Исходное сообщение
"Уязвимость в ядре Linux, позволяющая обойти ограничения режи..." Отправлено Аноним, 25-Июл-22 14:58
> Вы о чём вообще? Речь про механизм Secure boot на уровне недобиоса, Secure Boot можно делать по разному. И BIOS'ом вон тот бутлоадер может и не являться, в том смысле что никакого IO он никому не обеспечивает, только кернел пинает. Ну или не пинает, если подпись, вот, не совпала. Сабжевой фиче вообще класть активен ли на платформе секурбут и уж тем более как он там реализован. Есть патформы где секурбут есть а никаких EFI и BIOS вообще нет. Скажем ведроиды многочисленные. И таки да, kexec() это один из популярных способов обхода секурбута. > причём тут система сборки?! При том что компилять ли вообще САБЖ и если да, то активировать ли его по дефолту - выбирается там. > И потом, "а с чего это вы будете решать за всех", нужно ли оно во всём железе, > может быть те, кому это надо,будут покупать это опицонально устанавливать в своё железо? Так я примерно это и делаю. > Ах уже почти нигде нельзя, потому что почти везде оно есть уже дефолтно, а > что так, любители под свою любимую ОС, компания-производитель которой держит за > гениталии все эти ключи, имея "одно кольцо, чтобы управлять всеми" может > значит решать за всех, так получается?! Немного не угадали. Я просто решил что раз пошла такая пьянка, нехило бы стать сам себе OEM'ом слегка. И все. А на будущее покупать железо которое я контролирую реально, а не так что добрый белый человек принес клевое одеяло, оказавшееся на поверку тифозным. И вот в таких парадигмах сабж таки фича. А то что пожирателей кактсусов отимеют - их что так имеют, что этак. Какая разница? > Претензия не к подписям, а к поводку, который by design реализован таким образом, > что он для вендорлока, а не для какой-то там "защиты", Сабжевая фича - как замок. Может запирать мой дом. А может и запираться снаружи, надсмотрщиком. И цель тут, очевидно, не оказаться в том бараке. Если вы все же туда попадаете, с аргументом "зато попу рвать в поисках жилья не надо" - ну, э, на что жалуетесь? Вам очень понятно показывают чьи это системы и кто рулит банкетом. До вас медленно доходит? Или вы надеетесь переть против воли system implementer'а? Второе тяжко и не очень эффективно, новые версии будут фиксить любые баги которые вы найдете, и если system implementer решил вас в стойло - значит, в стойло. Единственный разумный вариант - быть разборчивым в покупке железа. > C Pluton'ом же тоже будет защита, от ...нежелательного конкурента, но вы продолжайте > верить в "галактико опасносте" У меня просто не будет ни одной системы с плутоном. Это я вам обещаю. На этой планете хренова куча чипов всех мастей и направлений, на мой век SoC и процессоров явно хватит. Даже если для их поиска и придется посуетиться чуть больше чем покупка мутной пакости в ближайшем ларьке.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> Вы о чём вообще? Речь про механизм Secure boot на уровне недобиоса, > Secure Boot можно делать по разному. И BIOS'ом вон тот бутлоадер может > и не являться, в том смысле что никакого IO он никому > не обеспечивает, только кернел пинает. Ну или не пинает, если подпись, > вот, не совпала. > Сабжевой фиче вообще класть активен ли на платформе секурбут и уж тем > более как он там реализован. Есть патформы где секурбут есть а > никаких EFI и BIOS вообще нет. Скажем ведроиды многочисленные. И таки > да, kexec() это один из популярных способов обхода секурбута. >> причём тут система сборки?! > При том что компилять ли вообще САБЖ и если да, то активировать > ли его по дефолту - выбирается там. >> И потом, "а с чего это вы будете решать за всех", нужно ли оно во всём железе, >> может быть те, кому это надо,будут покупать это опицонально устанавливать в своё железо? > Так я примерно это и делаю. >> Ах уже почти нигде нельзя, потому что почти везде оно есть уже дефолтно, а >> что так, любители под свою любимую ОС, компания-производитель которой держит за >> гениталии все эти ключи, имея "одно кольцо, чтобы управлять всеми" может >> значит решать за всех, так получается?! > Немного не угадали. Я просто решил что раз пошла такая пьянка, нехило > бы стать сам себе OEM'ом слегка. И все. А на будущее > покупать железо которое я контролирую реально, а не так что добрый > белый человек принес клевое одеяло, оказавшееся на поверку тифозным. > И вот в таких парадигмах сабж таки фича. А то что пожирателей > кактсусов отимеют - их что так имеют, что этак. Какая разница? >> Претензия не к подписям, а к поводку, который by design реализован таким образом, >> что он для вендорлока, а не для какой-то там "защиты", > Сабжевая фича - как замок. Может запирать мой дом. А может и > запираться снаружи, надсмотрщиком. И цель тут, очевидно, не оказаться в том > бараке. Если вы все же туда попадаете, с аргументом "зато попу > рвать в поисках жилья не надо" - ну, э, на что > жалуетесь? Вам очень понятно показывают чьи это системы и кто рулит > банкетом. До вас медленно доходит? Или вы надеетесь переть против воли > system implementer'а? Второе тяжко и не очень эффективно, новые версии будут > фиксить любые баги которые вы найдете, и если system implementer решил > вас в стойло - значит, в стойло. Единственный разумный вариант - > быть разборчивым в покупке железа. >> C Pluton'ом же тоже будет защита, от ...нежелательного конкурента, но вы продолжайте >> верить в "галактико опасносте" > У меня просто не будет ни одной системы с плутоном. Это я > вам обещаю. На этой планете хренова куча чипов всех мастей и > направлений, на мой век SoC и процессоров явно хватит. Даже если > для их поиска и придется посуетиться чуть больше чем покупка мутной > пакости в ближайшем ларьке.
	Введите код, изображенный на картинке: