Mene nije previše dirnulo, tako da je ipak vas četiri.

Bit je da PC mora ostati PC. Bit je slobode izbora. Linux u cijeloj ovoj prici nije bitan.

Ako ćemo tražiti dokaze MS muljavine ne treba gledati dalje od laptopa bez windowsa koji se prodaju s free dosom ili nekom skroz okljaštranom linux distribucijom. Pa bogati, kada bi ti laptopi išli s nekom normalnom distribucijom na tržište, pola kupaca ne bi ni znali da to nisu windowsi, dok druga polovica koja bi znala da "nešto nije OK" bi svejedno nastavila koristiti tako kako je. Prvi problemi bi počeli kada bi netko u školi tražio da instaliraju office :D

Glavni razlog korištenja windowsa kod tih "normalnih" korisnika je taj što isti dolaze predinstalirani na laptopu.

Linux OS - info, how-to, pitanja, novosti, savjeti, problemi...
 

tomek@vz, do not feed the trolls ;)

Osobno mislim da će htjeti više zatvoriti nove ARMove koji su postali dovoljno jaki za opću namjenu. Na PCju već imamo to što imamo.

Kao prvo SikjurBut je već toliko puta exploitan na takve načine da je to već odavno smiješno. Tko imalo prati tu scenu zna o čemu pričam. Ono što white hakeri stalno ponavljaju: “security through obscurity doesn’t work”.

Na naše PC kante i laptope smo oduvijek mogli instalirati Linux npr. ali još uvijek ne možemo staviti FOSS BIOS/UEFI (osim na select few). UEFI-ji su vjetojatno najgori komadi softwarea. Prepuni su bugova koji se nikada neće ispraviti te blobova za koje (skoro) nitko ne zna što rade a backdoorova ima da možemo bacati oklade.

I još kao što je rečeno trebaš privatnu megakorporaciju da možeš koristiti SecureBoot koji nije baš siguran. Bikoz, zašto bi mi sami potpisivali svoje boot loadere pa da stvarno budemo sigurni? Smijeh :)

Sto za tebe tocno predstavlja "sloboda" i gdje je ti tocno vidis na PC-u?

Pa da ga koristim kako hocu , instaliram sto hocu a ne da PC kao platforma postane lockana platforma kojoj ce raditi samo odreden OS ili odreden software. Bio to Windows, Linux, BSD ili nekaj drugo. Koji je onda razlog da vecina distri koristi shim firmware potpisan od strane MS a ne nekog drugog?Zasto recimo LFU (da svjestan sam da je MS clan iste) nebi izdao svoj certifikat koji bi bio priznan kao vazeci?

Ili… zašto ne bi imali svoj lokalni CA koji će verificirati boot process da ne ovisimo o trećoj strani pogotovo u osjetljivim zatvorenim sustavima?

I keyserver koji će proslijediti ključ za dekriptiranje boot particije (ili drugih particija) pa da ne ovisim o lokalnom (f)TPMu kada primjerice bare metal host sa 230 VMova prdne u rosu?

To je za tebe definicija "biti slobodan"?

Pod "PC" predpostavljam mislis na x86 kompatibilna racunala?

Bez obziran na tvoj odgovor, svjestan si da na danasnjem stupnju tehnoloskog razvoja jednostavno ne postoji "platforma koja nije lockana"?

Ukratko i primarno, zbog toga sto je "vecina distri" napravljena od ekipe sklepana s koca i konopca. Pa tako recimo i meni za desktop omiljen Mint koji (meni) radi apsolutno perfektno. A svidjelo se to tebi ili ne, Microsoft je ozbiljno drustvo ciji zivot pociva na x86 arhitekturi.

Dao si sam sebi odgovor. Zato sto je LF neprofitno udruzenje. A udruzuju se uglavnom profitna trgovacka drustva. Ne vidim zasto (ni kako) bi takva organizacija mogla pridonijeti tome u jednom vrlo zatvorenom komercijalnom ekosustavu kao sto je x86 i sve oko njega.

S druge strane, nedavno je osnovan OpenSSF a ja cu te rade volje upoznati s gospodjom Randi s kojom sam caskao na Member Summitu u Montereyu koncem prosle godine kada je skupljala clanove, pa im se slobodno pridruzi i pukni ideje.

