Вариант для распечатки		Пред. тема | След. тема
Форум Разговоры, обсуждение новостей
Изначальное сообщение		[ Отслеживать ]

"6 уязвимостей в загрузчике GRUB2, позволяющих обойти UEFI Secure Boot"	+/–
Сообщение от opennews (?), 21-Ноя-25, 12:49
Опубликован набор патчей с устранением 6 уязвимостей в загрузчике GRUB2, большинство из которых приводит к обращению к памяти после её освобождения (use-after-free). Потенциально выявленные проблемы могут использоваться для обхода механизма верифицированной загрузки UEFI Secure Boot. Статус устранения уязвимостей в дистрибутивах можно оценить на данных страницах:  Debian, Ubuntu, SUSE, RHEL, Arch и... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64298
Ответить | Правка | Cообщить модератору

Сообщения

[Сортировка по ответам | RSS]

1. Сообщение от Танкист (?), 21-Ноя-25, 12:49	+10 +/–
Классика, что ещё тут писать
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #10, #93

3. Сообщение от Аноним (3), 21-Ноя-25, 12:57	+6 +/–
Грубо сделано, на детали не обратили внимания
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #13, #19

4. Сообщение от Аноним (4), 21-Ноя-25, 12:59	+5 +/–
Снова фичи груба  закрывают
Ответить | Правка | Наверх | Cообщить модератору

5. Сообщение от Аноним (5), 21-Ноя-25, 13:01	–6 +/–
Когда уже закопают это uefi?! И туда же положат этот наркоманский grub.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #57, #60

6. Сообщение от Аноним (6), 21-Ноя-25, 13:02	+1 +/–
Почему дистры не перейдут на systemd-boot или uki?
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #9, #39, #48

7. Сообщение от Mister blue (?), 21-Ноя-25, 13:02	–1 +/–
А почему растолюбители не обратят свой взор на загрузчики и bios. Системный софт и переписывать не так много
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #68, #154

8. Сообщение от НяшМяш (ok), 21-Ноя-25, 13:07	+/–
Они есть, просто всё экспериментальное. https://github.com/rust-osdev/bootloader https://github.com/OpenDevicePartnership/patina
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7 Ответы: #163

9. Сообщение от НяшМяш (ok), 21-Ноя-25, 13:08	+/–
В нормальных это или выбирается при установке (CachyOS), или легко меняется после. Я даже дебиан на подкроватном сервере на systemd-boot перевёл.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #104

10. Сообщение от Аноним (10), 21-Ноя-25, 13:10	–1 +/–
Ага, классика бекдоринга, кто-то еще сомневается? пс: капча не сомневается 66646 :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1 Ответы: #14, #15

11. Сообщение от Аноним (14), 21-Ноя-25, 13:12	+/–
Какая "неожиданная" "случайность" ещё и в таком критически важном месте.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #17, #43

13. Сообщение от Аноним (14), 21-Ноя-25, 13:14	+2 +/–
Нужно обрабатывать грубые кромки детали напильником.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #135

14. Сообщение от Аноним (14), 21-Ноя-25, 13:15	+15 +/–
Ой ну что ты это же теории заговора. Анб не существует, а Эдвард сноуден это городской сумасшедший из Подмосковья.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #40, #41

15. Сообщение от Аноним (15), 21-Ноя-25, 13:15	+/–
> Ага, классика бекдоринга, кто-то еще сомневается? Ты прсто никогда не видел качество кода GRUB2. Это просто эталоннейший г*код, а вы про бекдоры, лол.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #22, #38, #103

16. Сообщение от анон1 (?), 21-Ноя-25, 13:17	+1 +/–
Параноики шифруют разделы, пожтому им параллельны эти баги груба. Нормалтным лбдям тоже параллельны. И чего все так возьудились...
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

17. Сообщение от Аноним (15), 21-Ноя-25, 13:18	+1 +/–
> Какая "неожиданная" "случайность" ещё и в таком критически важном месте. Ты вообще видел качество кода в этом "критически важном" месте? Более лютого г*кода в опенсорсе трудно найти. А вы все мро бекдоры рассказываете.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #24, #72

18. Сообщение от myster (ok), 21-Ноя-25, 13:21	+/–
Переходите на Limine, норм загрузчик. И BTRFS снапшоты отображает лучше Grub, в виде дерева.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #164

19. Сообщение от xsignal (ok), 21-Ноя-25, 13:25	+1 +/–
Grubо сделано. "Как вы яхту назовёте..."
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #3 Ответы: #23

21. Сообщение от Аноним (21), 21-Ноя-25, 13:33	+/–
Если бы бесогон был чуточку поумнее помимо процента с каждой болванки еще бы с каждого загрузчика получал оплату как Microsoft.
Ответить | Правка | Наверх | Cообщить модератору

22. Сообщение от Аноним (22), 21-Ноя-25, 13:37	+3 +/–
Так можно сказать про любой код, который написал не ты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #66

23. Сообщение от Аноним (22), 21-Ноя-25, 13:37	+/–
Грубо говоря это код.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19

