Мэтью Гаррет (Matthew Garrett), один из разработчиков ядра Linux из компании Red Hat, опубликовал (http://mjg59.dreamwidth.org/9844.html) заметку о возможных проблемах с поддержкой технологии безопасной загрузки UEFI в Linux. Несмотря на то, что с позиции создания кода реализация поддержки режима безопасной загрузки для ядра Linux практически готова, сложности возникают в сопутствующих областях, таких как обеспечение работы сторонних драйверов, несовместимость с лицензией GPLv3 под которой распространяется загрузчик Grub и обеспечение функционирования инфраструктуры для распространения ключей.
Режим безопасной загрузки подразумевает, что все компоненты, взаимодействующие с оборудованием и обеспечивающие загрузку ОС должны иметь цифровую подпись, в том числе загрузчик, ядро ОС, загружаемые ядром драйверы и все модули ядра. Для формирования цифровой подписи, кроме использования ключей компании-разработчика предустановленной ОС или производителя оборудования, рекомендации по реализац...URL: http://mjg59.dreamwidth.org/9844.html
Новость: http://www.opennet.ru/opennews/art.shtml?num=32834
Ну это же вообще на здравый смысл не похоже!
... опубликовал заметку о возможных проблемах с поддержкой технологии безопасной загрузки UEFI в Linux... режим безопасной загрузки подразумевает, что все компоненты, взаимодействующие с оборудованием и обеспечивающие загрузку ОС должны иметь цифровую подпись, в том числе загрузчик, ядро ОС, загружаемые ядром драйверы и все модули ядра
... сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом.
Т.е. по сути сами себе придумали проблему и героически её решают. По факту лишь загрузчик должен быть подписан цифровой подписью, дальше ОС (загрузчик, ядро) сама решает что и как ей загружать. На наличии цифровых подписей у драйверов настаивает напр. Майкрософт, т.к. по статистике в большинстве BSOD виноваты некорректно написанные драйверы, а не ОС. Для Линукса данная проблема не стоит так остро.
> На наличии цифровых подписей у драйверов настаивает напр. Майкрософт, т.к. по статистике в большинстве BSOD виноваты некорректно написанные драйверы, а не ОС.По статистике Microsoft? Неудивительно.
Чудо драйверам Creative наличие цифровой подписи бсоды вызывать никак не мешает.
Водитель без прав может нарушить ПДД. И водитель с правами может нарушить ПДД.
> Водитель без прав может нарушить ПДД. И водитель с правами может нарушить ПДД.Ну так ваши гайцы и не ловят нарушителей ПДД, собственно. Подписывая всякую бнопню.
> Водитель без прав может нарушить ПДД. И водитель с правами может нарушить ПДД.Проще говоря: наличие подписи никак не связано со стабильностью.
Вот это уже больше похоже на правду, в отличие от вранья выше (про то, что все глюки винды от неподписанных дров).
Наличие подписи повышает вероятность, но не даёт гарантий отсутствия ошибок. Также как наличие/отсутствие прав на управление автотранспортом.
> Наличие подписи повышает вероятностьНасколько? На 0.0001%?
> не даёт гарантий отсутствия ошибок.Зато использование Windows® дает гарантию _наличия_ ошибок.
Поэтому абсолютно не важно наличие подписи на конкретном драйвере - глюков так много, что что-нибудь обязательно выскочит.
С 2003 г., когда перешёл на ХР, ни BSOD, ни ошибок ОСьки не было ни разу. С 2000 по 2003 г. на Windows 2000 лишь один раз видел BSOD когда в сломанный CD-привод засунул сильно исцарапанный CD-диск.
а компом-то пользовался при этом ?
Ежедневно по 4-8 часов. После перешёл на Vista, затем на Windows 7. Начиная с 2008 г. я лицензировался и всё моё ПО полностью лицензионное.
мое тоже ;) (like GNU)
+1.Вот ведь люди есть. Купят программу, примут её унизительную лицензию, а потом ещё ходят и понтуются: ‘Смотрите, что я купил! Лицензионное, на диске! А у вас, воров, всё «пиратское»!’ (как будто, между двумя копиями одной программы есть какие то различия).
Тогда как существует куча программ со свободной стоимостью, уважающих свободу своих пользователей. Но использованием этих программ почему то никто не гордится. Хотя, тем, что ты пожертвовал разработчикам свободной программы (и оставил, вместо этого, проприетарщиков без своих кровных денежек :D), можно и похвастаться, я думаю. Таким образом, можно хотя бы дать другим стимул делать тоже самое, делать вообще что то хорошее и полезное.
это еще фигня. есть упырки, которых окучивают и они покупают пылесосы за 1.5 штуки зелени, то можно купить за гораздо меньшее количество денег. дык мало того, эти долдоны еще и хвастают что купили такое за столько баблосов. здесь такой же клинический случай
> это еще фигня. есть упырки, которых окучивают и они покупают пылесосы за
> 1.5 штуки зелени, то можно купить за гораздо меньшее количество денег.Я в свое время купил пылесос (не кирби, нет!) за 0.8 штук зелени и совершенно о том не жалею, т.к. ни один из виденных мной за 0.1-0.5 не дотягивают до моего ни по ТТХ, ни по удобству использования.
> дык мало того, эти долдоны еще и хвастают что купили такое за столько баблосов. здесь
> такой же клинический случайс этим совершенно согласен! на том же амазоне я не увидел ни одного пылесоса кирби дороже 500-800$, и местные комивояжеры умудряются их демонстрировать и продавать начиная от 2500$ и выдавая это как великую скидку, типа завтра уже будет по 3500...
>Начиная с 2008 г. я лицензировался и всё моё ПО полностью лицензионное.А музыка и фильмы на компе? Если нет. то тогда купленная ОСь - всего лишь дешёвые понты.
>>Начиная с 2008 г. я лицензировался и всё моё ПО полностью лицензионное.
> А музыка и фильмы на компе? Если нет. то тогда купленная ОСь
> - всего лишь дешёвые понты.Да-да-да, и игры)
Музыку купил, фильмов нет, игры - купил в декабре Скайрим.
Бывает, фильм скачал - посмотрел - удалил. Если такое имеет место, то лиц софт - понты. Бывает такое или снова сказки про лицензионные DVD и кинотеатры будут?
> Если такое имеет место, то лиц софт - понты.Это _в любом случае_ понты.
> Бывает, фильм скачал - посмотрел - удалил. Если такое имеет место, то
> лиц софт - понты. Бывает такое или снова сказки про лицензионные
> DVD и кинотеатры будут?
