Link alla notizia: http://www.hwfiles.it/news/microsoft-chiarisce-la-funzione-secure-boot-nessun-problema-per-linux_38650.html

Microsoft chiarisce i dettagli della funzione secure boot, spiegando come tale tecnologia non vada ad impattare sulle installazioni di sistemi operativi alternativi

Click sul link per visualizzare la notizia.

Mo' vediamo che dicono i "complottisti" fissati con Palladium et simili!

Inviato da Bromden

Prima leggi questo: http://mjg59.dreamwidth.org/5552.html e poi ne parliamo.

Quindi?

Mi sa che MS ha previsto i complottisti e ha chiarito subito :asd:

Quindi?

Mi sa che MS ha previsto i complottisti e ha chiarito subito :asd:

Chi hai quotato? v:mbe:

E cmq l'articolo che chi hai quotato ha riportato è proprio quello da cui la NON-NOTIZIA di ieri era partita... :D

C''è chi lo prende per controbattere le affermazioni di MS di oggi... LOL!

Non sanno più che pesci pigliare per dare contro MS e Windows!

:sofico:

si ma così il vantaggio dove sta? il firmware non è già di suo un boot loader sicuro?

c'è un bootloader che carica cosa? uno specifico file? e in questo caso il file a quale regole deve sottostare?

se vogliono farci girare pure linux allora il bootloader deve caricare uno specifico settore del disco, magari un altro bootloader ( che è sostituibile dai malware )

non ha senso tutto questo ambaradan

alla fin fine il problema dei malware mbr è che partono prima dell'os e possono patcharne il kernel al volo....tutto questo non mi sembra impedito da questo sistema

se vogliono il secure boot, devono implementarlo come ha fatto google con chromeos

ma in questo caso linux sarebbe fuori

basta trollare hanno fatto le cose per bene e si leggeva dal primo articolo, ah vero qui parecchia gente commenta solo leggendo il titolo... le migliori distro linux hanno la certificazione UEFI come gli altri os decenti. quindi l problema non si pone.

si ma così il vantaggio dove sta? il firmware non è già di suo un boot loader sicuro?

c'è un bootloader che carica cosa? uno specifico file? e in questo caso il file a quale regole deve sottostare?

se vogliono farci girare pure linux allora il bootloader deve caricare uno specifico settore del disco, magari un altro bootloader ( che è sostituibile dai malware )

non ha senso tutto questo ambaradan

alla fin fine il problema dei malware mbr è che partono prima dell'os e possono patcharne il kernel al volo....tutto questo non mi sembra impedito da questo sistema

se vogliono il secure boot, devono implementarlo come ha fatto google con chromeos

ma in questo caso linux sarebbe fuori

Il boot-loader (su disco) viene validato dal firmware.

Se modifichi il boot-loader il firmware impedisce il caricamento ;).

Quindi in ogni caso anche se un malware riuscisse a scrivere nel boot loader, il firmware bloccherebbe il boot.

Questo secure boot dovrebbe anche evitare l'uso di copie pirato che usano un programma che simula bios o come simili se non erro.
A parte questo sembra più che altro che il tizio di linux abbia paura che la già risicata fetta di unix/linux diventi ancora più risicata. :D

Si, a parer mio principalmente per impedire il funzionamento del famoso loader per far funzionare tutte le copie pirata di Windows 7 :)

edit: Hostfat mi ha preceduto :D

Tanto poi bucano le entità di certificazione come per SSL.

Il boot-loader (su disco) viene validato dal firmware.

Se modifichi il boot-loader il firmware impedisce il caricamento ;).