24. Сообщение от Аноним (22), 21-Ноя-25, 13:38	+1 +/–
А ты сотрудник Анб, который нас пытается убедить нас что это код не такой. Хотя это такой же код как и везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

25. Сообщение от Аноним (22), 21-Ноя-25, 13:39	+/–
Ага битлокером, чтобы любой сотрудник мог его расшифровать если что.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #144

30. Сообщение от Аноним (30), 21-Ноя-25, 14:10	+1 +/–
Параноить в рамках одного компа точно не дело. Один для игр, другой для работы, как минимум. Все равно кому надо - сломают, но хотя бы риски будут разнесены.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #35, #105

32. Сообщение от Самый Лучший Гусь (?), 21-Ноя-25, 14:16	+/–
Не баг а фича. От секире буута одни проблемы
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #79

33. Сообщение от Аноним (33), 21-Ноя-25, 14:20	+2 +/–
Хорошо мне с systemd-boot никакие хакеры не страшны, лёгкий и простой загрузчик, интегрированный в инит систему, не взломать, в отличии от тяжеловеса граба.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #106

35. Сообщение от Аноним (55), 21-Ноя-25, 14:20	+/–
Сломают суперзащишенную российскую Линукс ос. Потому что её нельзя обновлять на оборудовании.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30 Ответы: #51, #76

37. Сообщение от Аноним (37), 21-Ноя-25, 14:33	+1 +/–
Yo, EFISTUB юзайте и будет вам счастье.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #44, #45

38. Сообщение от Аноним (10), 21-Ноя-25, 14:34	+/–
> Ты прсто никогда не видел качество кода GRUB2. счастливый человек :)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15 Ответы: #56

39. Сообщение от Соль земли2 (?), 21-Ноя-25, 14:34	+/–
А как ты параметры ядра при загрузке пропишешь? В бивисе? Например, монитор не поддерживает разрешение и нужно поставить nomodeset, чтобы поправить проблему.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #53

40. Сообщение от Аноним (40), 21-Ноя-25, 14:34	+3 +/–
АНБ точно существует. Они написали Ghidra и очень оперативно отвечают на багрепорты. ❤️АНБ🛂👮
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

41. Сообщение от Аноним (10), 21-Ноя-25, 14:36	–3 +/–
> а Эдвард сноуден можно подумать он америку открыл :) пффффф, я чет не видел, чтобы он раскрыл внутренние алгоритмы шифрования анб, он только раскрыл некоторые проекты вида "выстрелил и забыл".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14 Ответы: #55

43. Сообщение от Соль земли2 (?), 21-Ноя-25, 14:38	+/–
Да кому нужен этот Secure Boot? Пользователям Windows 11? То есть никому.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #75, #143

44. Сообщение от Аноним (30), 21-Ноя-25, 14:39	+/–
Юзал, когда void использовал, в итоге надоедает efibootmgr каждый раз руками запускать для добавления нового ядра
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #46, #71

45. Сообщение от Соль земли2 (?), 21-Ноя-25, 14:42	+/–
Поддерживаю. Вот только как ты отредактируешь efivar перед загрузкой?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #49

46. Сообщение от Соль земли2 (?), 21-Ноя-25, 14:43	+1 +/–
Созадёшь хуки в /etc/kernel/postinst.d/ и /etc/kernel/postrm.d/ и автоматом будет при добавлении и удалении ядра.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44 Ответы: #47

47. Сообщение от Аноним (30), 21-Ноя-25, 14:49	+/–
Не, я просто бросил инсталляции с root= и гружусь через ipxe, живу в раме, благо его сейчас полно, кеш браузера диски не убивает. Остальное на NAS, по cifs/nvmet. Надоело подпорки ставить
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #46 Ответы: #94, #120

48. Сообщение от Аноним (48), 21-Ноя-25, 14:55	+1 +/–
> Почему дистры не перейдут на systemd-boot или uki? Потому что в дистростроях ещё есть вменяемые люди, а не соевые любители вендорлока. А новости негативные, фичи по обходу гoвнoceкуребута порезали.((
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #6 Ответы: #54

49. Сообщение от Аноним (30), 21-Ноя-25, 14:56	–1 +/–
В efishell или c диска загружусь. Только надо помнить синтаксис обоих и root uuid, еще и efivars монтировать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #45

51. Сообщение от Аноним (30), 21-Ноя-25, 14:57	+/–
>Сломают Линукс ос скорее efi, с read-only флешки будет одно и тоже грузиться
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35

53. Сообщение от Аноним (53), 21-Ноя-25, 15:09	+/–
Можно в бивисе (через efibootmgr), можно в UKI вшить, можно в systemd-boot положить. Проблема выдуманная.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #39 Ответы: #96

54. Сообщение от Аноним (53), 21-Ноя-25, 15:10	+1 +/–
firmware setup => boot => secure boot => disable. Какие еще фичи по обходу тебе нужны?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #48 Ответы: #59, #62

55. Сообщение от Аноним (55), 21-Ноя-25, 15:11	+/–
То есть алгоритмов шифрования несуществует?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #74

