Goodbye FreeBSD, NetBSD, OpenBSD, DragonflyBSD ...BSD!

Security-all

Kizárhatja az alternatív rendszereket a Windows 10
Jöhetnek a fixen lezárt bootloaderrel rendelkező PC-k, módosította a hardveres elvárásokat a Microsoft.

( Darkcomet | 2015. 03. 23., h – 17:08 )

Gondolom ez csak hivatalosan gyárilag összerakott gépeket érinti, amiken eleve van Windows. Ha magamnak építek gépet, vagy építettek egy céggel, akkor nincs ez a megkötés. Már csak azért is írogatom ezeket, mert mostanában készülök új gépet venni, az ismereteim meg igen csak le vannak maradva.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

( gelei v | 2015. 03. 23., h – 17:27 )

Nem olvastam a cikket, de ez nem vótmá'? A Windows 8 release előtt ugyanez a hiszti ment a TPM kapcsán, aztán kiderült, hogy FUD az egész.

Nem szeretem a bő lére eresztett dolgokat, ezért elmondom két mondatban:

Korábban követelmény volt a W8 logóhoz a Secure Boot kikapcsolhatósága. Ez a W10 logóhoz annyiban változott, hogy már nem követelmény, hanem az OEM-ekre van bízva, hogy biztosítják-e a Secure Boot kikapcsolhatóságát vagy sem.

--
trey @ gépház

"Embrace, extend, and extinguish", also known as "Embrace, extend, and exterminate", is a phrase that the U.S. Department of Justice found and was used internally by Microsoft to describe its strategy for entering product categories involving widely used standards, extending those standards with proprietary capabilities, and then using those differences to disadvantage its competitors.

Ha az emberek nem kezdek volna el nyűglődni, akkor egy random árlista úgy nézne ki hogy:
- Lenovo Thinkpad Future5000 - Zárt bootloaderrel: 210khuf
- Lenovo Thinkpad Future5000 - Nyitott bootloaderrel: 250khuf

Tovább megyek: ha azt mondja a gyártó, hogy ő bizony csak Windows 10-et támogat, akkor a megfelelő kulcsok "kifelejtésével" az UEFI-ből kötelezheti a felhasználót annak futtatására..

Naná, hogy kell a felhajtás.

Lenovo pre-installed malware on some consumer laptops that silently broke HTTPS, a technology widely used to secure web browsing. The software, created by Superfish, was designed to introduce advertisements into Google search results in a deal that made Lenovo between US$200,000 to US$250,000.

például olcsóbban kaphatja rá az oem szoftverek licenszét, ha csak a szoftvergyártó érdekeihez passzoló készülékeket árul. Rengeteg példa volt már, hogy a beszállító hardverkonfigurációhoz kötötte az árazását. Hardverben az intel atom ajándék volt intel chipsettel egy pakkban véve, míg a konkurens chipsete mellé téve drága volt. A windows licensz függ a készülék méretétől, felbontásától... Korábban a netbookoknál is jelképes win licensz árral mentek a linuxos változatok ellen. Most meg with bing ingyen adják abban a kategóriában, ahol az android konkurencia.

( legradi v | 2015. 03. 23., h – 18:09 )

Vélhetően bennem lehet a hiba, de a cikk alapján én nem a címben jelzett következtetést vontam le. A cikkben a BSD-k kizárásáról szó sincs.

A BSD-k által kidolgozott technológiák pedig könnyen épülnek be akár a Linux, akár a Windows változatokba.

( kleinie | 2015. 03. 23., h – 22:18 )

BSD-t, Linux-ot futtatni nem veszek olyan vasat, amiben nem kapcsolható ki a SecureBoot... Nem hiszem, hogy a gyártók csak olyan vasat fognak gyártani, amiben nem lehet kikapcsolni. A másik: nekem nem kell az a nyavalyás windows matrica a gépemre. Gondolom majd lesz olyan, aki meglovagolva ezt, drágábban akarja adni a cuccait, mert abban ki lehet kapcsolni. Vagy a másik, a termékből lesz Win10 matricás, meg nem Win10 matricás.
De vicces, hogy a fő linux disztrók megoldásait is a Microsoft hitelesíti. Ez kicsit olyan "jönne rád a cifrafo$á$". Mit művelnek az Androidos szabadalmakkal is? Több bevételük van az Android platformból, mint a saját mobil oprendszerükből.

Magam részéről attól tartok, hogy majd licenszdíj kedvezménnyel ösztönzik a gyártókat a lezárt megoldás alkalmazására. A win továbbra sem ingyenes a készülékek többségére, pár centért pedig simán bevállalják a hardvergyártók, hogy előnyben részesítsék a win-t. Lehet, hogy 10 év múlva majd kap az ms érte egy kis ennyebennyét, amiért piackorlátozó magatartásra buzdította a gyártókat, de addig is keresztbe tudnak ezzel tenni a jelenlegi és jövőbeli feltörekvő konkurenciának. Lehet, hogy ma ez marginális probléma, de elég kellemetlen, ha valami jó kezdeményezés pont emiatt nem jöhet majd létre.

Lehet arra gondolni, hogy úgysem történik meg, de akkor vajon mi értelme változtatni a korábbi gyakorlaton.

"nem veszek olyan vasat" ezt nem minden esetben lehet megválofatni :(
- Géza megörökli anya laptopját, és linuxot akar rá tenni
- Melóhelyen ezvankész
- Nem minden új Linux,BSD,whatever felhasználó új gép vásárlásával együtt ér át az alternatív rendszerre

-
JVM futásidejű monitorozása

( carlcolt | 2015. 03. 23., h – 22:38 )

Oke, hogy kapja be a 'zeme$, de az Ubuntu es a Canonical is bekaphatja:

"
A Microsoft, a PC-gyártók, a Verisign és a nagyobb Linux-disztribúciók (Ubuntu, Fedora, openSUSE) együttműködésének köszönhetően a gépekre felkerült az elismert disztrók egyedi kulcsa is, így aláírási joggal rendelkezik ma már több linuxos szereplő is. Ez azt jelenti, hogy ma már bekapcsolt Secure Boot mellett is telepíthető illetve futtatható Linux, amennyiben a felhasználó a hivatalos fordítású, megbízható forrásból származó rendszert használja. Sőt, a kooperáció ma már ott tart, hogy a Canonical (az Ubuntu fejlesztője) is teljes mellszélességgel pártolja a Secure Bootot, és megköveteli annak létét az Ubuntuval piacra dobott gépek esetében.
"

Uzenetem a Microsoftnak es a Canonicalnak

Ennek lenne értelme. Csak a secure boot értelmetlen maga. Ha jól tudom nem lehet kulcsokat visszavonni. Ha ellopják pont malware terjesztők fogják aláírni vele a cuccaikat. Vagy a titkosszolgálatok. Miután nemrég ellopták a legnagyobb holland sim kártyagyártótól, a Gemaltotól a kulcsokat be kellene már látni, hogy az olyan módszerek mint a secure boot több kárt okoznak mint hasznot.

Jogászok és pláne bírók nem kockák. A brüsszeli politikusok sem. Az egyik mobil - tablet a másik PC, elsődleges munkaeszköz. Nokia 6310i-re sem lehetett más rendszert telepíteni, nem annyira szemet szúró ha egy mobil lezárt bootloaderrel jön. Ez a jelenség egyébként lecsengőben van.
Eddig sem a Microsoft jófejsége miatt volt kötelező a kikapcsolható Secure boot. Kerülték a konfliktust Brüsszellel. Nem lepne meg ha Windows 10 megjelenése után már az EU kényszerítené ki a Secure boot kikapcsolhatóságát.

A "PC" definíciós problémája nem segít ezen az ügyön, az biztos.
A Gartner szerint:
-Egy Androidos, Intel Atomos eszköz nem PC.
-Egy Windowsos, Intel Atomos eszköz PC.

A hardver gyakorlatilag ugyanaz, a firmware különbözik csak! A kérdés pedig az OS-ek szabad telepíthetősége.

-Ma egy Androidos, Intel Atomos eszközbe bedugok egy FreeBSD Live USB-t, bebootol és települ? Tudtommal nem.
-Ma egy Windowsos, Intel Atomos eszközbe bedugok egy FreeBSD Live USB-t, bebootol és települ? Tudtommal igen.

-A jövőben egy Androidos, Intel Atomos eszközbe bedugok egy FreeBSD Live USB-t, bebootol és települ? Tudtommal nem.
-A jövőben egy Windowsos, Intel Atomos eszközbe bedugok egy FreeBSD Live USB-t, bebootol és települ? Attól függ, hogy a *BSD-sek megcsinálják-e addigra a Secure Boot támogatást. Ha nem csinálják meg, tudtommal a gyártó kezében a döntés, hogy mi a válasz.
Ha megcsinálják, a válasz igen.

Melyik ezek után a nyíltabb platform?

Üdv,
Marci

Még itt mindig az volt a téma, csak arra reagáltam, hogy ráfogtad a másikra, hogy ő próbálja szűkíteni, miközben igazából te próbáltad tágítani. :)

Egyébként még mindig a PC. De kevésbé, mint korábban. Én úgy éreztem, lejjebb is próbáltad egy kicsit a nép szájába adni, hogy bezzeg az androidnál nem zavar, holott egyszerűen nem az volt a téma. Explicit szeretném jelezni, hogy engem pl. ott is zavar, és ebben a PCs mizériában is azt látom, hogy az embed szarok vendor lock-ines kiszolgáltatossága irányába egy lépés.

Csak rámutattam, hogy a 8" Windows tablet is olyan eszköz (PC? - Gartner szerint igen), amiről a sztori szól, és hogy az ilyen hardverek Androiddal jelenleg sokkal zártabbak a Windows-osoknál. Annyival zártabbak, hogy ha minden eszközgyártó az összes Windows 10 tableten kikapcsolhatatlanná tenné a Secure Bootot (ami valószínűtlen), a Windows tablet még mindig nyíltabb maradna, mint az Androidos tablet most.

Tudsz olyan topikot mutatni itt a HUP-on, ahol hasonló felháborodás volt az Android-os tabletek zártsága miatt?

Üdv,
Marci

Értem én, bajom sincs vele, csak észrevételeztem, hogy a más irányba terelés _imho_ te voltál. De túlragoztok.

Nem tudok, mert annyira nem érdekel, hogy ezeket kövessem, pláne megtaláljam később (de egyébként nem emlékszem ilyesmire). Ez még ettől nem feltétlenül jelenti, hogy a hup célközönségét az nem zavarja. Simán lehet, hogy:
- ott már hozzá van szokva az agy, nem háborog rajta, míg itt ugye kb újdonság (mivel a többség továbbra is a klasszikus pc vonatkozásán rugózik, nem pedig a tablet vonalon, amit tudom, hogy az ms jelenleg erősen próbál összemosni, de az emberek fejében még minig két elég különvált dolog, nem is alaptalanul)
- egyszerűen most ez volt hír, aztán ezért van most rajta pörgés.

Aztán lehet, hogy mégis azt jelenti, hogy kettősmércézünk :) Mondjuk mint mondtam, én spec nem, droidnál is utálatos dolognak tartom ezt is, meg a szar zárt drivereket is, nem is fogok olyan vasat venni jó eséllyel, ahol teljesen ki vagyok szolgáltatva a gyártónak.

Egy másik hozzászólásban már írtam erről. A Windows 10 megjelenésével együtt sok új Androidos mobilon meg fog jelenni egy Windows (Phone) install ikon ami lecseréli az Androidot és még a garancia is megmarad. Elvárható PC-n is, hogy legalább megmaradjon az eddig nyíltság. Reméljük egyetlen mobil sem fog téglává válni Windows telepítés miatt, ha mégis az a gyártó baja lesz. És nem árt ha lesz Android reinstall ikon is WP-n, hátha megbánja a döntését a tulajdonos

Az Android eszközök világa annyira nyílt, hogy pár érintéssel telepíthető lesz a Windows (Phone) mobilra. Egyszerűbb mint PC-n lecserélni az operációs rendszert.

Mondjuk érdekes filozófiai kérdés hogy mit tekintünk PC-nek és mit nem.

Nekem a PC csinálja azt amit mondok neki tehát alapértelmezettnek veszem azt a szabadságot hogy akár az én kódomat futtassa. Egy felhasználó nyilván felsőbb szintről (oprendszer) tekint le rá és fogalma nincs hogy esetleg nem kell oprendszer a gépre hogy hasznos dolgokat végezhessen.

Ha sikerül a SecureBoot a következő lépés vajon az lenne hogy csak a Windows Store-ból lehessen alkalmazásokat telepíteni mert azok milyen jól alá vannak írva, biztos nem rosszalkodnak?

Ha jól értem, a lezárt bootloaderrel szemben az a kifogás, hogy az adott hardvert nem lehet tetszőleges más szoftverrel használni miatta.
Tehát innentől e szempontból indifferens mit tud vagy nem tud az adott OS.

Hardveresen miben is különbözik egy Intel procis Chromebook egy PC-től?
Ha pedig nem különbözik, hogy lehet az, hogy gyakorlatilag ugyanolyan hardverre, ha Chromebook van ráírva, akkor nem gond, hogy csak komoly nehézségek árán lehet rá Windowst/Linuxot varázsolni ("nem PC"), míg ugyanerre a vasra, ha épp egy Windowsos "PC", simán kikapcsolható a bootloader lock és telepíthető alternatív OS. Ugyanígy lehet alternatív OS-t telepíteni ma egy 8"-os vagy 10"-os Inteles Windows tabletre, míg ha ugyanekkora Android tabletet nézünk, ott senki sem kifogásolja a zárt bootloadert.

Most, ha jól értem, a Windows-zal szerelt eszközök gyártói is megkapják a lehetőséget, hogyha akarják, bezárják a bootloadert, hogy lehessen ugyan OS-t cserélni, de csak a megfelelő, aláírt rendszerre.

Üdv,
Marci

Nekem például tetszik a wikipedia oldalán található meghatározás:
"A personal computer is a general-purpose computer whose size, capabilities and original sale price make it useful for individuals, and is intended to be operated directly by an end-user with no intervening computer operator."
http://en.wikipedia.org/wiki/Personal_computer

Ahol korlátozzák a felhasználót, hogy mire használhatja a gépet, az már nem általános célú számítógép. És valóban így születnek meg a ChromeBook, WindowsBook, UbuntuBook, Android és társai célszámítógépek. Desktop gépeken egyelőre még talán nincs így elkülönülve, de akár így is folytatódhat ott is. Meg van ezeknek is a helye, hiszen sokan informatikai analfabéták és nem is akarnak érteni hozzá, csak használni. Számukra akár ideális megoldás is lehet egy zárt rendszer, ahol más dönti el, hogy mit lehet és mit nem lehet. Ma még vannak olyan emberek, akik tudnak és szeretnének élni a választás szabadságával. Önmagában, hogy léteznek zárt gépek, még nem jelent problémát. Az a törekvés viszont, hogy minden gép legyen zárt és függjön a felhasználó a gyártó cégektől, az nem érdeke a felhasználóknak, csak és kizárólag a cégek számra jelent pozitívumot. Persze a céges és önkéntes evangélisták szívesen elbagatelizálják a kialakuló helyzetet. Más hímtagjával mindig könnyű verni a csalánt, de épp annyi joguk van a nyílt rendszerhez az ezt akaróknak, mint a zárt rendszer után vágyóknak. Ha annyira mindegy valakinek, hogy le van-e zárva a rendszere, akkor ne akarja rákényszeríteni a nyíltságot akarókra a saját "nem mindegy?!" gondolatmenetét.

Itt leírtam, miért szóltam hozzá a topikhoz: http://hup.hu/node/139530#comment-1850460
Nem értettem, hogy azonos hardvernél miért alapvető jog sérelme a biztonságos bootloader Windows esetén, ha nem Windows-zal a zárt bootloader sem az.

Valószínűnek tartom, hogy a hardvergyártók számára is fontos a felhasználók teljes szabadsága, így lesznek olyan eszközök, amiken kikapcsolható lesz a Secure Boot.
Továbbá fontos kiemelni, hogy az esetlegesen kikapcsolhatatlan Secure Boot-os eszközökre is lehet alternatív OS-t tenni. A folyó fejlesztések alapján egyszer talán *BSD-ket is.

Üdv,
Marci

A gyártók számára a profit az elsődleges cél. Ha pedig olyan visszautasíthatatlan ajánlatot kapnak, amire már volt példa a történelem során, hogy ha nem árulnak nyitott vagy a konkurencia számára használható eszközt és cserébe olcsóbban kapják a szoftvereket, akkor örömmel megteszik ezt.

A chain loaderezés pedig éppen a secure boot eredeti célját teszi nevetségessé. Gondolom majd, ha a google meg a facebook is szeretne hasonlót, akkor ha valaki egyik gyártóhoz sem szeretne csatlakozni, akkor majd akkor telepíthet, ha az ms által aláírt loader által betöltött google által aláírt loader által betöltött facebook által aláírt loader hajlandó elfogadni a felhasználó rendszerét. Vagy ki lehet kapcsolni az egészet és nem kell harmadik féltől függeni.

Úgy tűnik nem szeretnéd, hogy kikapcsolható legyen a secure boot, csak azt nem értem, hogy neked ez miért lenne jó. Nem elég az, hogy van lehetőséged használni? Miért az alkalmazkodjon a microsofthoz, aki nem akar microsoft terméket használni? Lehet terelni, hogy úgyis lesz nyílt eszköz is, csakhogy ismerjük már az ilyet. Lesz, csak nem olyan konfigurációban, nem attól a gyártótól és persze nem azon az áron. Ha pedig egyszer már elterjedt, akkor 10 évvel később már hiába jön egy jelképes büntetéssel tarkított ennyebennye a verseny kinyírásáért.

Szerk:Miért más a windows? Azért mert az ms piaci részesedése egészségtelen méretekre nőtt, mint látható képes más tőle független cégekre is rákényszeríteni az akaratát. A piacszerzéshez pedig nem riad vissza versenyellenes megoldásokat bevetni, mint több korábbi büntetésből láthattuk. A tönkretett kisebb cégeket utólag már hiába siratjuk.

"Úgy tűnik nem szeretnéd, hogy kikapcsolható legyen a secure boot, csak azt nem értem, hogy neked ez miért lenne jó."

Rosszul látod. A magánvéleményem szerint jobb, ha kikapcsolható. Ezzel együtt elfogadom, hogy lehetnek olyan eszközkategóriák, ahol a gyártó akarhatja, hogy ne legyen kikapcsolható.

"mert az ms piaci részesedése egészségtelen méretekre nőtt"
Worldwide Device Shipments by Operating System, 2014, Windows: 14.0%
http://en.wikipedia.org/wiki/Usage_share_of_operating_systems

Üdv,
Marci

Már több hozzászólásodban érveltél ezzel. Csakhogy Android eszközökön a zárt bootloader is unlockolható. Régi 4 évesnél is idősebb Android mobilok között voltak olyanok amiket nem lehetett unlockolni, Motorola például. A mostani Android mobiloknál nem találkoztam ilyen problémával. Kevésbé elterjedt modelleknél ha probléma van az általában CM támogatás hiánya.
De ha neked ezzel ellentétes információid vannak akkor kíváncsi lennék a listára.

Én pedig nem űzöm ipari szinten az CM, újabban OmniROM telepítést, csak baráti alapon. Egyes mobiloknál van arra mód, hogy probléma (de még működőképes mobil) esetén vissza lehessen állítani az eredeti állapotot úgy, hogy a firmware coutert is nullázni lehet. Egy Samsung mobilnál merült fel elméletileg a kérdés, annál ez lehetséges volt.
Hivatalosan garanciavesztéssel jár, de úgy tudom egy PC overclock is garanciavesztéssel jár.

Viszont egy PC-n más OS telepítése ritkán jár garanciavesztéssel.

A számomra érdekes dolog továbbra is csak az, hogy míg egyik OS-nél nem problémás, hogy csak garanciavesztés veszélye mellett, komoly felkészültséggel lehet OS-t cserélni, addig a másiknál sokkal enyhébbnek tűnő helyzet esélye is komoly felháborodást okoz.

Üdv,
Marci

Egy mobiltelefon bár ma már tekinthető számítógépnek is, lényegesen eltér a PC-től. Még nem hallottam bármilyen OS telepítése miatt téglázott PC-ről. Mobilon ennek a lehetősége sajnos fenyeget egy másik Android telepítése esetén is. Ha mobilokon cserélhető SD kártyán lenne a rendszer PC-merevlemezekhez hasonlóan, valószínűleg más gyakorlat alakult volna ki.

A Microsoft is külön kezelte eddig is mobilokat és PC-t. WP mobilra ha telepíthető is Android, az egyértelműen garanciavesztéssel jár.

Mit jelent a téglázás számodra? Illetve melyik mobil lesz ténylegesen tégla attól, hogy ráraksz egy másik rendszert? Amíg a bootloader nincs felülírva valami elrontott változattal, addig utolsó mentsvárként ott van, és újra lehet húzni vele gyári romokkal a téglának látszó telefont is. Persze ez érvényes azokra a telefonokra, ahol értelmes bootloader van.

Te most vagy nagyon alapvetően el vagy tévedve, vagy végtelenül szeretnéd fényesre nyalni a munkáltatód hátsóját.

Az ebedded és handled cuccok annak ellenére sem keverhetők a –direkt nem PC, hanem– home computerek közé, hogy már eddig is lehetett hasonló funkciókra használni mint a köznyelvi értelemben vett számítógépet. Ebbe akár az OS cserét is beleérthetjük, mert egy százéves Mio Mitac gépre, vagy akár PNA-re is rakhattam Linuxot ha akartam, mostanában meg pláne. Ezzel le is zárnám a buta hasonlítgatós témádat, mert kicsit sem releváns.

Bár írják is, hogy nagyon hasznos lehet ez a Secure Boot, de vajmi kevés esélye, és még kevesebb értelme van azt firtatni, hogy a valóságban azért használják mert ez a secure annyira hasznos. Még egyetlenegy értelmes és alátámasztott érvet nem sikerült felhozni senkinek, főleg konkrét példákkal nem. A biztonsággal meg nehogy már egy olyan cég példálózzon akinek a rendszerére napi szinten ezerszám jönnek mindenféle férgek, és a hosszú ideig mellette álló szakértők manapság a biztonsági megbízhatatlanság okán pártolnak el tőle.