Quindi in ogni caso anche se un malware riuscisse a scrivere nel boot loader, il firmware bloccherebbe il boot.

quindi se installo grub sono fregato? il pc non mi parte più?

poi ho letto nell'articolo in inglese due cose opposte cioè che il firmware non permetterà di disabilitare la funzionalità di boot sicuro ( perchè altrimenti un malware potrebbe usare questa scappatoia ), poi più giù c'è scritto che invece l'utente potrà disabilitarla

insomma, si può disabilitare o no?

onestamente l'articolo mi pare assai grossolano e confusionario, più uno spot pubblicitario che altro

se vogliono implementare un boot sicuro devono fare come chromeos, ovvero verificare l'intera catena di boot, a partire dal firmware fino al kernel e possibilmente i driver

in caso contrario è solo una complicazione inutile

L'obiettivo di Microsoft è impedire l'esecuzione di loader pericolosi (inclusi quelli "pirata"). La disattivazione del secure boot è solo teorica perché dovrebbe essere fatta dai produttori di PC con Windows 8 preinstallato. Ma se lo fanno perdono il bollino "Designed for Windows 8" che, come si può immaginare, attira i consumatori poco informati. E non è sicuro al 100% che negli UEFI personalizzati (come quelli dei notebook) ci sia l'opzione per disattivare il secure boot. Se il database delle key non include quella di Linux, niente dual boot.

Quindi?

Mi sa che MS ha previsto i complottisti e ha chiarito subito :asd:

Innanzitutto non mi ritengo un complottista e ti pregherei di non riferirti più in questi termini nei miei confronti. Inoltre non ho fatto altro che paventare questa nefasta possibilità, come peraltro era chiaramente descritta nel link di Matthew Garrett da me accluso successivamente. Il problema, che forse sfugge, è che da un lato Microsoft (forte della sua predominanza nel segmento pc desktop) impone agli OEM una funzionalità a sua esclusiva fruizione (rinforzando così la sua posizione dominante), e dall'altro delega agli stessi OEM la decisione di includere o meno la possibilità di disattivare questa funzionalità (che ricordiamolo impedisce di far eseguire il boot ad un OS diverso da quello per il quale è previsto). Allora, il rischio esiste ancora? Io direi di sì, assolutamente. E tra l'altro Matthew Garrett ha provveduto a rispondere alla questione con questo suo nuovo post: http://mjg59.dreamwidth.org/5850.html

quindi se installo grub sono fregato? il pc non mi parte più?

poi ho letto nell'articolo in inglese due cose opposte cioè che il firmware non permetterà di disabilitare la funzionalità di boot sicuro ( perchè altrimenti un malware potrebbe usare questa scappatoia ), poi più giù c'è scritto che invece l'utente potrà disabilitarla

insomma, si può disabilitare o no?

Se per disattivare l'opzione devi accedere ad una zona particolare del firmware è difficile che questo venga fatto da un malware.

Relativamente a GRUB immagino che ci sia una serie di chiavi per ognuno dei boot-loader...

Innanzitutto non mi ritengo un complottista e ti pregherei di non riferirti più in questi termini nei miei confronti. Inoltre non ho fatto altro che paventare questa nefasta possibilità, come peraltro era chiaramente descritta nel link di Matthew Garrett da me accluso successivamente. Il problema, che forse sfugge, è che da un lato Microsoft (forte della sua predominanza nel segmento pc desktop) impone agli OEM una funzionalità a sua esclusiva fruizione (rinforzando così la sua posizione dominante), e dall'altro delega agli stessi OEM la decisione di includere o meno la possibilità di disattivare questa funzionalità (che ricordiamolo impedisce di far eseguire il boot ad un OS diverso da quello per il quale è previsto). Allora, il rischio esiste ancora? Io direi di sì, assolutamente. E tra l'altro Matthew Garrett ha provveduto a rispondere alla questione con questo suo nuovo post: http://mjg59.dreamwidth.org/5850.html

Se il vendor decide di non consentire all'utente di disattivare Secure Boot, direi che la responsabilità a quel punto è dei vendor e non di Microsoft, che richiede solamente che UEFI Secure Boot sia attivo di default per ottenere la certificazione.

Comunque credo che essendo il firmware aggiornabile, non sia così complicato aggiornare anche le chiavi che possono essere usate per il boot.

Se il vendor decide di non consentire all'utente di disattivare Secure Boot, direi che la responsabilità a quel punto è dei vendor e non di Microsoft, che richiede solamente che UEFI Secure Boot sia attivo di default per ottenere la certificazione.
Non è che il vendor si diverta ad inibire la funzionalità di disattivazione del secure boot; se lo fa è perché in pratica ci è costretto, pena la mancata certificazione da parte di Microsoft, perdendo così un label da spendere a livello marketing. Una specie di ricatto insomma.

Non è che il vendor si diverta ad inibire la funzionalità di disattivazione del secure boot; se lo fa è perché in pratica ci è costretto, pena la mancata certificazione da parte di Microsoft, perdendo così un label da spendere a livello marketing. Una specie di ricatto insomma.

A me pare che anche nel post che hai linkato si dica una cosa diversa.

Ovvero che Microsoft per la certificazione richiede che Secure Boot sia ON by Default e basta.

Sta al vendor decidere se consentire all'utente di disattivarlo o meno.

A me pare che anche nel post che hai linkato si dica una cosa diversa.

Ovvero che Microsoft per la certificazione richiede che Secure Boot sia ON by Default e basta.

Sta al vendor decidere se consentire all'utente di disattivarlo o meno.

Dice anche che diversi vendor prevedono di non includere la possibilità di disattivazione del secure boot. Perchè lo farebbero secondo te?

Riguardo l'inutilità dell'articolo le voci sono unanimi

https://plus.google.com/109386511629819124958/posts/GXc9y7E5uZX

http://linux.slashdot.org/story/11/09/23/1236221/Microsoft-Responds-To-Linux-Concerns-Over-Windows-8-and-UEFI-Secure-Boot

ma del resto basta leggerlo per capire che non dice assolutamente niente di niente, nessun dettaglio sull'implementazione viene dato e nessun dubbio viene fugato

gli oem possono scegliere? non possono? a che titolo? in che modo? fino a che punto? e ms che parte ha in tutto questo?

e che livello di sicurezza può garantire un sistema così lasco come lo definiscono in quell'articolo?

Si, a parer mio principalmente per impedire il funzionamento del famoso loader per far funzionare tutte le copie pirata di Windows 7 :)

Immaginavo. E dopo di tutto mi sembra anche giusto. Però di sicuro lo aggireranno come è successo per tutti i Windows. Questo anche perchè se installi Win 8 su un PC dove adesso, ad esempio hai win 7 o Vista, ci sarà un qualche meccanismo che metterà in atto questo secure boot.

Allora, il rischio esiste ancora? Io direi di sì, assolutamente. E tra l'altro Matthew Garrett ha provveduto a rispondere alla questione con questo suo nuovo post:
http://mjg59.dreamwidth.org/5850.html

Mamma mia che SBADILATA di cavolate spara sto Garrett!!!!!!!!!!!!!!!!!! :muro:


Windows 8 certification requires that hardware ship with UEFI secure boot enabled.
Cavolata: Win8 NON RIECHIEDE MANCO L'UEFI per essere installato, o sfugge il significato di RICHIEDE?
Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.
Certo gli OEM! E faran quello che vogliono con il LORO PRODOTTO.
Windows 8 certification does not require that the system ship with any keys other than Microsoft's.
Oh mio dio, ma si rende conto di quello che dice????
A system that ships with UEFI secure boot enabled and only includes Microsoft's signing keys will only securely boot Microsoft operating systems.
Embè? Saranno PC OEM venduti appunto per essere usati solo con win8, nessuno obbliga comprarli, visto che appunto saranno per soluzioni O E M!


Di cosa si è drogato sto Matthew Garrett?????? :doh:

I quattro punti sopra sono assolutamente C A V O L A T E !

Ma veramente date retta a questo frustrato non meglio precisato "dipendente" della red hat? (ma chi cavolo è? che autorità ha? :banned: )


1 - Windows8 si installa su qualsiasi macchina con BIOS o UEFI.
2 - Windows8 si installa su qualsiasi macchina a fianco di qualsiasi altro sistema operativo
3 - Qualsiasi altro sistema operativo si installa a fianco di Windows8 su qualsiasi macchina con BIOS o UEFI
4 - Sistemi operativi non signed (quindi non commerciali o SERI) non possono essere installati in macchine con schede madri per gli OEM (non vendibili al dettaglio) con UEFI e Secure Boot abilitato e non disattivabile e Windows 8 preinstallato.

Riguardo l'inutilità dell'articolo le voci sono unanimi

https://plus.google.com/109386511629819124958/posts/GXc9y7E5uZX

http://linux.slashdot.org/story/11/09/23/1236221/Microsoft-Responds-To-Linux-Concerns-Over-Windows-8-and-UEFI-Secure-Boot

ma del resto basta leggerlo per capire che non dice assolutamente niente di niente, nessun dettaglio sull'implementazione viene dato e nessun dubbio viene fugato

gli oem possono scegliere? non possono? a che titolo? in che modo? fino a che punto? e ms che parte ha in tutto questo?

e che livello di sicurezza può garantire un sistema così lasco come lo definiscono in quell'articolo?

Che c'è da capire sull'implementazione?

Le specifiche UEFI sono disponibili. Tutti quanti i sistemi operativi possono implementere il supporto a UEFI.

SecureBoot è una funzionalità di UEFI se non si fosse capito, e non del sistema operativo.

Per questo come ho detto non è Microsoft secondo me a dover dare delle spiegazioni, quanto gli eventuali produttori di hardware che decideranno di non consentire la disattivazione di SecureBoot.

Il livello di sicurezza di questo sistema è ovviamente superiore a quanto disponibile finora. Non capisco perché hai dei dubbi in merito.

quindi, si evince appunto che linux non potendo essere firmato non può essere installato se non di grazia di chi fornisce la scheda madre/pc. esattamente quello che i complottisti seri dicevano fin da ieri.

Immaginavo. E dopo di tutto mi sembra anche giusto. Però di sicuro lo aggireranno come è successo per tutti i Windows. Questo anche perchè se installi Win 8 su un PC dove adesso, ad esempio hai win 7 o Vista, ci sarà un qualche meccanismo che metterà in atto questo secure boot.

E' leggermente difficile dato che il meccanismo è integrato nel firmware.

Se non si fosse capito il firmware non ti lascia caricare il sistema operativo se il boot loader non è quello originale.

Dunque se vuoi aggirare la protezione devi modificare il firmware.

Appena tocchi il boot loader (quindi qualsiasi modifica tu faccia) il firmware non fa partire il SO.

Questa cosa migliora drasticamente la sicurezza.

quindi, si evince appunto che linux non potendo essere firmato non può essere installato se non di grazia di chi fornisce la scheda madre/pc. esattamente quello che i complottisti seri dicevano fin da ieri.

Basta aggiungere la firma di Grub o Grub2 che dir si voglia al DB delle chiavi accettate.

Ovviamente a quel punto non potranno stare a modificare il boot loader ogni 3x2.

quindi, si evince appunto che linux non potendo essere firmato non può essere installato se non di grazia di chi fornisce la scheda madre/pc. esattamente quello che i complottisti seri dicevano fin da ieri.

Di distribuzioni linux SIGNED e per di più certificate ce ne sono a iosa... ubuntu stesso non ha problemi.

E i produttori dei firmware UEFI non ci guadagnano NULLA a non inserire in WHITELIST le firme necessarie ad altri OS.

PS: e' una whitelist, quindi pure aggiornabile.

Che c'è da capire sull'implementazione?

Le specifiche UEFI sono disponibili. Tutti quanti i sistemi operativi possono implementere il supporto a UEFI.

SecureBoot è una funzionalità di UEFI se non si fosse capito, e non del sistema operativo.

certamente e infatti perciò mi chiedevo come c'entra ms in tutto questo

il problema è piuttosto legato alla certificazione che ms rilascerà per i sistemi secureboot, certificazione che prevede alcune cose tra cui la non disabilitabilità del secureboot ( poi però nello stesso articolo dicono che l'utente potrà disabilitarlo )....onestamente non capisco come fa ad essere disabilitabile e non disabilitabile allo stesso tempo


Il livello di sicurezza di questo sistema è ovviamente superiore a quanto disponibile finora. Non capisco perché hai dei dubbi in merito.

certo ma se poi è inefficace a che serve? non posso modificare il mbr ma posso modificare magari l'elemento successivo della catena di boot? e allora a che serve tutta questa complicazione?

se prendi chromeos, ti accorgi che non puoi modificare assolutamente niente senza incorrere in una reinstallazione del sistema e allora lì si che si può parlare di secureboot

in pratica o il secureboot coinvolge firmware, mbr, kernel e driver oppure è solo una complicazione in più che aggiunge difficoltà implementative a fronte di una discutibilissima sicurezza

perciò ho detto che ms dovrebbe spiegare un pò più in dettaglio come intende realizzare questa cosa, visto che per ora hanno solo spiegato superficialmente cosa intendono fare

E' leggermente difficile dato che il meccanismo è integrato nel firmware.