56. Сообщение от Аноним (55), 21-Ноя-25, 15:12	+/–
Меньше знаешь - крепче спишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #38 Ответы: #58

57. Сообщение от Мемоним (?), 21-Ноя-25, 15:13	+/–
Уже начали. Гуглить UBIOS.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #63, #142

58. Сообщение от ProfessorNavigator (ok), 21-Ноя-25, 15:24	+/–
> Меньше знаешь - крепче спишь. Но можешь и не проснуться ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #56

59. Сообщение от Аноним (48), 21-Ноя-25, 15:24	–1 +/–
> firmware setup => boot => secure boot => disable. Какие еще фичи > по обходу тебе нужны? Не везде secure boot отключается, внезапно. Если сударь с таким не сталкивался, то ему просто везло.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #64, #69, #102

60. Сообщение от Аноним (60), 21-Ноя-25, 15:25	+/–
Исли без этого УЕсекуре, то Грубом вполне можно пользоваться.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #5 Ответы: #172

61. Сообщение от Аноним (61), 21-Ноя-25, 15:27	–1 +/–
Благо в Арче выбор при установке. Давно на Limine
Ответить | Правка | Наверх | Cообщить модератору

62. Сообщение от Аноним (48), 21-Ноя-25, 15:30	+/–
> firmware setup => boot => secure boot => disable. Какие еще фичи > по обходу тебе нужны? Ну а если вопрос про глобально, то нужна везде фича - отсутствие всяких UEFI и secure boot'ов, а нормальный аналог core/libreboot, не на двух с половиной железках, а на всех! Ну хорошо, ладно, пусть UEFI и secure boot будут на продукции Dell и HP из соседней новости https://www.opennet.dev/opennews/art.shtml?num=64297 чтобы в одну кучку собрать любителей вендорлока и пенетраций от офигевших корпоратов, я за свободу выбора, только пусть содомиты в своём отдельном кутке тусуются и нормальным людям не мешают своими девиациями ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #54 Ответы: #65, #70, #155

63. Сообщение от kravich (ok), 21-Ноя-25, 15:30	+/–
Не взлетит
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

64. Сообщение от Аноним (53), 21-Ноя-25, 15:30	+2 +/–
Сталкивался... Но это всегда был китайский мусор с 32битным uefi (виндопланшеты и им подобные), которые никто в своём уме покупать не станет. На ноутбуках и десктопах никогда не видел. В общем, голосуйте рублём.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

65. Сообщение от Аноним (53), 21-Ноя-25, 15:33	–2 +/–
Ты по какой-то нелепой причине считаешь, что номральный человек - это ты.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

66. Сообщение от Аноним (66), 21-Ноя-25, 15:34	+/–
Не все же лишены самоиронии и самокритики.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #22 Ответы: #85

68. Сообщение от Аноним (48), 21-Ноя-25, 15:34    Скрыто ботом-модератором	+1 +/–
> А почему растолюбители не обратят свой взор на загрузчики и bios. Системный > софт и переписывать не так много Так растоманы это не про свободы, это наоборот про переписывание всего под пермиссивщину и подмахивание корпоратам в окукливании, так что всё логично. Они наоборот, наперегонки лучше бросятся UEFI и механизм secure boot переписывать, чтобы это ещё кривее работало, но чтоб более закрыто было.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

69. Сообщение от penetrator (?), 21-Ноя-25, 15:35	+1 +/–
я тоже не сталкивался, и не потому что везло, а потому что с головой дружу
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59

70. Сообщение от penetrator (?), 21-Ноя-25, 15:36	+/–
и как ты собираешься склонить всю индустрию на поддержку и использование libreboot?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

71. Сообщение от Аноним (71), 21-Ноя-25, 15:37	+/–
>в итоге надоедает efibootmgr каждый раз руками запускать там хук лежит который все обновлет, проблема в другом, он меняет одно ядро на другое, в каком-нибудь grub будет выбор старого ядра в случае чего, а тут придется chroot делать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #44

72. Сообщение от ЛщЛ (?), 21-Ноя-25, 15:38	–2 +/–
>> Какая "неожиданная" "случайность" ещё и в таком критически важном месте. > Ты вообще видел качество кода в этом "критически важном" месте? Более лютого > г*кода в опенсорсе трудно найти. А вы все мро бекдоры рассказываете. Ну, а разработчики Debian жаловались и открыто помоили крапокод EFI, о чём прямо в установщике плашку до сих пор выводят, а вот с GRUB такого не было. Хм.., кому же верить, уважаемым людям из Debian или же рандомному комраду-эксперту с опеннета?!🤔
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #86, #88

73. Сообщение от Аноним (-), 21-Ноя-25, 15:42	+2 +/–
Ого, опять уязвимости по причине записи за пределы выделенного буфера и use-after-free в софте. Причем все шесть уязвимостей из-за этого. Никогда такого не было и вот опять))) С чем же это может быть связано???
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #110

74. Сообщение от Аноним (10), 21-Ноя-25, 15:45	–2 +/–
> То есть алгоритмов шифрования несуществует? Л - логика, то есть твой Сноуден очередной ПЕРЕоткрыватель америки, а не первооткрыватель.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #55 Ответы: #84

