Přijde mi, že se význam (v pozitivním slova smyslu) Secure Bootu hrubě přeceňuje. Pokud je mi známo, přináší to více nevýhod než výhod, přičemž výhoda v podobě vyšší bezpečnosti je v případě Windows asi taková, jako kdyby hovno mělo čepici, aby méně smrdělo.
+1
-2
-1
Je komentář přínosný?
Přijde mi, že se význam (v
WIFT https://diit.cz/autor/wift
29. 1. 2013 - 12:41https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskusePřijde mi, že se význam (v pozitivním slova smyslu) Secure Bootu hrubě přeceňuje. Pokud je mi známo, přináší to více nevýhod než výhod, přičemž výhoda v podobě vyšší bezpečnosti je v případě Windows asi taková, jako kdyby hovno mělo čepici, aby méně smrdělo.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642600
+
Vyznam ma tam, kde je vice zubu nez-li mozkovych bunek, coz je take cilova stanice Secure Boot. Druhotny prinost vidim v tom, ze je to dalsi prvek, jak zabranit pripojit se do cloudu na"neproverenem". To, ze to tech 10 - 20% muze jen stvat je nepodstane, protoze si to zajemce nalakane marketingem najde.
+1
-1
-1
Je komentář přínosný?
Vyznam ma tam, kde je vice
Matydot https://diit.cz/profil/matydot
29. 1. 2013 - 15:11https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseVyznam ma tam, kde je vice zubu nez-li mozkovych bunek, coz je take cilova stanice Secure Boot. Druhotny prinost vidim v tom, ze je to dalsi prvek, jak zabranit pripojit se do cloudu na"neproverenem". To, ze to tech 10 - 20% muze jen stvat je nepodstane, protoze si to zajemce nalakane marketingem najde. https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642609
+
Já v tom vidím výhradně pokus Microsoftu, jak zajistit, aby je nikdo nevytlačoval z trhu, což reálně hrozí a MS to evidentně vidí.
Jak by mohl Secure Boot zabránit, aby se někdo nepřipojil k na síti veřejně dostupné službě, když jediné, čemu brání, je spouštění neschálených OS na hardwaru vybaveném Secure Bootem?
Pokud nechci dovolit přístup k webové službě, tak musí ochrana vycházet z té webové služby (udržované, aktualizované, opravované), která si ověří připojující se zařízení a totožnost uživatele. Nelze přece spoléhat na to, že ochrana volně rozdistribuovaná po celém světě v milionech zařízení všude a trvale odolá.
cituji: "Horší už to je s ARM architekturou, kde Microsoft vyžaduje, aby Secure Boot vypnout nešel."
Mimochodem - osobně používám Gentoo Linux, jádro obvykle vanilla konfigurované na míru hardwaru. To je přesně situace, kterou Secure Boot velmi kompiluje až znemožňuje.
+1
-3
-1
Je komentář přínosný?
Já v tom vidím výhradně pokus
zx cygnus https://diit.cz/profil/cygnus
29. 1. 2013 - 17:26https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseJá v tom vidím výhradně pokus Microsoftu, jak zajistit, aby je nikdo nevytlačoval z trhu, což reálně hrozí a MS to evidentně vidí.
Jak by mohl Secure Boot zabránit, aby se někdo nepřipojil k na síti veřejně dostupné službě, když jediné, čemu brání, je spouštění neschálených OS na hardwaru vybaveném Secure Bootem?
Pokud nechci dovolit přístup k webové službě, tak musí ochrana vycházet z té webové služby (udržované, aktualizované, opravované), která si ověří připojující se zařízení a totožnost uživatele. Nelze přece spoléhat na to, že ochrana volně rozdistribuovaná po celém světě v milionech zařízení všude a trvale odolá.
Viz http://www.root.cz/clanky/secure-boot-nepodepsanym-systemum-vstup-zakazan/
cituji: "Horší už to je s ARM architekturou, kde Microsoft vyžaduje, aby Secure Boot vypnout nešel."
Mimochodem - osobně používám Gentoo Linux, jádro obvykle vanilla konfigurované na míru hardwaru. To je přesně situace, kterou Secure Boot velmi kompiluje až znemožňuje.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642616
+
O to přece vůbec nejde. Dej si pod čepici, co chceš, o Windows řeč vůbec nebyla.
Jde o to, že pan Ježek obviňuje secure boot z toho, že pánové (a dámy) při programování nedomýšlejí důsledky.
+1
0
-1
Je komentář přínosný?
O to přece vůbec nejde. Dej
Pety https://diit.cz/profil/petyy
29. 1. 2013 - 17:28https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseO to přece vůbec nejde. Dej si pod čepici, co chceš, o Windows řeč vůbec nebyla.
Jde o to, že pan Ježek obviňuje secure boot z toho, že pánové (a dámy) při programování nedomýšlejí důsledky.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642617
+
MS = Winsdows 8 = SecureBOOT => spousta lidí to tak vnímá, tudíž přirozená asociace.
Ne, pan Ježek stejně jako já obviňujeme microsoft z nekalé soutěže, kdy jedna strana zneužije svého postavení a vnucuje něco, co BFU nic nepřinese a zbytku jen otravuje život (ano, i těm co budou chtít v budoucnu použít např. Hiren's BootCD na záchranu dat). Samo, bez dokumentace, trošku to připomíná ACTA v HW světě.
Je mi jasné, chtít zrovna po vás vcítění se do druhé strany je nad vaše chápání a možnosti.
+1
-5
-1
Je komentář přínosný?
MS = Winsdows 8 = SecureBOOT
gurulix https://diit.cz/profil/gurulix
29. 1. 2013 - 21:37https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseMS = Winsdows 8 = SecureBOOT => spousta lidí to tak vnímá, tudíž přirozená asociace.
Ne, pan Ježek stejně jako já obviňujeme microsoft z nekalé soutěže, kdy jedna strana zneužije svého postavení a vnucuje něco, co BFU nic nepřinese a zbytku jen otravuje život (ano, i těm co budou chtít v budoucnu použít např. Hiren's BootCD na záchranu dat). Samo, bez dokumentace, trošku to připomíná ACTA v HW světě.
Je mi jasné, chtít zrovna po vás vcítění se do druhé strany je nad vaše chápání a možnosti.
https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642656
+
Tak je to s Linuxem vždycky. Jakoukoli novou technologii nejdřív ignorují, pak na ni nadávají, pak vznikne několik vzájemně nekompatiblilních impementací, funguje to polovičatě a nakonec je zastaralá. :-)
+1
-2
-1
Je komentář přínosný?
Tak je to s Linuxem vždycky.
Jaroslav Houdek https://diit.cz/profil/elhocid
29. 1. 2013 - 18:33https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseTak je to s Linuxem vždycky. Jakoukoli novou technologii nejdřív ignorují, pak na ni nadávají, pak vznikne několik vzájemně nekompatiblilních impementací, funguje to polovičatě a nakonec je zastaralá. :-)https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642631
+
"Jakoukoli novou technologii nejdřív ignorují..." Linux typicky nejnovejsi technologie implementuje jako prvni. I secure boot se zacal resit prakticky hned, problem ale je, ze to cele ma pod palcem Microsoft a je to site predevsim na jeho pozadavky a ostatni se tak musi budto nejak prizpusobit nebo si najit svoji cestu. Ne kazdy se chce prizpusobovat. Microsoft navic nemusi resit uzivatelske akce, jelikoz z principu sve uzavrenosti svym uzivatelum nic takoveho nedovoluje.
+1
-4
-1
Je komentář přínosný?
"Jakoukoli novou technologii
Solitary https://diit.cz/profil/solitary
29. 1. 2013 - 22:31https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse"Jakoukoli novou technologii nejdřív ignorují..." Linux typicky nejnovejsi technologie implementuje jako prvni. I secure boot se zacal resit prakticky hned, problem ale je, ze to cele ma pod palcem Microsoft a je to site predevsim na jeho pozadavky a ostatni se tak musi budto nejak prizpusobit nebo si najit svoji cestu. Ne kazdy se chce prizpusobovat. Microsoft navic nemusi resit uzivatelske akce, jelikoz z principu sve uzavrenosti svym uzivatelum nic takoveho nedovoluje.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642670
+
30. 1. 2013 - 00:46https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseKdo chce psa bíti, hůl si vždy najde.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642681
+
1/ Kolik lidí si koupí Apple hardware, aby používali jiný OS?
Osobně znám pár lidí, kteří na MacBooku používají výhradně Windows 7, ale zároveň většina z nich "nadává" na pitomou klávesnici (chybí klávesy užitečné pro práci ve Windows) a blbý touchpad (neoddělená tlačítka). Linux má problém přesně stejný. Zbytečná komplikace, když si mohu zvolit jiný hardware, který tyto problémy nemá (nemluvě o poměru cena výkon).
2/ Kde jinde než na Apple hardwaru se Thunderbolt vyskytuje?
+1
-1
-1
Je komentář přínosný?
Přesně tak.
1/ Kolik lidí si
zx cygnus https://diit.cz/profil/cygnus
30. 1. 2013 - 11:01https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskusePřesně tak.
1/ Kolik lidí si koupí Apple hardware, aby používali jiný OS?
Osobně znám pár lidí, kteří na MacBooku používají výhradně Windows 7, ale zároveň většina z nich "nadává" na pitomou klávesnici (chybí klávesy užitečné pro práci ve Windows) a blbý touchpad (neoddělená tlačítka). Linux má problém přesně stejný. Zbytečná komplikace, když si mohu zvolit jiný hardware, který tyto problémy nemá (nemluvě o poměru cena výkon).
2/ Kde jinde než na Apple hardwaru se Thunderbolt vyskytuje?
https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642713
+
Par zakladnich desek uz to ma, ale stale to neni zadna masovka. A mam takovy dojem, ze asi ani nikdy nebude...
+1
0
-1
Je komentář přínosný?
Par zakladnich desek uz to
Solitary https://diit.cz/profil/solitary
30. 1. 2013 - 14:00https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskusePar zakladnich desek uz to ma, ale stale to neni zadna masovka. A mam takovy dojem, ze asi ani nikdy nebude...https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642740
+
Sorry, ale secure boot mě už sedm let živí. Aktivity Linuxu v tomhle oboru přišly hodně pozdě a jsou od začátku k smíchu.
Zaprvé to není otázka jedné firmy (MSFT) ale skupiny desítek společností (kde figurují i třeba Intel nebo Google). To, že Microsoft je tahounem vývoje v tomhle oboru je logické, udělali spoustu práce. Ivnestovali spoustu poněz. Ale není to one man show.
Pro členy pracovní skupiny jsou specifikace přístupné ke komentování a návrhům dlouho před oficiální publikací pro veřejnost. Pro některé subsystémy MSFT publikoval i referenční zdrojové kódy v C.
Bohužel zevnitř to vypadá tak, že jediný MSFT pracuje a ostatní se vezou a zvenčí to vypadá tak, že MSFT je ten zlý a ostatní utiskuje.
+1
-1
-1
Je komentář přínosný?
Sorry, ale secure boot mě už
Jaroslav Houdek https://diit.cz/profil/elhocid
30. 1. 2013 - 10:08https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseSorry, ale secure boot mě už sedm let živí. Aktivity Linuxu v tomhle oboru přišly hodně pozdě a jsou od začátku k smíchu.
Zaprvé to není otázka jedné firmy (MSFT) ale skupiny desítek společností (kde figurují i třeba Intel nebo Google). To, že Microsoft je tahounem vývoje v tomhle oboru je logické, udělali spoustu práce. Ivnestovali spoustu poněz. Ale není to one man show.
Pro členy pracovní skupiny jsou specifikace přístupné ke komentování a návrhům dlouho před oficiální publikací pro veřejnost. Pro některé subsystémy MSFT publikoval i referenční zdrojové kódy v C.
Bohužel zevnitř to vypadá tak, že jediný MSFT pracuje a ostatní se vezou a zvenčí to vypadá tak, že MSFT je ten zlý a ostatní utiskuje.
https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642706
+
RH to vyresil, nechal si podepsat certifikat jako M$ a tak se bude tvarit jako Windows ;-)) jednoduse genialni, samozrejme ze to nema nic privezt, jedine zisky M$ a kontrolu obsahu, co na PC bezi
+1
+1
-1
Je komentář přínosný?
RH to vyresil, nechal si
Izak https://diit.cz/profil/izak
31. 1. 2013 - 10:28https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseRH to vyresil, nechal si podepsat certifikat jako M$ a tak se bude tvarit jako Windows ;-)) jednoduse genialni, samozrejme ze to nema nic privezt, jedine zisky M$ a kontrolu obsahu, co na PC bezihttps://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642809
+
Naopak jej pochopili a diky tomu, ze casto je pristupny i pres net, nabizi slusnou slusnou diru do OS a tomu se chteji linuxaci vyhnout, na druhou stranu, kdo uspava servery ;-))
+1
0
-1
Je komentář přínosný?
Naopak jej pochopili a diky
Izak https://diit.cz/profil/izak
31. 1. 2013 - 10:14https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseNaopak jej pochopili a diky tomu, ze casto je pristupny i pres net, nabizi slusnou slusnou diru do OS a tomu se chteji linuxaci vyhnout, na druhou stranu, kdo uspava servery ;-))https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642808
+
Myslim ze vetsina lidi nepochopila Secure Boot a jeho vyznam. Zkuste se zamyslet nad tim, ceho se ma danou technologii dosahnout - tj. nastartovani presne toho systemu, ktery vyrobce (nebo uzivatel) zamyslel. Pro zaruceni bezpecnosti nestaci ono nuceni z jedne strany (biosu) ale je potreba spoluprace i toho systemu, ktery by se za zabezpeceny rad povazoval, aby pridana bezpecnost nebyla narusena.
Kdyz povolite hibernaci a kexec na systemu ktery by mel byt "Secure by SecureBoot", tak tim tuto technologii narusujete - mezi hibernaci a probuzenim vam totiz nekdo muze zmenit ulozeny ram image a vlozit tam svuj zly kod. Stejne s kexec - rekneme trojansky proces s root pravy vam muze vymenit kernel za takovy, kde jiz prezenci trojana nezjistite.
Je to stejne jako s jakymkoliv sifrovanim - pokud se vyzradi klic, nebo system bude obsahovat backdoor, bezpecnost je fuc. Prece taky nenechate klice od baraku pod rohozkou, nebo otevrena okna :)
Kdyby existovala jednoducha moznost podepisovani systemu, tak je secure boot krasna technologie na ochranu proti modifikaci (jsem vyvojarem embedded veci, kde opravdu neni zadouci aby se nekdo v tom rypal). Jsem ale spis skepticky - doposud zadna sw technologie ochrany nevydrzi - kdyz to ma fungovat tak system musi byt sobestacne spustitelny :)
+1
-3
-1
Je komentář přínosný?
Myslim ze vetsina lidi
danieel https://diit.cz/profil/danieel
29. 1. 2013 - 19:13https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseMyslim ze vetsina lidi nepochopila Secure Boot a jeho vyznam. Zkuste se zamyslet nad tim, ceho se ma danou technologii dosahnout - tj. nastartovani presne toho systemu, ktery vyrobce (nebo uzivatel) zamyslel. Pro zaruceni bezpecnosti nestaci ono nuceni z jedne strany (biosu) ale je potreba spoluprace i toho systemu, ktery by se za zabezpeceny rad povazoval, aby pridana bezpecnost nebyla narusena.
Kdyz povolite hibernaci a kexec na systemu ktery by mel byt "Secure by SecureBoot", tak tim tuto technologii narusujete - mezi hibernaci a probuzenim vam totiz nekdo muze zmenit ulozeny ram image a vlozit tam svuj zly kod. Stejne s kexec - rekneme trojansky proces s root pravy vam muze vymenit kernel za takovy, kde jiz prezenci trojana nezjistite.
Je to stejne jako s jakymkoliv sifrovanim - pokud se vyzradi klic, nebo system bude obsahovat backdoor, bezpecnost je fuc. Prece taky nenechate klice od baraku pod rohozkou, nebo otevrena okna :)
Kdyby existovala jednoducha moznost podepisovani systemu, tak je secure boot krasna technologie na ochranu proti modifikaci (jsem vyvojarem embedded veci, kde opravdu neni zadouci aby se nekdo v tom rypal). Jsem ale spis skepticky - doposud zadna sw technologie ochrany nevydrzi - kdyz to ma fungovat tak system musi byt sobestacne spustitelny :)https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642641
+
Jedna věc je ochrana proti modifikaci (jádra) a druhá možnost volby (OS). Jako vývojař jste specifický případ.
+1
-1
-1
Je komentář přínosný?
Jedna věc je ochrana proti
gurulix https://diit.cz/profil/gurulix
29. 1. 2013 - 21:55https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseJedna věc je ochrana proti modifikaci (jádra) a druhá možnost volby (OS). Jako vývojař jste specifický případ.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642658
+
Myslim ze volba OS v pripade jednoucelovych zarizeni (tabletu) je nepodstatna vec. Ani dnes nemuzete na ipadech provozovat Linux a na kteremkoliv telefonu plny linux (kvuli S-ON), v blede modrem totez se tyka hernich konzolich (PS3 a spol). Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete.
Je to jako narikat ze AMD/VIA nedela procesory do s775 protoze mate supr desku kterou nechcete vyhodit.
+1
0
-1
Je komentář přínosný?
Myslim ze volba OS v pripade
danieel https://diit.cz/profil/danieel
29. 1. 2013 - 22:04https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseMyslim ze volba OS v pripade jednoucelovych zarizeni (tabletu) je nepodstatna vec. Ani dnes nemuzete na ipadech provozovat Linux a na kteremkoliv telefonu plny linux (kvuli S-ON), v blede modrem totez se tyka hernich konzolich (PS3 a spol). Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete.
Je to jako narikat ze AMD/VIA nedela procesory do s775 protoze mate supr desku kterou nechcete vyhodit.
https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642663
+
"Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete."
Otázkou je jak dlouho budu mít na výběr, než se MS postará, aby to nešlo...
+1
0
-1
Je komentář přínosný?
"Vzdy mate totiz na vyber
Naith https://diit.cz/profil/naith
29. 1. 2013 - 22:23https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse"Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete."
Otázkou je jak dlouho budu mít na výběr, než se MS postará, aby to nešlo...https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642669
+
Jak postará ? Zakáže výrobcům prodávat tablety s jiným OS ? Zvláště v době kdy má, a bude mít dominantní podíl trhu Google ?? Trochu paranoa ne ? A to nemluvím snad o tisíci asijských tabletů, ke kterým je vůbec problém dohledat, kdo to vyrobil.
+1
0
-1
Je komentář přínosný?
Jak postará ? Zakáže výrobcům
r23 https://diit.cz/profil/r23
29. 1. 2013 - 23:00https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseJak postará ? Zakáže výrobcům prodávat tablety s jiným OS ? Zvláště v době kdy má, a bude mít dominantní podíl trhu Google ?? Trochu paranoa ne ? A to nemluvím snad o tisíci asijských tabletů, ke kterým je vůbec problém dohledat, kdo to vyrobil.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642675
+
Jde spíše o NTB a značkové PC. Tam MS, kde je OEM licence "doporučí" znemožnit vypnutí SB.
+1
-7
-1
Je komentář přínosný?
Jde spíše o NTB a značkové
Naith https://diit.cz/profil/naith
30. 1. 2013 - 08:18https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseJde spíše o NTB a značkové PC. Tam MS, kde je OEM licence "doporučí" znemožnit vypnutí SB.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642693
+
To je opravdu takový problém si tu specifikaci přečíst ? Pro x86 MS jasně požaduje volbu v biosu k vypnutí SB.
+1
-2
-1
Je komentář přínosný?
To je opravdu takový problém
r23 https://diit.cz/profil/r23
30. 1. 2013 - 18:16https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseTo je opravdu takový problém si tu specifikaci přečíst ? Pro x86 MS jasně požaduje volbu v biosu k vypnutí SB.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642774
+
Ted ! protoze jeste nema W8 dost rozsirene, az budou, tak to zmeni, na to vsadim trenky ;-))
+1
-2
-1
Je komentář přínosný?
Ted ! protoze jeste nema W8
Izak https://diit.cz/profil/izak
31. 1. 2013 - 10:31https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseTed ! protoze jeste nema W8 dost rozsirene, az budou, tak to zmeni, na to vsadim trenky ;-))https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642812
+
Já bych si hlavně položil otázku, KDO o nějaký SecureBoot skutečně stojí. Celé to vypadá především jako snaha Microsoftu zase si začít upevňovat pozici, kterou ztrácí. Já nemám nic proti rozšířeným možnostem zabezpečení, ale ne takhle. Pokud SecureBoot, tak jedině s možností ho vypnout, pokud ho nechci. A i kdyby nic takového neexistovalo, tak bude stejně málokomu vadit, jestli na tom konkrétním kusu železa nabootuje jenom ten konkrétní OS, nebo i nějaký jiný, a jinak to bude jenom spíš dělat problémy :(.
+1
+4
-1
Je komentář přínosný?
Já bych si hlavně položil
sumix https://diit.cz/profil/sumix
30. 1. 2013 - 00:20https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseJá bych si hlavně položil otázku, KDO o nějaký SecureBoot skutečně stojí. Celé to vypadá především jako snaha Microsoftu zase si začít upevňovat pozici, kterou ztrácí. Já nemám nic proti rozšířeným možnostem zabezpečení, ale ne takhle. Pokud SecureBoot, tak jedině s možností ho vypnout, pokud ho nechci. A i kdyby nic takového neexistovalo, tak bude stejně málokomu vadit, jestli na tom konkrétním kusu železa nabootuje jenom ten konkrétní OS, nebo i nějaký jiný, a jinak to bude jenom spíš dělat problémy :(.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642679
+
Kdyby to byla služba pro uživatele, tak to bude fungovat uživatelsky přívětivě.
Např. tak., že když se pokusím nabootovat jiný OS, tak mne to na změnu upozorní a zeptá se, jestli to chci dovolit a zaznamená si kontrolní součet zavaděče. Pak už bootuje bez keců. Samozřejmě s možností tuhle ochranu kdykoli v setupu základní desky vypnout.
Nevidím důvod, proč by to mělo fungovat jinak, má-li to být uživateli užitečné.
+1
-3
-1
Je komentář přínosný?
Kdyby to byla služba pro
zx cygnus https://diit.cz/profil/cygnus
30. 1. 2013 - 11:20https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseKdyby to byla služba pro uživatele, tak to bude fungovat uživatelsky přívětivě.
Např. tak., že když se pokusím nabootovat jiný OS, tak mne to na změnu upozorní a zeptá se, jestli to chci dovolit a zaznamená si kontrolní součet zavaděče. Pak už bootuje bez keců. Samozřejmě s možností tuhle ochranu kdykoli v setupu základní desky vypnout.
Nevidím důvod, proč by to mělo fungovat jinak, má-li to být uživateli užitečné.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642717
+
V ďalších dňoch očakávajme tretí patch, ktorý boot zakáže nadobro.
+1
-2
-1
Je komentář přínosný?
V ďalších dňoch očakávajme
Archvile https://diit.cz/profil/archvile
29. 1. 2013 - 22:04https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseV ďalších dňoch očakávajme tretí patch, ktorý boot zakáže nadobro.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-642664
+
Nejlepší řešení pro Linux by bylo zakázat všechno kromě startu a vypnutí. Stále se jen řeší problémy, jen co začalo fungovat uspání na HDD a RAM na více než 50% strojů s klasickým BIOS, přijde UEFI a celá několika letá práce je zase v tahu. Ikdyž je Microsoft možná "grázl" aspoň nejsou problémy u nových technologií a jejich implementace je skoro bezchybná. Pokud vím i Microsoft velkou měrou přispívá na vývoj jádra Linux.
Přestaňte brečet a uznejte, že Linux se vyvíjí velice těžkopádně a vývojáři nedotahují svou práci dokonce.
Microsoft zase nebere ohledy na nic a na nikoho, a jeho produkty mají nesmyslnou datovou náročnost.
+1
-2
-1
Je komentář přínosný?
Nejlepší řešení pro Linux by
Nnet https://diit.cz/profil/nnet
2. 2. 2013 - 09:47https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuseNejlepší řešení pro Linux by bylo zakázat všechno kromě startu a vypnutí. Stále se jen řeší problémy, jen co začalo fungovat uspání na HDD a RAM na více než 50% strojů s klasickým BIOS, přijde UEFI a celá několika letá práce je zase v tahu. Ikdyž je Microsoft možná "grázl" aspoň nejsou problémy u nových technologií a jejich implementace je skoro bezchybná. Pokud vím i Microsoft velkou měrou přispívá na vývoj jádra Linux.
Přestaňte brečet a uznejte, že Linux se vyvíjí velice těžkopádně a vývojáři nedotahují svou práci dokonce.
Microsoft zase nebere ohledy na nic a na nikoho, a jeho produkty mají nesmyslnou datovou náročnost.https://diit.cz/clanek/kterak-uefi-secure-boot-znicil-hibernaci-a-exekucni-mechanismus-v-linuxovem-kernelu/diskuse#comment-643007
+
Titulek jak noha. Správě měl znít:
Kterak programátoři linuxového kernelu funkci Secure Bootu nepochopili
Přijde mi, že se význam (v pozitivním slova smyslu) Secure Bootu hrubě přeceňuje. Pokud je mi známo, přináší to více nevýhod než výhod, přičemž výhoda v podobě vyšší bezpečnosti je v případě Windows asi taková, jako kdyby hovno mělo čepici, aby méně smrdělo.
Asi tak. :-))))))))))))))
Vyznam ma tam, kde je vice zubu nez-li mozkovych bunek, coz je take cilova stanice Secure Boot. Druhotny prinost vidim v tom, ze je to dalsi prvek, jak zabranit pripojit se do cloudu na"neproverenem". To, ze to tech 10 - 20% muze jen stvat je nepodstane, protoze si to zajemce nalakane marketingem najde.
Já v tom vidím výhradně pokus Microsoftu, jak zajistit, aby je nikdo nevytlačoval z trhu, což reálně hrozí a MS to evidentně vidí.
Jak by mohl Secure Boot zabránit, aby se někdo nepřipojil k na síti veřejně dostupné službě, když jediné, čemu brání, je spouštění neschálených OS na hardwaru vybaveném Secure Bootem?
Pokud nechci dovolit přístup k webové službě, tak musí ochrana vycházet z té webové služby (udržované, aktualizované, opravované), která si ověří připojující se zařízení a totožnost uživatele. Nelze přece spoléhat na to, že ochrana volně rozdistribuovaná po celém světě v milionech zařízení všude a trvale odolá.
Viz http://www.root.cz/clanky/secure-boot-nepodepsanym-systemum-vstup-zakazan/
cituji: "Horší už to je s ARM architekturou, kde Microsoft vyžaduje, aby Secure Boot vypnout nešel."