Se non si fosse capito il firmware non ti lascia caricare il sistema operativo se il boot loader non è quello originale.

Dunque se vuoi aggirare la protezione devi modificare il firmware.

Appena tocchi il boot loader (quindi qualsiasi modifica tu faccia) il firmware non fa partire il SO.

Questa cosa migliora drasticamente la sicurezza.

Adesso mi è più chiara la faccenda. Credi che possano un giorno agire sul firmware?

di fronte alla comprovata inferiorità tecnica ed incapacità di evoluzione escono con la classica idiozia tanto per fare un po' di rumore... ridicoli!
ma se modifico il bootloader porca di quella ***** vuol dire che ho già forato il sistema in precedenza e beccato un account privilegiato... eh vabbè, ma non puoi cambiare il bootload... ECCHISSENEFREGA! Tanto ti ho già ownato... microsoft marketing party... invece di creare vera evoluzione cerchiamo di marchiare il territorio con una pisciatina qui e la...

Windows 8 certification requires that hardware ship with UEFI secure boot enabled.
Cavolata: Win8 NON RIECHIEDE MANCO L'UEFI per essere installato, o sfugge il significato di RICHIEDE?


Forse hai frainteso, parla di Windows 8 certification. In pratica un OEM per poter apporre sul proprio prodotto (fisso o laptop che sia) il logo Designed for Windows 8 deve ottenere la certificazione e per farlo deve supportare secure boot. Quanti prodotti senza logo Designed vedi nei negozi? Personalmente non ne ho mai visti tanti, inoltre il logo è spendibile ai fini di marketing ciò significa che molti produttori attiveranno il secure boot (che di per se non è un problema).


Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.
Certo gli OEM! E faran quello che vogliono con il LORO PRODOTTO.


Mi senti di dissentire. Loro producono un oggetto che io compro e io voglio installarci il sistema operativo che voglio fosse anche FreeBSD, Haiku, Linux o il mio sistema operativo che ho tutto il diritto di scrivere e poter usare.
Nessuno può togliermi il diritto di fare qualcosa con un oggetto che ho comprato. Pare invece che alcune persone siano convinte che le percentuali di diffusione di un sistema operativo possano negare la sua esistenza.

Il fisso posso assemblarlo come voglio comprando i pezzi dove voglio e immagino che tutti gli UEFI su tali motherboard non avranno il secure boot o sarà disabilitabile dato che non è legato ad un particolare OS.
Ma laptop e desktop "precotti" sono quasi sempre venduti con un sistema operativo (ultimamente ne vedo qualcuno con FreeDOS o Linux il che per me è una novità che accolgo con grande gioia ma sono sempre mosche bianche).
E se compro un laptop mi stufo di Windows e voglio passare ad Ubuntu?
Perchè qualcuno deve impedirmelo?


Windows 8 certification does not require that the system ship with any keys other than Microsoft's.
Oh mio dio, ma si rende conto di quello che dice????


Cosa dice di male? A sembra scritto che la certificazione Designed for Windows 8 NON impone loro la sola diffusione delle chiavi di Win8. Questo significa che la distribuzione di chiavi per altri OS (magari anche vecchie versioni di Windows come Seven) non è espressamente vietata.
Bene, è positivo, ma significa anche che alcuni potranno decidere di NON includere certe chiavi. Certo non è colpa di Microsoft, ma non ho bisogno di incolparli di tutto per giudicare con preoccupazione il secure boot.
Infatti chi regolamenterà questi produttori? Voglio dire, ci sarà scritto sulla confezione se posso installare gli altri OS o no? Come farà il consumatore a scegliere. E ancora, il consumatore che vuole Windows oggi domani può voler provare Linux proprio perchè basta scaricarsi Wubi o un live cd, fare una prova e vedere se fa al caso proprio. Ecco queste persone, che magari non sanno manco cosa sia un BIOS o UEFI, all'acquisto del PC non baderanno ad una eventuale etichetta "Questo prodotto contiene le chiavi anche di Linux" e si ritroverà "fregato".


A system that ships with UEFI secure boot enabled and only includes Microsoft's signing keys will only securely boot Microsoft operating systems.
Embè? Saranno PC OEM venduti appunto per essere usati solo con win8, nessuno obbliga comprarli, visto che appunto saranno per soluzioni O E M!



A me personalmente può anche andare bene a patto che scrivano sulla confezione "Funziona solo con Windows" così li salto a piè pari. Ma rimangono tagliati fuori tutti quelli che vogliono usare un altro sistema *dopo*.
A ben pensare rimango tagliato fuori io, magari voglio installarmi un OS non supportato.


I quattro punti sopra sono assolutamente C A V O L A T E !


Se per te la libertà individuale non conta hai perfettamente ragione.

Ma veramente date retta a questo frustrato non meglio precisato "dipendente" della red hat? (ma chi cavolo è? che autorità ha? :banned: )

Cerca di portare più rispetto verso qualsiasi altra persona.
Perchè sarebbe frustrato, sta semplicemente cercando di capire cosa comporta secure boot e scrive le sue impressioni.
Non sta facendo del male a nessuno, non c'è bisogno di essere così arroganti.
Capisci la sua buona fede dal fatto che non ha invitato i lettori ad andare in panico, si è limitato a dire che sicuramente bisogna prestare attenzione e porsi dei dubbi. E ha ragione.


1 - Windows8 si installa su qualsiasi macchina con BIOS o UEFI.
2 - Windows8 si installa su qualsiasi macchina a fianco di qualsiasi altro sistema operativo
3 - Qualsiasi altro sistema operativo si installa a fianco di Windows8 su qualsiasi macchina con BIOS o UEFI
4 - Sistemi operativi non signed (quindi non commerciali o SERI) non possono essere installati in macchine con schede madri per gli OEM (non vendibili al dettaglio) con UEFI e Secure Boot abilitato e non disattivabile e Windows 8 preinstallato.

Non seri? Non vendibili al dettaglio?
Gli OEM sono quelli che producono il laptop o il fisso che trovi al supermercato. Dicesi appunto vendita al dettaglio.

Cerchiamo di aprire gli occhi, così come sembra fino ad ora il funzionamento di secure boot è chiaro che Microsoft sta cercando di tagliare le gambe alla concorrenza facendo barattare ai consumatori la sicurezza (con un sistema che non sembra più sicuro di altri) con la libertà individuale. Mi piacerebbe anche vedere la percentuale di diffusione di questi virus per capire se è davvero necessario oppure è una scusa.

di fronte alla comprovata inferiorità tecnica ed incapacità di evoluzione escono con la classica idiozia tanto per fare un po' di rumore... ridicoli!
ma se modifico il bootloader porca di quella ***** vuol dire che ho già forato il sistema in precedenza e beccato un account privilegiato... eh vabbè, ma non puoi cambiare il bootload... ECCHISSENEFREGA! Tanto ti ho già ownato... microsoft marketing party... invece di creare vera evoluzione cerchiamo di marchiare il territorio con una pisciatina qui e la...

Un po' di cultura non ti guasterebbe.

Informati meglio su cosa è un rootkit, e perché si sono diffuse queste tecniche.

UEFI non è una specifica esclusiva Microsoft, SecureBoot non è una invenzione ad uso esclusivo di Microsoft.

State facendo tanto chiasso per nulla. Accendete il cervello ogni tanto dai.

certamente e infatti perciò mi chiedevo come c'entra ms in tutto questo

il problema è piuttosto legato alla certificazione che ms rilascerà per i sistemi secureboot, certificazione che prevede alcune cose tra cui la non disabilitabilità del secureboot ( poi però nello stesso articolo dicono che l'utente potrà disabilitarlo )....onestamente non capisco come fa ad essere disabilitabile e non disabilitabile allo stesso tempo


A quanto pare (sarà la terza o quarta volta che lo ripeto) la certificazione richiede semplicemente che il SecureBoot sia abilitato di default.


certo ma se poi è inefficace a che serve? non posso modificare il mbr ma posso modificare magari l'elemento successivo della catena di boot? e allora a che serve tutta questa complicazione?

se prendi chromeos, ti accorgi che non puoi modificare assolutamente niente senza incorrere in una reinstallazione del sistema e allora lì si che si può parlare di secureboot

in pratica o il secureboot coinvolge firmware, mbr, kernel e driver oppure è solo una complicazione in più che aggiunge difficoltà implementative a fronte di una discutibilissima sicurezza

perciò ho detto che ms dovrebbe spiegare un pò più in dettaglio come intende realizzare questa cosa, visto che per ora hanno solo spiegato superficialmente cosa intendono fare

Quanti virus/malware recenti conosci che attaccano il BIOS? Io 1 solo, uscito poco tempo fa...

In questo modo forse vogliono proteggere il pc da un eventuale boot da cd-live linux/altro fatto da un malintenzionato per carpire dati.

Nella maggior parte dei pc si potrà entrare nel UEFI e disabilitare ilsecure boot.
Se un produttore volesse non mettere questa funzionalità, secondo me può al limite essere accettabile se:
- il computer costasse meno
- ci fosse scritto nella scatola a caratteri cubitali "Funziona solo con Windows"

Infine mi sembra che tale comportamento sia molto simile a quello adottato da Apple. Questo è il sistema utilizzato da Apple per non far installare Linux sui suoi pc.

@glca Windows e Linux sono installabili su Mac così come qualsiasi altro sistema operativo.

https://help.ubuntu.com/community/MacBookPro

E' Mac OS X che non si installa su macchine non Apple per due ragioni:
- EULA, ti vieta di farlo
- Compatibilità hardware, ma se compri i pezzi giusti non è nemmeno tanto difficile farlo. Una volta era più complicato dato che girava su PPC.

Infine mi sembra che tale comportamento sia molto simile a quello adottato da Apple. Questo è il sistema utilizzato da Apple per non far installare Linux sui suoi pc.

Apple è dal 1977 che costruisce computer ( Apple I ) e dal 1984 che vende computer da lei costruiti con il loro sistema operativo ( Macintosh e System 1 ).
E già dal primo Macintosh erano presenti delle " Boot Rom e System Rom " per l'avvio del System..... Cosa parecchio differente dai Pc che avevano un BIOS generico per il POST e l'avvio di un sistema operativo su dischetto ( PC DOS, MS DOS, CP/M, etc. ).
Inoltre come ti è stato già scritto Linux lo puoi installare tranquillamente su qualsiasi Macintosh Intel....

In questo modo forse vogliono proteggere il pc da un eventuale boot da cd-live linux/altro fatto da un malintenzionato per carpire dati.

Nella maggior parte dei pc si potrà entrare nel UEFI e disabilitare ilsecure boot.
Se un produttore volesse non mettere questa funzionalità, secondo me può al limite essere accettabile se:
- il computer costasse meno
- ci fosse scritto nella scatola a caratteri cubitali "Funziona solo con Windows"

Infine mi sembra che tale comportamento sia molto simile a quello adottato da Apple. Questo è il sistema utilizzato da Apple per non far installare Linux sui suoi pc.

Lo scopo di SecureBoot non è scongiurare le minacce da locale, quanto quelle da remoto, in particolare dovute a rootkit che si installano nel boot-loader (del disco).

Per impedire l'accesso da locale bastano diversi accorgimenti, dal disattivare il boot da CD e USB, e bloccare il bios tramite password, a criptare la partizione di Windows (o una parte di essa).

Si, a parer mio principalmente per impedire il funzionamento del famoso loader per far funzionare tutte le copie pirata di Windows 7 :)

Ho pensato la stessa identica cosa. A me pareva piu' un sistema per bloccare le copie pirata direttamente prima del caricamento dell'OS senza affidarsi ad un facilmente bucabile sistema di attivazione online.

Ma dato che e' disattivabile (immagino come se fosse una attuale opzione da bios) mi sa che non sara' utilizzata anche per questo scopo.