> всё моё ПО полностью лицензионное.Откуда такая уверенность? Ты подробно изучил EULA к каждому обновлению??? Нашел отличия и устранил недоработки? Или валенком прикинулся? Тогда у тебя НЕТ лицензионного софта :))))))))
> Начиная с 2008 г. я лицензировался и всё моё ПО полностью лицензионное.А я с 2006 года на линукс свалил, там пиратствовать и не требуется как-то. Можно легально и в рамках лицензии хоть торрентом отгружать исошку своего дистра. Еще и спасибо скажут. А знаешь, так гораздо прикольнее :P.
> Наличие подписи повышает вероятность, но не даёт гарантий отсутствия ошибок. Также как
> наличие/отсутствие прав на управление автотранспортом.Не заметно. Подписи выдаются не глядя на код. Это как если права выдавать без экзаменов.
Вы когда-нибудь получали её в Майкрософт?
а вы?
неужто с такими познаниями "качественно-подписанные дрова" зарелизили?зыж
зато весь мир наблюдал, как подписанные(!) в мс дрова нвидиа и более того - шли в составе ОС привели к провалу висты с последующими судебными разбирательствами.
И писал, и подписывал. И для Майкрософта, и ПО для ММВБ/РТС. Всё было. И вас троллей-анонимов было много :) Дураки - не мамонты, они не вымрут.
Пруф давай.
Или думашь заметят хамство и всю ветку потрут?Зыж
НИХОЕНА ты не писал.
Если бы только видел ту хрень, что там мс наворотил (да ещё и за бабки),
уже бы давно на навоз изошёл.
Так что нефиг перекрашиваться из маркетолога низшего звена в системные прогоамисты.
Ззыж
По для ммвб - не может без подписанных драйверов. Угу. :Đ
Анекдот дня.
> И писал, и подписывал.Да, заметно по тому как ты не рубишь в том что такое драйвера в винде и как устроено ядро. Писал ты только свой спам на опеннет. Готов поспорить.
> И для Майкрософта, и ПО для ММВБ/РТС. Всё было.
Ах, так вот почему у нас ММВБ/РТС упал... говорят, там довольно крупные транзакции завалились. Ну я надеюсь что ты как крутой коммерческий разработчик забыл написать про as is и ответишь за все эти миллионы долларов, да? :)
> И вас троллей-анонимов было много :) Дураки - не мамонты, они не вымрут.
О да. Просто умереть завалив транзакций на несколько десятков (или сотен?) миллионов баксов было бы для тебя слишком просто и гуманно. Надеюсь что господа у которых #@нулись сделки найдут тебя и объяснят тебе что они думают о твоем г-нокоде. Ну ты сам в этом признался, чувак. Можешь еще на себя убийство кеннеди взять. И причастность к опасным террористам - мегааплоаду.
ну зачем на ванечку наезжать? такие как он и пишут. мне вот довелось давеча работать с Сертифицированым Специалистом по C#. так он неделю не мог позвать функцию из «родной» DLL, которой на вход передаётся const char *, а на выходе получают int. неделю. я уж не знаю, читал ли он при этом справку и пытался ли гуглить (подозреваю, что нет: чукча не читатель), но так и не смог. зато сертификатом махал так — я думал, вознесётся, аки вертолёт.
> Вы когда-нибудь получали её в Майкрософт?Было дело, принимал косвенное участие в такой процедуре. Код можно считать что не читается вообще. Прикольно, правда? Поэтому я с полными основаниями считаю эту процедуру имитацией бурной деятельности и просто потугами нагнуть разработчиков и производителей железа.
> Код можно считать что не читается вообще.а это вполне естественно: для понимания кода надо знать целевую железяку, да вдобавок отвлекать кого-нибудь из не-индусни.
имён же героев, наваявших драйверокривульку, народ всё равно не узнает. как и имён тех, кто это заверил «словом m$».
> Наличие подписи повышает вероятность, но не даёт гарантий отсутствия ошибок. Также как наличие/отсутствие прав на управление автотранспортом.Наличие подписи заставит покупать талон техосмотра только в одной конторе.
А поскольку сам техосмотр даже не предполагается, то цель ясна - выкинуть с рынка другие конторы.Зыж
Технология uefi как раз нацелена на дрова в крнед-спейсе.
И как же ты ванюша обо..лажался с микроядерностью вантуза то в новости выше :D
> (про то, что все глюки винды от неподписанных дров).ну положим не все, а бОльшая часть, по крайней мере тех, что вызывают BSoD. Или вы и с этим станете спорить?
> Чудо драйверам Creative наличие цифровой подписи бсоды вызывать никак не мешает.А драйвера интелской интеграшки изредка вешают графику. А в режим powersave они вообще уходят крайне глючно. Но бакланы из MS подписывают сертификат того что это не верблюд даже не глядя что им там подсунули. Думаю они подпишут даже драйвера с трояном, не посмотрев что там вообще.
> ... сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом.UEFI ей все равно не позволит загрузить какие-то данные в привилегированное адресное пространство без подписи этих самых данных.
> По факту лишь загрузчик должен быть подписан цифровой подписью, дальше ОС (загрузчик, ядро) сама решает что и как ей загружать.
тогда в чем суть это "революционной технологии" - UEFI?
Вы только что не обожествляете UEFI :)> тогда в чем суть это "революционной технологии" - UEFI?
UEFI - это объектно-ориентированный BIOS с модным программным интерфейсом (дальний вызов функций) и модным интерфейсом пользователя (GUI с прозрачностями и анимацией). Плюс пара наворотов в виде доступа в интернет (вроде как для автоматического обновления прошивки) из UEFI, загрузки (первичный загрузчик) только подписанных файлов и т.п.
> пара наворотов в виде доступа в интернет (вроде как для автоматического
> обновления прошивки) из UEFI,Ага. То-есть если мы что-то не поделим с сша, нам просто биос ремотно факапнут? Как мило!
После того как загрузчик загружен и ему передано управление, ни BIOS, ни UEFI в работу не вмешивается и вмешиваться уже не может. Загрузчик будет обращаться к BIOS/UEFI для получения параметров инициализации (размера ОП, доступных и недоступных для ОС областях, настройки прерываний и портов ввода-вывода и т.п.), загрузки файлов (обычно только ядра и драйвера диска и файловой системы), после чего перейдёт к низкоуровнему доступу к аппаратуре.
> После того как загрузчик загружен и ему передано управление, ни BIOS, ни
> UEFI в работу не вмешивается и вмешиваться уже не может.Вранье, в уефи могут остаться работать драйвера оборудования в случае если в ос нет своего драйвера.
Не вижу "вранья" или противоречия со своими словами. Да, ОС может использовать драйвера UEFI, если они это позволяют (сейчас компьютер может работать во многих режимах, не думаю что драйвера UEFI позволяет работать с ними во всех) и если у ОС с драйверами всё настолько плохо.
