Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, сообщил (http://mjg59.dreamwidth.org/20303.html) о публикации для свободного использования минималистичного загрузчика Shim (http://www.codon.org.uk/~mjg59/shim-signed/), заверенного ключом Microsoft и пригодного для организации первичной загрузки Linux на системах с активным режимом безопасной загрузки UEFI, сертифицированных на предмет совместимости с Windows 8. Несмотря на то, что загрузчик изначально был создан для Fedora и SUSE Linux, он может быть без ограничений использован и другими дистрибутивами, у которых нет ресурсов или желания прохождения процесса заверения загрузчика в сервисе Microsoft.
Логика работы загрузчика Shim сводится к передаче управления основному загрузчику дистрибутива, который для обеспечения процесса безопасной загрузки должен быть заверен ключом, созданным создателем дистрибутива. Если загрузчик не заверен или заверен неизвестным ключом, пользователю будет выведено соответствующее предупреждение и процесс загрузки будет прерван, что послужит защитой от нецелевого использования Shim.Для задействования предлагаемого загрузчика разработчикам дистрибутива достаточно переименовать поставляемый бинарный файл shim.efi в bootx64.efi и разместить его в каталоге /EFI/BOOT на UEFI-разделе, одновременно поместив туда штатный загрузчик дистрибутива, например, скопировать grubx64.efi в случае использования GRUB 2. Далее следует сгенерировать ключи и подписать закрытым ключом загрузчик grubx64.efi. После перезагрузки Shim выведет меню, в котором пользователю дистрибутива нужно будет указать путь к сохранённому публичному проверочному ключу, который разработчики дистрибутива должны разместить на установочном носителе. Если выбранный пользователем ключ окажется корректным, процесс загрузки будет продолжен и управление перейдёт к предоставленному дистрибутивом загрузчику.
Так как Shim выступает в роли промежуточного звена, обеспечивая передачу управления загрузчику, создание и формирование подписи для которого находится в руках разработчиков дистрибутива, использующие Shim дистрибутивы могут на своё усмотрение выбирать методы дальнейшей верификации системы. Например, остановиться на методе Ubuntu и заверять только загрузчик, или последовать примеру Fedora и снабдить проверочными подписями ядро Linux и загружаемые модули.
Следует отметить, что организацией Linux Foundation продвигается (http://www.opennet.ru/opennews/art.shtml?num=35059) похожая инициатива, основанная на использовании загрузчика на основе efitools (http://git.kernel.org/?p=linux/kernel/git/jejb/efitools.git;...) и отличающаяся предоставлением возможности передачи управления не подписанным загрузчикам, после ручного подтверждения операции.
Напомним, что для сертификации оборудования на совместимость с Windows 8, компания Microsoft требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного проверочного ключа связан с большими организационными трудностями, потребовавшими бы согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку, что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux. Возможность заверения только первичного загрузчика, без формирования подписей для ядра и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена главным образом на защиту начальной стадии загрузки, до запуска ядра.
круто, испытаю,,,,
Ничего не понял, кроме того, что это будет работать.
А ведь вроде обещали с secure boot за счёт уличной магии загрузка может сократиться в несколько раз. Я так понимаю, этот chainloading в принципе исключает такую возможность. Знающие, объясните.
Сам имею uefi - ami aptio V, но тут всё ровненько грузиться с грубого2
Кто такую глупость говорил?! Secure Boot обеспечивает целостность загрузчика и защищает его от подмены. При чём здесь скорость загрузки? Фактически это лишь ещё одно звено в цепочке загрузки.
Вот тут улыбчивый китаец наглядно показывает, что к чему http://www.youtube.com/watch?v=JdOAvlncCOw. Может это фишка не конкретно Secure Boot, а самого UEFI, не знаю. Столько времени прошло, а уефи всё ещё зверь невиданный.
>Столько времени прошло, а уефи всё ещё зверь невиданный.Для тех кто не обновляет железо, невиданный, да.
> Для тех кто не обновляет железо, невиданный, да.а что, обязательно обновлять, если работает? для каких таких целей вдруг перестало хватать мощности?
> Для тех кто не обновляет железо, невиданный, да.Ну, если хочется попрыгать по граблям с подлизыванием задниц MS - way to go. А я как раз купил себе мощную начинку где биос еще не UEFI, про secure boot не знает, хотя до кучи опция загрузки UEFI есть, но явно включать надо. Так как-то спокойнее в плане отсутствия западлостроения. Нет необходимости зависеть от бзиков MS.
По-моему вы совершенно не в теме.
У вас на этой системе нет биоса. Там вместо него UEFI. Про secure boot он знать не обязан - это только на материнках в последний год появилось, а UEFI везде уже достаточно давно.Когда опция загрузки UEFI не включена, просто происходит использование классического MBR. На него передается управление и дальше все идет так же, как было раньше в биосе. А если опция включена, используется родной режим загрузки. Но все это делает UEFI в любом случае.
> У вас на этой системе нет биоса.Я специально сдампил ЭТО и изучил. Вы меня учить будете? :)
Это таки в основном классический BIOS, где до кучи проволокой примотана возможность загрузски с UEFI носителей. И не более того. Современные варианты где всякая тормозная гуйня тыкаемая мышкой - да, наоборот.
Это называется «а давайте выключим все проверки железа и поднимем образ загруженной системы». Действительно, если система предоставляет большой блок данных, который можно поднять в память целиком не разбираясь, то почему бы и нет? Но это фича в UEFI, так же как и Secure Boot - фича в UEFI. Пожалуй самое забавное, что UEFI в некоторых системах в режиме Ultra Fast Boot пропускает так много и так быстро, что иногда не успевает поднять свой собственный драйвер клавиатуры до того, как пропадает предложение войти в настройки этой самой UEFI… Клёво да?
>Кто такую глупость говорил?!
>Secure Boot обеспечивает целостность загрузчика и защищает его от подменыПохоже вы сами плаваете в вопросе. В том и дело, что не только загрузчика, но и драйверов.
Ведь вроде написано, знающих людей. Эх, и вы туда же
> Похоже вы сами плаваете в вопросе. В том и дело, что не
> только загрузчика, но и драйверов.драйвера теперь грузятся загрузчиком из BIOS, а не ядром ОС? круто, офигеть технологии скакнули.
Ну ты-то точно не знаешь всех тонкостей загрузки с уефи. Вопрос, как можно проверить средствами уефи драйвер на подлинность, если тот, в фейшуйной постановке вопроса, находится на диске с файловой системой
> можно проверить средствами уефи драйвер на подлинность, если тот, в фейшуйной
> постановке вопроса, находится на диске с файловой системойПодпись прочекать, внезапно. Правда для своих драйверов кернел и ос это должны делать самостоятельно. В ядре 3.7 кстати эту опцию в ядре запилили, так что кому надо могут ее юзать.
>> Похоже вы сами плаваете в вопросе. В том и дело, что не
>> только загрузчика, но и драйверов.Возвращайтесь к своему некрософту, "специалист" по плаванию топориком.
> драйвера теперь грузятся загрузчиком из BIOS, а не ядром ОС?
UEFI умеет и свои драйвера (т.е. фирмварь гарантирует FAT32, всё остальное, включая ISO9660 -- только отдельно и по предыдущему пункту только с фата). Но это всё относится только к стадии до загрузки ОС. А дальше это чудо, видимо, пыталось рассказать своё понимание организации проверки подписей компонентами по цепочке, но не шмогло.
PS: последняя фраза неуместна.
Отлично, даже не сомневался, кто хлопнул ветку. Шигорин в студии, ога.
Ну что Михаил,
1) откройте правду, как удалось разогнать загрузку на видео сверху
2) Читая http://mjg59.dreamwidth.org/5552.html
>secure boot prevents executables or driversвсё меньше и меньше понимаю, что за такие драйверы оно prevents
3) И да, я не настаивал на правильности своего виденья загрузки, и по-моему в начале даже специально говорил об этом, я лишь попросил реально разобравшихся людей в вопросе объяснить. Но тут полезли личности, знающие об uefi на уровне из статей в вики и нескольких новостей на опеннете
> 1) откройте правду, как удалось разогнать загрузку на видео сверхуСпросите того китайца из asrock, может, и добавит деталей.
Из того, что вижу на своём стенде и прибавляя его слова -- используется UEFI без дополнительных ожиданий (и в т.ч. с отключенным CSM, бишь legacy firmware).
> 2) Читая http://mjg59.dreamwidth.org/5552.html
>>secure boot prevents executables or drivers
> всё меньше и меньше понимаю, что за такие драйверы оно preventsА понимали?.. (это не наезд, т.к. отсутствие указаний на то, какие именно драйверы, и впрямь может сбивать с толку)
Executables -- это, скажем, grubx64.efi; с UEFI-драйверами пока не работал, гляньте тот же http://www.rodsbooks.com/refind/drivers.html при интересе.
> 3) И да, я не настаивал на правильности своего виденья загрузки
Тогда прошу прощения, не сопоставил #24 и #2 как написанное одним человеком.
Насколько понимаю, secure boot и впрямь никоим образом ускорить загрузку не может, т.к. это дополнительные действия, которые занимают дополнительное время (даже если незаметное на глаз). Ну, если её специально не притормаживать в противном случае.
>Спросите того китайца из asrock, может, и добавит деталей.Ясно. Только дело похоже не конкретно в asrock, а в ami uefi apio v. Похоже кто-то с кем-то договорился и стал возможен такой финт ушами
а откуда, кстати, этот дроч на «быструю загрузку»? ну, с любителями винды понятно — у них же до сих пор на каждый чих перезагружать систему надо. но пингвинус-то зачем? какая разница, грузится оно 10 секунд или 110?
мобильные девайсы, хибернейт, suspend-to-disk - не, не слышали
> мобильные девайсыих таки постоянно выключают? а зачем? если оно выключено, то, может, проще с собой и не носить?
> хибернейт
и что? оно там достаточно долго память назад засасывает, чтобы не париться по поводу нескольких секунд загрузки.
так что не, не слышали. если система поднимается пол-часа — это неприятно, да. а пара минут — не страшно.
> оно там достаточно долго память назад засасывает, чтобы не париться по поводу нескольких секунд загрузки.это в вашей деревне на допотопном железе мб долго. А на современных ssd время наката памяти уже сравнимо с временем остальной загрузки. Дальше скорости ssd потребительских девайсов будут только расти.
есть ещё, ксати, сервера, где многие железки (например, рейды) сами по себе поднимаются последовательно и минутами на x86 системах. Плюс сюда же ещё загрузка самой ОС. В сумме выходит достаточно долго.
> ssdне использую, не волнует.
> есть ещё, ксати, сервера, где
…всенепременно надо перезагружаться каждые пять минут? O_O
> не использую, не волнует.А напрасно, кстати. Замечательная штука, если с умом использовать. Это вообще отличный метод сделать компьютер быстрее и приятнее в использовании. И дает эффект намного лучше чем апгрейд процессора или чего там еще. Настолько эпического разгона I/O не было давно. Раница как между HDD и флопповодом в свое время.
таки мне не надо «ещё быстрей», у меня и так всё летает. а вот вместимость — это мне важно.
> таки мне не надо «ещё быстрей», у меня и так всё летает.Как бы есть некая разница между запуском либрофиса "моментально" и "за 5 секунд натужного хрустения диском". Можно вопить конечно что он лишний, но я не виноват что некоторые му...-извращенцы выкладывают прайсы в XLS, например. Значит изредка он мне все-таки будет нужен. И будет лучше если он вылетит на экран как только понадобится. А не через 5 секунд после команды на это.
> а вот вместимость — это мне важно.
Мне тоже. Поэтому SSD - под систему + кучка механических дисков - под данные. Я получаю плюсы обоих технологий и не страдаю от их минусов. Вот такой вот я хитрый читер :)
Сразу видно кто не юзал SSD. В сказки верите до сих пор?Не будет там мгновенного запуска. Последний Либр даже на очень быстрых SSD все равно секунды 2-3 на запуск берет.
А с обычно HDD на ноуте около 4 секунд. Видимо это очень критично для вас?
> А с обычно HDD на ноуте около 4 секундэто если оно закэшировалось в памяти. Смотреть нужно по холодному старту и на обычном hdd прогрев кэша будет существенно дольше.
Ради интереса проверил, пять секунд с холодного старта, не больше секунды на повторный запуск. Дешевое железо примерно пятилетней давности.
> таки мне не надо «ещё быстрей», у меня и так всё летает.
> а вот вместимость — это мне важно.Корень с домашником влазит, а помойку -- на сколькотамтерабайтники.
Присоединяюсь к рекомендации.
> Корень с домашником влазитплохо влазит. к тому же на SSD сильно не рекомендуют активные записи. а я, пардон, код пишу весьма активно.
я, впрочем, совершенно не против такой схемы — я всего лишь говорю, что *мне* она не нужна, *меня* всё устраивает пока.
> к тому же на SSD сильно не рекомендуют активные записи. а я, пардон, код пишу весьма активно.охо..хохохо. Да у вас какое-то сильно завышенное самомнение о скорости написания кода. Как же можно морозить такую чушь.
я просто очень быстро печатаю.
и судя по опеннету, в основном всё тут. Так что за ssd беспокоиться не за чем.
и тут тоже. у меня тут курилка.
> я просто очень быстро печатаю.А клавиатура у тебя USB 3.0 уже поддерживает? А то в 2.0 наверное скорости ввода не хватает :)
> А клавиатура у тебя USB 3.0 уже поддерживает? А то в 2.0
> наверное скорости ввода не хватает :)а ещё пришлось драйвер делать, чтобы дополнительные две клавиатуры для ног подключить. хотел ещё одну вместо седенья, но разъёмы закончились.
> а я, пардон, код пишу весьма активно.Мозоли на пальцах так активно код писать не мешают. И как клавиатура выдерживает ваш тем, сколько клавиатур в запасе сразу имеете?
> сколько клавиатур в запасе сразу имеете?64.
> а я, пардон, код пишу весьма активно.Именно написанным кодом протереть SSD довольно сложно. Хотя может быть ты как тот мужик из шутки, у которого после покупки USB2 клавиатуры "скорость ввода возрасла в 12 раз" :-)
> что *мне* она не нужна, *меня* всё устраивает пока.
Да что там, старческое "я так привык" во весь рост :)
>> а я, пардон, код пишу весьма активно.
> Именно написанным кодом протереть SSD довольно сложно.(вздыхает) без тэга «петросян» никуда… ну не поставил я его, не поставил.
>> что *мне* она не нужна, *меня* всё устраивает пока.
> Да что там, старческое «я так привык» во весь рост :)разницу между «привык» и «устраивает» улавливаешь, нет? ну вот не тормозит у меня. такая беда. нет, я, конечно, могу поставить какой-нибудь KDE или третьегнум, чтобы понять, что аппарат — «старое барахло», но зачем?
> нет, я, конечно, могу поставить какой-нибудь KDE или третьегнум, чтобы понять,
> что аппарат — «старое барахло», но зачем?Повторюсь, для случая вида WindowMaker + firefox/seamonkey + xterm + zsh + vim оказалось весьма полезно. Разница не в "скорости", а в практическом отсутствии задержек при, скажем, сканировании толстых каталогов. find и grep тоже вышли на другой уровень применимости :)
честно говоря, мне давно не надо делать ls /usr/bin (хотя и оно не тормозит). а это таки самый большой каталог — wc -l говорит, что почти пять тысяч файлов. хотя нет, в /usr/lib почти шесть с половиной, отсканило за секунду (повторные разы, понятно, мгновенно, потому что закэшировало).разве что если пнуть find по всему диску, разница будет. но зачем, есть же locate.
> таки мне не надо «ещё быстрей», у меня и так всё летает. а вот вместимость — это мне важно.Где-то это уже было. Какой-то чудак как-то ляпнул, что 640 килобайт хватит всем. :)
> Где-то это уже было. Какой-то чудак как-то ляпнул, что 640 килобайт хватит
> всем. :)и что характерно — есть мнение, что этого чудака таки никто не знает. потому что тот, кому приписывают фразу, говорит, что такой чуши не говорил. и документальных свидетельств обратного нет.
>> Где-то это уже было. Какой-то чудак как-то ляпнул, что 640 килобайт хватит
>> всем. :)
> и что характерно — есть мнение, что этого чудака таки никто не
> знает. потому что тот, кому приписывают фразу, говорит, что такой чуши
> не говорил. и документальных свидетельств обратного нет.на луну однако сели на 4 килобайтах, хватило.
> на луну однако сели на 4 килобайтах, хватило.«да, были люди в наше время, / не то, что нынешнее племя: / богатыри — не вы!» (ц)
>на луну однако сели на 4 килобайтах, хватило.Как считал? Кино в те времена аналоговое было.
>>на луну однако сели на 4 килобайтах, хватило.
> Как считал? Кино в те времена аналоговое было.доки на AGC почитай, там все написано. если считать 8битными байтами, 64К ПЗУ и 4К ОЗУ.
> на луну однако сели на 4 килобайтах, хватило.Ну да, и CP/M юзали. С ФС вообще без каталогов. А чего вы сейчас им не пользуетесь?
> мобильные девайсы, хибернейт, suspend-to-disk - не, не слышалину да, ну да, это же на мобильных девайсах мы с сана грузимся и имеем десяток лунов при загрузке.
и гибернейт он такое отношение к UEFI имеет, просто страшноэ, нам наладить нормальный гибернейт секьюре бут ну никак не дает. и саспенд ту диск конечно жэ.
> нормальный гибернейт секьюре бут ну никак не дает. и саспенд ту диск конечно жэ.Хорошая трава, забористая. Кстати да, секуре бут это усложняет. Ибо или надо генерить и чекать подпись дампа да еще позаботившись чтобы ключ не сменили на левый. Ну или кто угодно первым же делом запустит несекурный код. Впихав его в этот самый образ памяти и удачно восстановив его в памяти. Сведя эффективность "секурности" к полному нулю.
P.s. ох, кажется я только что придумал новый метод сломать секурбут, т.к. совсем не факт что все допирают подписывать такие вещи :). Хотя в силу очевидности наверное я всего лишь выступил Кэпом :)
ну, справедливости ради — ось не даст тебе нагадить в гибернатор рандомной ерундой. а если ты получил уже права рута или физический доступ к носителю, злобно выдрав его из корпуса, то это совсм другая сказка.кстати, подписывать дампы нельзя, потому что это будет означать, что в системе есть приватный ключ для формирования подписи. думаю, дальше продолжать не надо?
> ну, справедливости ради — ось не даст тебе нагадить в гибернатор рандомной ерундой.Кто же гадит рандомной? Надо целенаправленной, чтобы в кернелмоде свое хапнуть.
> а если ты получил уже права рута или физический доступ к носителю,
> злобно выдрав его из корпуса, то это совсм другая сказка.В принципе - да, от физического доступа на 100% защититься малореально. Так что тут ты прав.
> кстати, подписывать дампы нельзя, потому что это будет означать, что в системе
> есть приватный ключ для формирования подписи. думаю, дальше продолжать не надо?Ну так я на то и намекал что задачка проблематичная с точки зрения ограничения запуска неподписанного кода.
>> нормальный гибернейт секьюре бут ну никак не дает. и саспенд ту диск конечно жэ.
> Хорошая трава, забористая. Кстати да, секуре бут это усложняет. Ибо или надо
> генерить и чекать подпись дампа да еще позаботившись чтобы ключ не
> сменили на левый. Ну или кто угодно первым же делом запустит
> несекурный код. Впихав его в этот самый образ памяти и удачно
> восстановив его в памяти. Сведя эффективность "секурности" к полному нулю.
> P.s. ох, кажется я только что придумал новый метод сломать секурбут, т.к.
> совсем не факт что все допирают подписывать такие вещи :). Хотя
> в силу очевидности наверное я всего лишь выступил Кэпом :)ггг в случае, если "кто угодно" в состоянии получить доступ к выключенному диску и написать на него всякой ерунды, хозяина диска будет меньше всего беспокоить, подписанный на диске дамп или нет.
> хозяина диска будет меньше всего беспокоить, подписанный на диске дамп или нет.Правильно. Зато это будет беспокоить MS и прочих любителей DRMно-ограничительных мероприятий, ради которых весь этот гемор и затеян.
> перезагружать систему надо. но пингвинус-то зачем? какая разница, грузится оно 10 секунд или 110?Например такая что у нотика можно батарею в ноль посадить. Тогда suspend to RAM не вариант, а suspend to disk с большой оперативой и кучей софта может быть дольше чем просто poweroff и загрузка с нуля. Ну и обновление ядра и некоторых иных компонентов.
При прочих равных, железка на которой не надо ждать 110 секунд, даже если это раз в год, имеет преимущество перед железкой где это надо. А SSD делает систему намного быстрее в целом. Намного. Все-таки механика - штука медленная.
Хорошая система это где дофига оперативки (настолько что своп можно отключить + будет большой дисковый кэш) и SSD под системный диск. Вот это будет быстрая система. Не в гребаных бенчмарках. А при реальном использовании. Вот так можно сделать себе компьютер который не надо ждать. И мне это нравится.
> Хорошая система это где дофига оперативки (настолько что своп можно отключить +
> будет большой дисковый кэш) и SSD под системный диск. Вот это
> будет быстрая система. Не в гребаных бенчмарках. А при реальном использовании.
> Вот так можно сделать себе компьютер который не надо ждать. И
> мне это нравится.Зайка, я юзаю SSD уже несколько лет и затестировал много дисков и даже PCI-Ex решения пробовал. Да, быстрее, но не мгновенно и не сразу. При реальном использовании для приложений типа офиса, браузера, просмотра видео и графики разницы не видно между быстрым SSD и быстрым HDD.