Pa da upravo zato. x86 platforma je uvijek bila ko lego slazes kak ti volja dok god je sve donekle kompatibilno. Ako lockamo to na Softwerskoj razini imamo 2 tehnoloska gigatna koji kontroliraju sav IT (bar na desktopu). No kao sto rekoh drzim se u ovoj diskusiji samo Secure Boot price i certifikata.

Linux OS - info, how-to, pitanja, novosti, savjeti, problemi...
 

Microsoftov život prvestveno počiva na generiranju profita i na kontroli tržišta u svrhu ovog prvog.

BTW: x86 bi danas bio puno drugačiji da nema te ekipe “koca i konopca” koju tako nezahvalno omalovažavaš i to u kojem topicu. Nebitno jesi li u pravu. A bojim se pomisliti kako bi izgledao enterprise.

O cemu ti pricas?!

Tvoje "uvijek" ide mozda u zadnjih 15ak godina. PC 80.-ih i 90.-ih i ranih 2000.-ih godina je bio sve suprotno, samo ako krenemo od toga da si imao desetke razlicitih sabirnica, pocevsi od ISA, EISA, HiNT izvedbi Super-ISA i P(ragmatic)EISA sabirnica, MCA, VLB, raznih PCI kombinacija (32/64 bit, 33/66MHz, 3.3/5V, PCI-X do 133 MHz i slicno), AGP-a a da ne pricam onda o AMR, ACR i CNR drkanjima pocetkom 2000... Sigurno sam nesto izostavio. Da uopce ne krecem dalje.

Tugy plaky. Nadam se da te ne bi srce izdalo da vidis kako tek izgleda mrezni svijet. Sto ti je manje vise prepreka da cak i kada ubodes nesto sitno "pravog" FLOSS hardvera (Raptor Talos, Milk-V Pioneer ili slicno) s tim istim odes FLOSSoidno na Internet, recimo.

No jadikovka na stranu, kako ta kontrola "2 tehnoloska giganta" tebe sprijecava u bilo cemu trenutno?

Ja i dalje ne razumijem zasto to tebe toliko zulja?

Šokirani Pikaću.

Slazem se, uz malo srece, ne bi ni postojao!

Bubba jel bi ti bilo draze da je situacija sa hardwerom kao prije 20-30 godina ili kao sto je danas? Ja ne kukam nego diskutiram o potencijalnom crnom scenariju da zapravo te tvrke zele vracanje na stara vremena - bez obzira iz kojeg razloga (kontrola korisnika, profit...biraj). Jel po ovim postovima imam dojam da prezires i x86 i OSS Softwer.

Buba, drag si ali smanji malo :)
Koliko je bilo i vjerojatno će biti mobo / lap - ova (pogotovo ovih drugih isporučenih sa "Free DOS kako bi bio što jeftiniji),
a kad ono osim M$ smetja ništa drugo neće da se pokrene / instalira ....
naknadno su počeli izlaziti skriveni modovi u Bios - u i vidi vraga tu se pojavi Linux opcija za željeni os > vidi vraga nakon toga install i rad ide bez problema ... isto tako Secure Boot On/Off ....
Ima toga još ali ovo mi je prvo palo na pamet.

Operativno, nema nista sto je bilo prije bolje nego sto je sada.

Koja stara vremena? Kada si imao 30 razlicitih operativnih sustava i larpurlartisticku heterogenost trzista? Odakle ti da se itko vraca na to? Danas de facto osim Windowsa, Linuxa i *BSD derivata ni nemas nista vrijedno spomena (ne ulazeci u embedded i mainframe trziste).

x86 nije tesko prezirati, radi se o staroj, kilavoj i ni po cemu dobroj arhitekturi koja je igrom slucaja prezivjela do dana danasnjeg. Mali broj GP registara, koristenje stoga za prijenos funkcijskih parametara, varijablina sirina instrukcija, glupava load-modify-store single instruction podrska za atomike, vracanje funkcijske adrese na stog umjesto u link registre i slicno.

FLOSS je sjajna prica. Problem je u tome sto ga 95% korisnika intrinzicno i sustinski ne razumije. Tako da su korisnici prezreni, ne koncept.