75. Сообщение от Аноним (48), 21-Ноя-25, 15:46	+/–
> Да кому нужен этот Secure Boot? Пользователям Windows 11? То есть никому. О, теперь ещё любителей Battlefield 6 заставляют его любить, напару с TPM! Так что они пополнили ряды любителей Valorant, а к ним скоро присоединятся любители Escape from Tarkov и Apex Legends https://www.gearupbooster.com/ru/blog/call-of-duty-need-secu... Так что, любителям вендорлоков, блобов и прочих зондов поглубже, это нужно, как видите! ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43 Ответы: #82, #97, #182

76. Сообщение от Аноним (60), 21-Ноя-25, 15:47	+1 +/–
Сделают суперзащищённый загрузчик через госуслуги.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #35 Ответы: #183

79. Сообщение от Аноним (60), 21-Ноя-25, 15:50	+/–
Его надо в анклавах исполгять. Так безопастнее.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #32

82. Сообщение от Аноним (-), 21-Ноя-25, 16:11    Скрыто ботом-модератором	+/–
> Так что, любителям вендорлоков, блобов и прочих зондов поглубже, это нужно, как видите! Кто о чем, а поехавшие о зондах 🤷🏻‍♂️ У вас там что коллективная травма была в детстве, связанная с засовыванием неприспособленных предметов в неприспособленные отверстия? А нормальные люди просто не любят читеров. Которые портят удовольствие от игры. Но на лялексе бороться с читерами почти не возможно. Поэтому проще его не поддерживать.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #127

84. Сообщение от Аноним (84), 21-Ноя-25, 16:17	+1 +/–
И? Какая разница какой он открыватель?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #74 Ответы: #92

85. Сообщение от Аноним (84), 21-Ноя-25, 16:18	+/–
Это как-то говорит о том что нельзя намеренно внести недокументированные возможности?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #66

86. Сообщение от Аноним (15), 21-Ноя-25, 16:26	+/–
> Хм.., кому же верить, уважаемым людям из Debian или же рандомному комраду-эксперту с опеннета?! Так не надо "верить". Посмотрите историю CVEшек из GRUB2 и конкретно их выражение в коде и фиксы. Посмотрите на код в целом. И сделайте выводы сами. Или что, вы не разбираетесь в С? Ну тогда да - только верить.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72

88. Сообщение от Аноним (-), 21-Ноя-25, 16:31	+2 +/–
> верить уважаемым людям из Debian которые - "подправили" генератор рандома в OpenSSH/OpenSSL и годами генерили слабые ключи - отправляли пользовательский ввод китайцам - не обновляют заведомо дырявые версии в свое репе, патамуша главное шта6ильность а сейчас они рекомендуют дыpявeйший GRUB вместо EFI... даже не знаю, а вы что думаете?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #72 Ответы: #95

89. Сообщение от Аноним (89), 21-Ноя-25, 16:34	+1 +/–
Отличный загрузчик. Не понимаю какие претензии могут возникать. Вон, какие возможности имеет.не каждый так сможет.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #119

92. Сообщение от Аноним (10), 21-Ноя-25, 16:43	+/–
ну тогда и не должно быть важно Сноуден "сумасшедший из Подмосковья" или нет. Вопрос, в чем суть вашего разговора?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #84

93. Сообщение от Аноним (93), 21-Ноя-25, 16:45	+1 +/–
Переводчики не знают своих слов онологичных?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #1

94. Сообщение от Соль земли2 (?), 21-Ноя-25, 16:48	+/–
Ну так уже все подпорки поставлены. А /tmp давно на tmpfs перевели везде.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47

95. Сообщение от Аноним (10), 21-Ноя-25, 16:48	+/–
> а вы что думаете? лол, думать это не к нему, сам ведь говорит "Хм.., кому же верить" :)))) - телевизеру. пс: не хочу задеть чувства "верующих".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #88

96. Сообщение от Соль земли2 (?), 21-Ноя-25, 16:49	+/–
Я про efistub подумал. Ошибся.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #53 Ответы: #141

97. Сообщение от Соль земли2 (?), 21-Ноя-25, 16:52	+/–
Это всё для борьбы с руинерами. Они особо опасны в массовых играх. Ведь нельзя в приватные сессии перейти и/или ввести пользовательскую модерацию игроков.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75 Ответы: #128

99. Сообщение от Аноним (99), 21-Ноя-25, 17:07	+2 +/–
По мне это фичи.
Ответить | Правка | Наверх | Cообщить модератору

101. Сообщение от Аноним (-), 21-Ноя-25, 17:17	+1 +/–
UEFI нужно закопать вместе с secure boot, intel me и прочими бекдорами. Вот поэтому умные люди, уважающие свое право на приватность, будут до упора сидеть на старом железе, где нет этих зондов.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #107, #134, #145

102. Сообщение от Аноним (102), 21-Ноя-25, 17:35	+/–
> Не везде secure boot отключается Если он где-то не отключается, то это потому, что _хозяин_ железа так решил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #59 Ответы: #111

103. Сообщение от Аноним (103), 21-Ноя-25, 17:50	+3 +/–
Для UEFI-систем граб можно уже даже и не ставить - EFIStub для загрузки и какой-нибудь systemd-boot как фолбэк бут-лоадер, ну или в худшем случае refind... Может когда-нибудь в далёком светлом будущем дистры к этому таки дойдут даже в инстоллерах...
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #15

104. Сообщение от Аноним (104), 21-Ноя-25, 18:26	+/–
B secure boot пашет ? У меня вот на убунте systemd-boot-efi-signed | systemd-boot-efi но пакета с подписаным efi не существует ) Переподписывать своими при каждом обновлени ядра - это такое себе. Что помешает хакиру сделать тоже самое, если все и так на моей машине лежит ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #166, #167

105. Сообщение от Аноним (104), 21-Ноя-25, 18:33	+/–
Ну обычно не "сломают", а "скачай-бесплатно-без-смс.ехе" Т.е. чукотский вирус )
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #30

106. Сообщение от Аноним (104), 21-Ноя-25, 18:35	+/–
И даже secure boot включен ? Новость то о нем. Если выключен, то и ломать нечего (как и в грубе).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

107. Сообщение от Аноним (104), 21-Ноя-25, 18:37	+/–
И ныть на форумах, что их железо дропают
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #113, #160

108. Сообщение от Аноним (108), 21-Ноя-25, 18:41	–2 +/–
Secure Boot? Та, что с ключами от Microsoft? Я её везде вырубаю сам)) Как и TPM. На тачке с Libreboot всей этой фигни вообще нет. И всё чётко работает.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #109

109. Сообщение от Аноним (104), 21-Ноя-25, 18:46	+/–
А какая разница от кого ключи ? Просто еще один эшелон защиты. Васянохакир например не сможет мне в ядро влезть. АНБ наверное сможет, но при выключеном secureboot и васянохакир сможет ) Т.е. при выключении защита не усиливается, так зачем отключать ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #108 Ответы: #121, #124

110. Сообщение от Аноним (110), 21-Ноя-25, 18:50	+/–
С тем, что это ни разу не закладки, ага. Там свидетельство канарейки уже кучу раз всплывало. Да в любом случае, как уефи появился в 2008 году, у сабжа пользователи та же маргинальная прослойка, что и у лило.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #73

111. Сообщение от Аноним (-), 21-Ноя-25, 19:14	+/–
> Если он где-то не отключается, то это потому, что _хозяин_ железа так решил. Не хозяин, а _создатель_. Он может делать что захочет, а у тебя есть прекрасный выбор не покупать то, что тебе не нравится. Можешь нести денежки производителям с отсутствующим или отключаемым secure boot.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #102 Ответы: #118

113. Сообщение от Аноним (113), 21-Ноя-25, 19:39	+/–
Не знаю кто там о чем ноет. Сижу на OpenBSD + Pentium III с довольно экзотической материнкой на RD-RAM 4GB. Мне этого хватит до конца жизни (пенсионер, 7-й десяток).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #116, #126, #129

116. Сообщение от Аноним (119), 21-Ноя-25, 19:46	+/–
Я сам сижу на Core 2 Duo, но три Pentium в 2025 году — это уже перебор, не находите?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #125

118. Сообщение от Аноним (102), 21-Ноя-25, 19:47	+2 +/–
Нет, именно хозяин, я настаиваю. То, что ты за что-то заплатил деньги ещё не значит что ты этим владеешь. Часто так бывает, что ты платишь только за доступ к привилегии. Как в примере с неотключаемым SB — заплатил за доступ к платформе, но запускать на ней можешь только то, что хозяин разрешил. Не нравится — действительно, можешь «нести денежки производителям с отсутствующим или отключаемым secure boot». Но это не меняет сути.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #111 Ответы: #147

119. Сообщение от Аноним (119), 21-Ноя-25, 19:47	+/–
Не просто лучший, а единственный годящийся для десктопа.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #89

120. Сообщение от Аноним (102), 21-Ноя-25, 19:50	+/–
Это всё хорошо, пока ты из дома не выходишь. Мне как-то приходилось реанимировать демонстрационный стенд через интернет в отеле, и я его даже смог по IPXE загрузить, но повторять чего-то не хочется.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #47 Ответы: #133

121. Сообщение от Аноним (102), 21-Ноя-25, 19:55	+/–
АНБ и не надо в твоё ядро лезть. У них административных методов достаточно, чтобы ты сам всё показал и во всём сознался. Но с этим бороться сложно, надо законы знать и адвоката хорошего, так что вместо решения реальной проблемы мамкины хэккеры занимаются шифрованием своих скриптов для запуска Майнкрафта и конфигов тайлинга.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109

124. Сообщение от Аноним (104), 21-Ноя-25, 20:46	+/–
> АНБ и не надо в твоё ядро лезть. У них административных методов достаточно Только я не в их юрисдикции ;)
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #109 Ответы: #187

125. Сообщение от Аноним (104), 21-Ноя-25, 20:54	+/–
"Сижу" - это как ? Сервак работает где то под кроватью или домашний комп с браузерами и котиками ?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #116 Ответы: #140, #159

126. Сообщение от Аноним (-), 21-Ноя-25, 21:11	+/–
Хм.. в интернете Вы (не могу обращаться к старикам на ты) только опеннет открываете? Ибо даже для просмотра видосиков уже может не хватать. Ну или закрывать всё кроме браузера. Это как говорить "мне хватит жигулей ездить на дачу раз в неделю". Но комфорт, удобство, безопасность у современной машины на порядок выше.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113

127. Сообщение от Аноним (40), 21-Ноя-25, 22:20	+/–
>Но на лялексе бороться с читерами почти не возможно. Потому что "бороться с читерами" на оконечном девайсе это маразм какой-то. Да и зачем вообще с ними бороться? Надо с ними не играть.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #82 Ответы: #137

128. Сообщение от Аноним (40), 21-Ноя-25, 22:21	+/–
Кто такие руинеры?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #97 Ответы: #188

129. Сообщение от Аноним (40), 21-Ноя-25, 22:36	+/–
>Мне этого хватит до конца жизни (пенсионер, 7-й десяток). Ну так-то, в принципе вообще осталось не очень много.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #113 Ответы: #130

130. Сообщение от Аноним (110), 21-Ноя-25, 22:43	+/–
Если не повезёт, то ещё лет 30 так страдать. При этом, можно примерно за 10 американских долларов купить компьютер минимум в 100 раз производительнее и он будет размером со спичечный коробок. А с п3 разве что классно играть в игры того времени (но это должна быть видеокарта соответствующая и звуковуха).
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #129

131. Сообщение от Аноним (131), 21-Ноя-25, 22:51	+3 +/–
При Lilo такой фигни не было!
Ответить | Правка | Наверх | Cообщить модератору

132. Сообщение от Аноним (132), 21-Ноя-25, 22:57	+1 +/–
> Для устранения проблем в GRUB2 недостаточно просто обновить пакет, требуется также сформировать новые внутренние цифровые подписи и обновлять инсталляторы, загрузчики, пакеты с ядром, fwupd-прошивки и shim-прослойку. Вопрос к знатокам: использование systemd-boot вместе с secure boot решает все эти проблемы без исправления пакетов с ядром, прошивок и прочего или что-то где-то тоже нужно менять?
Ответить | Правка | Наверх | Cообщить модератору

133. Сообщение от Аноним (30), 21-Ноя-25, 23:04	+/–
Согласен, не ipxe единым. В таких случаях alpine diskless, да там grub, но ноут не часто перегружается.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #120

134. Сообщение от Аноним (134), 21-Ноя-25, 23:08	+/–
> UEFI нужно закопать Это приведёт не к появлению стандарта получше, а к отсутствию стандарта, как оно в ARM-железках, особенно старых.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #153

135. Сообщение от Аноним (135), 21-Ноя-25, 23:32	+1 +/–
Вроде такой крохотный код - а растсеры не могут его переписать безопасно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13

137. Сообщение от Аноним (-), 22-Ноя-25, 00:04	+/–
> Потому что "бороться с читерами" на оконечном девайсе это маразм какой-то. Нет, не маразм, а вынужденное ограничение. Потому что невозможно переложить весь расчет на сервак и при этом сохранить нормальный онлайн в тех же шутанах. Если у тебя команды 3х3, то тогда как-то можно, но напр. в батле 64 участника в одном матче. > Да и зачем вообще с ними бороться? Надо с ними не играть. Как вы предлагаете с ними бороться? Их и так вычисляют и банят, но всех не перебанишь.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #127

140. Сообщение от Аноним (140), 22-Ноя-25, 06:43	+2 +/–
очевидно, используется как табурет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

141. Сообщение от egor (??), 22-Ноя-25, 06:55	+1 +/–
А что с efistub? Через efibootmgr всё спокойно делается https://wiki.debian.org/EFIStub#Add_the_boot_entry
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #96

142. Сообщение от Аноним (142), 22-Ноя-25, 07:15	+2 +/–
UEBIOS
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #57

143. Сообщение от Аноним (142), 22-Ноя-25, 07:18	+/–
То есть всем.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

144. Сообщение от Аноним (142), 22-Ноя-25, 07:19	+1 +/–
Ведь примеры на виду. Нет? Нет?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25 Ответы: #181

145. Сообщение от Аноним (142), 22-Ноя-25, 07:21	+1 +/–
Приятно сидеть в уверенности, что в вашем CSM-BIOS по определению нет зондов.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #101 Ответы: #151, #173

147. Сообщение от Аноним (147), 22-Ноя-25, 08:32	+/–
Купил -- твоё. То, что производитель добавил ограничения в продукт, не отменяет право собственности. Свисток не свистит? Твой свисток, хочешь -- доработай напильником. Другое дело, что не у всех напильник есть, но это уже про возможности, а не про владение.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #118 Ответы: #176

151. Сообщение от Инженер (-), 22-Ноя-25, 10:15	+/–
Для полного бинго скажи что железо надо регулярном обновлять, пользоваться сустем-д, писать на расте и быть woke толерантным.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145

153. Сообщение от Инженер (-), 22-Ноя-25, 10:18	+/–
Отсутствие стандарта и кастомизация это единственный правильный путь развития. Потому что нельзя в "стандарте" учесть 100500 разных железок, которые отличаются даже внутри партии разными ревизиямм и подревизиями. UEFI и ACPI тому примеры.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #134 Ответы: #185

154. Сообщение от нах. (?), 22-Ноя-25, 10:57	+1 +/–
потому что там не прослойку к прокладке надо очередную, а очень даже настоящий низкоуровневый код. Без всяких "unwrap". (переписывать там на самом деле - много, весь мильен модулей расчудесных фс и не менее чудесных лвмов с нулем документации внутренних структур) grub писали (и написали, что немаловажно) в те годы когда никого не интересовало что там при анлоаде модуля что-то такое ужастное может случиться (потому что никому в голову вообще не придет его выгружать раз уж зачем-то понадобится) Сделать из него прокладку к secureboot была, разумеется, феерично бредовая идея. Он никогда не задумывался как надежный код, его задачей всегда было как-то прочитать полсотни блоков и передать туда управление. Но это идея и реализация совершенно других людей, пришедших на готовенькое, сами они добавили разьве что как раз прослоечек к прокладочкам, и те оказались кривые.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #7

155. Сообщение от Libre (?), 22-Ноя-25, 12:22	+/–
Когда устанавливаешь libreboot, устанавливатся тот же дырявый grub
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #62

159. Сообщение от _kp (ok), 22-Ноя-25, 18:14	+/–
Стула у него нет, и сидит на системнике с P3. А сюда пишет с компа на столе.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #125

160. Сообщение от Аноним (60), 22-Ноя-25, 18:50	+/–
Core 2 Duo: 64 бита не скоро дропнут. А то, что Федорка собирает пакетики x86_64_v3, да плевать, у нас Gentoo, LFS, Guix.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #107 Ответы: #170

161. Сообщение от Аноним (161), 22-Ноя-25, 19:31	+1 +/–
веселит конечно позиция многих комментаторов. типа если на расте написано и есть ошибка/уязвимости, то зачем этот язык нужен, а если инструмент написан на си и находятся ошибка/уязвимости, то писали до....бы, а сам язык то превосходный. ничего личного, просто надоели/за....ли эти бесполезные комментарии, непонятно, что эти комментаторы у себя тешут/чешут.
Ответить | Правка | Наверх | Cообщить модератору
Ответы: #162

162. Сообщение от ProfessorNavigator (ok), 22-Ноя-25, 19:40	–2 +/–
> веселит конечно позиция многих комментаторов. типа если на расте написано и есть > ошибка/уязвимости, то зачем этот язык нужен, а если инструмент написан на > си и находятся ошибка/уязвимости, то писали до....бы, а сам язык то > превосходный. ничего личного, просто надоели/за....ли эти бесполезные комментарии, непонятно, > что эти комментаторы у себя тешут/чешут. Веселит конечно позиция многих комментаторов. Типа если на С/С++ написано и есть ошибка/уязвимости, то зачем этот язык нужен, а если инструмент написан на Rust и находятся ошибка/уязвимости, то писали до....бы, а сам язык то превосходный. Ничего личного, просто надоели/за....ли эти бесполезные комментарии, непонятно, что эти комментаторы у себя тешут/чешут. Исправил, не благодарите.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #161

163. Сообщение от Аноним (163), 22-Ноя-25, 19:50	+1 +/–
На расте в принципе все экспериментальное. Да что там, сам язык экспериментальный... До сих пор нет никакой модели памяти. У системного языка, которому 15 лет скоро, ага.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #8 Ответы: #180

164. Сообщение от нах. (?), 22-Ноя-25, 20:03	+/–
Limine supports FAT12, FAT16, FAT32 and ISO9660 чо?
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #18 Ответы: #174

166. Сообщение от morphe (?), 22-Ноя-25, 22:58	+/–
> Что помешает хакиру сделать тоже самое, если все и так на моей машине лежит ? Потому что диск должен быть зашифрован с LUKS+TPM2, и таким образом образуется защищённый цикл TPM2 завязанный на PCR securebootа не сможет отдать ключ шифрования если secureboot выключить/сменить ключи/загружать неподписанное ядро, а значит прочитать приватные ключи для подписи не выйдет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

167. Сообщение от morphe (?), 22-Ноя-25, 22:59	+/–
> Переподписывать своими при каждом обновлени ядра - это такое себе. Ну и вообще это должно быть автоматизировано, и тогда проблем не будет
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #104

170. Сообщение от Аноним (170), 23-Ноя-25, 01:28	+/–
Большинство четвертых пней тоже поддерживают 64-бит. И что? Проблема не в разрядности, а в искусственном запланированном устаревании, когда в обязательном порядке требуют наличие определённых инструкций. Например, как с Windows 11, которая без SSE 4.2 и POPCNT даже не дойдёт до окна установки.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #160 Ответы: #175, #184