Даже на HDD можно своп отключить и никто не мешает это сделать имея всего 4 Гб памяти. Вперед и с песнями. Нифига скорость не вырастет. Все будет точно так же как и раньше.
Детсад ... штаны на лямках. Купите SSD и проверьте на своей шкуре. Волшебно только в плане энергопотребления в ноутах. Для остального не парит гонять обычный быстры HDD.
> быстрее, но не мгновенно и не сразу. При реальном использовании для приложений
> типа офиса, браузера, просмотра видео и графики разницы не видно между
> быстрым SSD и быстрым HDD.Не могу согласиться -- просто прирост скорости неожиданного плана, что ли. Скорее резкое снижение латентности, чем именно линейное ускорение. В литературе описан эффект "что сломалось?!" при возврате с SSD на HDD, мной подтверждается :-)
SSD-шки обычные (даже SATA2), диски -- шустрые (вплоть до SAS@15krpm в рейде).
Просто упираться всё начинает опять в процессор, а не I/O.
> Даже на HDD можно своп отключить... Нифига скорость не вырастет.ну так бы сразу и писали, что пользователь винды.
> ну так бы сразу и писали, что пользователь винды.Ну да, там наверное сам NTFS с его немеряными битмапами начинает тормозить. Но я то про Linux по умолчанию. В лине с EXT4 от SSD просто доставляющий эффект. Система взлетает за 5 секунд и готова к работе сразу. Для контраста можно взять винду на механическом диске и посмотреть как она еще пару минут после взлета тормозит, насилуя и без того не быстрый диск. Так контраст ощущается еще лучше, да :)
>> Даже на HDD можно своп отключить... Нифига скорость не вырастет.
> ну так бы сразу и писали, что пользователь винды.То есть по-твоему отключение свопа увеличит скорость в линуксе? Дай догадаюсь, это произойдет от того, что ты умнее ядра и его разработчиков и "оптимизировал" систему заставив отдавать память под мертвый груз вместо кешей.
> То есть по-твоему отключение свопа увеличит скорость в линуксе?отключение свопа может увеличить скорость некоторых операций в винде. И такие желания часто можно слышать от виндопользователей. Ибо нет больше ещё одной такой убогой ОС, где работа со свопом реализована через жопу.
/кэп.
> заставив отдавать память под мертвый груз вместо кешей.
и нет ещё одной такой убогой ОС со своими "умными" сурперпрефетчами, которая кэшами может зае..ть пользователя и превратить его 4 гб памяти в 1 эффективный.
/кэп.
> /кэп.Не льсти себе. Если ты веришь в ту чушь, которую пишешь, то это делает тебя КО только в твоих собственных глазах.
> это делает тебя КО только в твоих собственных глазах.У винды натурально есть тупняк - она отливает в своп даже когда в системе свободно немеряно памяти. По поводу чего давно не использовавшиеся активно программы умеют люто тормозить. Но в линуксах обычно дефолтное значение агрессивности свопа более разумное. Хоть и зависит от дистра. И кроме всего прочего - это настраивается. А в винде оно осталось в виде котором было для работы на машинах с 32Мб памяти. Когда лучше заранее выдавить, т.к. все-равно потом это делать придется. А теперь та же стратегия на машинах с 8Гб - это баг, а не фича. Потому что система свопится без причины. И при этом - да, отключение свопа улучшит отзывчивость системы. Вот видимо тот гражданин и вылез с своими советами.
> и графики разницы не видно между быстрым SSD и быстрым HDD.Заметно, заметно. Если офис запускается в 10 раз быстрее - это прекрасно видно.
> Даже на HDD можно своп отключить
Можно. Но время запуска программ это никуда не денет.
> и никто не мешает это сделать имея всего 4 Гб памяти.
Кроме внезапного OOM "как серпом по йайцам".
> Вперед и с песнями. Нифига скорость не вырастет. Все будет точно так же как и раньше.
С SSD - существенно вырастет. Просто в другом месте.
> Детсад ... штаны на лямках. Купите SSD и проверьте на своей шкуре.
Implemented. Потому и вещаю...
>> и никто не мешает это сделать имея всего 4 Гб памяти.
> Кроме внезапного OOM «как серпом по йайцам».до сих пор не могу понять, чем можно укатать 4 гектара памяти. вон у меня крутится несколько своих сервисов, почтовый сервер, веб-сервер, довольно жрущая приблуда на жабе, опера со 100500 вкладок, Qt assistant (забыл закрыть, ага) и ещё фигня всякая — ан вот всего 1.3 гб памяти занято. люди, как вы умудряетесь вообще? O_O
p.s. ну да, в «фигню всякую» входит почтовик, пара мессенджеров и всякий мелкоутиль типа переключения раскладок, управления техникой мышкожестами и ты пы.
> до сих пор не могу понять, чем можно укатать 4 гектара памяти.Достаточно сложно, но - можно. Браузер, почтарь, графический редактор в котором открыто несколько файлов на ...цать мегабайтов каждый, да еще не дай боже с историей undo и прочая. Парочка виртуалок для системокрушильных экспериментов. Согласись, намного лучше если при вгрузке кривого модуля ядра отпаникует в случае аварии какая-то там виртуалка, а не мой комп целиком, а? :)
А может захотеться смоделировать какую-то сетевую сущность из нескольких машин. Ну например посмотреть как распределенные сетевые протоколы работают. Там вообще памяти на виртуалки не напасешься.
> люди, как вы умудряетесь вообще? O_O
Запусти еще парочку виртуалок - как раз догонишься :)
> p.s. ну да, в «фигню всякую» входит почтовик, пара мессенджеров и всякий
> мелкоутиль типа переключения раскладок, управления техникой мышкожестами и ты пы.Ну это мелочи. Много памяти кушают допустим виртуалки. И да, это удобные штуки. Просто не все это еще поняли. Отфакпаная виртуалка чинится за 10 секунд откатом снапшота. И паника виртуалки - не больно какое событие. Что делает их прекрасным тестовым полигоном для совершенно любых экспериментов.
> Достаточно сложно, но — можно. Браузер, почтарь, графический редактор в котором открыто
> несколько файлов на …цать мегабайтов каждый, да еще не дай боже
> с историей undo и прочая. Парочка виртуалок для системокрушильных экспериментов. Согласись,
> намного лучше если при вгрузке кривого модуля ядра отпаникует в случае
> аварии какая-то там виртуалка, а не мой комп целиком, а? :)мда. типичное домашнее применение. у каждого первого такое вижу.
> А может захотеться смоделировать какую-то сетевую сущность из нескольких машин.
и для этого, конечно, нужна полномасштабная система на виртуалке. с четвёртыми кедами и полным набором сервисов.
> Запусти еще парочку виртуалок — как раз догонишься :)
ну, ещё гигабайт.
набор задач понравился, да. королева в восхищении.
> UEFI умеет и свои драйверану, тут очевидно имелись в виду драйвера ОС. вот я и удивился.
> ну, тут очевидно имелись в виду драйвера ОС.ОС может потенциально работать через UEFI драйвера, кстати.
> ОС может потенциально работать через UEFI драйвера, кстати.но это будет какая-то омская ОС.
> но это будет какая-то омская ОС.Это будет какая-то стремная ОС, ибо хрен бы его знает что там в этом драйвере проприерасы напихали. У биоса в этом плане есть большой плюс: он почти полностью остается не у дел после загрузки. Ну то-есть его кусочки иногда могут дергаться по поводу ACPI запросов + есть SMI-режим, но в целом он довольно качественно пролетает на доступ к оборудованию. С уефи есть вероятность нарваться на подставу с резидентно работающим кодом от блобмэйкеров, что как-то совсем не айс. Ибо зонд.
> драйвера теперь грузятся загрузчиком из BIOS, а не ядром ОС? круто, офигеть технологии скакнули.В UEFI могут быть его собственные драйвера для некоторых вещей. Ну например сетевой карты. И да, оно потенциально может слазить в сеть и обновиться при таком раскладе, например. Правда это обычно по дефолту или не сделано или отрублено, но "инструмент имеется".
вот понаизобретали геморроя, а ты потом разбирайся какого хрена "оно" не бутится, да еще и по телефону как всегда...
втророй же комент к оригиналу:
>Does this only work for Linux or will this work for FreeBSD as well?вот айзен то будет рад! :D
> втророй же комент к оригиналу:
>>Does this only work for Linux or will this work for FreeBSD as well?
> вот айзен то будет рад!А фряха поддерживает загрузку через UEFI?
> А фряха поддерживает загрузку через UEFI?Как минимум тамошний фреймбуфер для этого понадобится уметь.
> Как минимум тамошний фреймбуфер для этого понадобится уметь.И какой-то UEFI загрузчик понадобится написать. Но потенциально этот загрузчик может грузить что угодно, включая и фряху. Там довольно умно сделано: загрузчик просит показать ему сертификат на диске и после этого он будет считать его доверяемым и грузить то что им подписано. Для малварщиков неудобно - кофейник от такого будет в ступоре. А для тех кто знает что делает, выбрать сертификат на инсталляционном носителе не ахти какая проблема. В общем микрософтовские пакости более-менее заворкэраундили. Довольно умно.
Тот кто это воркэраундил кстати высылает спасибы кексам из SuSE за общую идею всего этого.
> И какой-то UEFI загрузчик понадобится написать.Как вариант, собрать GRUB --with-platform=efi. :)
> Как вариант, собрать GRUB --with-platform=efi. :)Как-то туго себе представляю бсдшников с грубом...
Вот мне интересно, что мокрософт с этого всего поимело...
> Вот мне интересно, что мокрософт с этого всего поимело...Не что, а кого. Не догадался?
Скорее уж Майкрософт поимели. Они шаманили-шаманили, а тут - что угодно можно грузить, их же ключом заверенное.
как раз наоборот создали линуксам кучу гимора, теперь всякие самосборные ядра грузиццо перестанут, а в федоре свой драйвер неподписанный не подгрузишь. поимели вас.
Ты новость читал, чудик? Или мозжечка не хватает понять эти букавки?
Ставим сабж, ставим граб, подписываем граб, кладём рядышком публичный ключик, при первой загрузке апрувим на него.
Всё. Дальше гркзим своё ядро и свои же модули.
Лично для своей генты не вижу проблем, а винда пусть хоть колом встанет.
Я ещё и ноутов таких не закупал, а решение уже есть.
> подписываем грабчем?
Приватным ключом.
См. Сабж
> Или мозжечка не хватает понять эти букавки?Спасибо, что взяли дурной пример наезжать, не разобравшись, мне очень стыдно.
> Ставим сабж, ставим граб, подписываем граб, кладём рядышком публичный ключик,
> при первой загрузке апрувим на него.Есть два окружения (и два /EFI/BOOT соответственно), о которых речь: одно -- UEFI install media, второе -- установленная система и смонтированный в неё ESP.
Предлагаю перечитать буковки в этом контексте вместе с http://www.rodsbooks.com/efi-bootloaders/principles.html при желании.