Mujo voli, Mujo pati, ali nece da skrati.

Tko ti drma kavez?

Dakle, kao sto rekoh, nije problem FLOSS, problem su Zeloti poput tebe koji smatra da im nesto pripada, da nesto *moraju* imati i da su, kao i u bilo kojem drugom fanatizmu, mracne sile (koje nisu s nama u sobi) protiv njih.

No to naprosto nije tako i tesko je nekada prihvatiti da su pet... ne, cekaj, ipak cetri nebitna lika kojima ne radi dual boot piratskih Windowsa i opskurne Linux distribucije sa Secure Bootom... jednostavno nebitni likovi. Na sto se iz nikome poznatih razloga pale drugi likovi koji uopce nemaju taj problem.

To se kroz FLOSS najcesce manifestira kroz ljude koji ga, kako rekoh, esencijalno ne razumiju, pa shodno tome nikada nisu imali niti (ne)priliku pridonijeti nekom takvom projektu.

Sumarno, mogu li ja od nekoga ovdje konkretno cuti ili da pokaze na lutki za napuhvanje gdje ga je to zlocesti Microsoft doticao? Jos radje, gdje je taj doticaj imao presijek sa Secure Bootom ili cime vec, jel...

Mislim, ja nisam neprovjerljiv lik i potrebno je do 5 sekundi Googla da se grubo vidi u kojim (FLOSS) projektima sudjelujem. Ove godine se cak moglo vidjeti i u Zagrebu i to prije zadnje stanice okretista tramvaja. I moram priznati da me do sada konkretno Microsoft nije sputao u toj otvorenosti.

@Bubba, čitajući tvoje strawman rantove koji tanko graniče s trolanjem još uvijek ne vidim zašto bi baš MirCoSoft bio dobar izbor za (jedini) entitet koji potpisuje boot loadere?

Wow....ovo od tebe nisam ocekivao. Ne ne radi se o tome da ja zelim posjedovati svoj PC koji sam platio (weird ha?) nego ne zelim da jedna firma diktira smjer razvoja kompletne platforme (opet - ne diram Enterprise stuff jer je to prica za sebe). Radi se o ovome i nicem drugome i na to mi jos nisi odgovorio ili sam ja nesto propustio:

So...WTF Bubba?

Citirat cu sam sebe...

Jedina tvoja mogucnost koju imas s "posjedovanjem svog PC-a" je da ga bacis u smece ako ti se ne svidja. Sve ostale mogucnosti su ti uglavnom mandatirane sa desecima closed source binary blobova koji se nalaze posvuda po tvojem racunalu.

A tebe zulja sto Microsoft nesto potpisuje.

Wow.

Da, jos jedna klasicna boljka Zelota je manjak fokusa na bitno, jer najcesce nemaju dovoljno strucnog aparata da se bave bitnim.

Tako da... Nisam ni ja ovo ocekivao. :)

Poprilicno, jer se manje vise sva danas siroko dostupna i vise nego ikada jeftina oprema koju svakodnevno kupujemo i koristimo upravo bazira na tom principu da s njom mozes uglavnom manje vise samo ono sto je proizvodjac zamislio.

Kupio si Obodinov frizider i FAP-a 1314 pa ne znam jesi li kukao po Cetinju i Pančevu kako ne mozes staviti svoju distribuciju na njih, a tI sI tO kUpO sVoJiM nOfCiMa hur dur dur...

Ja jos uvijek cekam dio gdje *tebi* Microsoft diktira bilo sto, ali bojim se da to toga necemo doci, no eto, ponovno cu ostaviti jos jednu mogucnost da mi ipak mozda odgovoris...

Naravno da sam ti odgovorio, u istom postu gdje sam sam sebe citirao.

Ali dodatno cu ti odgovoriti - ti si butthurt (sto je po definiciji bezrazlozno) zato sto je to Microsoft. Geez, wow, prosto da se covjek zapita zasto to nije šizoidna ekipa koja drzi, koliko ono... ispod 5% trzista desktop OS-eva a i to je vjerojatno metrika u maniri "trust me bro".