> и если у ОС с драйверами всё настолько плохо.Мне не интересно то что вы там думаете. Какие гарантии что эта гадость не останется резидентно в памяти и не будет плясать под дудочку Дяди Сэма и его корпораций?
Пользуйтесь только отечественными процессорами, они пляшут под дудочку Пу, Ме и всяких Потанин-Абрамовичей.
> Пользуйтесь только отечественными процессорами, они пляшут под дудочку Пу, Ме и всяких
> Потанин-Абрамовичей.Это лучшее что ты можешь предложить?
А зачем UEFI подменяет OS ? Её задача инициализация и предоставление сведений по запросу.
Она не подменяет.В общем чтобы получить красивый пользовательский интерфейс нужны драйвера клавиатуры, мыши, видеоадаптера; чтобы получить доступ в сеть - драйвер сетевой карты и реализация сетевых протоколов; также можно запихнуть драйвера любых других устройств. Да, UEFI - это 70% ОСьки, но с очень простой реализацией большинства алгоритмов (вкл.многозадачность) и ограниченным набором драйверов.
UEFI позволяет ОСьке после загрузки использовать любой из своих драйверов. Делается это через интерфейсы UEFI, т.е. ОС не знает реализовано это через драйвер или это составная часть UEFI, хотя и может узнать.
Почитайте про service management interrupts (SMI).
Что именно? Я в курсе что это такое, но пока не видел ни одного исходника как туда попасть. Плюс ОСька может её отключить, если хочет, хотя это и не рекомендуется, т.к. изначально на SMI хотели повесить энергосбережение.
> Что именно? Я в курсе что это такое, но пока не видел
> ни одного исходника как туда попастьНикак - не доступно операционной системе. Это -1 кольцо. Его для 0-го как бы нет.
Ты что, с дуба рухнул?? BIOS - тот же программный код, ОСька, при желании может повторить все его операции целиком и полностью. И никакого -1 нет, даже 4 имеющихся это много, реально используется 2 (для совместимости и чтобы не мучиться с ними), новые команды (SYSENTER, SYSCALL) рассчитаны также на 2.
Почитайте про первый пентиум книжку уже. Правда, конкретная реализация этого режима - только под NDA доступна.
> Ты что, с дуба рухнул?? BIOS - тот же программный код, ОСька,
> при желании может повторить все его операции целиком и полностью.Обработчик SMI нельзя подменить, даже из ring0. Точнее, была разок уязвимость найденная Рутковской, но это именно уязвимость. По изначальной задумке ring -1 невидим для ring0. Примерно как программа в ring3 ничего не знает о том факте что оказывается был page fault, ядро по этому поводу слазило в своп, достало недостающие страницы, вернуло их в память и сделало вид что ничего не было. Ты просто настолько тупой что даже книжку по ассемблеру прочитать как следует не можешь.
> Почитайте про service management interrupts (SMI).на самом деле хватит даже виртуализатора.
Чтобы понять точнее приведу пример как определить что у процессора несколько ядер:Нужно в одной из трёх областей оперативной памяти найти выровненную на 16 байт сигнатуру "RSD PTR ", это первые 8 байт структуры RSDP. Затем следует проверить контрольную сумму этой структуры (BIOS может сделать этих структур хоть 100 штук, но контрольная сумма должна совпадать лишь у одной), затем проверить версию структуры (если 1.0 - 32-битные указатели, если 1.1 - 64-битные). Затем получить из структуры адрес другой структуры: RSDT (32) или XSDT (64) соотв. Если есть оба - использовать 64-битную ссылку. Затем проверить её [RSDT/XSDT] контрольную сумму, затем перебором протыкаться по всем ссылкам в структуре RSDT/XSDT и найти структуру MADT с сигнатурой "ACPI", проверить её контрольную сумму. Затем... Хммм, мне продолжать или уже ясно что этот способ и "через задницу" это где-то рядом?
В UEFI для этого же достаточно вызвать функции CPU->GetCount(), CPU->GetCPUParam(), ..
В UEFI для этого же достаточно вызвать функции CPU->GetCount(), CPU->GetCPUParam(), ..
Прямо уже процессор или что-то на него похожее будет уметь эти команды на уровне инструкций машинного кода?
в процессоре есть такие команды
Ну ка, ну ка, приведи. А затем расскажи как узнать что напр. Hyper Threading отключён в BIOSе и использовать некоторые из ядер нельзя. Если отправить широковещательные SIPI INIT, SIPI START - запустятся все ядра и узнать какое было предварительно отключено BIOSом будет невозможно.
> Hyper Threading отключён в BIOSе и использовать некоторые из ядер нельзя.Спецификации на процессор и как это включать/выключать - есть на сайте фирмы интел. Там же расписаны и все команды и регистры.
Я в курсе, эту часть инициализации своей ОС я уже прошёл, но раз ты уверен что это есть в процессоре - я хочу знать КАК. Может я идиот и 3 тыс. строк кода зря писал, когда можно одну команду процессора - и сразу в дамки.
Вот и до тебя сия простая мысля стала доходить.
> Может я идиотЯ в этом даже практически уверен, судя по твоим постам.
void __devinit detect_ht(struct cpuinfo_x86 *c)
{
u32 eax, ebx, ecx, edx;
int index_msb, core_bits;
int cpu = smp_processor_id();
cpuid(1, &eax, &ebx, &ecx, &edx);c->apicid = phys_pkg_id((ebx >> 24) & 0xFF, 0);
if (!cpu_has(c, X86_FEATURE_HT) || cpu_has(c, X86_FEATURE_CMP_LEGACY))
return;
smp_num_siblings = (ebx & 0xff0000) >> 16;
if (smp_num_siblings == 1) {
printk(KERN_INFO "CPU: Hyper-Threading is disabled\n");
}...
можешь дальше рассказывать сказки про 3000 строк кода
Хмм.. Ты хоть сам понял что код то делает?Ты узнал что HT выключен. Хорошо. Как проинициализировать ядра? И какие именно?
Подскажу, для этого нужно послать 3 команды: SIPI INIT, SIPI START, SIPI START (хотя я напр. второй START не посылаю и всё работает), при этом в каждой команде нужно указать номер процессора, которому посылается сообщение. Где его взять? Также можно послать широковещательные всем ядрам, но тогда проснуться действительно все, даже отключённые ранее.
Ещё подскажу: процессоры (ядра в текущей терминологии это отдельные процессоры) полностью изолированы и из одного нельзя получить никакие параметры другого. Твоя "smp_processor_id()" вернула тебе номер текущего (видимо это будет загрузочный - BSP) процессора, получив его из LAPIC. До остальных как добираться думаешь?
ты видимо не понял, что код делает и решил таким образом выкрутиться? продолжай троллить
> ты видимо не понял, что код делает и решил таким образом выкрутиться?