Visszatérve, engem ez a hír feldühített. Egy általam megválasztott hardvert, ami pont az én igényemnek felel meg, csak azért nem választhatok, mert valami másik földrészen lévő sehonnai cég éppen kitalálja, hogy az emberek hülyék, és eddig sem kellett nekik a szabad választás lehetősége. Mindig is állítottam, hogy az informatikában vannak a felhasználók, akik veszik az új termékeket, és valamilyen, de leginkább alap szinten használják. Aztán van a kisebbségi, de kreatívabb réteg, aki az előző vásárlóképes csoport segítségével hozzájuthat a neki szükséges eszközökhöz, mert így megfizethető formában kapja meg konkrétan a hardvert, amit nem feltétlen önös célra használhat. Általában az ilyen emberek viszik előbbre a világot. (És akkor a refurbished, vagy újraélesztett gépekről szó sem volt, lásd lsh7 alapítványa). Na most ezzel a céged és társai a kreativitásnak tesznek keresztbe, még ha ez nagyon elvonatkoztatott túlzásnak is hangzik.

Aztán ott van a valóság, amit eddig sem a fent linkelt cikkben, sem itt nem vetett fel senki. Persze szomorú, hogy sem BSD, sem a legaktívabb közösséggel rendelkező Arch, sem az egyéb, talán rövid időn belül valami folytán akár legnagyobbá váló disztró nem telepíthető majd az eszközökre, de ha én egy LFS-t szeretnék a kedvenc bivalyerős laposomra, akkor az is keresztbe lesz húzva. Ez már így is pofátlanság.

És a legfőbb ok, ami visszagondolva teljesen egyértelmű: Valve és a STEAM!

Már a winnyolc körül is fenyegette egymást a két cég, Gabe Newell, egykori kollégád erősen lehúzta a rendszereteket. Ennek persze erős üzleti okai is voltak/vannak. Utána jöttek elő a bármelyik pc-re otthoni számítógépre telepíthető rendszerükkel, amiben erősen integrálva van a vindóz marketplace-etek (vagy mi a halál a neve) ellenfele, ami kétség kívül a jelenlegi legnagyobb alkalmazásközpont a mai világban. Persze az elsősorban nem szoftvereket árul (bár az is van), de a nagy üzlet mégis csak a szórakoztatóiparból jön.
Tehát nem meglepő, hogy ti is annyira nyomjátok a lockolt Secure Boot „fontosságát”, csakhogy kimaradt az egyenletből és a hírekből, hogy véletlenül (ahha...) pont nem trusted a Valve oprendszere.

A marketpalce-etek sosem lesz népszerű. Senkit nem érdekel. Csak ilyen aljas húzásokkal lesz valamennyire ismert hírhedt. Tudjuk ingyen lesz a winten, király. De itt az integrát alkalmazásbolt, majd az hozza a pénzt. Átlátszó. No meg másolat.

És most jön a taps. Meg a fanfár. Várom az érthetetlen élcelődéseidet, a tereléseket, vagy csak a szokásos hazudozást amit a céged azóta csinál mióta létezik. Vagyis nem, nem várom. De úgyis lesz.

Utóirat; A cannoncial ugyanúgy beka...
☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

Van egy tippem arra, hogy eddig brüsszeli tarkónvágást megelőzendő követelte meg a Microsoft a SB kikapcsolhatóságát. A kulcs most a brüsszeliek kezében van, hogy ezúttal ők kényszerítsék ki a kikapcsolgató Secure Bootot, ha most a Microsoft holmi ingyenes Windows updates szemfényvesztés mellett akar becsempészni ilyen megszorításokat a PC világba.
Persze nem kötelező a kikapcsolhatatlan SB, de jól ismert a Microsoft és PC gyártók közötti titkos szerződések mondjuk úgy 'kultúrája'. Csak az upgrade lesz ingyenes de új gépre továbbra is licencelnie kell oem Windowst a gyártóknak. Egy kis licendíj kedvezmény netán ingyenes licenc, hozzá esetleg ingyen Office 365 egy évre cserébe lezárt SB-ért. Jó deal ez mindenkinek csak a felhasználónak nem. Majd az lesz amit fentebb írt Lacyc ugyanaz a modell drágább lesz ha "igényt tart" a vásárló kikapcsolható SB-ra.
A 'Snowden felvilágosodás' utáni világban egyéb aggályokat is felvet a kikapcsolhatatlan SB.

Mrceeka vállalati patriotizmusával nekem nincs bajon. Legalább képvisel itt a hupon valaki egy nemhivatalos Microsoft nézőpontot is.
Ha Brüsszel nekimenne a lezárt SB-nek és a Microsoft visszavonuló közben odavágna a konkurenciának azzal, hogy legyenek akkor hasonló játékszabályok a mobil világban is, és sikeresen megvédene egy ilyen álláspontot az nem is lenne rossz. Régi iPhoneokra, amikre már nincs iOS frissítés egyszerűbben lehetne Androidot telepíteni. Mert az jogos követelés az Appletől, hogy OSX-et ne lehessen PC-re telepíteni csak Macintoshra (habár a legnagyobb EU tagállam Németország jogrendje ezt pont lehetővé teszi hint: PearC) de, hogy iPhonera és iPadre nem vagy csak nagyon körülményesen lehet más OS-t tenni már nincs rendben. Az megint méltányolható ha ilyen esetben garanciavesztés van, de a lehetőséget meg kell adni más rendszer telepítésére mobil eszközökön is. Macintoshra is lehet Windows, Linuxot telepíteni OSX mellé, akár helyette is.

Erről jut eszembe. A Windows 10 megjelenésével együtt sok új Androidos mobilon meg fog jelenni egy Windows (Phone) install ikon ami lecseréli az Androidot és még a garancia is megmarad. Elvárható PC-n is, hogy legalább megmaradjon az eddig nyíltság. Reméljük egyetlen mobil sem fog téglává válni Windows telepítés miatt, ha mégis az a gyártó baja lesz. És nem árt ha lesz Android reinstall ikon is WP-n, hátha megbánja a döntését a tulajdonos.

Ha már Európában vagyunk, Linux Mint vagy LFS mellett ott vannak olyan oktatásban használt operációs rendszerek is mint a Minix. A PC kezdetektől nyílt platform volt, így tudott naggyá lenni a Microsoft is. Ennek a nyíltságnak a fenntartását ha kell törvényekkel és rendeletekkel kell kikényszeríteni.

Szerintem a Valve és Steam nem oka ennek a lépésnek. Ha keresztbe akarna tenni a Microsoft pont fordított taktikát kellene csinálnia: csak kikapcsolhatatlan SB PC-re engedélyezni a Windows 10-et. De ezzel magának több kárt okozna mint a Steam üzletnek.
Nem lehet majd SteamOS-t telepíteni sok PC-re jelen állás szerint.
1. Lehet viszont Ubuntut, arra pedig Steam-et ha kell autostart-big-screen-nel. Aki maga telepít OS-t valószínűleg meg tudja oldani.
2. Még vonzóbbak lesznek az év vége-felé érkező Steam Machinek. Out-of-box PC-konzolok de mellette akár Windows is telepíthető rájuk, továbbá BSD, bármilyen Linux, akár LFS is. Még ott is megvehetik ahol egyébként nem lenne piaca a Steam Machinenak, például egy computer laborban. Korábban is volt már példa arra, hogy PS3 konzolokat használtak olcsó de erős cluserhez.
3. Egy ma optimális Steames PC-n úgyis három operációs rendszer van: 32-bites Windows XP a régi játékokhoz amik elhasalnak Vistától felfele pláne 64-biten; 64-bites Windows 7/8 az újabb win-only címekhez; SteamOS vagy más Linux azokhoz a játékokhoz amik már jobban mennek Linuxon.

Tényleg kedvelem a Valveot a Steammel, de azért szerintem nem a legnagyobb alkalmazásbolt. PC-n a legnagyobb de a Google Play vagy Apple appstore lényegesen nagyobb a Steamnél.

A Microsoft Windowsba integrált boltját viszont körökkel előzi, hiába na, kutyát nem érdekelnek a metrós alkalmazások.
Az is tény azonban, hogy a Valve közel sem akkora cég mint a Microsoft. Szerintem a Microsoft óriási öngólt rúgott magának a Windowsos bolttal (sok egyéb öngól mellett). Belátható időn belül nem fog annyit hozni a Wines boltja mint amekkora kárt okozott a Windowsos ökoszisztémával korábban szimbiózisban élő Valve Linux felé fordulása. Az egykor elképzelhetetlen ma már valóság. Nagy AAA címek sorra jönnek ki Linuxra, az indie játékok között korábban is magas linuxos arány tovább nő.

A Canonical most valóban bekaphatja. Csak remélni tudom, hogy nem személyes konkurense a Linux Mint miatt akkora pártolója a Secure Bootnak.

Pedig a cannoncial valószínűleg joggal fél a Minttől meg a többi feltörekvő disztrótól, mert a tapasztalatok alapján azokkal jóval kevesebb gond szokott lenni. A hardverfelismerés némelyiknél százszor jobb. Csak pár példa; Manjaroék elsőnek oldották meg az Optimus tech. gyári támogatását, azóta sokan átvették. SB Lockkal nem lesz telepíthető. Mint valahogy mindig egy javított ubuntu volt, (kivéva a Mate edition), a Distrowatch-on már lassan másfél éve veri is őket, anno ugyanilyen kezdettel nyomta le a buguntu a Debiant. Jut eszembe, Debian sincs a listában, röhej. Aztán a könnyen használható Linux referenciákból a Mageia vagy a PcLinuxOs is kimaradt. Ezek felettébb hátrányba kerülnének, együtt az egész Linuxos társadalommal.

Számítógépen (ismét direkt nem pc-t írtam) a legnagyobb a Steam, biztosan a fő okok között van ennek az elgáncsolása, és mivel SB csak számítógépen van, most ismét nem releváns a goggel play vagy az appel upstore. Androidot vagy IOS-t ma még igen nehezen lehet home computerrre rakni.

Még valami; „...32-bites Windows XP a régi játékokhoz amik elhasalnak Vistától felfele...”
A csak XP-n és alatta futó programok ma már gond nélkül futnak Wine-nal, miattuk nem kell külön OS.

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

"A csak XP-n és alatta futó programok ma már gond nélkül futnak Wine-nal, miattuk nem kell külön OS."
Munkámból adódóan elképesztő mennyiségben teszteltem wines alkalmazások Wine alatti futtathatóságát. Ha azt mondom, hogy csapnivaló, akkor finom voltam és nőies. Irgalmatlan sok olyan tákolmány létezi (akár csak a kishazánkban fejlesztettek között is), amelyre az általad axiómaként hivatkozott feltételezés egyszerűen nem igaz. Vagy ember legyen a talpán, aki kisakkozza, hogy a függőségeit hogyan kell telepíteni ahhoz, hogy egyáltalán el tudjon indulni az a dög.