Zamisli:

I sad sok i nevjerica:

Zaista treba imati nadnaravne intelektualne sposobnosti za zakljuciti zasto bas od ovog probranog drustva nisu nominirali nekog eksternog, eto recimo meni se OP ovog threada cini kao apsolutno legitiman izbor.

Bi li bio jednako pogodjen da to potpisuje Insyde Software (eto svega mi ja prvi puta cujem za njih, ne bih ni znao da postoje da nisam isao vidjeti tko su sve memberi)?

Odi kod samana i makrobioticara da ti objasne.

As always, pričaš bedastoće kad nemaš argumenata. A i kad imaš. Samo si željan prepucavanja i nadmudrivanja. A vokabular i način izražavanja... omg.

Eto Tomek, tako je to kad hraniš trola :fiju:

I ode i zadnji tracak nade za normalnim razgovorom na ovom forumu u vrazju mater. I'm out.

Strasno sam pogodjen kada mi to kaze sljam koji onkoloske bolesnike nagovara na citanje Treceg oka. Iscezni.

Zelis li da ti polako iskopiram sve citate kojima smo se doveli do ovdje i ponovno postavim pitanje "Kako na tvoj zivot utjece Microsoftov potpis i u kojim aktivnostima te do sada sprijecio"?

Koji dio razgovora smatras abnormalnim, osim cinjenice da ste zakljucili kako su "Secure Boot i TPM primarno prilagodjen Microsoftu" (a nisu), kako vam Microsoft narusava kvalitetu zivota (a ne narusava) i finalno infantilno "zasto bas Microsoft" sto je na razini "sto ce ona kuja od raske meni govoriti kak da se ja oblacim, ono e kus ne" a eto, vidio si tko upravlja konzorcijem, pa si slobodan predloziti nekog boljeg. Cak sam ponudio i suradnju s LF-om kojeg si zazvao, pa vidim da si i to preskocio...

Zapravo si u pravu, tuzan rasplet.

Nisam se tebi obraćao. Drago mi je da te nije pogodilo. Ne volim raditi stres ljudima.

I nikoga na ništa ne nagovaram pogotovo ne onkološke pacijente. Bio sam jedan od njih. Zato te najljepše molim da ne lažeš pogotovo o takvim stvarima!

Stomatolog me izmesario pa se teže koncentriram ali čini mi se da nakon tvojih postova nismo izašli prosvjetljeni bilo čime konstruktivnim nego samo počašćeni raznim vrijeđanjima i omalovažavanjima u predugim postovima. Već viđeno.

Covjek bolje razmislja kad odspava i ohladi. Gle Bubba neznam jel trenutacno imas mengu ili pimpeknicu ili kaj vec - napisao si mnogo toga i dao par korisnih informacija no svejedno ne kuzim zasto te toliko smeta sto ja smatram upitnim da trenutno samo 3 "proizvodaca" (Canonical, Microsoft i Asustek kolko mi je poznato) potpisuju shim firmware za Grub a vecina distri koristi MS certifikat. Microsoft je uvijek dosad iskoristavao svoju monopolisticku poziciju kad god je imao prilike za to a to i sam dobro znas (Linux = Komunizam i ostale spike by Ballmer & Gates). Nadella ima drukciju taktiku no takve firme se tesko otarase starih navika. Dokazi mi da sam u krivu i prihvatit cu to kao cinjenicu. Al ovo sto radis i nacin komunikacije je krajnje neukusan (onaj dio sa penetracijom i kukanjem). Ne pricas sa osobom koja trubi po svijetu "Linux FTW!!!" ili "M$ bad!!!" vec imam svoje misljenjenje koje je proizaslo iz mog iskustva sa x86, ARM platformom u zadnjih 22 godine (ugrubo) te povijest svih tih firmi u zadnjih 40 godina i moje iskustvo sa tim softwerom te politikom iza istih zadnjih 20 godina (da bi shvacao sadasnje stanje stvari katkad trebas znati i povijest a kako je moj stari profa govorio "onaj koji ne poznaje povijest osuden je raditi iste greske u buducnosti"). Nisam novi Stallman (nedaj Boze) - ako mi das valjane cinjenice prilagodit cu svoje misljenje kao i svaka donekle inteligentna osoba. Dakle - ohladi.

Pa koliko sam shvatija Bubbu, jednostavno je:
Certifikati dolaze od M$ jer je reapno najpoznatiji entitet u IT svijetu, te mi je nekako logično da je i entity of trust.

Druga stvar "Zašto te to dira?" Osobno mislim da te ne dira, vec da bi volija da postoji opcija / mogucnost da taj posao realno može obaviti bilotko od povjerenja. Zašto ne rade? Because it works? U svakom slučaju, ne mijenja mi baš ništa iz strane korisnika - realno.

Pričali ste o slobodi u PC svijetu, a tu se slažem sa Bubbom. Mislim da nikad nije bila namjera da ti sa svojim računalom mozes stogod želiš (na jednostavan način). Uvik imas neku proceduru koju moras pratiti da bi nesto radilo. E sad, kad se osnovni dio procedure zadovolji, svakom na veselje, radi štogod želiš.

E sad, da li se taj dio procedure "svakom na veselje" ograničava.....osobno ne osjećam da se to događa.

Sve u svemu, koja god da je poruka, može se to i nježnije reći, odrasli smo ljudi hvala bogu.

Lazovcino, sve je srecom sacuvano u MySQL bazi -> https://forum.pcekspert.com/showthread.php?t=320509

Meni uopce ne smeta. Smeta tebi. Nitko ne shvatja zasto, a koliko vidim, niti ti. BTW, i Supermicro se da naci kao potpisnik.

Podsjetit cu te, jer vidim da je pamcenje poslovicno kratko, poceli smo sa:

Naravno, dolazimo do kljucnog dijela u kojem, gle cuda, svaki OEM ima proceduru za ubacivanje dodatnih kljuceva, pa ti ponovno nitko, ukljucivo i zli Majkrosoft, ne brani da sam potpisujes. Isprobano s Dellom, Lenovom i Supermicrom.

https://uefi.org/sites/default/files...2021_03_18.pdf - Odjeljak 32.3

Ali eto, industrija se urotila protiv tebe.

Eto, kazes da imas iskustva s ARM-om vec 22 godine. I tu te zulja Microsoft, ali te ne zulja sto osim par svijetlih primjera tipa NXP i nVidia, ostali vendori kao Marvell, Microchip, Texas Instruments, Qualcomm, Rockchip, Allwinner i jos mnogi[1] nemaju niti dokumentaciju (eFuse registarske mape i slicne detalje), niti upute, niti fusing i signing alate koji su dostupni bez teskog NDA-a? To ti nije problem, ali ti Microsoftov potpis jeste problem?

Ja sam potpuno hladan. Ti i tvoje gorljive pajde imate nevidljive neprijatelje.

https://allthecubs.com/wp-content/up...eve-carell.gif

I to nije bila samovolja Microsofta, nego su se evidentno i ostali dionici procesa slozili s time.

Pa tu je najveci problem ove diskusije - to *moze* obaviti bilo tko (*[1]YMMV, naravno).

Pa o tome tupim od pocetka. Ako zbilja moze svatko - zasto ne? Zasto Debian ne kreira svoj valjan certifikat na primjer i njega koristi? I nebres reci da ti ne smeta jer inace nebi tako reagirao. Ti vec par postova pizdis ko da sam jedan od Trollova na forumu a ne taj koji jesam i trebao bi me znati da tako ne razmisljam. Dakle da ponovim da bude kristalno jasno:

1. Zasto skoro sve distre koriste MS potpisane certifikate kao default?
2. Zasto vise provjerenih certifikata nema u opticaju od ostalih (naveo si gore Supermicro jos)?

A pitanja se temelje prije svega na ovakvim izjavama:

https://wiki.debian.org/SecureBoot

https://wiki.archlinux.org/title/Uni...ce/Secure_Boot


https://docs.redhat.com/en/documenta...ing-the-kernel

Dakle ako sam ja dokumentaciju krivo protumacio (a sudeci po tvojim postovima ocito jesam) a ti znas nesto sto ja ne znam - ona me ispravi na normalan i civiliziran nacin. To je bit foruma i razmjene informacija. Sav ovaj neukusni razgovor je mogao mnogo civiliziranije proci.

> Sav ovaj neukusni razgovor je mogao mnogo civiliziranije proci.

Nije mogao nikako.

Mislim da je Tomo, tu čisto stvar lijenosti, šta se tiče certificiranja.
Ovako moraš uzimati u obzir svakakve certifikate, a realni budimo, 95% ljudi će instalirati Microsoftov OS, pa čemu se zezati sa svakakvim supportom za certifikate.

Po meni, čisto lijenost.

Znam da bih i ja tako postupio, da izbacujem tucet uređaja po kvartalu. :D

Linux OS - info, how-to, pitanja, novosti, savjeti, problemi...
 

Opisao sam svoje iskustvo i dao čovjeku savjet. Ne vidim da sam ikoga “nagovarao”.

As always izvrčeš činjenice kako ti odgovara.

U enterpriseu je skroz druga priča a tamo je sigurnost boot procesa ipak puno bitnija nego kod kućnih korisnika. Puno najvećih firmi nema ni Windoze ni Active Directory ili ga imaju u jednoznamenkastom postotku iz ovih ili onih razloga.

Mi sada zaista pricamo o tome?

Zasto ne kreiras vlastiti CA i tulis o tome kako DigiCert, Comodo, GlobalSign i njih jos 10 drze monopol na internetu?

Jer mozes. Samo, gle cuda, moras natjerati svaki relevantni key store (dakle, ili OS ili browser) da ga implementira u sebe ili kontaktirati svaku osobu koja posjecuje tvoje mrezno mjesto da instalira tvoj CA i koristi ga. Prakticno, nema sto.

I dalje imas golemi problem u internim mrezama jer iako je ICANN nakon predugo vremena odobrio .internal (https://itp.cdn.icann.org/en/files/r...01-2024-en.pdf) jos uvijek spada pod istu grupu domena koje se ne mogu eksterno validirati i shodno tome, ne mozes koristiti neki javni i priznati CA pa imas vjecnu frustraciju i drkanje s propagiranjem privatnog CA na sve interne sustave.

Hm, ne znam, mozda zato sto je u tom kontekstu SPI nebitna organizacija i nije relevantni faktor u UEFI konzorciju?

Meni, poslovicno, smeta samo neistina i difamacija u javnom prostoru, sto ovaj forum jeste.

Mislim da smo to odgovorili vise puta kroz ovu dretvu.
Pitaj Dell, Lenovo, HP i slicne zasto ne ukljuce tvoj CA. Tri openssl naredbe te dijele od njega.

Prije svega, citas krivu dokumentaciju. I slatko mi je kako si podebljao "Microsoft" a zaboravio podebljati "or vendor certificates" ili "Lenovo CA".

Doslovce sam ti dao UEFI specifikaciju koju nisi ni pogledao. Ostatak je vendor specific, ocito, sto sam ti i rekao, te takodjer za vecinu tih vendor specifica imas njihove alate kojima mozes pristupiti. Recimo, na mojem Dellu:

Stvoris svoje kljuceve i certifikate i natocih ih gore i uzivas.

Ocito Debian i ostali imaju svoje intermediate certifikate i super, zivot ide dalje i nema drame.

Jesam, i to svaki puta. Divljanje u pjescaniku i potencijalno ne slaganje s time kako svijet funkcionira je, jebiga... izvan moje snage.

Samo da te podsjetim:

Misal smo odagnali kao krivu.

Pa je pocela prica da Microsoft nekoga blokira s necime (sto je opet ispala neistina), a dodatno se javio dezurni maliciozni shizoid sa svojim klasicnim surealnim fantazijama.

Sumarno, u praksi te uglavnom samo vendor eventualno moze sprijeciti da stavis nove certifikate i kljuceve u EFI kako bi mogao kasnije sam potpisivati (recimo) Linux kernel. Sto opet u nekim slucajevima mozes doskociti s onim vendorima i implementacijama koje imaju razne opcije eksternih TPM-ova i slicno (rijedje x86/x64, cesce embedded).

Bubba neda mi se vise ja tebi jedno a ti meni drugo. A podebljano je vec na Arch wikiju ak nisi skuzio neda mi se jos i formatirat tekst nakon sto ga pejstam.