> продолжай троллитьНу так он же тупой рекламный бот. Он только фигню умеет нести по книжке. Что делает этот код - далеко за его пределами умственных возможностей. Вот такие вот и хвалят винды...
UEFI как и BIOS находятся в ОЗУ компа при его работе и имеет интерфейс обращения к "своим услугам". У UEFI он более модный. Только это фигня - один раз написать долгий неудобный код. А вот UEFI дает возможность быть уверенным в том что в процесс загрузки между UEFI и загрузчиком ядра не влезет третий. Я так понимаю?
И это в том числе. Для вас как для пользователя это может быть главным, для разработчиков ОС главное - унифицированный объектно-ориентированный интерфейс (вместо пары сотен положенных за долгие годы граблей) и быстрый вызов (вместо тормознутых и устаревших прерываний; на счёт "устаревших": в BIOS есть 12 функций получения размера оперативной памяти, при этом 10 из них возвращают размер ОП в пределах 1 Мб, одна - не более 64 Мб, одна - полный размер).
Прерывание хоть и тормознутые, но параметры жестко ограничены. А как насчет наличия уязвимостей в коде UEFI? Кто их будет исправлять и как быстро? Да и сам код будет пропротариальный. Если есть вызов метода то есть и потенциальная уязвимость реализации? Или я ошиваюсь?
UEFI в этом ничем не отличается от BIOSа.
> UEFI в этом ничем не отличается от BIOSа.Кроме того что биос после старта системы остается не у дел.
В 16-битных BIOS оставался у дел, при переходе в 32/64 вызов 16-битных затруднялся, хотя напр. для вызова функций VESA приходилось изощеряться, вплоть до возврата в реальный режим. UEFI будет работать в 32/64-битном, так что не исключено что самопальные ОС будут пользоваться частью его ресурсов.
> В 16-битных BIOS оставался у дел, при переходе в 32/64 вызов 16-битных
> затруднялся,Только вот это когда было... :)
> вот UEFI дает возможность быть уверенным в том что в процесс
> загрузки между UEFI и загрузчиком ядра не влезет третий. Я так понимаю?Есть хороший ответ на этот вопрос: http://www.lafkon.net/tc/
Вообще уже...
>тогда в чем суть это "революционной технологии" - UEFI?Действительно если одна ОС то в последних командах перед выключением можно проверить целостность загрузочного сектора если нет иных путей загрузки. А если есть!
> тогда в чем суть это "революционной технологии" - UEFI?BIOS давно протух и нуждается в осиновом коле и серебряных пулях. Проблема только в том что борцы со злом оказались хуже самого зла, попутно протолкав антифичу, обувающую пользователя на контроль над его оборудованием в пользу производителя и MS. А вот это уже форменная заподляна.
Надо coreboot пилить и допиливать до ума. Вот что вендорам собраться и поддержать проект и нахрен послали бы это майкрософт.
> и нахрен послали бы это майкрософт.Посылать его довольно трудно в десктопном сегменте...
Я также не понял зачем ядру блокировать загрузку не подписанных модулей...
> Т.е. по сути сами себе придумали проблему и героически её решают. По
> факту лишь загрузчик должен быть подписан цифровой подписью, дальше ОС
> (загрузчик, ядро) сама решает что и как ей загружать.Иван, Вы вообще задумывались о том, какую техническую проблему пытаются решить, пытаясь применить эти аппаратно-программные средства по их заявленному назначению (вместо решения проблем Microsoft с удержанием рынка "к ноге")?
ОС _сама_ не решает, у неё на то интеллекта не положено. Решают разработчики, интеграторы и администраторы. Интерес в блокировании LKM-троянов и впрямь наблюдается, но как обычно, безопасность находится на другой стороне качели с юзабельностью.
Вы же опять не о том, что описано, а о том, что знакомо.
> Ну это же вообще на здравый смысл не похоже!все должны прогнуться под m$, такова политика корпорации зла...
> Ну это же вообще на здравый смысл не похоже!Это похоже на желание MS устроить всем остальным подляну.
да не может быть. шокирован.
m$ потом будет в ультимативном порядке заставлять производителей материнских плат встраивать подобные алгоритмы, защищающие только интересы m$. будут, как обычно, использовать свои рычаги воздействия, оставаясь как бы не при делах, давая этим производителям как бы выбор, чтобы отмазаться перед антимонопольным комитетом
Так это есть/были/будут происки m$, чтобы убить линукс в прямом смысле слова. Чтобы никто не мог установить на любое железо, не только с arm, ОС отличную от венды. Последние события показывают, что корпорация зла активно взялась за эту войну.
Вобще как помне, извените зарание, только мое мнение, я купил себе компьютер и вправе делать с ним что хочу, а тут какие-то запреты, это нарушение прав потребителя
не, не в праве :) например, по EULA вы не имеете права изучать бинарники, применяя дизассемблеры и прочие утилиты для этих целей. да и вообще, эти программы вы берёте напрокат, а не выкупаете.
Ну вот пора менять в США законодательство, не все конечно, а применительно к программному и аппаратному обеспечению
с чего бы им менять законодательство, если m$ у них является дойной коровой? ;)
лучше сократить штаты :)
> не, не в праве :) например, по EULA вы не имеете права
> изучать бинарники, применяя дизассемблеры и прочие утилиты для этих целей. да
> и вообще, эти программы вы берёте напрокат, а не выкупаете.Этот пункт Юлы противоречит Российскому законодательству и недействителен.
> Этот пункт Юлы противоречит Российскому законодательству и недействителен.Последний пункт вполне себе действителен.А вообще - условия от MS совершенно нигерские.
EULA это на софт, а UEFI относится к оборудованию при покупке которого никакие лицензии не подписывают.
> не, не в праве :) например, по EULA вы не имеете права
> изучать бинарники, применяя дизассемблеры и прочие утилиты для этих целей.по-моему, таки имеем, из законодательства окончательно не убрали пункты о том, что «для обеспечения совместной работы» и так далее.
> купил себе компьютер и вправе делать с ним что хочу, а тут какие-то запретыскоро нам будут говорить, когда и на сколько минут m$ разрешает нам включать компьютер.
Америкосы задолбали уже своими инициативами типа UEFI, SOPA и PIPA т.д.
>Америкосы задолбали уже своими инициативами типа UEFI, SOPA и PIPA т.д.Че ты нагнетаешь межнациональный негатив. Среди американцев тоже много нормальных, адекватных и честных. А то что мы видим в виде UEFI, SOPA и PIPA - это результат (коллективный или нет - не суть) действии быдла которого движет, конечно же, шкурный интерес, примитивные формы рефлексии и привычек (различные формы пристрастии в виде алчности, жадности и т.д.).