Mimochodem - osobně používám Gentoo Linux, jádro obvykle vanilla konfigurované na míru hardwaru. To je přesně situace, kterou Secure Boot velmi kompiluje až znemožňuje.
O to přece vůbec nejde. Dej si pod čepici, co chceš, o Windows řeč vůbec nebyla.
Jde o to, že pan Ježek obviňuje secure boot z toho, že pánové (a dámy) při programování nedomýšlejí důsledky.
MS = Winsdows 8 = SecureBOOT => spousta lidí to tak vnímá, tudíž přirozená asociace.
Ne, pan Ježek stejně jako já obviňujeme microsoft z nekalé soutěže, kdy jedna strana zneužije svého postavení a vnucuje něco, co BFU nic nepřinese a zbytku jen otravuje život (ano, i těm co budou chtít v budoucnu použít např. Hiren's BootCD na záchranu dat). Samo, bez dokumentace, trošku to připomíná ACTA v HW světě.
Je mi jasné, chtít zrovna po vás vcítění se do druhé strany je nad vaše chápání a možnosti.
Tak je to s Linuxem vždycky. Jakoukoli novou technologii nejdřív ignorují, pak na ni nadávají, pak vznikne několik vzájemně nekompatiblilních impementací, funguje to polovičatě a nakonec je zastaralá. :-)
"Jakoukoli novou technologii nejdřív ignorují..." Linux typicky nejnovejsi technologie implementuje jako prvni. I secure boot se zacal resit prakticky hned, problem ale je, ze to cele ma pod palcem Microsoft a je to site predevsim na jeho pozadavky a ostatni se tak musi budto nejak prizpusobit nebo si najit svoji cestu. Ne kazdy se chce prizpusobovat. Microsoft navic nemusi resit uzivatelske akce, jelikoz z principu sve uzavrenosti svym uzivatelum nic takoveho nedovoluje.
No nevím, už funguje thunderbolt ??
Kdo chce psa bíti, hůl si vždy najde.
Přesně tak.
1/ Kolik lidí si koupí Apple hardware, aby používali jiný OS?
Osobně znám pár lidí, kteří na MacBooku používají výhradně Windows 7, ale zároveň většina z nich "nadává" na pitomou klávesnici (chybí klávesy užitečné pro práci ve Windows) a blbý touchpad (neoddělená tlačítka). Linux má problém přesně stejný. Zbytečná komplikace, když si mohu zvolit jiný hardware, který tyto problémy nemá (nemluvě o poměru cena výkon).
2/ Kde jinde než na Apple hardwaru se Thunderbolt vyskytuje?
Par zakladnich desek uz to ma, ale stale to neni zadna masovka. A mam takovy dojem, ze asi ani nikdy nebude...
Sorry, ale secure boot mě už sedm let živí. Aktivity Linuxu v tomhle oboru přišly hodně pozdě a jsou od začátku k smíchu.
Zaprvé to není otázka jedné firmy (MSFT) ale skupiny desítek společností (kde figurují i třeba Intel nebo Google). To, že Microsoft je tahounem vývoje v tomhle oboru je logické, udělali spoustu práce. Ivnestovali spoustu poněz. Ale není to one man show.
Pro členy pracovní skupiny jsou specifikace přístupné ke komentování a návrhům dlouho před oficiální publikací pro veřejnost. Pro některé subsystémy MSFT publikoval i referenční zdrojové kódy v C.
Bohužel zevnitř to vypadá tak, že jediný MSFT pracuje a ostatní se vezou a zvenčí to vypadá tak, že MSFT je ten zlý a ostatní utiskuje.
RH to vyresil, nechal si podepsat certifikat jako M$ a tak se bude tvarit jako Windows ;-)) jednoduse genialni, samozrejme ze to nema nic privezt, jedine zisky M$ a kontrolu obsahu, co na PC bezi
Naopak jej pochopili a diky tomu, ze casto je pristupny i pres net, nabizi slusnou slusnou diru do OS a tomu se chteji linuxaci vyhnout, na druhou stranu, kdo uspava servery ;-))
Myslim ze vetsina lidi nepochopila Secure Boot a jeho vyznam. Zkuste se zamyslet nad tim, ceho se ma danou technologii dosahnout - tj. nastartovani presne toho systemu, ktery vyrobce (nebo uzivatel) zamyslel. Pro zaruceni bezpecnosti nestaci ono nuceni z jedne strany (biosu) ale je potreba spoluprace i toho systemu, ktery by se za zabezpeceny rad povazoval, aby pridana bezpecnost nebyla narusena.
Kdyz povolite hibernaci a kexec na systemu ktery by mel byt "Secure by SecureBoot", tak tim tuto technologii narusujete - mezi hibernaci a probuzenim vam totiz nekdo muze zmenit ulozeny ram image a vlozit tam svuj zly kod. Stejne s kexec - rekneme trojansky proces s root pravy vam muze vymenit kernel za takovy, kde jiz prezenci trojana nezjistite.
Je to stejne jako s jakymkoliv sifrovanim - pokud se vyzradi klic, nebo system bude obsahovat backdoor, bezpecnost je fuc. Prece taky nenechate klice od baraku pod rohozkou, nebo otevrena okna :)
Kdyby existovala jednoducha moznost podepisovani systemu, tak je secure boot krasna technologie na ochranu proti modifikaci (jsem vyvojarem embedded veci, kde opravdu neni zadouci aby se nekdo v tom rypal). Jsem ale spis skepticky - doposud zadna sw technologie ochrany nevydrzi - kdyz to ma fungovat tak system musi byt sobestacne spustitelny :)
Jedna věc je ochrana proti modifikaci (jádra) a druhá možnost volby (OS). Jako vývojař jste specifický případ.
Myslim ze volba OS v pripade jednoucelovych zarizeni (tabletu) je nepodstatna vec. Ani dnes nemuzete na ipadech provozovat Linux a na kteremkoliv telefonu plny linux (kvuli S-ON), v blede modrem totez se tyka hernich konzolich (PS3 a spol). Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete.
Je to jako narikat ze AMD/VIA nedela procesory do s775 protoze mate supr desku kterou nechcete vyhodit.
"Vzdy mate totiz na vyber konkurencni platformu, kde si libovolny OS porad spustit muzete."
Otázkou je jak dlouho budu mít na výběr, než se MS postará, aby to nešlo...
Jak postará ? Zakáže výrobcům prodávat tablety s jiným OS ? Zvláště v době kdy má, a bude mít dominantní podíl trhu Google ?? Trochu paranoa ne ? A to nemluvím snad o tisíci asijských tabletů, ke kterým je vůbec problém dohledat, kdo to vyrobil.
Jde spíše o NTB a značkové PC. Tam MS, kde je OEM licence "doporučí" znemožnit vypnutí SB.
To je opravdu takový problém si tu specifikaci přečíst ? Pro x86 MS jasně požaduje volbu v biosu k vypnutí SB.
Ted ! protoze jeste nema W8 dost rozsirene, az budou, tak to zmeni, na to vsadim trenky ;-))
Já bych si hlavně položil otázku, KDO o nějaký SecureBoot skutečně stojí. Celé to vypadá především jako snaha Microsoftu zase si začít upevňovat pozici, kterou ztrácí. Já nemám nic proti rozšířeným možnostem zabezpečení, ale ne takhle. Pokud SecureBoot, tak jedině s možností ho vypnout, pokud ho nechci. A i kdyby nic takového neexistovalo, tak bude stejně málokomu vadit, jestli na tom konkrétním kusu železa nabootuje jenom ten konkrétní OS, nebo i nějaký jiný, a jinak to bude jenom spíš dělat problémy :(.
Kdyby to byla služba pro uživatele, tak to bude fungovat uživatelsky přívětivě.
Např. tak., že když se pokusím nabootovat jiný OS, tak mne to na změnu upozorní a zeptá se, jestli to chci dovolit a zaznamená si kontrolní součet zavaděče. Pak už bootuje bez keců. Samozřejmě s možností tuhle ochranu kdykoli v setupu základní desky vypnout.
Nevidím důvod, proč by to mělo fungovat jinak, má-li to být uživateli užitečné.
V ďalších dňoch očakávajme tretí patch, ktorý boot zakáže nadobro.
Nejlepší řešení pro Linux by bylo zakázat všechno kromě startu a vypnutí. Stále se jen řeší problémy, jen co začalo fungovat uspání na HDD a RAM na více než 50% strojů s klasickým BIOS, přijde UEFI a celá několika letá práce je zase v tahu. Ikdyž je Microsoft možná "grázl" aspoň nejsou problémy u nových technologií a jejich implementace je skoro bezchybná. Pokud vím i Microsoft velkou měrou přispívá na vývoj jádra Linux.
Přestaňte brečet a uznejte, že Linux se vyvíjí velice těžkopádně a vývojáři nedotahují svou práci dokonce.
Microsoft zase nebere ohledy na nic a na nikoho, a jeho produkty mají nesmyslnou datovou náročnost.
Pro psaní komentářů se, prosím, přihlaste nebo registrujte.