Linux-kernelontwikkelaar Matthew Garrett: "Microsoft verdient 'kudos'"

[Vistaus]

Kijk eens aan, ben het voor de verandering een keer volledig eens met Gandyman!

[daido]

Bij mij draait windows 8 beter dan ubuntu 13.10. Veel bugs die denk te maken hebben met unity. Ik denk erover om over te schakelen naar gnome.
Ik vind windows 8 niet mooi om te zien, maar het werkt wel goed. Misschien wel de beste versie tot nu toe.
http://skinpacks.com/ Hier kan je windows een ubuntu-skin geven of zelfs een Web Os-skin

Ik zie daar geen webOS-skin, ook niet via de zoekfunctie. Jammer (ben zelf nog steeds fervent webOS-gebruiker)

Dus het gehele UEFI verhaal kan zowel linksom als rechtsom volledig de prullenbak in, en heeft vanaf de eerste dag maar 1 doel gehad

De UEFI standaard is meer dan alleen secure boot. De ouderwetse BIOS (uit de jaren '70) past niet goed meer bij de ontwikkeling van nieuwe PC's.

Dat hadden ze ook kunnen oplossen met Coreboot: http://www.coreboot.org/Welcome_to_coreboot Als ze daar geld in hadden gestoken (en extra ontwikkelaars), dan was dat ook een mooie vervanging geweest. Nu blijft Coreboot een klein project (wel maken ze grote voortgaan de laatste tijd!).

Sorry Vistaus, een fout van mij, ik bedoelde MeeGo.

[Johan van Dijk]

...

En dat waar het nu OOK voor word gebruikt (secure boot) moeten ze mee stoppen, als iemand een computer koopt moet hij ermee kunnen doen wat hij wil, als jij een koelkast koopt word je ook niet verplicht er alleen kaas of melk in te stoppen.
En als Microsoft zijn windows zo graag wil beschermen dan verkopen ze er maar een hardware dongle bij met 10 000 sleutels erin.

Maar dat gaat Microsoft nooit doen want dan raken ze al hun klanten kwijt en heeft hun strategie om gehackte windows versies te verspreiden (zodat iedereen maar bij windows blijft hangen) ook geen nut meer.   

Of gewoon op slot zetten zoals in de Embedded versie..... lekker veilig

Het punt van de presentatie van Garrett was juist dat je in deze tijd veel meer rekening moet houden met allerlei geavanceerde aanvallen. Op Windows maar zeker ook op Linux. Onderdeel van de beveiligingen daartegen is het zeker kunnen zijn van welke code je opstart.

De enige manier om dat betrouwbaar te kunnen doen, is werken met cryptografisch ondertekende code. En je hebt een lijstje sleutels nodig die je vertrouwt. Het positieve puntje voor MS is dat ze de gebruiker een keuze geven of ze de sleutels van MS wel vertrouwen of niet. En of ze sleutels van andere fabrikanten of zichzelf (!) toe mogen voegen.

Hadden ze alles dichtgetimmerd zoals Apple doet of zoals ze op sommige tablets doen, dan hadden ze weer een antitrust-zaak aan hun broek gehad omdat je dan kan kiezen tussen Windows versie X of Windows versie Y. Dan hadden we helemaal geen Linux meer kunnen draaien op nieuwe computers!
Ze zijn ook nog zo soepel geweest om de mogelijkheid te eisen dat secure boot helemaal uitgezet kan worden.

Je kan ervan zeggen wat je wil, maar dit vind ik ook gewoon goed van ze. Bevalt het je niet, dan heb je zelf de keuze om de instellingen te wijzigen. In die koelkast kan je dus alles stoppen wat je zelf wil!

Dat het iets ingewikkelder wordt zegt helemaal niks. Veel gebruikers kunnen niet eens een cd branden of een andere browser installeren zonder dat iemand hun hand vasthoudt. Voor mensen met meer kennis is het maar 1 extra handeling om uit te voeren als ze Linux willen installeren.

[Pjotr]

Hadden ze alles dichtgetimmerd zoals Apple doet of zoals ze op sommige tablets doen, dan hadden ze weer een antitrust-zaak aan hun broek gehad omdat je dan kan kiezen tussen Windows versie X of Windows versie Y. Dan hadden we helemaal geen Linux meer kunnen draaien op nieuwe computers!
Ze zijn ook nog zo soepel geweest om de mogelijkheid te eisen dat secure boot helemaal uitgezet kan worden.