Igazad van! Amennyiben nem fejlesztői oldalról alkalmazzák a wine-t, pontosabban libwinet.
Ha viszont a fejlesztő készít libwine felhasználásával Linuxos vagy OSX-es kiadást az eredetileg Windowsra írt programjából akkor az tökéletesen működik. Ebben kevés Linux oldali tapasztalatom van. OSX-en több cég nyomul wine-os megoldással. Vannak közöttük pofátlan kóklerek, akik képesek még több pénzt is elkérni összetákolt, hibákkal teli, OSX kiadásokért. De a GoG profi szintem űzi ezt a fajta üzletet. Náluk kifejezetten sok (főleg játék) OSX kiadása wine megoldást használ. Teljesen jól működnek pedig még olyan is van közöttük, amelynek nem az eredeti fejlesztője hanem a GoG csinálta meg az OSX kiadását.

Ha a Canonical annyira fél a Minttől, miért nem veszi át a jobb megoldásait? Debianra épül az Ubuntu hozzáadva saját módosításait és Ubuntura épül a Mint az ő módosításaival. Ha az egy jobb rendszert eredményezett miért nem importálja vissza az Ubuntu?

A Manjaroval csak óvatosan. 100% Intel PC-ken lehet, hogy bevált de azon kívül súlyos bajok vannak. Én történetesen hatalmasat szoptam vele Radon VGA miatt. Boot alatt out-of-sync volt a monitor, bejelentkező képernyő alatt szintén. Ha vakon sikerült valahogy belépni akkor desktop már látható volt. De az is tele volt grafikai hibákkal.

"Androidot vagy IOS-t ma még igen nehezen lehet home computerrre rakni."

Ez egy érdekes téma, mert most van változóban. Szerintem nem volt konkrét ellenségkép a Microsoft lépése mögött, csak próbálnak egy újabbat szorítani a Windows ökoszisztémán. Ha nincs erős ellenállás nyertek vele.

De játszunk el a gondolattal, hogy valamilyen konkrét Linuxos konkurens elleni lépés a motiváció. Nyárra ígérik a Windows 10-et és teszem azt a nyár végére valóban megjelenik. Az első lezárt SB PC-k leghamarabb az év végére lesznek boltokban. Akkora már piacon lesznek a hivatalos Steam Machine konzol-pc-k is. Indirekt még segíteni is fogja a Steam Machine gépek üzletét a Microsoft mert azok garantáltan kikapcsolható SB PC-k lesznek.

A Console OS miatt inkább aggódhat a Microsoft. Nem a Console OS mögötti startup cég fenyegeti a Windows üzletet, hanem az az Android amit mostanra (sok félrecsúszott kísérlet után) a Console OS valóban fogyasztható módon hoz el az PC világba. Gondolj bele abba milyen hatása lesz annak ha a hiper-szuperek polcaira kitett notebookokon nem FreeDOS vagy használhatatlan Linpus linux lesz hanem Android a'la Console OS. Azt is reflexből dózerolni fogja otthon a felhasználó windózerrel? Mert szerintem sokan nem.
A Linuxok desktopon évtizedek óta nem tudják megszorítani a Microsoftot. A SteamOS csak a gamereket veszi célba, ők jól fizető értékes felhasználói réteget jelentenek de csak kisebb szelete a teljes PC user tortának.
Az Android viszont megállíthatatlanul terjed. Az Android a fő oka annak, hogy mára 14%-ra szorult vissza a Microsoft a Windowsaival. Ha Console OS zászlói alatt az Android partra száll 'PC-Normandiánál', az a Microsoft számára a vég kezdete lehet. Ha pedig a Console OS sikeresen adoptálja az Androidot egeres billentyűs PC környezetbe akkor nyomában hamar meg fog jelenni az Android gazdája, a Google végtelen pénztartalékaival.

"Te most vagy nagyon alapvetően el vagy tévedve, vagy végtelenül szeretnéd fényesre nyalni a munkáltatód hátsóját"

Kérlek, mutass egyetlen érvemet a Secure Boot mellett. Én csak olyat találok, ahol ellenzem. :)

Windows esetén: Ezután pl. egy 8 vagy 10"-os tablet, esetleg egy 13"-os laptop lehet kikapcsolhatatlanul Secure Bootos, pedig most nem az. Ha jól értem, ez a lehetőség felháborodást okoz.

Nem Windows esetén: Jelenleg egy 8 vagy 10"-os tablet, esetleg egy 13"-os laptop ennél sokkal több kötöttséggel, gyakorlatilag zárt bootloaderrel érkezik. Ha jól értem, ez a tény pedig nem okoz felháborodást.

Ezt a kettősséget tartottam érdekesnek hozzászólásaimbam.

Üdv,
Marci

Egy szóval nem mondtam, hogy a tabletek, vagy a 13' laposok SB lockja miatt ne lenne problémám, és valszeg mást is ugyanígy zavar. Közeli példa: Van egy, amúgy teljesen átlagfelhasználó hölgy, aki évek óta Linuxot használ. Annyira nem érdeklik a hardverek, leginkább használni szeretné. Ha vesz egy új gépet, a legelső, hogy megkeres, rakjak rá neki egy értelmes rendszert. Megtette ezt egy 13 colos akármivel is. Én felraktam rá valahogy a kedvenc disztróját (Linux Mint), de visszamászott a rendszeretek vagy háromszor. Utánanéztem, és kiderült, hogy ebben van ilyen kikapcsolhatatlan SB és/vagy autobackup. Végül visszaadtam neki, hogy azonnal vigye vissza, és cserélje be egy valódi és értelmes gépre.
(Mellékesen a minap hangos anyázásokat hallgattam tőle, amikor egy ismerőse megkérte állítson be egy wifis nyomtatót W8 alatt. Szerinte is átláthatatlan, primitív, ennek ellenére bonyolult és idegesítő a metro/csempe + a logikátlan beúszó marhaságok, ami akkor is előjön, ha classic start menüs tákolást rak rá.)

Ha meg rágottalmás cuccokra gondolsz, ott sem tetszik a dolog az embereknek. Viszont egy hype alapján eszméletlen módon túlárazott, amúgy erősen megkötött gépet szinte biztosan nem akar olyan ember venni akinek nem OSX kell, mert annyiért ugyanazt már szinte akár legyártatja magának, így csak pufog magában, hogy ezek hülyék. No meg valljuk be, annyit nem adnak el azokból mint a többi hasonló eszközből. Ha a számítógépeket nézzük, még nem lockolt SB-tal, akkor meg pláne, emiatt nem okoz látható felháborodást, de van. LFS vagy SteamMachine pártolók sem a célközönsége, mert ezekhez gyenge.

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

"visszamászott a rendszeretek vagy háromszor. Utánanéztem, és kiderült, hogy ebben van ilyen kikapcsolhatatlan SB és/vagy autobackup"

A jelenlegi Windows logo követelmények szerint kötelező, hogy kikapcsolható legyen a Secure Boot.
Kikapcsolhatatlan "autobackup"-ról még nem hallottam.
Nagyon FUD-nak tűnik ez így.

Üdv,
Marci

Sajnálom, hogy egyszer (valószínűleg akaratlanul, egyébként) kivívtam az ellenszenved. Ez valóban beárnyékolja a kapcsolatunkat, mivel te minden lehetőséget megragadsz az ellenkezésre, én pedig sajnálatos személyiségprofilom miatt ezeket nem tudom szó nélkül hagyni. Inkább maradjunk döntetlenben.

A helyzetre már ajánlottam megoldást, miszerint meghívlak egy sörre és megbeszéljük a dolgot felnőtt emberekhez méltóan, ezt persze visszautasítottad.

Amíg arra sem veszed a fáradságot, hogy egy privát üzenetben két mondatban leírd, hogy pontosan mi is a problémád velem, addig ne csináld a feszkót. Érdekes módon az ellenem irányuló személyeskedés forrása ugyanaz a maximum 4-5 hupper, tehát nem gondolom, hogy csak és kizárólag velem lenne a baj.

Többit privátban plz, erre szerintem senki nem kíváncsi.

Eddig sem tartottam "meccsnek" vagy párviadalnak az internetes vitákat.
A hupon viszont érezhető egy 4-5 fős kemény mag aktív jelenléte, akik zsigeri ellenszenvet tanúsítanak a free softwarek iránt és ezt naponta érzékeltetik, gyakran személyeskedés kíséretében. Egy lényegében szabad szoftverekkel foglalkozó portálon ez tudatos konfliktuskeresésnek tűnik.
A sörözéssel kapcsoltban, honnan gondolod, hogy egy városban vagyunk?

:-)
Ez azért kicsit erős párhuzam szerintem. Ez csak munka, hobbi, játék, kinek mi. Ha eleged van kikapcsolod a gépet és annyi. Munka esetén nem lehet persze, de át lehet kapcsolni hup-ról angol nyelvű fórumokra. A többség szerintem egyébként is lustaságból vagy megszokásból olvas és ír itt. :-)
Ha rendszer(hiba) egy ország rendszerében van (volt), azt sajnos nem lehet ilyen egyszerűen elintézni.

Nem tanúsítok ellenszenvet a szabad szoftverek iránt. Sőt, egy időben aktív közreműködő is voltam projektekben, például fordító és ambassador is voltam a fedorások között. Tény, hogy (főleg idő hiányában) kikoptam a csapatból. Az, hogy egyébként kritizálom ezeket a szoftvereket, nem jelent semmit: a Windows-t is szoktam kritizálni, de nem itt, mert itt az anti-MS liga amúgy is túlreprezentált. ;)

Azt aláírom, hogy kifejezetten szeretem az ördög ügyvédjét játszani: ha egy vita túlzottan egyoldalúvá válik (pl. free szoftverek egy free szoftverekkel foglalkozó portálon), akkor tuti biztos, hogy az ellenkező oldalon fogok érvelni. Ha érdekel: http://www.16personalities.com/entp-personality

> A sörözéssel kapcsoltban, honnan gondolod, hogy egy városban vagyunk?
Jogos, ebben igazad lehet...

A hupon szerintem túl sok aktív ördög ügyvédje van, és ez már (szintén szerintem) mérgezi a légkört. A tízmillió miniszterelnök nemzetére sajnos jellemző ez a szemlélet, ami egy ideig hasznos, azon túl még szórakoztató, de valamiért egy idő után törvényszerűen személyeskedés és kontraszemélyeskedés végtelen sorozatába csap át. És ez abszolút nem csak a magyar informatikai világára igaz.

Veheted FUD-nak, saját tapasztalat. Visszavitelkor az gépkupec mutogatta, hogy ebben a rejtett menü alatti menüben, ahol a „Vigyázz veszélyes leopárdok” felirat van, ott mellette a tőzegkupac alatt lehet kikapcsolni. Életem során a többszáz gépből ez volt az első ilyen nem túl szerencsés találkozás az UEFI-vel. Nem igazán győzött meg. Azóta sem futottam bele, bár aki Linuxot akar a megvétel előtti gépére és kéri a véleményem, annak elmondom a kitételeket. A fenti „FUD”-dal rendelkező gépek nincsenek köztük.
☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

Ha kikapcsolhatatlan SB lett volna rajta, akkor nem tudtál volna rá Linux Mintet telepíteni, nem?
Gyakran használt autobackup megoldás az, hogy az első partíción van egy automatikusan települő oem Windows rendszer a notebook gyártói beállításaival. UEFI elég ha azt bootolja be, de ezt a felhasználónak kell kezdeményeznie. Utána ez a Windows installer partíció még külön megkérdezi valóban vissza akarod-e állítani a gyári állapotot felkiáltójeles figyelmeztetésekkel. Ugyanis ilyenkor gyakran elvesznek a felhasználó saját dokumentumai, képei, fájljai (bár nem minden esetben) a telepített alkalmazásait mindenképp újra kell telepítenie.
Simán törölheted ezt a partíciót és nincs visszaállítás. Előtte azért érdemes lementeni, mert ha a hölgy később eladja a notebookját és a vevő a Windowst preferálja akkor jobb ha gyári telepítővel kerül rá Windows.

Az Apple nem korlátozza más operációs rendszer telepítését Macintoshon. Még Boot Camp Assistant is segíti a felhasználót. Egyetlen apró kritikám, hogy a gyári Apple os-váltó megoldás szerintem suta, érdemes rEFIt -et telepíteni.
Európában kicsit túlárazott a Macintosh, magyar bolti árakról ne is beszéljünk. De USA Macintosh árak egyáltalán nem eltúlzottak. Mutass nekem hasonló minőségű hardvert jóval alacsonyabb áron! Kíváncsi lennék rá.
A Google Chromebook Pixel ami Apple minőséget képvisel drágább.

Nem ma volt. Ha jól emlékszem az összes beállítás visszaugrott default értékre minden kikapcsolásnál. Fentebb írtam, hogy a gépkupec végül elmutogatta a tekervényes útját az autobackup kikapcsolásának (is) de ez már annyira nem érdekelt. A hölgy ekkor már kb. az új, másik gépét tartotta a kezében.

Valahogy az én környezetemben nem szokás eladni az elektromos cuccokat, a hölgy meg méginkább tesz rá, hogy volt rajta egy „értékes” win. Nála ezek a cuccok elhasználódnak. Annak idején az egyik gépében a HDD csapágya állt be, annyira sokat használta a gépet. Szerencsére épp mentettem a cuccokat róla, így alig volt adatvesztés, de azt a hangot sohasem felejtem el. Kérdeztem már tőle új gépeknél, hogy akar-e egy mentést a winről, de nem nagyon érdekelte. Az OS mentes gépek leginkább azért buknak be nála, mert kevés belőlük a szép, ő meg alapvetően nőből van.

Rágottalmás dolgokba és azok hitvitáiba nem mennék bele. Furamód láttam már nagyon meggyőző minőségű high level Asus cuccot is, pedig az alsóbb szegmensben csak hulladékokat dobnak be. Még itthon beszerezve is olcsóbban jött volna ki mint egy egycsatlakozós, korlátozott teljesítményű, néhány milliméter vastagságú, kinyitható almafoltos vágódeszka.
Az Imac széria elejéig hivatalból használgattam ilyeneket, de azért nem tudtam elszállni tőlük. A funkció-design kapcsolat, illetve a minőség és kényelemé azért fontos dolgok, ez pedig emberfüggő is. Mostanában, amikor meglátok egy 'meket maximum csak a „szép darab” hagyta el a számat, de a „hú ez nekem kell” nagyon nem.

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

Úgy érted, hogy a Gyártó által kiadott Windows-os ROM-ra cserélhető a Gyártó által korábban kiadott Androidos.
Ha jól értem ez eddig is így volt, legfeljebb annyi az újdonság, hogy a Gyártó nem ugyanazon OS frissebb verzióját tartalmazó ROM-ra frissít, hanem egy másik OS-re. De ettől a bootloader zárt - mondjuk ez pont így van a legtöbb okostelefonnál is.

Hogy ontopic maradjunk: *BSD-t is tehetek rá a garanciavesztés veszélye nélkül? :)

Üdv,
Marci

> A biztonsággal meg nehogy már egy olyan cég példálózzon akinek a rendszerére napi szinten ezerszám jönnek mindenféle férgek, és a hosszú ideig mellette álló szakértők manapság a biztonsági megbízhatatlanság okán pártolnak el tőle.

Köszönjük az értékes hozzászólást, régen láttam ekkora FUD-ot. :)

http://arstechnica.com/security/2014/11/windows-phone-security-sandbox-…

http://www.gfi.com/blog/most-vulnerable-operating-systems-and-applicati…

Rengeteg helyen, de itt a HUP-on is számtalan hírt találni a témában, és hiába tagadod, de eléggé tényszerű, hogy a rendszeretek kapja a legtöbb támadó kódot és igen sokszor be is talál. Mostanában a cryptolock style ransomware-ekről van a legtöbb hír. Ezeket is nehéz tagadni. Nem igazán értem mit kellene ezeken bizonyítanom, teljesen nyilvános és ismert dolgokról van szó.
☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

> tényszerű
> Nem igazán értem mit kellene ezeken bizonyítanom

Oké, hát így tényleg nincs értelme, hogy vitatkozzam veled. Én posztoltam két linket, részemről téma lezárva.

> a rendszeretek kapja a legtöbb támadó kódot és igen sokszor be is talál

Szép dolog a statisztika, csak két dolog maradt ki belőle:
1) manapság rég nem a desktop malware a legmenőbb támadási vektor
2) Cryptolocker egyedül azért nincs desktop Linuxra, amiért mondjuk Photoshop sincs: nem éri meg 1%-os market share-re kihozni, pedig _minden_ adott lenne hozzá, hogy Linuxon is működjön

Különösen lényeges, hogy a Cryptolocker-jellegű malware pont rossz példa az OS sebezhetőségre. Egy user space-ben futó processz a jelenlegi desktop OS-eken nyilvánvalóan eléri a user fájljait, ez linuxon sincs másként. Hasonlat: indokolatlan "rm -rf /" az uninstall szkriptben, simán végigzúzza a user fájljait.

2) Ezer százalékig biztos voltam benne, hogy előjössz az „azért nincs Linuxra mert” dologgal. Nem, a hozzáállás miatt nincs. Linux alatt indokolatlanul nem kap jogot akármi, viszont az olvasottak alapján winen jog sem kell hozzá hogy beférkőzzön egy cryptolocker szintű cucc. Photoshop sem kell feltétlen Linuxra. Akinek PS kell, az nem Linuxot akar használni. Betanult gyakorlatokat végez, nem megoldást keres. De ez már egy egészen más téma.

Az meg jó kérdés, hogy hogyan jön ide az 'rm-rf/' az uninstall scriptben.
Elhiszem, hogy az új munkahelyeden jól keresel, kötelező isteníteni a céget és termékeit, de hidd el, ha egy fórum téma alá beraksz két linket amiben fizetett hirdetés van, és győzködsz egy olyan embert aki hidegrázást kap a termékeitektől, attól még senki aki netalán olvassa nem fogja jobban elhinni, hogy a lockolt Secure Boot milyen jó a világnak, mert nagyon nem így van.

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

> Linux alatt indokolatlanul nem kap jogot akármi, viszont az olvasottak alapján winen jog sem kell hozzá hogy beférkőzzön egy cryptolocker szintű cucc.
A Cryptolocker a user space-ben, user jogosultságokkal bántja a user fájljait, nem kell neki emelt jogosultság. A user error ellen pedig (t.i. letölt és megnyit egy ismeretlen valamit) nincs jó védelem. Linuxban sem.

> Az meg jó kérdés, hogy hogyan jön ide az 'rm-rf/' az uninstall scriptben.
Analógia, az is user jogosultságokkal bántja a user saját fájljait.

> beraksz két linket amiben fizetett hirdetés van,
Melyikben volt fizetett hirdetés? Vagy ez csak megint valami jól hangzó FUD? Alá tudnád kérlek valamivel támasztani a te állításaid, ahogy én tettem az enyémekkel? Lehet fizetett Canonical hirdetés is. ;)

> a lockolt Secure Boot milyen jó a világnak, mert nagyon nem így van.
Nem gondolom, hogy jó a lockolt Secure Boot, by the way. Szerencsére nem is láttam a Microsoft részéről olyan állásfoglalást, hogy kötelező lenne lezárni - mindössze arról volt szó, hogy talán nem lesz megkövetelve a nyitás. De még ha ez így is lenne, a gyártó döntése, még ha te személy szerint utálod is az MS-t.

"Egy user space-ben futó processz a jelenlegi desktop OS-eken nyilvánvalóan eléri a user fájljait, ez linuxon sincs másként."

Lehet nem leszek szimpatikus a véleményemmel, de én ezért tartom okos dolognak azt, amit az IOS, meg valamilyen szinten az android is csinál. Nincs közvetlen hozzáférés a teljes fájlrendszerhez, de minden alkalmazásnak van egy saját privát mappája, ahova pakolhatja a cuccait, amihez pedig más nem fér hozzá. Ezt az android ott rontja el, hogy a "közösbe" bármelyik alkalmazás bele tud olvasni, az ios pedig ott, hogy nincs közös. Véleményem szerint meg lehetne oldani okosan, ötvözni a két renszer előnyeit, megoldani, hogy a felhasználó ne érezze ettől kizárva magát, és máris adott egy néhány fokkal biztonságosabb rendszer.

Az egyik piaci elemző statisztikáiban nem tekinti PC-nek a Chromebookot. Lehet vitatni ezt a nézőpontot, de gondolom az Xbox One-t vagy PS4-et te sem tekintenéd PC-nek. Pedig belül ezek a konzolok hardvere is PC.

Gartner PC definíciójába a desktop PC-k, notebookok, prémium ultrabookok és Windowsos tabletek tartoznak. De Chromebookok már nem és a nem Windowsos tabletek sem.

Én nem merülnék annak definiálásába, hogy mi a PC: éppen device proliferation van, magyarán megmondva! :)

Érdekes, hogy ha a gyártó ugyanazt a hardvert Androiddal vagy ChromeOS-szel szállítja, lezárt vagy gyakorlatilag lezárt bootloaderrel, amely semmilyen alternatív OS telepítését nem teszi lehetővé egykönnyen, az nem gond.

Az a hír, hogy ha ugyanez a gyártó ugyanezt a hardvert Windows-zal szállítja, akkor a jövőben lehetőséget kap a döntésre, hogy esetleg csak aláírt OS-eket engedjen telepíteni rá, az pedig felháborodást és értetlenséget kelt.

Üdv,
Marci

Acer C720 Chromebookra és Google Chromebook Pixelre tudom, hogy lehet tetszőleges Linux disztribúciót telepíteni. Pixelen előbb telepítened kell a SeaBIOS-t hozzá. Dual-boot telepítésről van szó természetesen nem croutonról, ami egyébként szintén jó alternatíva. Tudtommal a többi Chromebookra is lehet Linux disztribúciókat telepíteni még ARM-os modellekre is.

Ma szinte minden Android tabletre és mobilra lehet CyanogenMod-ot vagy OmniROM-ot, MIUI... alternatív Androidot telepíteni.
Windows azért nem lehet mert a Microsoft nem ad ezekre telepítőkészletet és vélhetően driverek is hiányoznak. Nem linux operációs rendszereknél szintén a driverek hiánya az akadály. Ubuntu most is gőzerővel dolgozik Nexusra telepíthető mobil rendszerén.

Már rég volt hogy chromebox-ra telepítettem linuxot, de nem volt ördöngősség: Be kellett kapcsolni a developer módot. Az én értelmezésem szerint ez volt a bootloader kinyitása, és ehhez semmi trükközés nem kellett, el van dugva a funckió, de elérhető. Ha jól emlékszem a hivatalos google súgó oldalakon meg is volt található, hogy hogyan.

Oké, igazad van, a bootloader nem támogatta az usb-ről, vagy cd-ről, akármiről bootolást. De ne ez legyen már a definíciója annak, hogy nyílt, vagy zárt-e.

Hogy teljesen őszinte legyek nem vagyok biztos a definícióban, úgyhogy kérek valakit akinek pontos elképzelse van javítson, egészítsen ki.

Az én értelmezésem és az alapján, amit innen-onnan netről összeszedtem a zárt bootloader zártságát az adja, hogy nem indít el csak úgy akármit, hanem mondjuk csak aláírt kerneleket. A probléma is ebből adódik, hogy nem tudsz csak úgy akármilyen rendszert elindítani rajta.

Nem gondolnám, hogy ez (a zártság) összefüggésben áll azzal, hogy milyen eszközökről képes bootolni. Nyilván valamilyen szinten korlátozás, hogy egy pendrive-ról nem hajlandó bootolni, de miért is kéne neki? A cél az, hogy _akármi_ fusson, nem az, hogy _akárhonnan_.

A Chrome(book|box)-ok developer mode után azt bootolnak, ami neked tetszik. Kicsit talán körülményesebbnek tűnik egy alternatív rendszer feltelepítése, de csupán azért, mert futó rendszerből kell elindítanod, miután root jogokat kaptál, és még senkinek nem jutott eszébe egy ízléses telepítőt összerakni hozzá. (Vagyis de, a crouton egész jól össze van rakva)

Azért nem érted, mert nem akarod érteni, ezért kapod a fizetésedet. Egyedül sikerült ezt kiokoskodnod, vagy egy egész stáb segít benne? Ha reklámozáshoz használod a hupot, remélem kifizetted a reklámozás díját is. Nyomod itt a jó kis amcsi stílusú fikázzuk a konkurenseket reklámot.

Aközött, hogy az ms megpróbálja kisajátítani a pc hardvereket és aközött, hogy más platformokon milyen megoldások vannak nincsen ok okozati összefüggés. Ezért nem látsz semmit. Csak te próbálod beállítani úgy, hogy azért mert más platformon lehet, akkor miért ne lehetne az ms-nek is.

Kedves Marci!

Az emailben küldött érdeklődésedre a válasz:

Nem személyedben támadlak, mivel személyesen nem ismerlek. Azt támadom, hogy egy cég érdekképviseletét, amely véletlenül a munkáltatód, személyes véleményként tálalod.
A "fikázzuk a konkurenseket reklám" pedig abban jelentkezik, ahogy a konkurensek egyik lehetséges rossz gyakorlatát általánosítod, majd nyomod a bezzeg másoknak lehet ilyet dumát. Ez tipikusan az usa-ra jellemző reklámozási fajta, amikor összehasonlításként tálalva fikázzák a konkurens céget és a végén azt próbálják kihozni, hogy a sajátjuk sem rosszabb, sőt éppen az a jobb.

Ott lóg ki a lóláb, hogy már kaptál korrekt választ és reagálást is ilyen jellegű manipulációdra, mégis újra előhozod ezt a szálat azóta is, sőt más érved nem is nagyon van. Ahogy öregszik az ember, úgy lesz szórakozottabb, szóval megismétlem: azért nem lehet az ms-nek azt csinálnia az általa uralt pécé piacon, amit másoknak egy többszereplős, kiegyensúlyozottabb piacon lehet, mert jelen példát nézve is egyértelmű erőfölénnyel való visszaélést végez, amellyel igyekszik nehezíteni a feltörekvő konkurencia lehetőségét.
Ezt pedig az eu-ban törvények is tiltják.

Üdv,
Zoli

Ja, beidézted a kommentemet, megismételted az itt hangoztatott csúsztatásodat, valamint szebb kifejezéssel megkérdezted, hogy miért személyeskedem. Ha privátban szeretnél eszmét cserélni, azt majd inkább akkor ha véletlen összefutunk valahol, ahol sört / üdítőt is lehet inni hozzá :)

Az egyik kedvenc employee benefit-em, hogy olyan cégnél dolgozhatok, ahol a puszta cégnév megemlítése képes értelmetlen viták és személyeskedések kiprovokálására a magyar informatika krémjében. :)

Mert ugye nyi-hil-ván a Microsoft marketingesei azért fizetik Marcit, hogy karaktergyilkosságot kövessen el egy többé-kevésbé névtelen fórumon. ;)

Nem, de mintha nálatok tényleg olyan, mintha céges policy lenne támadni a más nézeteket. Én szívesen dolgoznék ott, de mint ahogy eddig is, ha kilépnék a munkahelyem ajtaján, önmagam lennék, nem pedig a cég alkalmazottja.
Érdekes módon jár ide egy Cannoncial alkalmazott is, de tőle sosem ellentámadások jönnek a kritikákkal szemben.
☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

"mintha céges policy lenne támadni a más nézeteket"

Már csak e topikhoz tett hozzászólásaim mennyisége miatt is találva érzem magam.
E topikból tudnál ilyen, más nézeteket támadót idézni tőlem?

Amúgy pedig lehet, hogy orvoshoz kéne menjek, de úgy érzem, hogy önmagam vagyok és a cég alkalmazottja és családapa és ...
Egyidejűleg. :)

Üdv,
Marci

Ha csak ebből a topicból kell, abból is lehet. Egyik: Szerinted FUD amit tapasztaltam. Másik: Ellene vagy a Secure Bootnak, DE... mások is így csinálják, miért baj? Nem, ha ellen lennél, nem lenne de. Mindenki tudja, hogy a MS aprónak tűnő lépései hova szoktak vezetni, de ti ketten mégis érveltek az ellen, hogy így lenne a jövőben.
Gondolom ha az Android sarcról kérdeznénk, nem lenne értékelhető válasz, max annyi, hogy „amerikai vagy európai fecske?”

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

"Szerinted FUD amit tapasztaltam" - Valóban. Szakmailag még mindig nem tudom hova tenni a "kikapcsolhatatlan SB és/vagy autobackup"-ot, érveimet leírtam ott.
"mások is így csinálják, miért baj?" - Hol olvastad ezt tőlem?
"érveltek az ellen, hogy így lenne a jövőben." - Hol olvastál ilyen érvet tőlem?
"Ellene vagy a Secure Bootnak, DE..." - Hol olvastad a "DE"-t tőlem?

Üdv,
Marci

Ha itt a topicban a 'felháborodás' szóra keresel, akkor rajtam kívül csak a te hozzászólásaidban van. A te kontextusodban általában a „nem értem miért nincs” előzi meg. Emiatt nem értjük, hogy miért érvelsz ellene, amikor ezzel mellette is érvelsz.

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

Én nem érveltem mellette, hanem az itteni felháborodást furcsálltam illetve a korábbi felháborodást hiányoltam. Legelőször pedig azt nem értettem, hogy ha a Microsoft súlyos pereknek néz elébe, ha ezt bevezeti a nagy részesedésű PC piacon, miért is nem voltak súlyos perek az Androidos tabletek kapcsán, melyek részesedése az adott eszközök között szintén elég magas. Érveimet már többször leírtam.

Maradjunk az állításaidnál:

"mások is így csinálják, miért baj?" - Hol olvastad ezt tőlem?
"érveltek az ellen, hogy így lenne a jövőben." - Hol olvastál ilyen érvet tőlem?
"Ellene vagy a Secure Bootnak, DE..." - Hol olvastad a "DE"-t tőlem?

Üdv,
Marci

Az előbb lemaradt:
Fentebb leírtam a SB problémám történetét. Végülis kikapcsolható volt, de kicsit sem egyértelműen, és ha a rejtett menü alatti menüben lévő menü helyett csak az 'akármiről boot' opciót választottam, majd arról telepítettem, akkor újraindítás után nem csak visszaállt, hanem autobackuppal visszahúzta az előretelepített wint. Nekem ez már belefért a tulajdonképpen normál ember számára kikapcsolhatatlan opcióba.

Nem hiányoztak a korábbi felháborodások sem, és a „mások is így csinálják” pont a korábbi felháborodás hiányolását jelenti. Mindegy melyiket írod.
Tehát elismered, hogy valszeg így lesz a jövőben. Ott egyébként többesszámot használtam, munkatársad írhatta.
A „DE”-t is a korábbi felháborodás hiányolása szócikknél lehet keresni.

☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

"kikapcsolható volt" - örülök neki. Annak, hogy bonyolultan, annak meg nem.
"Mindegy melyiket írod." - Dehogy mindegy! Az egyik ezt jelenti, a másik azt. Amit állítasz, nem írtam, nem volt téma részemről.
" Tehát elismered, hogy valszeg így lesz a jövőben. " - Már precog is vagyok? :) Lövésem nincs, hogy lesz. Remélem, megláthatom. De nem előre :)
"A „DE”-t is a korábbi felháborodás hiányolása szócikknél lehet keresni." - szóval ezt sem sikerült megtalálni.

Üdv,
Marci

Szerintem ez valamilyen tárgyalási stratégia lehet, amit valamilyen kommunikációs tréningen tanítanak.

Nem ő az első, akitől azt látom, hogy a témától némileg eltérő, de lazán kapcsolódó kérdést hoz fel valódi érv helyett. Valószínűleg fontos része, hogy válasz helyett kérdést tegyen fel, hiszen így visszapattinthatja a labdát érvelés nélkül, így nincs min fogást találni. Az ilyen kérdésre, mivel nem illik a kontextusba, nem is nagyon lehet érdemben reagálni, de amikor mégis sikerült valakinek, akkor azt nagyvonalúan figyelmen kívül hagyja. Bármilyen negatív vélemény jön, akkor arra ugyanazt a kérdést lehet válaszolni, függetlenül attól, hogy mi épp a kontextus. Persze a kérdés tartalma is fontos, hiszen egyben egy véleményt ki is nyilatkoztat, problémát bagatellizál. Mivel kérdésként fogalmazza meg, így konkrét szembesítésnél még mindig mondhatja, hogy ő nem állított olyat, csak kérdezett.

Ezzel a technikával
- próbálja kihozni a sodrából azt aki partnerként szeretne részt venni egy értelmes vitában, hiszen valójában nincsen párbeszéd, nem számít a "felháborodott" fél érvelése. Így, ahol moderálják a kommenteket, jellemzően a nemkívánatos vélemények járnak pórul.
- felületesen nézve úgy tűnhet, hogy érvel, megnyerő stílusban és választékosan vitatkozik, partner a beszélgetésben. De, ha valaki végigköveti a párbeszédeket, akkor kiderül, hogy valójában a nemkívánatos vélemények elfojtására szolgál, nincs hozzáadott értéke.
- mindig az övé az utolsó szó, így a felületes olvasó az ő véleményével találkozik, ha a friss kommenteket nézi csak.
- ha sokszor mondják, akkor biztos úgy is van. Legalábbis sok témában járatlan embernél működik ez a fajta meggyőzési mód.
- ha valaki belemegy a részletekbe és leáll vitatkozni, akkor nagyon offtopiká és unalmassá válik az egész, ami miatt sokan inkább el sem olvassák a történetet. Érdektelenségbe lehet így fojtani érdekes témákat. Ki húzta meg kinek a haját szintű vitává silányul az egész.

A félreértések elkerülése végett itt most nem személy szerint Marcira mondom ezt, hanem próbálom körülírni ezt a több helyen, több embertől is tapasztalt kommunikációs technikát.

"Ha jól tudom nem lehet kulcsokat visszavonni."

Nem is kell visszavonni, mert konkrétan blacklistelhető (igen, a user által is!) bármilyen hash-ű loader vagy modul. (hint: database blacklist key)

"Csak a secure boot értelmetlen maga."

Nagyon is ételmes, csak ismerni kell legalább alapszinten a működését.

"az olyan módszerek mint a secure boot több kárt okoznak mint hasznot."

LOL, akkor szerinted a nyilvános kulcsú titkositásnak/aláirásnak nincs értelme (mert a secure boot azon alapul). Szép.

Szóval mondtál két rettentő nagy butaságot
1. nem lehet kulcsokat visszavonni (de lehet)
2. értelmetlen a secure boot rendszere (akkor minden nyilt kulcsú titkositás/aláirás értelmetlen)

és jössz azzal, hogy egy teljesen más és elvault technológiát használó gyártótól is kulcsokat loptak? Ez komoly? Csak mert mindkettőben szerepel a kulcs szó? Köze nincs egymáshoz a kettőnek. De még, ha meg is történne, hogy ellopnák valamelyik secure boot aláiró privát kulcsát, simán le lehet tiltani az összes vele aláirt kódot. Szóval nagyon el vagy tévedve. Megint.

1. Secure bootnál megoldott a visszavont kulcsok automatikus frissítése?
2. Logikai hibás az érvelésed. Relációanalízis: C :-) A felhasználó kontrollja alól kivont Secure boot nem biztonságos a felhasználó számára. A CA szervezetek megbízhatósága is vitatott. A Microsoft például nem forszírozza CA használatát, inkább cégen belül tartott kulcsokra kínál megoldásokat. (Mielőtt ezen is kötekednél természetesen a lehetőség megvan CA-ra is)

Ha egyáltalán észreveszik, hogy ellopták az érintett privát kulcsot, hogyan jut el a frissítés a visszavont kulcsokkal a meglevő PC-kre? (Bios)UEFI frissítést a felhasználók többsége soha nem végez.

"Secure bootnál megoldott a visszavont kulcsok automatikus frissítése? "

Feljebb azt irtad nem lehet kulcsokat visszavonni. Megcáfolom, mert van blacklist. Zéró reakció, majd automatikus frissitést keresel rajta. Vicces vagy.

"A Microsoft például nem forszírozza CA használatát, inkább cégen belül tartott kulcsokra kínál megoldásokat. "

Na úgy érzem itt egy újabb óriási hülyeséget mondtál, fejtsd ki légyszi. Mit nem forsziroz a microsoft? (igy hirtelen eszembe se jut semmilyen best practice, ami ne azzal kezdődne, hogy szerezz publikus CA-tól tanusitványt, legyen szó exchange-ről, owa-ról, forefront-ról, bármiről. De persze az egyik legkomolyabb CA infrastruktúrát is biztositja, ha sajátot szeretnél üzemeltetni)

"Ha egyáltalán észreveszik, hogy ellopták az érintett privát kulcsot, hogyan jut el a frissítés a visszavont kulcsokkal a meglevő PC-kre?"

Egy frissitésként, managed gépek esetén akár központilag. Ahol fontos, ott telepítik.

Csak nincs gyógypedagógiai képesítésem. Ember ennyire nem lehet kretén mint te!
Szerintem tudatosan adod a hülyét, de trollnak is fárasztó vagy.

Hiába van blacklist egy távoli szerveren, PC-k millióira az nem jut el sehogy. Csak az új PC-ken lesz tiltva, a felhasználók 95%-a ugyanis soha nem frissít UEFI-t. Így a lopott kulcsokkal aláírt telepítő vagy boot médiák ellen csak az új PC-k lesznek védve. De ez is bonyodalmakat okoz a korábbi legális médiáknál.
Ha ezt képtelen vagy felfogni csak sajnálni tudlak.

Ha erre szükség lesz valaha, akkor majd beleépitik, hogy automatikusan lehúzza a gyártó által aláirt blacklist-et, semmi akadálya nincsen. De jelenleg nincs rá szükség, sosem loptak kulcsot és központilag is lehet frissiteni managed gépeken, szóval igencsak hasznos funkció. De aki fogyatékos, az kapcsolja ki, mit érdekli az a userek 99.99%-át?

Az a baj, hogy alapjaiban se érted a SB működését, hülyeségeket hoztál fel és folyamatosan hozod fel az újabb hülyeségeket, ahogy egyenként cáfolom meg a hülyeségeidet.

A secure boot tervezetten hibás, mert a felhasználót nem védi meg szinte semmitől (az operációs rendszert ugyanúgy bárki felnyomhatja, mint eddig, a támadási vektor minimálisan csökken csak), csak attól, hogy másik operációs rendszert futtasson. Összességében csak árt nekem mint felhasználónak.

Ellenben ha az operációs rendszert felnyomja egy durva malware, akár az Ubuntura is kerülhet rootkit, akkor nem tudsz tiszta antivírus rendszert indítani live lemezről Secure Boot miatt, ami máig a legjobb megoldás egy kártevők ellen ha már megtörtént a fertőzés. Kaspersky live CD-je egyedi Gentoo Linuxszal megy.

De a remek informatika svájci-bicska SystemrescueCD sem indítható el.

"az operációs rendszert ugyanúgy bárki felnyomhatja, mint eddig, a támadási vektor minimálisan csökken csak"

Rosszul tudod. Felhasználó szintű dolgokba belemászhat bármi, de rootkit, vagy bármi komolyabb dolog nemigen tud települni bekapcsolt SB mellett.

"csak attól, hogy másik operációs rendszert futtasson. "

Ezt is rosszul tudod, linuxokat is futtathatsz secure boot-al, a canonical pl. teljesen támogatja és még ösztönzi a SB használatát. De aki egyedi kernelt bütyköl, vagy akár teljesen saját OS-t fejleszt, az is meg tudja csinálni, hogy SB-al fusson a kódja, mert a saját kulcsaidat fel tudod tölteni a SB-ba és ha azzal irod alá a saját kreálmányodat, akkor azt el fogja fogadni. Szóval a SB igazából senkit nem gátol meg a munkában, főleg nem a sima usereket.

"Rosszul tudod. Felhasználó szintű dolgokba belemászhat bármi, de rootkit, vagy bármi komolyabb dolog nemigen tud települni bekapcsolt SB mellett."

Hát ez gigalol. Szóval a banki egyenlegemet, a levelezésemet, a házipornót és a jelszavaimat el tudja lopni, de a videokártya beállításait nem tudja átállítani. Igen, ezzel a feature-rel valóban sokkal előrébb vagyok.

Akarod mondani mig SB mellett a banki egyenlged, házipornódat stb-t veszélyeztető malware-eket van esélyed észrevenni, megfogni, irtani, mivel rendszer szintig nem jutnak el, addig secure boot nélkül jóval kisebb a sanszod rá. (már ha van valami halovány fogalmad mi az a rootkit és miért érdemes védekezni ellene)

De aki ennyire "okos" annak csak azt tudom javasolni, hogy kapcsolja ki, megérdemli. Több ideje marad gigalolozni olyan dolgokon amiket nem is ért.

/o\

Ha a kártékony kódodat alá tudod iratni a microsoft-al, vagy valamelyik fő tanusitóval, akkor ügyes vagy.
Ha nem tudod, akkor maximum a saját kulcsoddal tudod aláirni, amit maximum a saját gépeden tudsz secure boot mellett futtatni, ha feltöltötted a SB kulcskezelőjébe, de úgy érzem ezzel nagyon nehezen fogod aláásni a világ secure-boot-os gépeinek biztonságát :)

Ez van amikor el se olvasod, vagy meg sem érted ami egy cikkben le van irva, azért én idézek belőle neked, hátha :)

"According to the researchers, the exploits demonstrated at Black Hat are possible not because of vulnerabilities in Secure Boot itself, but because of UEFI implementation errors made by platform vendors.

The first exploit works because certain vendors do not properly protect their firmware, allowing an attacker to modify the code responsible for enforcing Secure Boot, said Bulygin who works at McAfee."

Tehát nem a SB volt a hibás, hanem bizonyos gyártók uefi implementációja, amit javitottak is. Sebaj, egy gyenge fud-nak azért elment :)

(azzal már meg se próbálkozok, hogy megértsem miért a saját os/kernel saját kulccsal való aláirásáról szóló threadbe tetted ezt a saját magadat cáfoló cikket :)

( Pingvinpasztor | 2015. 03. 24., k – 15:16 )

+1 piaci rés az uefi/bios patkolóknak :):):)
...
szélesmosoly
"aláírt, biztonságosnak minősített operációs rendszer"
/szélesmosoly
...
1 fapad pc-n nekem elég lenne 1 4állású kapcsoló is, amivel a boot médiát ki tudom választani //dvd, disk/ssd, usb, hálózat//
a többi az os dolga //még a ketyegő is!//
...
ez a dizájnos izé az új lapokon nagyon látványos, ... a valódi hasznát eddig még nem tapasztaltam az előző biosokhoz képest, ... elsőre kicsit parasztvakításnak tűnik ... //egérkezelés a 486-osom biosában is volt, + +hajtó ikonok, és ott sem kellett//
...
a lezáratlan nyitom-csukom secure uefi +1 piaci rés a feltörekvő lapgyártóknak
...
:):):)

_____________________
www.pingvinpasztor.hu

( Darkcomet | 2015. 03. 24., k – 17:45 )

Teljesen jók a szakmai és jogi eszmefuttatások, de mégegyszer kérdezném, egy mezei felhasználó mint én, aki Linuxot akár használni a gépén az elkövetkezendőkben mire figyeljen? Van UEFI nélküli alaplap? Vagy ez lett az általános trend? Tényleg hülye vagyok hozzá. Hét éve vettem utoljára gépet, egyszerűen nem voltam rákényszerítve, hogy aktívan figyeljem a változásokat. Idén viszont eljött az ideje, hogy új masinát vegyek, mert egyszerűen nem éri meg toldozgatni a régit.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

Tehát UEFI nélkül már nincs is alaplap? Ez azért igen durva lenne. Mondjuk oké, nagyobb disztrókat használok, de egy külön partíción előszeretettel próbálok ki kisebb terjesztéseket. Nehogy már ezt ne tudjam megcsinálni ezek után.

--------------------------

Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

"mégis mindenki biztos benne" - pedig tudni senki sem tudja, ráadásul a secure boot lezárva is sokkal lightosabb egy zárt bootloadernél. És mégis, már most fel van háborodva sok ember. Miközben az Androidos táblagépek közt túlnyomó többségben vannak a zárt bootloaderűek és nem emlékszem ugyanezen emberek hangos tiltakozására...

Üdv,
Marci

"Miközben az Androidos táblagépek közt túlnyomó többségben vannak a zárt bootloaderűek"

Mert túlnyomó többségben ezek hiába zártak alapból, nyithatóak (hivatalos megoldással). Ha pedig a lehetőség adott, miért zavarna egy alapbeállítás?

Vagy mit értesz zárt alatt? Zártan kapod a kezedbe. De kinyitható. Az most zárt, vagy nem?

Lehet tévedtem a fenti állításommal. El is kezdtem keresgélni melyik tabletet hogy lehet kinyitni, hogy lássam, melyiküket lehet a "jól megszokott bootloaderbe be, fastboot oem unlock" megoldással kinyitni, de meguntam két samsung után, főleg hogy nem egyértelmű mit írtál zárt alatt...

"Ha pedig a lehetőség adott, miért zavarna egy alapbeállítás?"

Mondjuk mert garanciavesztéssel jár az eszközök jelentős részén?
Én továbbra sem szeretném egy eszközöm garanciáját elveszteni, csak mert másik OS-t telepítettem rá. Eredetileg Windows-osét sem, csak hogy tiszta legyen.

Üdv,
Marci

Én sem. De ez nem változtat a tényen, hogy a lehetőséged adott a kinyitásra, tehát nem igaz, hogy zárt a rendszer.

A Motorola annó bejelentette, hogy nem gond nekik a bootloader nyitogatás, és hogy nem jár garanciavesztéssel. Jófejek. Sajnos kevesen követték a példát.

Végsősoron a fenti cikk szerint arch-ot is lehet SeaBIOS nélküli ChromeBookra tenni, csak firmware-t kell cserélni, tehát valóban nem zárt a rendszer.
"No-no fiam! Kőből talán nem lehet hidat építeni?"
Akarom mondani: kikapcsolhatatlan secure boot-os gépen tán nem lehet, garanciavesztés veszélye mellett, firmware-t cserélni?
Klasszikussal szólva: "a lehetőséged adott a kinyitásra, tehát nem igaz, hogy zárt a rendszer."

Disclaimer: csak a logikai buktatóra szerettem volna rámutatni, nem érvelek a secure boot mellett.

Üdv,
Marci

Kérlek, támasztd alá az állításodat és mutass rá a secure boot kikapcsolhatatlansága melletti érvelésemre.

Ezek a hozzászólások pedig az ellenség megtévesztései? :)
http://hup.hu/node/139530#comment-1850479

"Úgy tűnik nem szeretnéd, hogy kikapcsolható legyen a secure boot, csak azt nem értem, hogy neked ez miért lenne jó."

Rosszul látod. A magánvéleményem szerint jobb, ha kikapcsolható. Ezzel együtt elfogadom, hogy lehetnek olyan eszközkategóriák, ahol a gyártó akarhatja, hogy ne legyen kikapcsolható.

http://hup.hu/node/139530#comment-1850507
http://hup.hu/node/139530#comment-1850490

Továbbá kérlek, mutasd meg, hol is érveltem így: "ha nekik lehet nekünk miért nem"

Üdv,
Marci

Talán azért, mert nem a Google zárja le a bootloadert, hanem a gyártók. Mondjuk ha jól tudom, Lollypop alá akart valami ilyesmit, de aztán ejtette az egészet. Itt viszont az a nagybüdös helyzet, hogy maga az MS, tehát az oprendszert szállítója akarja kierőszakolni.
--------------------------
Csak a viták elkerülése végett. Ha nem használok ékezetet, mobiltelefonról írok.

"az MS, tehát az oprendszert szállítója akarja kierőszakolni. "

Jó nagy csúsztatás, már eleve a zárt bootloaderhez hasonlitani a secure boot-ot, amikor utóbbival a userek 99.9999%-a által használt oprendszerek (igen, a konkurencia is, pl. linux) bootolható secure boot-al, mig zárt bootoladeres eszközöknél nagyon nem teszel fel nemhogy konkurens oprendszert, de még azonos, más verziójút sem, ha az adott gyártó nem hagyta jóvá. Ég és föld a különbség a secure boot javára.

A kierőszakolás meg már önmagában vicces, amikor arról van szó, hogy egy szoftver gyártó a saját certified programjában (igen, az egy plecsni) NEM KÖTELEZI a gyártókat a kikapcsolhatóságra, azaz rájuk bizza, hogy hogyan döntenek.

Nagyon-nagyon torzit az a bizonyos szemüveged, úgy érzem.

Nem, ez azonnal lejött mindenkinek.
Egyrészt ismerhetjük MS eljárásait, másrészt innen már csak egy apró lépés a teljes tiltás.
Ugyanannyira lehet titkos a kényszerítés mint az android sarc, amiről még mindig nem tud senki semmit.
☼☆♫♪♫♪☆☼
AGA@
Fork portal és az egyik logóm :)

Nézd, a félreértések elkerülése végett: én nem azért kapom a fizut, hogy a neten győzködjek embereket, ez csak a személyes véleményem.

A szituáció a következő: a Microsoft bejelenti, hogy talán átadja a gyártóknak a döntési jogot a bootloader felett. Egy-két nappal később néhány hupper elkezd kombinálni, hogy a bootloaderek zárva lesznek!!!4!!444!

Zárva lesznek? Talán. A Microsoft záratja be őket? Nem. Ennyit tudunk. Minden más vagy találgatás vagy FUD, attól függően, hogy jó- vagy rosszhiszemű-e az illető, aki írta.

De mint mondtam, nem vagyok érdekelt senkinek a meggyőzésében, szóval nem akarok feleslegesen vitatkozni - mindenkinek van joga véleményt nyilvánítani. :)

Amit majd egy software/firmware frissitessel eltavolithat, ha uzleti vagy mas erdekei ugy kivanjak.

"In February, 2011, U.S. District Judge Richard Seeborg dismissed most of the class claims with leave to amend, finding the plaintiffs failed to state a claim. Seeborg stated: "While it cannot be concluded as a matter of law at this juncture that Sony could, without legal consequence, force its customers to choose either to forego installing the software update or to lose access to the other OS feature, the present allegations of the complaint largely fail to state a claim. Accordingly, with the exception of one count, the motion to dismiss will be granted, with leave to amend."

https://en.wikipedia.org/wiki/OtherOS

( Fisher v | 2015. 03. 25., sze – 04:47 )

Most elvesztettem a fonalat. A SB meddig "nyúl" az OS után? Úgy rémlik, hogy csak a bootloadernek kell aláírtnak lennie, és hogy az mit húz be, az már tök lényegtelen(*). Tévedek?

*) Illetve a bootloader ellenőrizheti az adott kernelt, hogy kóser-e.

Nade várj, ott azt írják hogy: "In short, Fedora uses a boot shim which is signed using Microsoft's key. This shim then loads GRUB2, verifying it against a Fedora-issued certificate contained in the shim. GRUB2 boots in a locked down mode and loads the Linux kernel..."

Szóval itt az utolsó nem Fedora elem az a shim (ami amúgy az első) és az tuszkolja be a grubot. Így, ha mindent jól értek, akkor a legeslegeslegrosszabb esetben a Fedora által aláírt grub kell hogy indítsa a *bsd-ket. Ami nem tűnik lehetetlennek, ahogy az sem, hogy más is szerezzen aláírt shim-et.

Vagy valamit még mindig nem értek, vagy csak vihar a biliben.

Jól értem, hogy végül is bárki beteheti akkor az ms féle bootloader mögé tett fedora féle bootloader (grub) mögé a saját megoldását? Akkor minek az egész hajcihő, ha éppen az eredeti feladatát nem látja el a secureboot.

Persze lehet félreértettem, mert így csak arra jó az egész, hogy két másik cég binárisait is mellékelni kelljen harmadik fél által összerakott rendszerhez is, akinek alapból semmi köze sem lenne azokhoz.

De hölgyek és urak, úgymond esküdtek! Csak egy dolgot említenék, ha megengedik. Hölgyek és urak, ez itt a BootShim. A BootShim egy chainloader a Microsoft bolygóról. De a BootShim a Fedora bolygón él. Gondolják csak meg; ennek nincs értelme!

Annak meg pláne nincs semmi értelme, hogy a Microsoft bolygón honos BootShim és a Fedora bolyóra költözött BootShim a BSD bolygón éljen.

"Akkor minek az egész hajcihő, ha éppen az eredeti feladatát nem látja el a secureboot."

Egy: eleve arról van szó, hogy ki akarjuk kapcsolni.
Kettő: ha mégse akarjuk kikapcsolni, akkor a grub rávehető hogy ellenőrizze, hogy a bootolandó kernel alá van-e írva a megfelelő kulccsal, így bekapcsolt SB mellett biztosítható, hogy csak "gyári" kernel induljon el, lásd az eredeti linket, nem idéztem be az egész hókuszpókuszt.

( mrev | 2015. 03. 25., sze – 07:15 )

Végül oda lyukadunk ki, ahova Stallman: mármint, hogy a BIOS-nak is szabadnak kell(ene) lennie.
--
ulysses.co.hu

Sajnos nem lesz eleg:

"They come with Intel Boot Guard and you are won't be able to boot anything which is unsigned and not approved by OEM. This means the OEM are fusing SHA256 public key hashes into the southbridge."

http://www.coreboot.org/pipermail/coreboot/2015-February/079208.html

"Purism’s Librem 15 will ship with an Intel CPU fused to **run unsigned BIOS** code, allowing a future where free software can replace the proprietary, digitally signed, BIOS binaries."

( handler | 2015. 03. 25., sze – 09:33 )

Azon csodalkozom, hogyhogy nem epitettek meg a biosba superfish jellegu funkcionalitast a gyartok (vagy csak nem derult meg ki). Elvegre mindenki erdekelt lenne ebben - az egyetlen kivetel talan a vegfelhasznalo, de az meg kit erdekel ha dol a penz ?

Sot lehetne a kepernyo felso 100px-es soraban allandoan reklamot megjeleniteni, kikapcsolhatatlanul, allando beveteli forrast biztositva a gyartonak.

Sot valasztasok idejen vagy maskor is biztositani lehetne, hogy a valasztokhoz eljutnak az ugyeletes hatalom dicsoseges cselekedetei, es nem zavarjak meg mindenfele ennek ellentmondo netan ellenzeki gondolatok.

( Dacr (nem ellenőrzött) | 2015. 04. 02., cs – 22:45 )

Hülye kérdés: mi lesz azokkal a jövőben, akik fejlesztenek? Pl.: oktatási célú OS-t.

( khiraly | 2015. 04. 07., k – 11:49 )

Osszefoglalva a topikot:
A Microsoftnak nem sikerult a mobiltelefonpiac (en bloc), igy a PC-bol csinal mobiltelefont:)

---
Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....