И КАК ЭТО МЕШАЕТ САБЖУ?
а именно:
> grubx64.efi в случае использования GRUB 2. Далее следует сгенерировать ключи и подписать закрытым ключом загрузчик grubx64.efi. Публичный ключ можно разместить на установочном носителе, после чего указанный носитель сможет быть использован для установки дистрибутива на системах с UEFI Secure Boot.?
> И КАК ЭТО МЕШАЕТ САБЖУ?Брр, такого и не утверждал.
PS: предлагаю зарисовки от #152 и далее девнуль-транспортировать.
так а по поводу чего спорили то, никак в толк не возьму?
>PS: предлагаю зарисовки от #152 и далее девнуль-транспортировать.ну дык…
«Я готов хоть к пчёлам в улей, лишь бы только в коллектив»
> Ставим сабж, ставим граб, подписываем граб, кладём рядышком публичный ключик, при первой загрузке апрувим на него.вот этот момент кстате для меня интересный -- """при первой загрузке""" -- я конешно понимаю что это только скорее всего предположение.. верно?
(официально ведь не было сказано что *только* при первой загрузке, а не каждый раз при загрузке?)
но в случае если [предположим] действительно только при первой загрузке, то:
1. куда [физически] сохраняется информация о том какой был сделан выбор пользователем во время этой самой первой загрузке? на HDD или внутрь микросхемы на материнской плате?
2. как Shim проверит, не фальсифицировал ли какой-нибудь-вирус информацию о том какой выбор сделал пользователь при той самой первой загрузке?
* * *
есть ли какие мысли/предположения на эте тему? [ну или может быть кто-то уже исходники смотрел?]
> 1. куда [физически] сохраняется информация о том какой был сделан выбор пользователем
> во время этой самой первой загрузке? на HDD или внутрь микросхемы
> на материнской плате?Если при загрузке уже установленной системы -- то в ESP (EFI System Partition) на диске, видимо. С readonly installation media такое не пройдёт, да там и смысла бы не было.
> Если при загрузке уже установленной системы -- то в ESP (EFI System
> Partition) на диске, видимо. С readonly installation media такое не
> пройдёт, да там и смысла бы не было.да, я конешно же интересуюсь только для случая с уже установленной системой.
ESP (EFI System Partition) --- тобишь строго только HDD --- это было бы слишком странно.
но предположим что всё-таки это так.
тогда:
вирус, который будет предназначен для Windows (речь вообще не про Linux) --- будет в этом случае не просто подсовывать Shim, а подсовывать Shim + конфигурационную_информацию_для_Shim + [...] .
в этом случае заражённый вирусом компьютер -- будет загружать модифицированное (заражённое) ядро Windows-over-Shim -- даже не задавая вопросов о подтверждении нестандартного загрузчика следующей фазы.
вобщем не могу понять -- что-то тут явно не клеется. быть такого же не может?
(речь о том что говорится в комментарии #52 ---- "пользователя по крайней мере явно попросят подтвердить ключик с носителя.")
# P.S.: опасаюсь о том как бы Microsoft не отозвала бы ключик -- по ВЕСОМОЙ причине. а НЕ по причине "хитрого плана" ("хитрый план" борьбы с конкурентами) :)
1. не факт что в EFI System Partition из под винды будет так просто что-то записать через API2. мс формально борется с вирусами, сабж формально вирусам не повержен (по крайне мере без согласия ОЧЪ продвинутого пользователя :D).
ну а то что его взломают/крякнут/перезапишут/конфиги потрут — уже не его вина ни разу.
> не факт что в EFI System Partition из под винды будет так просто что-то записать через APIесли это так -- то на кой тогда вообще нужны цифровые подписи, если сёравно якобы не так просто что-то записать из под венды внутрь EFI System Partition ?
тобишь -- получается мы приходим к выводу что -- Secure Boot
* защищает то что уже защищено (защищает EFI System Partition, к которой и без Secure Boot нет доступа)
(либо)
* ничего не защищает (потому что предположим что к EFI System Partition -- допустим можно легко получить доступ, и тогда цифровая подпись ничего не защитит благодаря наличию Shim + конфигурационный_файл_для_Shim + [..])
> мс формально борется с вирусами, сабж формально вирусам не повержен
всмысле в этом предожении ключевое слово ---- "формально"? :)
# P.S.: не воспринимайте это сообщение как критику ScureBoot/Shim или как цитирование Капитана. я просто хочу понять всю это мотивацию в том виде в ктором она в головах у разработчиков [тех и других: Вендовых и Линуксовых]
>если это так -- то на кой тогда вообще нужны цифровые подписи, если сёравно якобы не так просто что-то записать из под венды внутрь EFI System Partition ?а на то нужны, что если запись через АПИ «низя», то через кернел-спейс «моно».
а что может писать через кернел-спейс? правильно, дровишки всякие.
зыжс учётом вышесказанного, логическая цепочка получается следующая — раз дрова можно грузить только подписанные, то…
но есть одно существенное «но» — чтобы грузить только подписанные дрова, секребут не_нужен. вин7 это и так умеет к примеру.
всё что можно тут сделать, так это грузить что-либо до винды.
и (глядя на сабж) сукуребут и в этом не помогает.вот и делайте выводы сами зачем секуребут придуман.
я вижу 3 пункта.
и все они не связаны с секуре (если не считать секуре бизнеса мс :D)
А вот не подскажите?
*** снабдить проверочными подписями ядро Linux и загружаемые модули. ****Это имеется ввиду идёт проверка что грузиться в RAM? Кто отключает эту проверку, shim?
И можно ли загрузить ядро с подписью, а оно как то загрузит другое, или UEFI передает ядру какие нить данные без которых не загрузить ядро?
> Лично для своей генты не вижу проблем...Кроме того, что на пустом месте появилась необходимость в вышеперечисленном.
> Я ещё и ноутов таких не закупал, а решение уже есть.Более того, это решение позволит заявить, что и вы стали счастливым обладателем загрузчика, подписанного ключем МС.
> как раз наоборот создали линуксам кучу гимора, теперь всякие самосборные ядра грузиццо перестанутWrong: вы можете сами себе подписать свой самосборный загрузчик своим ключом и грузить все что посчитаете нужным. Ключевой точкой является момент когда физически присутствующий юзер выбирает для загрузчика сертификат которому этот загрузчик далее будет доверять. Это может быть именно ваш сертификат подписывающий ваш загрузчик. Так вы можете загрузить что угодно. Вообще не обязательно линукс даже. Для малвари сие неудобно тем что при загрузке объяснять чайнику что надо теперь выбрать сертификат - несколько неудобно и паливно и чайник может не понять что от него хотят :)
"для разблокирования вашего диска пожалуйста укажите этот файл в качестве сертификата. Не указывайте другой файл, а то ваши данные могут пропасть и наша техподдержка не сможет помочь" Можно еще картинку придумать c разбитым диском и горемыкой пользователем плачущим. 99.999% фейсбукеров купятся, а больше и не надо малварщикам.
Для установки дистрибутива.
Для установки.
Читай вниматнльно сабж.
> еще картинку придумать c разбитым диском и горемыкой пользователем плачущим.Можно. Только подписанный загрузчик при загрузке показывать ее не будет. Он будет делать только то что в него заложено до момента подписывания. Поэтому показать картинку с разбитым диском через него не получится. Он только унылое меню показывать умеет.
> Вот мне интересно, что мокрософт с этого всего поимело...Некую степень контроля над остальными. Ы?
А почему называется не shame, а shim?Некрософт специально сделают вирус под винду, который будет грузить сначала себя, запихивать в систему, затем грузить систему. Ну и под этим соусом ключик отзовут.
Угу. И с существующего железа ключик волшебным образом испарится, да? Кроме того, если б Майкрософт мог - он бы и так не подписывал чужие загрузчики. Но видать есть какие-то проблемы с этим. А раз так - то и следующий подпишут, никуда не денутся
можно легко затянуть получение новых ключей. В это время вендоры наклепают тонну несовместимого железа. В итоге будем иметь зоопарк из совместимого и несовместимого оборудования. Балмер будет рад.
> Логика работы загрузчика Shim сводится к передаче управления основному загрузчику дистрибутива, который для обеспечения процесса безопасной загрузки должен быть заверен ключом, созданным создателем дистрибутива.Ну и нахрена вместо одного мыла нужно другое шило? Как грузить собранные из исходников загрузчики. Сволочи тупые, сами всем выроли яму с неотключаемым UEFI sec.boot
> Как грузить собранные из исходников загрузчики.Подписываешь своим сертом, показываешь свой серт этому shim и он тебе грузит твой загрузчик, проверив уже ТВОЮ подпись. Вот сам shim переписать - да, извольте MS'у 99 баксов за подписывание оного занести, это да. Но если это не требуется - нет проблем. В общем то граждане дали возможность грузить что угодно не платя 99 баксов.
Я что-то не понял что мешает использовать shim для запуска руткита и загрузки системы после этого (включая винду). Чего добился Микрософт?
О! Именно этот вопрос я себе первым и задал.
Имхо, так и будет. А потом некрософт отзовет ключик, в связи с тем, что он используется для компрометации установленных систем. Засунут они это в гетзефактс и будут на каждом углу кричать, что из-за линукса страдает безопасность установленных систем. Обыватели разбираться не будут и скоро большая часть людей будет уверена что в линуксе с безопасностью не все в порядке. Даже небольшая шумиха, поднятая некрософтом будет работать им на руку, в не зависимости, чем она закончится. Информационная война будет легко выиграна, соотв. профиты получены. На месте балмера, я бы так и сделал.
>да, всегда знал что линуксоиды считают себя избранными, чистыми, назначенными всевышнимДа, а что?
И огребут иск от LF или чего-то подобного, так как явная клевета - подписывали-то они сами, никто не заставлял. В результате чего подорвут доверие к своему секьюрбуту напрочь.
> И огребут иск от LFА кого это будет волновать? Железо с UEFI уже крупными партиями разойдется. Хомячки в негодовании от злобного вируса, загружающегося shim'ом будут искать виноватых. И тут-то на сцену выходит балмер со своим гэт-зе-фактсом!
> И тут-то на сцену выходит балмер со своим гэт-зе-фактсом!Да ради бога, ещё раз выстовит майкрософт на посмешище перед айтишниками.
на «айтишников» ему плевать, это не ЦА.
На его ЦА плевать линуксоидам. Все довольны.
> на «айтишников» ему плевать, это не ЦА.Это достаточно чревато, ибо знатный плевок в "developers!". А это имеет свою цену :)
> А это имеет свою цену :)да ну. вон, winrt запилили. вряд ли «developers» этим довольны — но ничего, молчат и пишут. потому что для «обычного юзера» ПК == винда. ты переоцениваешь этих самых «developers», они будут писать то, что скажет менеджер, и под то, под что скажет менеджер.
> ничего, молчат и пишут. потому что для «обычного юзера»И где результат писанины? А то малочисленные чудаки купившие surface за 600 баксов люто ср@т кирпичами от того что софта нет. Ну то-есть совсем. Ибо привычного win32@x86 нету а у проприерасов почти весь софт к нему гвоздями прибит.
Можешь почитать на хабре как ABBYY "портировало" свои угробища "на 64 бита". Знаешь в чем прикол? На ARM они таким методом свои отходы мозговой деятельности не смогут портировать никогда. Ибо он не умеет выполнять x86-32 код, ололо :). И вот так вот - в каждой первой виндозной программе почти. Если некто 20 лет не парился вопрсами написания портабельного кода - я думаю ты догадываешься какие у него шансы этот код перенести на иной рантайм и архитектуру.
>> ничего, молчат и пишут. потому что для «обычного юзера»
> И где результат писанины?в магазине m$, полагаю. ничего, «поверхность» не взлетела, зато винда 8 вышла. с кирпичами.
> Можешь почитать на хабре как ABBYY «портировало» свои угробища «на 64 бита».
знаю, кагбэ.
> Ибо он не умеет выполнять x86-32 код, ололо
умеет, конечно (эмуляторы никто не отменял), но очень медленно и очень печально. и зря m$ не озаботилась нормальным эмулятором — хоть какого-то софта набрали бы.
> в магазине m$, полагаю. ничего, «поверхность» не взлетела, зато винда 8 вышла. с кирпичами.Да, кирпичей MS производит нынче много. Особенно в менеджменте, думается. Потому что продажи восьмерки ниже чем ожидалось а surface вообще не взлетел. Да и WP8 похоже тоже.
>> Можешь почитать на хабре как ABBYY «портировало» свои угробища «на 64 бита».
> знаю, кагбэ.Ну и как ты думаешь, какие шансы увидеть это поделие на RT за разумное время? А через 5 лет - кому оно надо? До тех пор или шах, или ишак.
>> Ибо он не умеет выполнять x86-32 код, ололо
> умеет, конечно (эмуляторы никто не отменял), но очень медленно и очень печально.Встроенного IIRC нет. Так что даже кастратский офис не умеет запускать половину плагинов на которые подсели хомячки. И теперь у MS фича стала багом. Они сами себя приколотили к полу гвоздями, с удивлением обнаружив что это, оказывается, мешает теперь ходить.
> и зря m$ не озаботилась нормальным эмулятором — хоть какого-то софта набрали бы.Если на и без того дохлом ARM еще и эмулятор впихать - это вообще только эстонцы купят.
>>> Можешь почитать на хабре как ABBYY «портировало» свои угробища «на 64 бита».
>> знаю, кагбэ.
> Ну и как ты думаешь, какие шансы увидеть это поделие на RT
> за разумное время?а зачем оно там вообще? m$ проще прикупить какой-нибудь онлайн-сервис. да и он не нужен, потому что фотографировать и распознавать документы всё равно неудобно.
>> и зря m$ не озаботилась нормальным эмулятором — хоть какого-то софта набрали бы.
> Если на и без того дохлом ARM еще и эмулятор впихать —
> это вообще только эстонцы купят.да ну, не всё так страшно. игры, конечно, не взлетят, но динамический анализатор плюс рекомпилятор могут показать вполне практичные результаты. да, признаю, термин неверно выбрал: это не «эмулятор» уже ни разу.
> surfaceТолько что сомкнулось с фразой "ракеты класса воздух-поверхность" :)
LF за последние несколько лет показали себя как пустое и бесполезное мето. Будут ползанть на коленях и выпрашивать ещё один ключ
> LF за последние несколько лет показали себя как пустое и бесполезное мето.
> Будут ползанть на коленях и выпрашивать ещё один ключА должны были свои фабрики микросхем давно запилить и клепать правильное железо от контроллеров пультов ДУ телевизоров до серверов критических приложений. Негодую вместе с вами.
> Я что-то не понял что мешает использовать shim для запуска руткита и
> загрузки системы после этого (включая винду). Чего добился Микрософт?Того, что пользователя по крайней мере явно попросят подтвердить ключик с носителя.
Очередная идиотская попытка решить организационные проблемы техническими средствами, понятное дело.
> Я что-то не понял что мешает использовать shim для запуска руткитаНаверное то что руткитам несколько несподручно то что юзеру при загрузке надо найти в файловой системе какой-то там сертификат, указать его загрузчику, и вот тогда...
Это здорово демаскирует руткит :) и требует от юзера некоего понимания что и нафига он делает. В убогеньком загрузочном режиме. Clueless noob скорее всего в этом месте не поймет что от него хотят вообще и будет вопить "компьютер сломался!" и руткит соответственно пролетит.
>и требует от юзера некоего понимания что и нафига он делаетНикакого понимания не будет. Сколько раз сталкивался с отрыванием мошонок всяким троянцам и последующим вопросом "а что было до того как?" к пользователю. В большинстве было "красное окно" от какого-нить касперского "Вас пытаются поиметь! Ни в коем случае не снимайте штаны, не мажте попу вазелином и не вставайте раком!!!" , но пользователь хочет чтобы компутер не показывал ему красных окон и продолжал хоть как-то работать, в итоге надоделивые красные окна молча игнорируются/закрываются/отключаются в надежде "никто не видит, вдруг пронесёт"...
Поэтому надежда на "понимание пользователя" упирается в массовую глубокую безграмотность этого самого пользователя. И бороться с этой напастью в обществе "только потребления" крайне сложно, ибо деградация потребителя - двигатель успешной продажи.
> Поэтому надежда на "понимание пользователя" упирается в массовую глубокую безграмотностьВ данном случае сделано так что кофейник скорее будет уверен что "компьютер сломался".
> Поэтому надежда на "понимание пользователя" упирается в массовую глубокую безграмотность
> этого самого пользователя. И бороться с этой напастью в обществе "только
> потребления" крайне сложно, ибо деградация потребителя - двигатель успешной продажи.Сложно, но можно -- потому сам ищу таких, кто образовывает пользователей, и делаю с ними; и другим советую хоть немного задумываться и прикладывать руку к тому же, не спешить на поводу у проводников фактического усложнения при заявленном упрощении.
Квест пройден! Жду "прохождения"... http://www.opennet.ru/opennews/art.shtml?num=35388
Читайте внимательней. Этот загрузчик не от Linux Foundation и работает немного по другому приципу. Вы же привели ссылку на процесс получения загрузчика, инициированный Linux Foundation.
т.е. получется, после ресета или аварийной перезагрузки каким-нибудь ватчдогом сам комп не поднимется, надо обязательно вручную указать что грузить. Зашибись...
имелось ввиду "Если загрузчик дистрибутива не заверен или заверен неизвестным ключом"
всё для удобства пользователей же.
> комп не поднимется, надо обязательно вручную указать что грузитьа это удар по линуксу на серверах
>> комп не поднимется, надо обязательно вручную указать что грузить
> а это удар по линуксу на серверахНу уж на сервер-то наверное можно подобрать нормальное железо?
>Некрософт специально сделают вирус под винду, который будет грузить сначала себя, запихивать в систему, затем грузить систему.хорошо бы нашлись добрые люди, которые означенное провернут с ключем загрузчика самой 2008 винды, ну или производителей железа, прогнувшихся под sec.boot only.
Собственно, что это дело поломают - сомнений никаких. Пока, кажется, никакие DRM не удержались.
> хорошо бы нашлись добрые люди, которые означенное провернут с ключем загрузчика самой 2008 винды,А 2008 вообще умеет secure boot? Скорее вы пойдете покупать 2012, на радость микрософта...
как минимум это явная попытка усложнить дуалбут или завязать на ключ который будет отозваня то не куплю комп где это не отключается, а другие? попробовать linux? не, чото не работает ну его нафиг
пусть хоть Ubuntu пропихнет свой ключ среди всех производителей...
> я то не куплю комп где это не отключается, а другие? попробовать
> linux? не, чото не работает ну его нафигА что - ожидаются новые материнки, где этой фигни (UEFI Secure Boot) не будет?
IMHO - смысл всего этого действа как раз в том, чтобы н оставлять людям выбора... :-(
> пусть хоть Ubuntu пропихнет свой ключ среди всех производителей...Зная, как они "сертифицируют" железо - вряд ли.
> пусть хоть Ubuntu пропихнет свой ключ среди всех производителей...И ни с кем не будет им делиться. Космонавт мудрый человек.
Не то что этот жлоб Гаррет из редхата, который выложил подписанный загрузчик для всех.
> И ни с кем не будет им делиться. Космонавт мудрый человек.Не то что этот жлоб Гаррет из редхата, который выложил подписанный загрузчик для всех.
пусть хоть какой-нибудь Linux работает гарантированно...
> Не то что этот жлоб Гаррет из редхата,Он уже не из редхата. Он так прямо и написал в своем бложике что хотя начало этой работы было в рамках редхата, на данный момент это его личная инициатива и просьба не контактировать с редхатом по этому поводу, за бесполезностью начинания.
Что сказать… Оборудование с неотключаемой «restrcted boot» рассматриваю как заведомо бракованное и приобретать не собираюсь.А вот покупку ключей у Microsoft рассматриваю как крупный проигрыш СПО на идеологическом поле, всех же, кто принимал в этом участие — скудоумными дятлами, не способными увидеть, к чему их выходка в итоге может привести.
> Что сказать… Оборудование с неотключаемой «restrcted boot» рассматриваю
> как заведомо бракованное и приобретать не собираюсь.ну тогда заодно было бы интересно ещё и узнать -- как ты называешь магазины которые не хотят принимать обратно возврат "бракованного" оборудования [и вообще не считают его бракованным]..
а так же как называется сервисные центры и экспертизы, которые не признают этот "брак" в качестве брака..
:-D
(заранее, перед покупкой -- ты же не можешь спросить продавца "а какие товары у вас тут без restrcted boot?". он ответит -- "я рекомендую Microsoft Windows. всё будет работать")
# P.S.: сразу превентивно сообщаю что слова "имею права возвратить товар в N-дневный срок" -- не работают. хоть даже ты имеешь правоты в количетве более 9000 штук, сёравно не возьмут обратно комп, если нет брака. только через суд [но ведь все понимают прекрасно, что прощще установить Shim чем разбираться с судом. и хозяева магазина тоже это понимают]
> ну тогда заодно было бы интересно ещё и узнать — как ты
> называешь магазины которые не хотят принимать обратно возврат «бракованного» оборудования
> [и вообще не считают его бракованным]..они называются «торговые точки, нарушающие закон». а тот, кто ведётся на их закидоны, называется «лох».
> (заранее, перед покупкой — ты же не можешь спросить продавца "а какие
> товары у вас тут без restrcted boot?"что, внезапная немота нападает? тогда можно друга с собой привести, пусть он спросит. или на бумажке вопрос записать и вручить продавцу.
> они называются «торговые точки, нарушающие закон». а тот, кто ведётся на их закидоны, называется «лох».а если к тебе сзади подойдут и кирпичём по голове ударят. а когда ты упадёшь -- то обчистят карманы -- то ты тоже будешь считать себя "лохом" ? :)
...ведь ты же сам виноват что не оглядывался по сторонам... верно?