Die soepelheid was ongetwijfeld ingegeven door de vrees voor rechtszaken....

Als Microsoft écht de bedoeling zou hebben gehad om geen drempel op te werpen voor Linux, dan zouden ze tevens hebben geëist van de apparatuurfabrikanten dat ze die uitschakelmogelijkheid voor Secure Boot, *uniform en direct toegankelijk* zouden maken. Een grote knop met "Disable Secure Boot" in het UEFI-hoofdmenu of zo.

Nu lijkt Secure Boot op een intelligente manier om Linux te dwarsbomen, zonder dat Microsoft daarvoor juridisch of moreel verantwoordelijk kan worden gesteld. Microsoft heeft blijkbaar erg goede juristen in dienst....

[Johan van Dijk]

Je moet toch de BIOS/UEFI in om de opstartvolgorde te controleren/aan te passen. Moet daar ook een grote  knop voor gaan komen? En een grote knop om de datum/tijd aan te passen, en een grote om de voltages en temperaturen te checken... zo blijft er weinig ruimte over op je scherm

Weet jij een betere manier om de opstartbestanden te beveiligen? Ik niet hoor. En zonder die beveiliging loop je ook in Linux een groter risico...

Wat je de makers van BIOS'en en UEFI's wel kwalijk kan nemen is de kwaliteit van hun firmware. Die kan logischer en duidelijker gemaakt worden zodat meer mensen het begrijpen.

[vanadium]

Die soepelheid was ongetwijfeld ingegeven door de vrees voor rechtszaken....

Als Microsoft écht de bedoeling zou hebben gehad om geen drempel op te werpen voor Linux, dan zouden ze tevens hebben geëist van de apparatuurfabrikanten dat ze die uitschakelmogelijkheid voor Secure Boot, *uniform en direct toegankelijk* zouden maken. Een grote knop met "Disable Secure Boot" in het UEFI-hoofdmenu of zo.

Nu lijkt Secure Boot op een intelligente manier om Linux te dwarsbomen, zonder dat Microsoft daarvoor juridisch of moreel verantwoordelijk kan worden gesteld. Microsoft heeft blijkbaar erg goede juristen in dienst....

Dat gaat niet meer over het principe, maar over de implementatie, de details. In principe hoeft Microsoft zich niet bezig te houden met welke menukeuzes een fabrikant wil implementeren om secure boot uit te schakelen of om andere sleutels te installeren. Dit vind ik geen reden om onmiddellijk te vermoeden dat Microsoft doelbewust installatie van linux wilde bemoeilijken.

[Pjotr]

Dat gaat niet meer over het principe, maar over de implementatie, de details.

Voor mij is het van het begin af aan, ook geen principiële discussie geweest.... Het gaat mij om de extra drempel voor Linux, die is ontstaan door de tenuitvoerlegging van Secure Boot. 

Door de *te verwachten* wildgroei in de tenuitvoerlegging, om precies te zijn. Dit praktische gevolg van de tenuitvoerlegging was immers redelijkerwijs te voorzien.... De wildgroei *is* dus waarschijnlijk ook voorzien door Microsoft, die dat ongetwijfeld met een brede glimlach heeft verwelkomd.

[daido]

Denken jullie nu echt dat Windows een secure boot invoert om Linux dwars te zitten?  Over die paar procent linuxgebruikers gaat windows zich echt niet druk maken. En de meeste gebruikers kopen gewoon een laptop met windows en zetten er vervolgens linux op.
Microsoft maakt zich druk om Apple en Google, niet om linux.
Elk jaar wordt er gezegd dat dit het jaar van linux gaat worden, maar echt van de grond komen doet het niet (helaas).

[Vistaus]

Weet jij een betere manier om de opstartbestanden te beveiligen? Ik niet hoor. En zonder die beveiliging loop je ook in Linux een groter risico...

Ja, Coreboot. Bestaat al sinds 1999 en is momenteel een stuk populairder geworden omdat o.a. Google en Lenovo eraan bijdragen (en Google gebruikt het zelfs in alle Chromebooks!). Is bovendien nog open source ook.

[Vistaus]

Microsoft maakt zich druk om Apple en Google, niet om linux

Beetje tegenstrijdig aangezien Google ChromeOS en Android ook Linux zijn... en ChromeOS gebruikt zelfs niet eens UEFI maar Coreboot, een open source BIOS en Chromebooks zijn razend populair aan het worden. Dus Linux wordt populairder op de desktop.

[Johan van Dijk]

Weet jij een betere manier om de opstartbestanden te beveiligen? Ik niet hoor. En zonder die beveiliging loop je ook in Linux een groter risico...

Ja, Coreboot. Bestaat al sinds 1999 en is momenteel een stuk populairder geworden omdat o.a. Google en Lenovo eraan bijdragen (en Google gebruikt het zelfs in alle Chromebooks!). Is bovendien nog open source ook.

Hoe beveiligt CoreBoot je opstartbestanden dan? Dat moet ook via ondertekeningen gaan lijkt me, dus zit je met hetzelfde "probleem" als secure boot.

[daido]

Microsoft maakt zich druk om Apple en Google, niet om linux

Beetje tegenstrijdig aangezien Google ChromeOS en Android ook Linux zijn... en ChromeOS gebruikt zelfs niet eens UEFI maar Coreboot, een open source BIOS en Chromebooks zijn razend populair aan het worden. Dus Linux wordt populairder op de desktop.

Ik denk dat je de strekking wat ik bedoel heus wel begrijpt. Ik bedoel natuurlijk ubuntu, linux mint, bodhilinux enz.

[Vistaus]

Weet jij een betere manier om de opstartbestanden te beveiligen? Ik niet hoor. En zonder die beveiliging loop je ook in Linux een groter risico...

Ja, Coreboot. Bestaat al sinds 1999 en is momenteel een stuk populairder geworden omdat o.a. Google en Lenovo eraan bijdragen (en Google gebruikt het zelfs in alle Chromebooks!). Is bovendien nog open source ook.

Hoe beveiligt CoreBoot je opstartbestanden dan? Dat moet ook via ondertekeningen gaan lijkt me, dus zit je met hetzelfde "probleem" als secure boot.

Ja, ook optionele Secure Boot inderdaad MAAR i.t.t. UEFI is Coreboot wél open source. Dat maakt wel een verschil want ALS een maker dan niet de optie inbouwt om secure boot uit te schakelen (dat zijn ze immers niet verplicht), dan zou je altijd nog je eigen Coreboot kunnen flashen met die optie erin zodat je alsnog secure boot kunt uitschakelen.

[Johan van Dijk]

De meeste fabrikanten eisen dat een firmware gesigned is anders kan je die niet flashen. Jouw eigen Coreboot met secure boot-aanpassingen is niet ondertekend met de private key van de fabrikant dus kan je die niet flashen. (Tenzij je een programmer op je mobo soldeert...)

Zie de discussie hier: http://mjg59.dreamwidth.org/12745.html

[testcees]

Dat maakt wel een verschil want ALS een maker dan niet de optie inbouwt om secure boot uit te schakelen (dat zijn ze immers niet verplicht),

Volgens dit kudos-topic zit er DAN GEEN 'Windows 8 gecertificeerd' sticker op...

And this — in the past — we were able to install, to liberate a computer by installing Free software on it instead of its user-restricting operation system, and this of course was tremendously helpful to the spread of GNU/Linux because it meant that users could move to freedom. It would be much harder if they had to buy another computer to do so.

Ja, vroeger maar nu

zou je altijd nog je eigen Coreboot kunnen flashen met die optie erin zodat je alsnog secure boot kunt uitschakelen.

Interessant maar klinkt als nog een extra drempel om een ander besturingssysteem te kunnen gebruiken. Nog lastiger uit te voeren en te beschrijven voor (minder technische) nieuwe gebruikers vrees ik.

On the other hand, with Android, which is another mostly Free operating system which contains Linux but doesn’t contain GNU, it’s quite common for the product to have something equivalent to restricted boot, and people have to struggle to figure out how they can install a modified and more free version of Android. So, the presence of the kernel Linux in a system doesn’t guarantee it’s going to be better.

[Vistaus]

@testcees: Ik zei dan ook niet dat het voor beginners is. Ik zei alleen dat het een oplossing *zou* kunnen zijn *als*......