Не надо кидаться на всех американце - это такой же удел быдла все смешивать для простоты (это цель быдла - простота/примитивность любой ценой). Всегда отделяйте мух от гов#на - иначе выглядие как то самое быдло...
Если не прав - подправьте. Но только доводы приводите с обоснованием и соотносите факты со всех (желательно) сопряженных позиции.
> Че ты нагнетаешь межнациональный негатив. Среди американцев тоже много нормальных, адекватных и честных.Среди русских тоже. И что?
> А то что мы видим в виде UEFI, SOPA и PIPA - это результат (коллективный или нет - не суть) действии быдла которого движет, конечно же, шкурный интерес, примитивные формы рефлексии и привычек (различные формы пристрастии в виде алчности, жадности и т.д.).
Американские олигархи-медиамагнаты (как обычно, скупившие "слуг народа" оптом) сильно удивятся, узнав, что их называют быдлом.
Далеко не глупые люди - это видно уже по тому, как высоко они забрались.
Но вопросы личного обогащения, естественно, беспокоят их куда больше, чем абстрактный прогресс. Впрочем, скажите честно - вы бы на их месте поступили иначе?
>> Че ты нагнетаешь межнациональный негатив. Среди американцев тоже много нормальных, адекватных и честных.
>Среди русских тоже. И что?Неужел до сих пор неясно что?
>> А то что мы видим в виде UEFI, SOPA и PIPA - это результат (коллективный или нет - не суть) действии быдла которого движет, конечно же, шкурный интерес, примитивные формы рефлексии и привычек (различные формы пристрастии в виде алчности, жадности и т.д.).
>Американские олигархи-медиамагнаты (как обычно, скупившие "слуг народа" оптом) сильно удивятся, узнав, что их называют быдлом.Я не всех олигархов-медиамагнатов называю быдлом. Среди них, я уверен, тоже есть нормальные. Я называю тех кто лоббирует и ставит свои интересы выше обественных лишь потому что сиюминутно у него бисеры.
>Далеко не глупые люди - это видно уже по тому, как высоко они забрались.
Уточняйте что вы сравниваете на фоне средней "серой" массы. Не объязательно они забрались высоко - есть риск что фон упал низко (выпад в сторону другой подгруппы быдла, которые большую часть вопросов готовы решать через "подлизать").
>Но вопросы личного обогащения, естественно, беспокоят их куда больше, чем абстрактный прогресс. Впрочем, скажите честно - вы бы на их месте поступили иначе?
Не сомневайтесь, я бы поступил иначе. Но меня аж выворачивает от быдла которые ничего не видят вокруг кроме себя и своих "хотелок". Тьфу, мерзость (еще людьми называются).
Ну да четвертый пенёк компиляция с эльбруса
не стоит ставить в один ряд UEFI и SOPA, PIPA
UEFI это прежде всего замена устаревшему биосу
к примеру у биоса есть проблемы с поддержкой жестких
дисков большого обьема. Это не помню как обходят,
но проблема остаеться. Также интересна возможность
писать драйвера не зависящие от операционки.
Поддержка цифровых подписей, это только одна из функций.
> не стоит ставить в один ряд UEFI и SOPA, PIPAПочему же, кое что общее у них есть: они создают геморрой и нацелены против пользователей.
можете, только вот комп может и не осилить ваши потуги.
> можете, только вот комп может и не осилить ваши потуги.Твои высеры он как-то осиливает...
По идее из-за UEFI и всех связанных трабл с его имплементацией - по сути может тормознуть прогрес в области посттроения новых осей - так как теперь для написания простейшего загрузчика придется делать дополнительные телодвижения и пр. Проблема видится надуманной.
Можно сгенерировать ключ для запуска своего загрузчика у себя дома ни к кому не обращаясь. По сравнению с написанием целой ОС это задача совсем маленькая. А распространять самопальные ОС и так никто не распространяет.
> Можно сгенерировать ключ для запуска своего загрузчика у себя дома ни к
> кому не обращаясь.А кто его подпишет? Или с чего вдруг uefi'нское фирмваре будет этому ключу доверять?
Сам пользователь на собственном ПК.
> Сам пользователь на собственном ПК.Так ведь и вирус/хакер же сможет. Поэтому пользователя всеми силами стараются на это обуть. Убедив что эта камера с решетками на окнах - для его же безопасности.
> А распространять самопальные ОС и так никто не распространяетООоо, а вот это идея. Господа пиндосы, берите на заметку. Надо не препятствовать запуску других ОС на любом железе, надо выставить другие ОС как вредоносные, способствующие распространению вирусов, педофилии и наркомании. Итак рецепт: собрать getthefuckts, в которых ясно и чотко и дерзко изложить, что ОС, выпущенные неизвестно кем, каким то сообществом непрофессионалов - на самом деле является дичайшим риском, потому что никто не готов отвечать за эти ОС.
Вы какую-то херню городите, честное слово. Когда Линус писал свой терминал, работающий в защищённом режиме 386 процессора, у него вообще не было цели написать ОС. Он просто изучал процессор СВОЕГО компьютера. Если бы для этого он должен был бы куда-то обращаться для получения сертификата, то Linux сейчас бы просто не было. Именно это и нужно тем, кто внедряет UEFI. Хотят избавиться от конкуренции существующей и потенциальной. По сути - монополизировать разработку ОС для любых компьютеров.
> что ОС, выпущенные неизвестно кем, каким то сообществом непрофессионалов - на
> самом деле является дичайшим риском, потому что никто не готов отвечать
> за эти ОС.Это будет прямая атака против винды :)
Действительно, судя по качеству продукции мелкософта, последние профессионалы в области разработки сбежали оттуда много лет назад. Да и отвечать мелкософт ни за что не станет - всегда можно свалить на кривые руки пользователя и неправильные драйверы.
На x86 проверка отключается. Неотключаема она пока только на arm-ах, но и будущее самих армов в десктопах выглядит туманным.
Мне вот интересно, собираются ли антимонопольщики предпринимать какие-то меры? Ведь всем понятно, каковы реальные цели мастдайсофта, и что вся это безопасность - лишь прикрытие, которое, на мой взгляд, не особо убедительно звучит.
Понимаете, здесь уже привыкли сшибать денежку
в "экосистеме" семейства Windows от МS.
И они понимают, что конкуренцию естественную
невыдерживают... но не одни они... они за собой
тянут и "остальных".Анекдот:
Три пьяных переползают железную дорогу.
Первый говорит: - Ребята, какие здесь перила низкие...
Второй говорит: - Ребята, какие здесь ступеньки высокие...
Третий говорит: - Ничего ребята, вон лифт идёт.:)
> в "экосистеме" семейства Windows от МS.Эта экосистема называется болото с гадюками. Лечится парой термоядерных зарядов разве что.