CVD

la certificazione richiede semplicemente che il SecureBoot sia abilitato di default.
Non è così:
For Windows customers, Microsoft is using the Windows Certification program to ensure that systems shipping with Windows 8 have secure boot enabled by default, that firmware not allow programmatic control of secure boot
Oltre a richiedere il SecureBoot abilitato by default, impone di impedire di disabilitare il firmware per via programmatica. Che vuol dire? Semplicemente che via software (ivi compreso quello di Uefi) non è consentito di farlo. Quindi, per disabilitarlo, sempre in via teorica, occorrerebbe agire via hardware. Quanti lo farebbero per esempio su un notebook (ammesso che ne siano in grado)?

Mamma mia che SBADILATA di cavolate spara sto Garrett!!!!!!!!!!!!!!!!!! :muro:


Windows 8 certification requires that hardware ship with UEFI secure boot enabled.
Cavolata: Win8 NON RIECHIEDE MANCO L'UEFI per essere installato, o sfugge il significato di RICHIEDE?
Windows 8 certification does not require that the user be able to disable UEFI secure boot, and we've already been informed by hardware vendors that some hardware will not have this option.
Certo gli OEM! E faran quello che vogliono con il LORO PRODOTTO.
Windows 8 certification does not require that the system ship with any keys other than Microsoft's.
Oh mio dio, ma si rende conto di quello che dice????
A system that ships with UEFI secure boot enabled and only includes Microsoft's signing keys will only securely boot Microsoft operating systems.
Embè? Saranno PC OEM venduti appunto per essere usati solo con win8, nessuno obbliga comprarli, visto che appunto saranno per soluzioni O E M!


Di cosa si è drogato sto Matthew Garrett?????? :doh:

I quattro punti sopra sono assolutamente C A V O L A T E !

Ma veramente date retta a questo frustrato non meglio precisato "dipendente" della red hat? (ma chi cavolo è? che autorità ha? :banned: )


1 - Windows8 si installa su qualsiasi macchina con BIOS o UEFI.
2 - Windows8 si installa su qualsiasi macchina a fianco di qualsiasi altro sistema operativo
3 - Qualsiasi altro sistema operativo si installa a fianco di Windows8 su qualsiasi macchina con BIOS o UEFI
4 - Sistemi operativi non signed (quindi non commerciali o SERI) non possono essere installati in macchine con schede madri per gli OEM (non vendibili al dettaglio) con UEFI e Secure Boot abilitato e non disattivabile e Windows 8 preinstallato.

Quello che riferisce Garret è in linea con quanto indicato da Microsoft.
Forse il tuo problema è che non capisci la differenza tra "Windows 8 certification" e "Windows 8".
Prima di insultare a sproposito, vedi di capire quello che uno scrive...

cavolo bellissimo il post di bs82 :D

siamo seri, confonde does not con does, non legge le risposte ufficiali di ms

beh che dire, poche idee e ben confuse :D

Non è così:

Oltre a richiedere il SecureBoot abilitato by default, impone di impedire di disabilitare il firmware per via programmatica. Che vuol dire? Semplicemente che via software (ivi compreso quello di Uefi) non è consentito di farlo. Quindi, per disabilitarlo, sempre in via teorica, occorrerebbe agire via hardware. Quanti lo farebbero per esempio su un notebook (ammesso che ne siano in grado)?

No, per via programmatica si intende che un programma non può modificarne lo stato.

L'utente può sempre disattivare tale controllo.

Comunque, chi vivrà vedrà...

No, per via programmatica si intende che un programma non può modificarne lo stato.

L'utente può sempre disattivare tale controllo.

Comunque, chi vivrà vedrà...

però il firmware è un programma

in genere per via programmatica s'intende via programma, cioè via software

l'altra possibilità è via hardware, cioè con dei jumper

del resto è facile immaginare che se si dà la possibilità al firmware di cambiare le impostazioni nella nvram, un malware prima o poi ( nonostante le eventuali protezioni ) troverà la strada per fare altrettanto, il che renderebbe inutile l'intero sistema

la sicurezza col secure boot si ottiene rendendolo non disattivabile e controllando l'integrità di almeno il bootloader e il kernel

ma è mai esistito un malware che abbia fatto danni andando ad aumentare il voltaggio della cpu per esempio? :stordita: