покупаете фирменные компы в сборе? ТКС>>А при чем здесь я? И фирменные компы в сборе?
КБ>Ну если кто и будет делать неотключаемый секьюр-бут — то это будут оем-партнеры микрософт.
Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
КБ>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>Одинаковые.
Значит, SLIC 3.0 сделают разные.
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
КБ>>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>>Одинаковые.
ТКС>Значит, SLIC 3.0 сделают разные.
Когда сделают — тогда и будем думать, а сказки — это в детский сад.
Здравствуйте, blackhearted, Вы писали:
КБ>>>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>>>Одинаковые.
ТКС>>Значит, SLIC 3.0 сделают разные.
B>Когда сделают — тогда и будем думать, а сказки — это в детский сад.
Да конечно, бум ждать пока жареный петух в жопу клюнет, а до этого — и думать не моги
Одним из 33 полных кавалеров ордена "За заслуги перед Отечеством" является Геннадий Хазанов.
Здравствуйте, Тот кто сидит в пруду, Вы писали:
ТКС>Здравствуйте, blackhearted, Вы писали:
КБ>>>>>>На ноутбуках и планшетах подделка SLIC не требуется. ТКС>>>>>Вот тут я не в курсе, если например, стукнет в голову винду с хоум премиум на ультимейт сменить — та SLIC, что биос выставляет, годится? Или они для разных редакций разные?
КБ>>>>Одинаковые.
ТКС>>>Значит, SLIC 3.0 сделают разные.
B>>Когда сделают — тогда и будем думать, а сказки — это в детский сад.
ТКС>Да конечно, бум ждать пока жареный петух в жопу клюнет, а до этого — и думать не моги
именно, как с Ipv6.
Всем пофигу на страшные сказки таких вот паникёров.
Здравствуйте, minorlogic, Вы писали:
M>UEFI: долгожданный наследник BIOS и заклятый друг Linux
А что тут обсуждать ? Всё ясно и понятно как божий день. Ключевой вопрос во всех этих технологиях, преподносимых как очередная защита от вирусов и прочей нечести один — кто выбирает чему доверять — пользователь (администратор) или производитель? Если выбирает пользователь, то, очевидно что это — защитный механизм. Если за пользователя без вариантов всё решает производитель, то это очередная копирастия и анальное рабовладение под благоприятным предлогом "зашиты". Точка. Всё давно уже разжёвано куда катимся. Ждём чипованых PC и/или jailbreak/root
Сомневаюсь что будет возможность сгенерировать собственный ключ, прошить его в BIOS UEFI и подписать свой загрузчик чтобы это работало на своём компьютере. Точно так же как сейчас нельзя сгенерировать свой сертификат, установить его на свой компьютер и подписать свой драйвер, чтобы он загружался в обычном (не "отладочном" с плясками через F8) режиме на Windows Vista/7 x64. Без "божественного одобрения" со стороны Micro$oft (чехарда с кросс-сертификатами) и выкладывания бабок за "сертификат разработчика" индейская национальная изба "фигвам", а не драйвер для себя. Маразм и только.
Касательно проблемы вирусов в BIOS, от которых и собираются защищаться — после знаменитого "Чернобыля" производителями было принято верное решение — аппаратная перемычка на материнской плате, защищающая BIOS от перезаписи. Однако, если посмотреть на современные материнские платы там этой перемычки почему-то не обнаруживается и уже как фича производителями преподносится обновление BIOS прямо из ОС Windows через фирменную утилиту в полуавтоматическом режиме (сама скачивает обновление BIOS). В итоге получаются вот такие подарки которые уже 100500 лет назад были железно побеждены, но нет же, перемычка это дорого и не модно, вот программный огород с ключами и "божественным одобрением" это да, сила. Просто в варианте с перемычкой всё решать будет пользователь, а в случае софта с ключами — производитель...
И кстати, задумайтесь, почему на USB флешках когда-то были аппаратные переключатели защиты от записи, но потом волшебным образом испарились и теперь их на современных флешках днём с огнём не найдёшь ? Вот кому они мешали ? В самом деле, кто будет покупать дурнопахнущие поделия "антивирусы" для удаления очередного autorun.inf с флешки если этот самый autorun.inf+exe-довесок туда просто не запишется ? По личной статистике — в 70-80% случаев вставки флешки в "сомнительный" компьютер от неё требовался доступ read only — посмотреть/распечатать/скинуть кому-то копию файлов.
ТКС>Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Здравствуйте, Vamp, Вы писали:
V>Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Я бы не был таким оптимистом — продавят.
Но я не думаю, что возникнут большие проблемы у Linux сообщества в получении валидной подписи (честно говоря, читая описание проблемы, но не читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3).
Здравствуйте, Vamp, Вы писали:
ТКС>>Майкрософту от неотключаемой проверки загрузчика на поставляемых с виндой компутерах ни горячо, ни холодно — за винду уже уплачено. А вот надавить на своих оем-партнеров, чтобы они в продаваемых без винды железяках проверочку неотключаемой делали — это им очень даже выгодно.
V>Поди продави. Те им фингер покажут. Иначе, потому что им кастомеры его же и продемонстрируют.
Вспоминается история как еще в 97-м примерно году Compaq вдруг после разговора его директора с Б.Гейтцем внезапно поменял операционную систему на своем будущем наладонике. Уже готова была BeOS (даже вроде небольшая партия успела разойтись), внезапно стала тормозная первая WinCE. А уж на OEM-надавить — раз плюнуть. Это даже не надавливание будет, а просто условия поставки. Во всяком случае вероятность высокая и вполне такие запреты в духе современного запретительства. Вон на приставки Sony запрещает ставить что-то свое и даже преследует тех, кто ломает ограничения.
DOO>читая описание Secure boot, я так и не понял, где там камень преткновения с GPLv3).
Я так понимаю в том, что подписывать придется за деньги. Хотя я вообще статью не читал, только комментарии тут )
Не смешите.