на x86 проверка отключаема. А arm-ах нет, но там и монополии нет. Причин для вмешательства нет.PS предысторию этой всей каши кто-то читал?
> Причин для вмешательства нет.Посмотрим на мнение еврокомиссии. И уж конечно just in case будем просто заказывать онлайн у правильных производителей, поддерживая их руб^W долларом/евро/чем там у них. Глобализация имеет и некоторые плюсы. Например проще обводить вокруг носа всяких му..ков.
не лучше ли пойти правильным путем - отстоят в суде дело об ущемлении свобод человека? (вместо того что вестись на кем-то навязанные правила игры - и лепить костыли)
>свобод человека?Как жаль, что так и не удалось услышать начальника тра^W^W Карлу дель Понте!
> не лучше ли пойти правильным путем - отстоят в суде дело об
> ущемлении свобод человека?Надеюсь что европейцы снимутся с ручника. Хотя вон и американцы с сопой борятся, может и тут до них все-таки дойдет что корпорации затевают заподлянку?
Что-то кажеться некоторые производители апаратного обеспечения, в свете таких проблем, и дальше будут выпускать материнские платы с BIOS
UEFI уже стоит на материнках. Linux работает нормально.По сабжу не ясно, что думает сам UEFI Forum. А это не только мелокомягкие, и не понятно почему претензии только к ним. - AMD, American Megatrends, Apple, Dell, HP, IBM, Insyde Software, Intel, Lenovo, Microsoft, and Phoenix Technologies.
ага, майкрософт, аппл...
вспомните как хп любит привязывать вайфай, что потом приходится биос их крякать...
американ мегатрендс и фоенику помоему пофиг...и единственные адекватные игроки игроки это интел и ибм...
про остальных ничего сказать не могу.
> UEFI уже стоит на материнках. Linux работает нормально.Только там старая ревизия, без секурбута пока. И умеющая классический режим. А вот пойдет в массы новая ревизия - и будет у нас с вами SOPA. Или PIPA. Один фиг плохо.
1. про загрузку
Что мешает после компиляции ядра пользователю подписать его? Потом в UEFI выбрать пункт "добавить подпись пользователя" только физически.
2. модули тоже можно подписывать пользователем.
3. Загружаемый контент тоже можно подписывать
А вот "физическое присутствие пользователя" для развертывания компов это проблема не только Linux.
Влиять на законодательство США бесполезно. А вот наращивать свои DNS нужно. Хотя все правительства все равно возьмут под козырек!
Я что-то не понимаю, разве при загрузке проверяться будут все компоненты вплоть до модулей ядра?
Что-то никто не кричит, что такая же подпись понадобится для драйверов винды.ИМХО UEFI только грузит загрузчик из /EFI/Boot/*/*.efi, для которого реально и нужна будет подпись, а загрузчик уже грузит все остальное.
Читайте внимательно:"сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом."
> (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом."Вот только зачем нам этот фашизм? Я готов поставить $100 на то что хакеры и вирусы никуда не денутся. А вот геморроя прибавится. У честных пользователей.
Это вопрос к разработчикам ядра. Я бы на их месте послал RMS в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше загружался как обычно.
> Это вопрос к разработчикам ядра. Я бы на их месте послал RMS
> в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше
> загружался как обычно.А они с тобой подписью поделятся? Ведь если ты захочешь поменять пару строчек в исходниках своего LILO/GRUB, ты его скомпилируешь, но подписать уже не сможешь. А значит - не сможешь воспользоваться. То есть исходники кагбэ есть, но воспользоваться ими по прямому назначению нельзя - можно только распечатать, повесить в рамку на стенку и любоваться.
>Это вопрос к разработчикам ядра. Я бы на их месте послал RMS в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше загружался как обычно.А это и закономерно что ты не на их месте. Узкомыслящим и ищущим легчайшие пути любой ценой организмам вообще лучше близко не подходить к ответственным должностям.
> Это вопрос к разработчикам ядра. Я бы на их месте послал RMS
> в клинику лечиться, получил подписи на LILO/GRUB (первичные загрузчики), а дальше
> загружался как обычно.Поэтому ты и бухтишь на форуме. Сам ты ни одного загрузчика имхо не написал.
>сводит на нет автоматизацию установки ОС в парке из тысяч ПК.А одни и те же ключи на каждой машине нельзя использовать?
Можно.Но выбран способ когда пользователь сам должен сгенерировать ключ на данном ПК для запуска данной ОС. И ключ, как я понял, будет привязан именно к конкретному ПК. Зато "свобода" от необходимости получать ключи на LILO и GRUB.
Как-то слабоват этот (UEFI) способ "правильного" использования ресурсов компьютера.
Могли б, например, каждый такт процессора обращаться к сайтам производителей программы и устройства за валидацией.
Тут бы все пользователи прочувствовали всю "глубину наших глубин" и побежали б покупать новое "быстрое, совсем не тормозящее" железо, "правильный, лицензионный" софт и "мегасуперпуперскоростной" интернет.
Вот бы здорово тогда стало всем продавцам, удовлетворяющим "потребности" покупателей (правда в весьма своеобразной форме).
Для вас: UEFI проверяет лишь первичный загрузчик. Остальное - заморочки ядра. По спецификациям UEFI определён т.н. "безопасный режим загрузки", когда ОС не загружает неподписанные драйвера, но никто не требует его соблюдения.
Так я ж и предложил использовать 256-ядерный процессор на пользовательском компьютере в котором 255 ядер занимаются реалтаймовой валидацией процесса одного - оставшегося ядра...
Это ирония...На самом деле вызывает сомнения сама необходимость подобных (UEFI) технологий.
На мой взгляд следует ответить на 3 вопроса перед внедрением подобных "фич":
1) Станет ли опасное безопасным?
- Возможно, на какое-то время (пока не будет найден "фича/баг" реализации либо "хак" архитектуры).
2) Станет ли свободное несвободным?
- Однозначно - да. Свобода использования софта и железа резко уменьшится.
3) Кому это (UEFI...) выгодно?
- Нас пытаются убедить, что это выгодно покупателям, но у меня возникают ОЧЕНЬ большие сомнения на этот счет.
>сложности возникают в сопутствующих областях, ..., несовместимость с лицензией GPLv3 под которой распространяется загрузчик Grubчто мешает использовать всем другой загрузчик, например lilo и подписать его?
> что мешает использовать всем другой загрузчик, например lilo и подписать его?Что тебе мешает пользоваться болгаркой, если сосед заварил твою дверь?! И не захочешь ли ты дать ему в табло соседу за такие фокусы?
Ничто не мешает, кроме желания разработчиков (=RMS) сделать ОС "свободной" от получаемых от кого-либо подписей.
> Ничто не мешает, кроме желания разработчиков (=RMS) сделать ОС "свободной" от получаемых
> от кого-либо подписей.Ага, а ремотный апдейт биоса и подписи там - куда девать? А то сша секурно порулят у нас тут нашими компьютерами, если мы что-то не поделим с ними. Во будет зашибись то, когда нам ремотно угробят все банкоматы, системы управления и вообще все что могло шевелиться.
>>сложности возникают в сопутствующих областях, ..., несовместимость с лицензией GPLv3 под которой распространяется загрузчик Grub
> что мешает использовать всем другой загрузчик, например lilo и подписать его?А зачем?
Проезжали все это много раз уже.
Защита DVD - поломана
Ключ hdmi - подобран
Бабайки от сони поломали.
Прошивка телефонов моторола - ключ rsa обьехали на кривой козе.
Примеров уйма.
Так-что затавить uefi принимать любой ключ вопрос времени.
> Так-что затавить uefi принимать любой ключ вопрос времени.Да, только вот почему у меня должен быть энтузиазм от предложения купить геморрой за свои деньги?
Ты не повериш! (С)НТВ
Сколько народу покупает ойфон и разлочивает его.
> Прошивка телефонов моторола - ключ rsa обьехали на кривой козе.А по подробней?
> А по подробней?Вроде как грузят подписаное ядро и из него делают модулем kexec в неподписанное. Но это таааааакой запуск нормальной версии ос через SOPA'у что просто жесть.
Вообще не понимаю, что мешает производителям выпускать материнки с coreboot. Скинуть всю инфу разрабам, а те сами бесплатно всё сделают. Это же в триллион раз проще!!!
Хмм... С чего бы начать...Производитель в данном случае скорее сборщик, как ты собираешь ПК из разнородных комплектующих (обычно те что подешевле, да подоступнее), так и он собирает мат.плату из разнородных контроллеров. Дальше нужно всю эту хню запустить, проинициализировать и довести до загрузки первичного загрузчика. И проблем там МОРЕ. Взять хотя бы запрет обращаться к оперативной памяти напрямую, пока не будут инициализированы все её контроллеры; там целая пляска с бубнами, регистрами и портами ввода-вывода. По этой причине BIOSы давным давно модульные, каждый разработчик контроллера к своему поделию прикладывает модуль инициализации. У каждого модуля свой програмный интерфейс, по этой причине, а также по причине сложности нормальной сборки BIOSа под часто изменяющуюся комплектуху (партия 1 с чипом А, партия 2 с чипом Б) BIOS пишут по-крестьянски, добавляя нужные вызовы в конец "рыбы". В результате BIOS может 4 раза проинициализировать что-то или положить в ОП вместо одной таблицы 7 штук, или ещё что... :) И последнее: ошибка в инициализации = сгоревшая плата.
Как ты себе представляешь "Скинуть всю инфу разрабам, а те сами бесплатно всё сделают"? BIOS должен быть записан в чип _ДО_ первого запуска ПК. Т.е. запустить чтобы перепрошить при первом запуске нельзя.
UEFI решает проблему модульности и наращивания кода инициализации?
Нет :)
Кроме того Дебри БИОС - еще одна защита. Код просто растет в хвосте ,но и такты укорачиваются.
вы так описываете, как будто это вообще невозможно всё сделать. как я понял, всё-таки есть же платы, поддерживаемые coreboot? и если бы основные производители поддержали организацию и объединились бы в усилиях (сначала один, потом другой присоединился бы), то вместе разве не удалось бы?
Я читал исходники и coreboot, и SeaBIOS, они начинаются когда инициализация BIOSа уже закончена.Производители аппаратуры выступали за UDI (Unified Driver Interface) - единый формат драйверов под все ОС, но не нашли взаимопонимания. Даже "сообщество" не стало поддерживать и развивать данный проект. Показательно.
> Я читал исходники и coreboot, и SeaBIOS, они начинаются когда инициализация BIOSа
> уже закончена.Да ты упоролся. Coreboot полностью заменяет собой bios и сам инициализирует проц, чипсет и какое там еще барахло.
Не готов оппонировать. Инициализации памяти и пр. низкоуровневых компонентов, о которых достаточно подробно читал, я в исходниках не увидел. Также как не нашёл VESA и APIC. По мне на полноценный BIOS это не катит. Тестировать на реальной аппаратуре не стану, меня устраивает имеющийся.
Идея Coreboot была в именно том чтобы лишь подвести систему к загрузке оси (минимум инициализации) не выполняя "лишнюю" работу которая, по сути, отнимает время. Под "лишней" имеется ввиду работа Bios'a. Сейчас инициализация происходит два раза: сначала инициализирует Bios после включения а дальше при загрузе ОС идет инициализация силами последней. Функции инициализации в Bios - это сильно рудиментарные вещи, благо, есть kexec, который очень редко, ко экономит время.
Из того что я видел в исходнике - это 30% файла GRUB, раскиданного по десятку папок. И всё. Никакой инициализации, кроме той, которую затем ОС повторит, там нет. Где инициализация APIC (=многопроцессорных систем), без которой хрен пойми что выполняет процессор и в какой разнос он идёт? BIOS _ОБЯЗАН_ по спекам это сделать. Ни Coreboot, ни SeaBIOS этого не делают. Где реализация VESA, к которой затем будет обращаться ОС? Или только под консоль всё пишем?Мне плевать какие ставились цели, то я видел - дрянь, копи-паст загрузчика линукса.
Надо бы слить сорцы обоих да и разобраться самому что да как, со временем напряги. Но принимать ваши аргументы - это, по меньшей мере, глупость. Уточните тогда, если все так плохо - почему оно шевелится и количество поддерживаемых мат. плат растет?
> Не готов оппонировать. Инициализации памяти и пр. низкоуровневых компонентов, о которых
> достаточно подробно читал, я в исходниках не увидел.Походу он это ниасилил и поделил на ноль :)
> Также как не нашёл VESA и APIC. По мне на полноценный BIOS это не катит.
Оно и не пытается быть именно BIOS в общем случае. Это стартовое фирмваре. Как один из вариантов есть и эмулятор классического bios. Что до VESA то оно вообще-то видеокартой реализуется, extension ROM на оной. Для какой из всех возможных в мире видеокарт coreboot должен изображать VESA и с фига ли именно он? oO
> Тестировать на реальной аппаратуре не стану, меня устраивает имеющийся.
А жаль, было бы прикольно от тебя немного отдохнуть, т.к. в силу твоего умища и пряморукости я ни на секунду не сомневаюсь в исходе такого начинания.
лучше бы просто сделали отключение такого маловменяемого режима. Ну я ещё понимаю - подписывать и проверять загрузчик (и то, как по мне - фича крайне слабо востребованная клиентами). Но дальше - маразм же явный.
Читайте внимательно:"сторонние драйверы также должны быть заверены цифровой подписью ... так как ядро (!!!!ЯДРО!!!!) будет блокировать загрузку модулей, неподписанных нужным ключом."
Для запуска ядра требуется лишь цифровая подпись загрузчика.
Т.е. идея с подписью еще и ядра с драйверами по сути не является предложением форума UEFI,
а скорее инициативой разработчиков конкретных дистров и ОС.Отсюда и вопрос, а нафига юзеру такой геморой, если сугубо для загрузки ядра хватает только подписи boot0?
В спецификациях UEFI он описан как "безопасный режим загрузки". Использовать (=реализовывать) его или нет решает разработчик ОС.
отключение этой фичи обещали, но все подпишут, в этом не сомневаюсь (уж большое количество примеров, хотябы с отчислениями за андроид и т.д.), соглашение с М$ и будет всем веселье...
А можно ли перепрошить будет этот чудо-биос на обычный? к примеру на опенсоурсный?
Да, возьмёте програматор, микруху и в бой... вы серьёзно?
> Да, возьмёте програматор, микруху и в бой... вы серьёзно?Зачем програматор? На дворе что 90-е? Есть ведь flashrom(http://kubuntu.ru/node/3257)
> Зачем програматор? На дворе что 90-е? Есть ведь flashrom(http://kubuntu.ru/node/3257)На всякий случай? :)
> На всякий случай? :)На всякий случай и есть прогроматор, а то вдруг свет выключат? :)
> На всякий случай и есть прогроматор, а то вдруг свет выключат? :)Дык. Или биос не взлетит. Или прошьется криво. Или ... мало ли, sh*t happens.
Я вот не пойму что все пляшут вокруг этого UEFI. По сути он ничего интересного не предлагает. За место того чтобы пойти на предельное упрощение БИОС взяв за основы коребут и модифицировав его под десктопные нужды, они берут изначально недестопную EFI и прикручивают к дестопу как благо, попутно просовывая зонд безопасной загрузки именно юзеру. какерам это как слону дробина.
> какерам это как слону дробина.Хаксоры это в телефонах то сносят, где оно простое и почти безбажное. А в этом монстриле те кому надо найдут миллион дырок при таком его размере и общеиндусовости кода этой фигни.
Интересно как они смогут определять сидит ли человек за компом физически, или вместо него умная программа торчит, и делает шкоду... По сути все известные способы проверки на человечность уже взломаны.
> Интересно как они смогут определять сидит ли человек за компом физически, или
> вместо него умная программа торчит, и делает шкоду... По сути все
> известные способы проверки на человечность уже взломаны.Ну-ка покажите программу, которая сможет автоматом настроить BIOS ? KVM-ы работают на уровне передачи битмапов.
>> Интересно как они смогут определять сидит ли человек за компом физически, или
>> вместо него умная программа торчит, и делает шкоду... По сути все
>> известные способы проверки на человечность уже взломаны.
> Ну-ка покажите программу, которая сможет автоматом настроить BIOS ? KVM-ы работают на
> уровне передачи битмапов.может еще вирус показать, который может в биос прописываться? Собсно во всех больших ОС есть софт для работы с биос из самой ОС. Что мешает приладить к ним автомат?
>Собсно во всех больших ОС есть софт для работы с биос из самой ОС.Дайте мне такого, пусть и под венду! а то когда у брата на материнке глюкнули PS/2 порты, а USB клава инициализировалась только после загрузки венды, было как-то грустно. Хорошо помогло сброить CMOS выниманием батарейки (не помню, была ли там перемычка), и дефолтные настройки BIOS позволили заюзать USB-клаву. А так даже тупой порядок загрузки хрен поменяешь!
> Интересно как они смогут определять сидит ли человек за компом физически, или
> вместо него умная программа торчит, и делает шкоду... По сути все
> известные способы проверки на человечность уже взломаны.Кроме нажатия кнопки на материнке. Прийти и нажать ее вместо человека вирусы пока не умеют :)
>> Интересно как они смогут определять сидит ли человек за компом физически, или
>> вместо него умная программа торчит, и делает шкоду... По сути все
>> известные способы проверки на человечность уже взломаны.
> Кроме нажатия кнопки на материнке. Прийти и нажать ее вместо человека вирусы
> пока не умеют :)дааавно не видел материнок где чтоб перепрошить биос / поменять(поиметь) в нём настройки требовалось нажать физическую кнопочку на материнке...
Скомпилил ты ядро, как в старые добрые времена
пытаешься его загрузить, а нихрена.
Ключи не подходят к нему, виной всему
безопасная загрузка UEFI
> Скомпилил ты ядро, как в старые добрые времена
> пытаешься его загрузить, а нихрена.
> Ключи не подходят к нему, виной всему
> безопасная загрузка UEFIотлично. ни в коем случае не критиковать, не вмешиваться, накапливать материал. побольше маразмов чудных и разных и систематизация, систематизация.. а то что-то затянулось, где бледные лица? где пересвист баллистических ракет?
> где бледные лица? где пересвист баллистических ракет?Где-то здесь вас предупреждали: http://habrahabr.ru/blogs/infosecurity/135681/
Пожалуй надо бы на всякий случай переселиться в малонаселенную местность без военных баз в радиусе 100 километров :\
UEFI — костыль на костыле. Микрософт однажды уже подписал Atsiv — и ещё раз подпишет. А нам пофиг — вынесем нафиг этот поганый UEFI и поставим на его место coreboot.
Точно безопасная загрузка:
1. Firmware действительно _физически_ ro (перемычка).
2. Нет физического доступа к машине (опечатана/в сейфе).
И пользователю хватит и первого пункта.
> 1. Firmware действительно _физически_ ro (перемычка).Сие кстати легко реализуемо, у чипов лапка для этого соответствующая есть. Вот только современные биосы очень не рады когда не могут записать DMI и прочие ESCD :)
> 2. Нет физического доступа к машине (опечатана/в сейфе).
А вот это мало от чего защитит. Баги в софте от этого никуда не пропадут.
http://www.youhtc.ru/2012/01/obyavleny-sistemnye-trebovaniya.../
Нехило так вбросила МС свои требования: "Производители ARM-планшетов обязаны закрывать загрузчик, чтобы на планшет не смогли установить другую ОС"
Чёй-то вдруг?)) Боятся? Нее.. дрожат просто от страха со своим дерьмом перед здравой и качественной конкуренцией)
> здравой и качественной конкуренцией)Им же хана если так будет.
EuPhobos, ну ты даешь. Ты можешь поставить другую ОС на iPad или HTC Flyer? Или они умеют загружаться с флэшек?
Планшеты на Windows 8 взлетят. Увидишь)
> Планшеты на Windows 8 взлетят. Увидишь)и потом с высоты с душераздирающим шмяком грохнутся.