Как стать автором
Обновить

Комментарии 57

Linux сообществу зависеть от Microsoft? О ужас…
НЛО прилетело и опубликовало эту надпись здесь
И колония обезьян на Марсе, если верить той страничке, у MS тоже есть.
НЛО прилетело и опубликовало эту надпись здесь
Откуда у Вас такие ссылки? :)
А если оно не подпишет?
НЛО прилетело и опубликовало эту надпись здесь
Значит в суд.
кстати — да! Все просто. Если не подпишут — обвинение в монополизме и доминировании как в истории с браузерами. Прецеденты уже есть — ситуация очень сходная.
Скорее всего и не подпишет. Смысл Secure Boot в том, чтобы ограничить загрузку всякого левака. Если будет подписанный модуль, позволяющий загружать все что угодно, то во всей этой системе пропадет смысл.
Я так понимаю, что Secure Boot предотвращает автоматическое исполнение неподписанного кода.

Если же загрузчик, позволяющий запустить всё, что угодно, будет предупреждать, что код не подписан автором — т. е. может быть изменён и содержать вирусы — то человек в любом случае будет знать, что он запускает нечто непроверенное на свой страх и риск.

Т. е. если загрузчик не позволит запускать «тихой сапой» — смысл сохранится.
А тут где-то был хабраюзер, пообещавший съесть тапочки, если выйдет железо с неотключаемым secure boot. Посмотрим, как он это будет есть.
На армах вроде обещали, что не отключаемый будет.
"Microsoft подпишет"

Меня больше всего интересует, а кто вообще наделил microsoft полномочиями подписывать что бы то ни было? Они, типа, самые компетентные в вопросе безопасности? Или, быть может, PC — это их собственность? Почему linux сообщество вообще должно хотя бы как-то зависеть от microsoft? И чем вообще обеспечены с их стороны полномочия единолично (единолично ли?) что-либо запрещать, или разрешать? Они так много сделали для распространения детско- locker'ной порнографии безопасности PC, что им любезно предоставили это право?
Речь идет о системах с UEFI, на которые микрософт вешает стикер «сертифицировано для Win8»
Вот эта самая сертификация дает им право предъявлять к сертифицируемым системам требования о безопасности.
Т.е. право им дает производитель железа, в обмен на сертификат
Спасибо за разъяснение. Т.е. «сертифицированная» версия — это типа форк, в котором потенциально ничего кроме win работать не будет, эдакий огороженный полигон с табличкой микрософт. Но все равно меня печалит сама по себе фрагментация рынка на UEFI и !UEFI.
И снова неверно. Всё явно идет к тому, что все (большинство) систем будут с UEFI. Ибо в конце концов это удобно — он предоставляет набор интерфейсов (драйвер) для более гибкой загрузки.
Но IEFI != Secure boot. Система может проверять сертификаты а может не проверять…
Интересно, у данной подписи будут временные рамки?
То есть берем этот загрузчик и шлем все ограничения secure boot?
Вирусописатели в восторге! И к чему тогда был весь этот огород с безопасной загрузкой?

PS

Лично я буду игнорировать win8 сертифицированное железо и всем советую.
НЛО прилетело и опубликовало эту надпись здесь
Впрочем UEFI отключается

Это он пока отключается. Пока выпускают материнки с bios и (u)efi на борту.
НЛО прилетело и опубликовало эту надпись здесь
В w8 нет SLIC.
Но загрузчик, наверняка, многое сделать сможет.
НЛО прилетело и опубликовало эту надпись здесь
с учётом перехода Microsoft на рельсы Apple (http://www.cnews.ru/top/2012/10/10/microsoft_obyavila_o_revolyucionnoy_smene_strategii_506099) я вообще с опаской смотрю на дальнейшее развитие Windows
то есть получается только ms решать, что будет запускаться а что нет? Правильно я понимаю, что нет ни одной сторонней организации? Куда антимонопольные комитеты смотрят?!
Apple же решает, что запускается на сертифицированных кстройства, а что нет. И ничего, держатели ай-устройств выгядят вполне презентабильно, левый глаз у них не дергается, шерсть мягкая и блестит на солнце.
производитель сертифицированных устройств Apple — тоже Apple

а производитель железа под Win8 — кто?
Кто угодно, но они сертифицируют свое железо под под Win8. Точно также как Apple сертифицирует свое оборудование. Только сертификация Apple у Apple проходит автоматически и бесплатно, по понятным, я думаю, причинам.
iOS-ы ставится на Apple, Windows8 на Windows 8 Ready, Ubunty на Ubuntu Ready. Я вижу здесь не проблему, а разные рынки.
Да не разные это рынки.

Ну, то есть рынок маков немного «разный», ибо мало кому в голову приходит покупать мак, чтобы поставить туда венду, хотя и такие люди имеются.

А вин-линукс железо — это один рынок, ну чего вы…
Маки сделаны из того же железа что и вин-линукс машины. Да мониторы с Retina, но это все еще мониторы.
Я считаю эти рынки разными. Разработку я веду в убунте, игрульки у меня на винде, а о маке я мечтаю.
>Маки сделаны из того же железа что и вин-линукс машины.

Почти. Есть проблема с драйверами. Но я и говорю, что он «разный», но таки немного. Нет проблем запускать венды или униксы или ещё более экзотические системы на маке. Эпплы не борятся с конкурентами настолько подленьким образом.

>Разработку я веду в убунте, игрульки у меня на винде

И оне у вас на разных машинах? А накуа?
>> Почти. Есть проблема с драйверами.
То что есть проблема с драйверами, это проблема Mac OS, т.к. они пишут драйвера лишь под железо которое используют в своих девайсах и смысла писать под остальные у них нет.
При чём здесь макос? Речь не о хакинтоше, а об обратном случае.
Так у маков же тоже UEFI
Не совсем. Там свой особый EFI со своими плюшками. Он умеет больше, чем требуется по стандарту.
А там, я так понял, как раз подобие описанному загрузчику есть, то есть можно грузить (почти) всё.
Это исскуственное ограничение, и его в идеале не должно быть. На Мак ведь при желании можно любую ось вкатать.
Аналогично и с в8. Да только, я вижу, вас это не переубедит…
На Маке мне не надо заниматься сексом с ключами, а еще и терять некоторые фичи, которые оказываются невозможными при включённом secure boot'е.
На Маке я могу спокойно грузить самосборное ядро и не парится, а потом перегружаться в Макось, а тут или ядро или винда.
Ну, на прошлой работе генеральному MacBook Air купили, а мы потом на него винды ставили, чтобы в домен загнать и софт поставить.
Странно. У меня МБП прекрасно работает в домене. Видимо, у нас более квалифицированные специалисты.
Вы будете смеяться но желающих установить Windows на Mac не так уж и мало, точнее в России таких треть www.ferra.ru/ru/soft/news/2012/06/08/Windows-Mac/
выше говорят, что производителем железа под WIn8 будет MS, так что все сходится
Я всё-таки считаю, что есть разница. Apple выпускает и продаёт аппаратно-программные комплексы, железо+софт с полной подгонкой одного к другому. А здесь идёт речь про ограничение возможностей выбора на универсальных, по идее, платформах. И о том, что никакой универсальности не будет, сертифицируют под Win8, и всё, иди ищи Ubuntu Ready (небось две-три железки, без выбора, ещё и цена подскочит за экзотичность).
Мы в универе учились сами писать загрузчики на асме. И что теперь молодежи не учиться этому вообще? Это должны уметь только пару человек в мире, а остальные даже не должны знать, как это делается и как работает? А как быть другим менее распространенным системам типа Colibri, Haiku, React и другим?
>Мы в универе учились сами писать загрузчики на асме. И что теперь молодежи не учиться этому вообще?

Да это, как раз, фигня. Меня не учили в универе писать загрузчики (университет даём более фундаментальные знания), но что это за проблема? «всё можно сделать, если крутить в руках достаточно долго» (ц) перефраз Козьмы свет Пруткова.

>А как быть другим менее распространенным системам типа Colibri, Haiku, React и другим?

Так в этом и бяда. На самом деле всё ещё хуже. Нет особой проблемы мейтенерам каждой отдельной операционки эту лицензию получить и раздавать всем клиентам. Но, в том же линуксе, пересобирёте вы ядро с другими опциями и аляулю — понесёте бабло микросовтам на новую лицензию. После чего микросовтам можно будет забросить нафиг свою венду и жить на лицензиях от перекомпиляции ядер линукса.
Или я что-то путаю, но мне кажется, что перекомпилированное ядро можно запустить на подписанном загрузчике. Т.е. в случае GNU/Linux достаточно иметь подписанный GRUB. Но если хочешь обновить или перекомпилить сам GRUB — то надо будет уже подписывать заново. Если ошибаюсь, поправьте.
PS. Впрочем, так или иначе, хорошего в этом, мягко говоря, мало.
Утверждают, что подписи загрузчика не достаточно.
«Safe boot требует, что бы весь код, который взаимодействует с железом, был доверенным.» отсюда: habrahabr.ru/post/136504/
Из этого так же следует, что даже при наличии подписанного ядра вы не сможете загружать сторонние модули, а так же виртуализация — давай до свидания…

Честно сказать, перестал теперь понимать, как LFовский загрузчик тогда сможет решить проблему.
Взаимодействует — с железом, или с UEFI? Много ли модулей, работающих с железом не напрямую, а через UEFI?
Если я правильно понимаю, secure boot проверяет «валидность» только того ПО, которое с ним взаимодействует, на все прочее он повлиять никак не может…
Мммм. Просто не до конца разобрался в проблеме. Сорри. Дело там в другом.

Собственно, если мы имеем этот подписанный загрузчик от LF, который позволит загрузить неподписанный линукс, то после этого мы сможем загрузить неподписанный виндовс, после чего вся эта возня с секурностью в вендах накрывается медным тазом. Из этого следует довольно простая вещь — микросовты не дадут лицензию на загрузчик от LF, который сможет грузить неподписанный линукс (а подписать линукс будет нельзя до тех пор, пока его драйвера/модули не перепишут под работу через UEFI и запретят загрузку неподписанных модулей).
А это, видимо, проблема самого загрузчика Windows, который со своей стороны будет пытатся взаимодействовать с UEFI и, в том числе, проверять (через подпись?) что он работает с оригинальной UEFI, а не подсунутым сторонним загрузчиком фейком.
Как мне кажеться, серверное железо еще долго не будет поддерживать UEFI Secure boot — все-таки слишком специфичный рынок, он не бежит за последними веяньями моды. То есть для себя, когда буду менять железо дома, не вижу проблем взять в меру старый сервер, все-таки слишком большой процент серверного оборудования работает на Linux.
Серверное железо, сертифицированное под Win8 — вообще само по себе бредово. При том что значительная доля рынка серверного железа вообще рассчитано под иные архитектуры (ppc, sparc и т.п.)
Реквестирую статью от DI Halt, где понятным для чайников языком будет написано как спаять на коленке компьютер со своим биосом, загрузчиком, операционной системой, преферансом и блудницами.
Зарегистрируйтесь на Хабре , чтобы оставить комментарий

Публикации

Истории