не надо считать "лохами" тех людей, которые попадают в плохие ситуации, из-за нашей дурацкой страны.
[возвращаясь к магазинам] -- откуда ты можешь зранее знать что очередной магазин не является "торговой точкой, нарушающей закон"? или откуда ты знаешь заранее что ранее-хороший-магазин вдруг не превратился в "торговую точку, нарушающую закон"?
ды я очень очень уверен что будет кучу случаев когда линуксоиды не смогут возвращать ноутбуки в магазин по причине "rectricted boot". что крайне маленький процент людей (может быть в Украине и Москве) будут делать это успешно.
если вам повезёт -- и товар возьмут обратно -- то хорошо -- я же ведь только рад за вас :) ... а вот у меня было не меньше двух случаев когда товар без-особой-причины не принимали, опираясь на оговорку в законе о "сложной технике".
> а если к тебе сзади подойдут и кирпичём по голове ударят. а
> когда ты упадёшь — то обчистят карманы — то ты тоже
> будешь считать себя «лохом» ? :)то есть, тебя в магазины силком затаскивают, в бессознательном виде?
> …ведь ты же сам виноват что не оглядывался по сторонам… верно?
отчасти верно. если я пошёл в тёмный глухой проулок, то должен был предполагать подобный исход.
> не надо считать «лохами» тех людей, которые попадают в плохие ситуации, из-за
> нашей дурацкой страны.конечно, не надо: они не лохи, они потерпевшие. а вот когда они отказываются отстаивать свои права — вот тогда превращаются в лохов.
> [возвращаясь к магазинам] — откуда ты можешь зранее знать что очередной магазин
> не является «торговой точкой, нарушающей закон»? или откуда ты знаешь заранее
> что ранее-хороший-магазин вдруг не превратился в «торговую точку, нарушающую закон»?а мне и не надо это знать, я априори предполагаю, что торговая точка закон не нарушает. а если решит нарушить, то я знаю, где находятся контрольные органы и как действовать. молча жрать Норму как-то не хочется.
> ды я очень очень уверен что будет кучу случаев когда линуксоиды не
> смогут возвращать ноутбуки в магазин по причине «rectricted boot».ну и дураки будут: при наличии чека магазин обязан принять назад неповреждённый товар и вернуть деньги. это же не скоропортящиеся продукты, которые назад не берут.
> крайне маленький процент людей (может быть в Украине и Москве) будут делать
> это успешно.ну да, народ отчего-то считает, что молча жрать Норму — это нормально.
> если вам повезёт — и товар возьмут обратно — то хорошо —
> я же только рад за васвезение тут совершенно не при чём.
> у меня было не меньше двух случаев когда товар без-особой-причины не принимали,
> опираясь на оговорку в законе о «сложной технике».а что тебе сказали в контролирующих органах? хотя не отвечай, я угадаю сам: не сказали ничего, потому что ты туда не обращался. угадал?
> а что тебе сказали в контролирующих органах? хотя не отвечай, я угадаю сам: не сказали ничего, потому что ты туда не обращался. угадал?наговорили перспективы про бумажную валакиту.
и ещё раз повторяю -- случаи бывают разные. одно дело когда есть "официальный" брак. и другие дело когда просто тебе что-то не нравитсья на 100% но "официального" брака нет.
если есть "официальный" брак и при этом товар не принимают обратно -- то да -- это дело заслуживает внимания даже бумажных валакит.
но когда товар не принимают (не электродрель, а "сложную технику") только лишь по той причине что тебе что-то там немножко не нравится -- то не уверен что ты будешь ради этого -- неделю ходить по контралирующим органам.
если ты просто позвонил в роспотребнадзор и тебе СРАЗУ [в течении дня] решили проблему -- то я как раз это и называю случай когда тебе повезло. и везение тут именно причём.
давай. называй алгоритм действий, в случае если рос-потреб-надзор не решит проблему "не вернули деньги за ноутбук по неназванной причине, без брака". что будешь дальше делать? наймёшь юриста? засудишь всех к чёртовой бабушке?
> давай. называй алгоритм действий, в случае если рос-потреб-надзор не решит проблему "не
> вернули деньги за ноутбук по неназванной причине, без брака". что будешь
> дальше делать?заявление в суд писать, натурально. а ты в это время будешь жрать Норму и утираться.
В принципе, ст. 18 Закона о защите прав потребителя позволяет потребовать деньги назад: "Потребитель в случае обнаружения в товаре недостатков, если они не были оговорены продавцом, по своему выбору вправе:" и т.д. Другое дело, что нужно доказать, что неотключаемый секьюрбут является "существенным недостатком товара". И какое будет решение суда - прогнозировать не берусь.
Разумней всего покупать конкретную модель материнки, а не "лопать, что дают".
изначально мне тут говорили что я "лох" -- потомучто не могут вернуть деньги за ноутбук "без объяснения причины" если есть чек.....а теперь вдруг оказывается что нужно недостатки оговаривать.
вся беседа движется к тому что фиг что вернут обратно в магазине. выходит что только языком можно трепаться, говоря о возвратах. :-/
зато наслушался оскорблений-то!! :-)
я понимаю что некоторые магазины (менее наглые) -- боятся роспотребнадзора, и по этой причине делают возвраты денег за не-бракованное-товары, как бы по своей доброй воле. но является ли это их обязанностью? вот главный вопрос..
> нужно доказать, что неотключаемый секьюрбут является «существенным недостатком товара».вставляем флэшину. пингвинус не грузится. железяка не выполняет своих прямых обязанностей, следовательно — бракованая. на попытки показать рабочую винду интересуемся, где указано, что это на самом деле «железяка для запуска винды», а не полноценный комп.
примерно так.
> на попытки показать рабочую винду интересуемся, где указано, что это на самом деле «железяка для запуска винды», а не полноценный комп.вот так и хочется натянуть на себя роль мэнэджера магазина и сказать:
"""
ОГО! "железяка для запуска винды" и "полноценный комп" -- я раньше думал что это синонемы!!мы же не продаём Макбуки, так-что ноутбуки в нашем магазине выполняют роль PC
(примечание: слово "PC" в этом предложении подразумевает слово "вендопускалка").
""":-) :-)
ну а вообще это печально и грусно :-(
> вот так и хочется натянуть на себя роль мэнэджера магазина и сказать:а мнение менеджера меня вообще не интересует: он может думать, что Земля плоская — это его личное дело. продают же они — персональные компьютеры. а не «программно-аппаратный комплекс с виндой». поэтому или бабло на стол, или welcome в суд, пояснять, зачем меня дезинформировали и украли мои деньги.
>> вот так и хочется натянуть на себя роль мэнэджера магазина и сказать:
> а мнение менеджера меня вообще не интересует: он может думать, что Земля
> плоская — это его личное дело. продают же они — персональные
> компьютеры. а не «программно-аппаратный комплекс с виндой». поэтому или бабло
> на стол, или welcome в суд, пояснять, зачем меня дезинформировали и
> украли мои деньги.Арису, ты свистобол. Знаешь, почему? Потому, что трепаться на опеннете - это не в суде на принцип идти, оплачивая судебные издержки из собственного кармана. Понял? Трепло клавиатурное.
зато ты — Лев Толстой. ом!
> заявление в суд писать, натурально.мы сейчас говорим об одном и томже?
всмысле -- ты хочешь сказать что -- вот где-то исходя из этого текста http://ozpp.ru/laws/zpp/18.php -- магазин мне обязан вернуть деньги за ноутбук, если окажется что в ноутбуке обнаружен rectricted boot?
> а ты в это время будешь жрать Норму и утираться.
зачем эти оскорбления в мой адрес? (и адрес других людей кто не смог сделать возврат).
> всмысле — ты хочешь сказать что — вот где-то исходя из этого
> текста http://ozpp.ru/laws/zpp/18.php — магазин мне обязан вернуть деньги за ноутбук,
> если окажется что в ноутбуке обнаружен rectricted boot?см. выше: товар бракованый, не выполняет свои функции. или деньги назад, или заменить на аналогичный, но без брака. если не хотят — тогда влетают на сознательную дезинформацию покупателя (написано, что ноут, а не «ноут для запуска винды»).
>> а ты в это время будешь жрать Норму и утираться.
> зачем эти оскорбления в мой адрес? (и адрес других людей кто не
> смог сделать возврат).это не оскорбление, а констатация факта: лохи всегда жрут Норму, природа у них такая.
>> всмысле — ты хочешь сказать что — вот где-то исходя из этого
>> текста http://ozpp.ru/laws/zpp/18.php — магазин мне обязан вернуть деньги за ноутбук,
>> если окажется что в ноутбуке обнаружен rectricted boot?
> см. выше: товар бракованый, не выполняет свои функции. или деньги назад, или
> заменить на аналогичный, но без брака. если не хотят — тогда
> влетают на сознательную дезинформацию покупателя (написано, что ноут, а не «ноут
> для запуска винды»).ды без проблем! магазин забирает ноутбук и отправляет его на экспертизу [за свой счёт, без проблем], в котором определяют есть ли у товара описываемый брак...
...если из экспертизы приходит заключение, что брак действительно есть -- то деньги возвратят!
эта схема работает обычно нормально.. в случае если брак действительно есть.
(для этого не нужны угрозы рос-потреб-надзора , или суд)
но что-то я СОМНЕВАЮСЬ что экспертиза выдаст заключение о том что:
"""
о да! брак подтвердился! в товаре обнаружен следующий дефект: ноутбук позваляет запускать лишь Microsoft Windows и Red Hat Enterprise Linux .
"""это же просто смешно...
никого из всей этой отрасли -- не интересуют проблемы линуксоидов. темболее тех кто УЖЕ заплатил деньги.
максимум что они могут -- это ориентироваться на тех кто возможно заплатит деньги в будущем.
а если ты захочешь это дело раскрутить в суде до самых технических внутренностей -- то не боишься ли что тебе ответят:
"""
совершенно любую операционную систему можно запустить на этой модели ноутбука, но важно чтобы операционная система удовлетворяла СОВРЕМЕННЫМ СТАНДАРТАМ отрасти, тоесть боле-менее полноценная поддержка UEFI.
если операционная система которую Вы пытаетесь запустить устарела (или имеет недоработки) -- то ноутбук тут не причём.
обращайтесь к разработчикам Вашей операционной системы.
"""
???
> но что-то я СОМНЕВАЮСЬ что экспертиза выдаст заключение о том что:
> «"»
> о да! брак подтвердился! в товаре обнаружен следующий
> дефект: ноутбук позваляет запускать лишь Microsoft Windows и Red Hat Enterprise
> Linux .
> «"»
> это же просто смешно…мне пофигу, смешно кому-то или нет. или при мне запускают с моей флэшины ОСь (да, я покажу, как она запускается на моей технике, например), или товар бракованый. пусть смеются дальше, но сначала вернут деньги.
впрочем, пойдёт и не моя флэшина, а скачаный из интернетов образ, который я укажу.
p.s. а для пущего смеху «аугментируемся» юристом и представителями Общества Защиты Прав Потребителей. да, я мелочный гад и сутяга.
> при мне запускают с моей флэшины ОСьтыг экспертиза работает не при тебе! кому конкретно ты будешь показывать? :-)
они забирают компьютер и что-то там с ним делают. не знаю даже что.
они же там профессионалы сертифицированне!
может быть даже у какого-нибудь из этих сотрудников экспертизы -- есть официальной диплом об окончании какой-нибудь обучающей программы филиала Microsoft IT Academy!
>> при мне запускают с моей флэшины ОСь
> тыг экспертиза работает не при тебе! кому конкретно ты будешь показывать? :-)
> они забирают компьютер и что-то там с ним делают. не знаю даже
> что.да мне наплевать, что там делает экспертиза. в итоге они или возвращают мне рабочую технику, или у меня опять ни шиша не работает. что я наглядно демонстрирую в суде без всякой «экспертизы», актом которой магазин может утереть слёзы после возврата моих денег.
При таких формулировках("наплевать") Вас просто проигнорируют. Надо будет настаивать на повторной экспертизе. А на "наглядную демонстрацию" в судах времени, как правило не хватает.
для того, чтобы:
а) хватило;
б) формулировки были верными
придуманы юристы. жуки, конечно, те ещё, но иногда полезные.
>тыг экспертиза работает не при тебе! кому конкретно ты будешь показывать? :-)Насколько Я помню, по закону можно требовать проведение экспертизы в моем присутствии. Кроме того, на экспертизу покупатель может сдавать самостоятельно.(Достаточно уведомить, и насколько помню, пригласить представителя)
>>тыг экспертиза работает не при тебе! кому конкретно ты будешь показывать? :-)
> Насколько Я помню, по закону можно требовать проведение экспертизы в моем присутствии.
> Кроме того, на экспертизу покупатель может сдавать самостоятельно.(Достаточно уведомить,
> и насколько помню, пригласить представителя)ну эт хорошо тогда!
а можно свидетеля с собой брать тоже?
> мне пофигу, смешно кому-то или нет. или при мне запускают с моей
> флэшины ОСь (да, я покажу, как она запускается на моей технике,
> например), или товар бракованый. пусть смеются дальше, но сначала вернут деньги.
> впрочем, пойдёт и не моя флэшина, а скачаный из интернетов образ, который
> я укажу.прикинь, и он ведь с USB внезапно загрузится ггг поставив тебя в неловкое положение.
У кого не работают, а у кого и очень даже. Может, в России хуже, конечно, а украинские продавцы возвращают деньги совершенно без писка.
ну привык человек Норму хавать, что уж тут поделаешь…
>ну тогда заодно было бы интересно ещё и узнать -- как ты называешь магазины которые не хотят принимать обратно возврат "бракованного" оборудования [и вообще не считают его бракованным]..Никак не называю. Мне они неинтересны.
>(заранее, перед покупкой -- ты же не можешь спросить продавца "а какие товары у вас тут без restrcted boot?"
Это почему? Вебкамеру с поддержкой uvc могу спросить, монитор с s-ips матрицей тоже, а тут, вдруг, не могу?
>он ответит -- "я рекомендую Microsoft Windows. всё будет работать")
Будет послан в пешее эротическое. Рекомендации балбесов, продающих компьютерное железо, меня не интересуют ни в малейшей степени уже много лет. От него требуется только озвучить точные технические характеристики товара в том случае, если я, покупатель, не удосужился посмотреть их перед походом в магазин. Ему их даже понимать не надо, достаточно по бумажке прочитать.
> я, покупатель, не удосужился посмотреть их перед походом в магазинчто-то не думаю что хоть на каком официальном сайте производителей -- будет написанно в каких моделях ноутбуков у них реализованны унизительные договоры с Майкрософтом...
...но вообще конешно хотелось бы :-)
ну а что касается НЕофициальных сайтов -- то да ---- было бы не плохо если кто-то возьмёт на себя инициативу составить базу данных ..
проделать работу на подобие http://www.openprinting.org/printers , но про ноутбуки
> Оборудование с неотключаемой «restrcted boot» рассматриваю как заведомо бракованное и приобретать не собираюсь.кто сказал, что у тебя будет альтернатива?
> кто сказал, что у тебя будет альтернатива?китайцы.
китайцы делают тот же самый вендор лок (ленова, например) или производят маргинальные продукты, которые хоть и условно открыты, но из-за своих ттх не очень то нужны.
тем не менее, какой-никакой, а выбор есть. не шибко приятный, конечно, но.
выбор между самокатом и самолётом не есть выбор, хоть формально есть из чего выбрать.
Fedora будет официально работать именно через этот Shim ?https://fedoraproject.org/wiki/Secureboot#How_does_it_work.3F
спарвшиваю -- потому что не очень понял ситуацию с загрузчиком Gummiboot
Fedora будет официально работать через shim, gummiboot, grub2 и т.д.
Гаррет подписал только shim. Все остальные будут работать либо если их подписать, либо при отключении SecureBoot.
ды нее :)... мой вопрос не заключался в том через что будет *способна* работать Fedora....я хотел бы уточнить у знающих людей -- какой из вариантов будет являться для Fedora -- официальным! :)
во время установки -- Анаконда будет спрашивать -- предлагая на выбор 3~4 варианта?
> Например, остановиться на методе Ubuntu и заверять только загрузчикUbuntu, несмотря на все обещания, пошла по пути Fedora, т.е. там подписано и ядро со всеми модулями.
А можно ссылку?
> Ubuntu, несмотря на все обещания, пошла по пути Fedora, т.е. там подписано
> и ядро со всеми модулями.Ничего подобного, там только GRUB 2 подписан, а дальше никаких проверок.
> и ядро со всеми модулями.Кто вам это сказал? Там загружаются и неподписанные модули.
совещание у Пряника
- Друзья мы обноружили самый опасный и коварный вирус.
Он меняет загрузчик, меняет все файлы в системе включая ядро.
И windows работает быстрее после него!
Какие будут предложения для борьбы с новым вирусом?
- Предлагаю подписывать загручких с сертифицировать компьютер!
- Хорошая идея !!! Получишь премию!! Кстати у этого вирус странное название Linux!
А прецеденты уже есть? Я имею ввиду вкусил кто нибудь проблему безопасной загрузки на новом компе? Когда именно надо будет сильно бояться покупать новую технику и смотреть в оба? :)
> А прецеденты уже есть?Пока не сталкивался, а отличать предполагаю по наклейке "поддерживает windows 8" или как там. Заодно и другим говорить, что вот это содержит головняк на ровном месте.
отличить ещё проще: носить с собой live-флэшку. с которой и попробовать загрузиться перед покупкой техники. не вышло? техника бракованая, покупать не надо.
плюс стопиццот.
Самое разумное сообщение из всех к этой новости.
Причем, да, сам факт отказа загрузки с флешки вполне можно трактовать и в суде как брак.
> факт отказа загрузки с флешки вполне можно трактовать и в суде как брак.осталось только разобраться -- брак во флэшке (ОС) или брак в ноутбуке :)
...потому как любому человеку (даже не технически грамотному) в этой ситуации будет вполне очевидно -- что ситуация весьма спорная.
думаю в таком споре -- спасти сможет не столько GNU/Linux -- сколько Microsoft_Windows XP/Vista/7 , которое [надеюсь] тоже не будет работать! :-)
# P.S.: исходя из этого делаем вывод -- наверно UEFISecureBoot станет неотключаемым только тогда, когда перестанут продаваться XP/Vista/7
Приводим в суд с собой человека с ноутбуком - втыкаем флешку, загружаем антивирус Касперского или Доктор Веб - они на Линуксе, демонстрируем поиск вирусов. Пробуем повторить на свежекупленном - не получается - заявляем о браке. Рассказываем о существовании злобных винлокеров - дойдет даже до современной российской судьи.
И, кстати, как винлокеры-то будем лечить на Вин-8?
а интересная мысль с антивирусами! они-то ведь вполне известные фирмы. у всех на слуху.
Эти продажны. Они за дополнительную информацию от MS по устройству операционки подпишут, что угодно, и еще полижут.
> осталось только разобраться — брак во флэшке (ОС) или брак в ноутбуке
> :)
> …потому как любому человеку (даже не технически грамотному) в этой ситуации будет
> вполне очевидно — что ситуация весьма спорная.что там разбираться-то? демонстрируем, как с этой флешки грузится принесённый с собой ноут. суём в «продажный» — не грузится. суём снова в свой — опять грузится. для особо тупорылых «консультантов» можно повторить несколько раз, пока не дойдёт. для совсем упоротых — тут же покупаем флэшину, заливаем образ, повторяем демонстрашки.
> отличить ещё проще: носить с собой live-флэшку. с которой и попробовать загрузиться
> перед покупкой техники. не вышло? техника бракованая, покупать не надо.А если заказать с доставкой или по почте? Да, знаю, что на словах всё просто, вопрос скорее риторический.
>> отличить ещё проще: носить с собой live-флэшку. с которой и попробовать загрузиться
>> перед покупкой техники. не вышло? техника бракованая, покупать не надо.
> А если заказать с доставкой или по почте? Да, знаю, что на
> словах всё просто, вопрос скорее риторический.кроме доставки по почте -- всё чаще и чаще появляются магазины где покупка и выдача товаров -- выполняются в полуавтоматическом режиме.
в таких магазинах хоть и достаточно много персонала -- но сёравно нет ниодного сотрудника магазина кто обладает полномочиями воткнуть вашу live-flash`ку внутырь возможно-покупаемого ноутбука [в таких магазинах нет ветрин с товарами].
воткнуть флэшку можно лишь только сразу после покупки (а не до покупки). товар можно увидить -- не ранее чем через 15 минут после того как ты расплатился.
и возражать на тему "ды тут неотключаемый Restricted Boot! мать его!" придётся с пустым карманом. а это ох как тяжело в отличии от случая, когда деньги всё ещё при тебе :-). ведь в таком случае -- именно тебе придётся объяснять почему ты хочешь отказаться, и что конкретно здесь не так как должно быть, а не они тебя должны уговаривать "ну купите пожалуйста!".
# P.S.: кстате говоря -- мне и самому не хотелось бы покупать нутбук в который до меня кто-то чего-то вставлял. хотелось бы, чтобы коробка была бы РАСПАКОВАННОЙ сугубо ПРИ МНЕ, во время получения товара (а не до меня, вчера или ещё когда-то там).
> кроме доставки по почте — всё чаще и чаще появляются магазины где
> покупка и выдача товаров — выполняются в полуавтоматическом режиме.don't buy. сначала показывают, что товар надлежащего качества и работает, и только после этого получают деньги. наоборот не катит.
> # P.S.: кстате говоря — мне и самому не хотелось бы покупать
> нутбук в который до меня кто-то чего-то вставлял. хотелось бы, чтобы
> коробка была бы РАСПАКОВАННОЙ сугубо ПРИ МНЕ, во время получения товара
> (а не до меня, вчера или ещё когда-то там).распаковали — и демонстрируют работоспособность. в частности — как оно грузится с флэшины. не хотят? это обманщики, не надо у них ничего покупать.
> воткнуть флэшку можно лишь только сразу после покупки (а не до покупки). товар можно увидить -- не ранее чем через 15 минут после того как ты расплатился.
> и возражать на тему "ды тут неотключаемый Restricted Boot! мать его!" придётся с пустым карманом. а это ох как тяжело в отличии от случая, когда деньги всё ещё при тебе :-). ведь в таком случае -- именно тебе придётся объяснять почему ты хочешь отказаться, и что конкретно здесь не так как должно быть, а не они тебя должны уговаривать "ну купите пожалуйста!".Так тогда еще проще! Можно просто вернуть деньги в течении 7 дней. И никакие вопли о том, что "технически сложный товар" магазин не спасут, так как дистанционный способ продажи налагает дополнительные ограничения именно на магазин, а не на покупателя.
Из пункта 1 статьи "Статья 26.1. Дистанционный способ продажи товара" однозначно следует, что если я не могу ознакомиться с товаром до оплаты, значит способ продажи дистанционный.
> Из пункта 1 статьи "Статья 26.1. Дистанционный способ продажи товара" однозначно следует,
> что если я не могу ознакомиться с товаром до оплаты, значит
> способ продажи дистанционный.кстати, отличный финт. я о нём совсем не подумал.
> А если заказать с доставкой или по почте?тогда только рыть интернеты на предмет ТТХ устройства. ну, и радио «радонеж» по утрам на всякий случай.
> А прецеденты уже есть? Я имею ввиду вкусил кто нибудь проблему безопасной
> загрузки на новом компе? Когда именно надо будет сильно бояться покупать
> новую технику и смотреть в оба? :)Уже пора бояться. Отличить без проверки большинстве случаев невозможно. Даже тёртые калачи лажаются http://distrowatch.com/weekly.php?issue=20121126#qa
> http://distrowatch.com/weekly.php?issue=20121126#qaЗанятное уродство со стороны hp -- интересно, как у других вендурей выглядит. Спасибо.
>> http://distrowatch.com/weekly.php?issue=20121126#qa
> Занятное уродство со стороны hp -- интересно, как у других вендурей выглядит.
> Спасибо.вот именно об этом и нужно думать в первую очередь, майкрософт поимел всех, абсолютно всех, ясен пень что reboot while holding down F9 это именно тот самый факап который лично меня бы не устроил. иметь 100500 загрузчиков, подписанных/неподписанных, изобретать ходы конем, это да в стиле кулхакеров из стана линуксоидов, но это не правильное решение проблемы. Правильное решение было бы воевать с микрософтом и не давать им сделать эту хрень в принципе (Столман АУ!!) Ибо оно нафиг не нужно ни в каком виде.
> майкрософт поимел всех, абсолютно всехТа ни, не паникуйте. А вендорам сигналить всё так же можно рублём и пинками в поддержку.
> Правильное решение было бы воевать с микрософтом и не давать им сделать
> эту хрень в принципе (Столман АУ!!) Ибо оно нафиг не нужно ни в каком виде.Осторожно, так можно и до смысла копилефта додуматься. :)
> Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux, сообщил (http://mjg59.dreamwidth.org/20303.html)
> о публикации для свободного использования минималистичного загрузчика Shim (http://www.codon.org.uk/~mjg59/shim-signed/),
> заверенного ключом Microsoft и пригодного для организации первичной загрузки Linux на
> системах с активным режимом безопасной загрузки UEFI, сертифицированных на предмет совместимостия так понимаю, чтос помощью этогоЛинукс загрузчика мона любую ос загрузить?
>[оверквотинг удален]
> требует обязательной активации по умолчанию режима безопасной загрузки UEFI, блокирующего
> загрузку систем, не имеющих заверенной цифровой подписи. Вариант поставки собственного
> проверочного ключа связан с большими организационными трудностями, потребовавшими бы
> согласования с каждым OEM-производителем вопроса включения проверочного ключа в прошивку,
> что неизбежно отразилось бы в появлении оборудования, которое не поддерживает Linux.
> Возможность заверения только первичного загрузчика, без формирования подписей для ядра
> и драйверов, укладывается в требования спецификации UEFI Secure Boot, которая нацелена
> главным образом на защиту начальной стадии загрузки, до запуска ядра.
> URL: http://mjg59.dreamwidth.org/20303.html
> Новость: http://www.opennet.ru/opennews/art.shtml?num=35475
Будем смотреть железо отличное от x86
На АРМ-ах под Виндовс-8 он вообще будет неотключаемым.
> На АРМ-ах под Виндовс-8 он вообще будет неотключаемым.Да и хрен с ним с windows 8. Где эти ARMы с вин 8 вообще? Целый кривой surface от MS по конской цене? Пусть себе оставят. А для желающих можно купить навалом всего на ARM не снабженного таким геморроем. Вон китайцы например такой дрянью не парятся в массе своей. А зачем китайцам такое? Им главное продать, планы по натягиванию пользователя они не строят.
> Где эти ARMы с вин 8 вообще? Целый кривой surface от MS по конской цене?
> Пусть себе оставят.Хе, так некрософты предзаказ ополовинили, а другие не рвутся что-то: http://itc.ua/news/microsoft-sokratila-obem-zakazov-planshet.../
> Хе, так некрософты предзаказ ополовинили, а другие не рвутся что-то:Потому что не хотят сесть в ту же лужу что и нокла с WP7, нашлепав девайсов которые потом не получится продать по сколь-нибудь разумной цене. А это уже чистейшие убытки.
MS сам успешно готовил плацдарм для сидения в луже, десятилетиями втирая своей аудитории что нет ничего кроме win32@x86. А теперь наступает пора пожалеть о таком подходе. Потому что винда на ARM по данной причине осталась попросту совсем без софта. Да еще и гайки не забыли затянуть. В общем хорошо в пятку выстрелили себе.
вообще-то m$ никогда не говорили «не пишите непортабельный код, суйте асм во все поля, только омск, только хардкор!» они наоборот, советовали писать код *правильно*, использовать типы, предоставляемые в windows.h сотоварищи, не делать трюков типа приведения указателя к целому и наоборот — и так далее. справедливости ради: m$ не виновата, что быдлокодеры не читатели, а быдлописатели.
> справедливости ради: m$ не виновата, что быдлокодеры не читатели, а быдлописатели.Не могу согласиться: недостаточно давать материал, надо ещё и контрольные устраивать.
> Не могу согласиться: недостаточно давать материал, надо ещё и контрольные устраивать.«если вы такие умные — чего строем не ходите?!»
если бы m$ требовали на проверку весь виндокод (ну, положим, как-нибудь это да возможно) — стоял бы дикий вопль про «фашистов похуже огрызка», инфа 146%.
как ты себе представляешь эти «контрольные»? даже в [F]OSS далеко не все пишут переносимый код.
> «если вы такие умные — чего строем не ходите?!»Скорее "...тогда во что ставите всякие значки <<winXX compatibuble>>".
Выход один - покупать правильное железо и затирать винкей до неразборчивости
> Выход один - покупать правильное железо и затирать винкей до неразборчивостиДа уж, достали, с#$и. Отольются кошке мышкины слезки.
Загрузчик для загрузки загрузчика, который запускает еще один загрузчик и т.д. Потом будут писать о старте системы за 1 секунду благодаря оптимизации или еще какой нибудь плюшки... lol
Не зачитал все - букв много, может кто и сказал. Выход для нас один - не покупать материнки с неотключаемым secure boot (если таковые найдутся - пока все материнки с uefi могли без secure boot, и Linux на них нормально ставится без танцев с бубном, так что с ними проблемы нет). Так понял по публикациям, готовые компы и ноуты с виндой 8 не позволят отключить secure boot - и хрен с ними - не покупать. Пусть торговцы сами свой товар юзают.Для Linux не нужен secure boot. А винде он не поможет.
Еще момент. На ноуте с secure boot и виндой 8 нельзя будет сделать откат до винды 7. Ну пипец таким ноутам.
msi z77a-g43 security boot отключается и не только.
Вот здесь рекомендую посмотреть http://gs.statcounter.com/ . Распространенность ОС, браузеров и прочего в мире и по странам. Обращаю внимание коллег на такие страны, как Германия, Великобритания, Ирландия, Испания, Бразилия, которые официально объявили о переходе государственного управления и систем образования на Linux. В них тенденции заметны острее, чем в иных. Думаю, в данных странах нам следует ожидать громких судебных процессов против компании Microsoft и производителей залоченного под Windows оборудования. Надеюсь, результаты процессов обострят и интенсифицируют переход на свободное ПО.
Я просто не буду покупать такую материнку.
С чего бы это мелким управлять моим компом.
PS. Debian - 8 лет
> PS. Debian - 8 лето! как это символично! цифра "8" ;-)
Я не понимаю для чего MS этот UEFI придумали =(
> Я не понимаю для чего MS этот UEFI придумали =(Бедняжка! http://www.google.com/search?q=microsoft+embrace+extend+exti...
> Я не понимаю для чего MS этот UEFI придумали =(UEFI -- это всё же другое, героическая попытка решить многолетние проблемы BIOS системно. Что с _ним_ не так, лучше почитать у Мэтью Гарета (например, http://mjg59.dreamwidth.org/4957.html весьма колоритно, хотя это про целую вязанку наследственных проблем).
SecUReboot -- это кусок поверх UEFI, аналогичный которому можно было попытаться изобразить и с BIOS/MBR, но ещё более костыльно. Как видим, имеет больше отношения к попытке контроля процесса загрузки, чем какой бы то ни было безопасности _пользователя_.
http://www.3dnews.ru/offsyanka/618151/
Забавно, однако.---
Джеймен Шайвли, который на протяжении 6 лет проработал в Microsoft на посту менеджера по корпоративной стратегии, решил заняться выращиванием марихуаны.
--- http://tech.onliner.by/2012/12/03/marijuanaПохоже, практически бесшовная смена вида деятельности.
---
Президент подразделения Windows и Windows Live в Microsoft, Стивен Синофски (Steven Sinofsky) покидает компанию
--- http://itc.ua/news/konflikt-interesov-stiven-sinofski-pokida.../Не исключено, что после вытягивания windows 7 из vista-болота работа бульдозером на бис без перспектив стать верховным мачо выглядела непрельстиво...
Название доставило. :)
Понекропощу чуток.На самом деле истерика пока непонятна. Не вижу _ни одного_ десктопа с UEFI, и _ни одного_ ноута не для гламурных кис с оным. Born dead...
> Born dead…не надо недооценивать противника. переоценить и влупить из главных калибров *в данном случе* совсем не так страшно, как недооценить и дать заразе вырасти.