172. Сообщение от Аноним (172), 23-Ноя-25, 06:22	+/–
BootSecure - отличнейшая фича для безопасности. Просто пишущие здесь всякие глупости ещё не вкурили её и не озадачивались собственными ключами PK, KEK, DBX, а хавают лишь подсунутые им фикалии от Microsoft. К слову, grub/grub2 - это поделки для седых старцев, не способных перестроиться на новый лад, потерявшие свою актуальность лет пятнадцать назад. Авторы этой поделки и сами это понимают, дорабатывая своё детище по принципу "и так сойдёт".
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #60 Ответы: #189

173. Сообщение от Аноним (-), 23-Ноя-25, 09:52	+/–
Там даже без зондов хватает уязвимостей. Старый софт с годами не становится безопаснее. Любой школьник может вбить в гугл уязвимости на это решение с реализацией атаки прямо на гитхабе выложенное лет 10 назад.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #145 Ответы: #186

174. Сообщение от Аноним (-), 23-Ноя-25, 09:56	+/–
Так задумано. Для загрузчика ничего больше и не нужно.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #164

175. Сообщение от Аноним (60), 23-Ноя-25, 15:21    Скрыто ботом-модератором	+/–
Ещё раз. Перекомпиляция из исходников под ваши инструкции.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170

176. Сообщение от Аноним (176), 23-Ноя-25, 20:15	+/–
> Купил -- твоё. Согласен полностью. Нюанс в том, _что_ тебе продавали, и что ты в итоге купил.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #147

178. Сообщение от Анони (?), 24-Ноя-25, 04:35	+/–
Это уязвимости в uefi, а не в grub.
Ответить | Правка | Наверх | Cообщить модератору

179. Сообщение от Ivan_S (?), 24-Ноя-25, 10:51	+/–
LILO есть. Прочстой как камень и надежный как бетонная стена
Ответить | Правка | Наверх | Cообщить модератору

180. Сообщение от Аноним (-), 24-Ноя-25, 17:42	+/–
да там как хотите так и пишите, поправит если что. экспериментируйте хДДД
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #163

181. Сообщение от Аноним (-), 24-Ноя-25, 17:49	+/–
так мож все примеры уже в местах, или с подпиской о неразглашении что бы в эти места уехать ))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #144

182. Сообщение от Аноним (-), 24-Ноя-25, 17:50	+/–
сейчас как десятку вычеркнут везде - половина софта перейдёт на это, в том числе что бы с пиратством бороться, в любом его виде
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #75

183. Сообщение от Аноним (-), 24-Ноя-25, 17:53	+/–
ага, и при включении компьютеры будут автоматически списывать долги, налоги, квартплату и предлагать оформить кредит на всё это
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #76

184. Сообщение от Аноним (-), 24-Ноя-25, 18:02	+/–
киньте ссылку на сборку, которую вы решились на калькулятор устанавливать
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #170

185. Сообщение от Аноним (-), 24-Ноя-25, 18:03	+/–
загрузчик тяжелее дистра весить не будет, нее? или надо предварительно скачивать всегда будет?))
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #153

186. Сообщение от Аноним (-), 24-Ноя-25, 18:04	+/–
именно так
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #173

187. Сообщение от Аноним (187), 25-Ноя-25, 00:07	+/–
Какой ты наивный мальчик.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #124

188. Сообщение от Соль земли2 (?), 25-Ноя-25, 11:14	+/–
Сейчас чаще читерять не для получения преимущества в игре, а для того, чтобы испортить игру всем остальным, сломав механики игры читами. Это ruin - порча.
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #128

189. Сообщение от Аноним (189), 27-Ноя-25, 08:39	+/–
А смысл в этой секурности, если ключики от нее у мелкомягких (или того похуже - у западных спецслужб?) в кармане? И как по мне, если выбирать между секурсностью с ключиками от мелкософта, и без секурности вообще, то лично я выберу без. Потому что мне лично такая секурность не упала от слова "совсем"
Ответить | Правка | Наверх | Cообщить модератору
Родитель: #172

190. Сообщение от Аноним (190), 27-Ноя-25, 20:30	+/–
Никак не могу вкурить от каких угроз обычного пользователя в принципе может спасти secure boot. Все эти подмены загрузчика и прочее, навскидку требуют либо физического доступа к устройству, либо рутовых привелегий. Если либо то либо другое выгорит у злоумышленника - то юзерское устройство в любом случае уже не вполне его, и ничего его уже больше не спасет. Не вижу весомых преимуществ этого геммороя с secure boot перед просто запароленным биосом с зашифрованным парольной фразой диском. Мда, а уж идея ключ шифрования диска хранить внутри TPM как в битлокере, а не в собственной голове - ну только совсем от безнадеги на такое можно пойти. Когда надо хоть как-то защитить безголовых пользователей, которым почему-то разрешено на мобильных устройствах работать с чувствительными данными.
Ответить | Правка | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема