Re: הגשת תלונה לממונה על הגבלים
שוב, ה-PK הוא משהו שגם אתה יכול לשים בעצמך ולהוסיף את המפתחות שאתה רוצה מעליו. לפי הגדרת הפרוטוקול של ה-UEFI, אם אתה מוחק את ה-DB זה מכניס את המערכת למצב setup, שם בשלב האחרון אתה מכניס מפתח ל-PK. נניח שמחר המפתח של חברה X מתברר כאחד שנפל לידיים הלא נכונות, כל מה שצריך זה להכניס אותו לרשימה השחורה ולהכניס מפתח חדש, אתה לא צריך לעשות כלום עם חלונות כדי שהיא תמשיך לעבוד פרט להכנסת המפתח שלה למפתח החדש שאתה מכניס למערכת. שוב, אני מסכים שמיקרוסופט תנצל את זה בעתיד כדי לתקוף את המתחרים שלה, יהיה קל יותר למנוע מהם לעשות את זה מאשר למנוע מהם להשתמש במערכת שבסופו של דבר אפילו ה-FSF אומרים שהם מבינים שיש הבדל בין secure boot ל-restricted boot וכל עוד המשתמש יכול להיות זה שמחליט בסופו של דבר על איזה מפתחות יהיו אצלו ב-PK ובשאר החלקים אין להם בעיה עם זה. אם כבר הייתי מוסיף דרישה שחייבים לאפשר לעשות השינויים בקלות יחסית. 2013/4/17 Oron Peled o...@actcom.co.il On Wednesday 17 April 2013 01:33:02 moshe nahmias wrote: 2013/4/17 Oron Peled o...@actcom.co.il זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל המפתחות האחרים כי הם תלויים בחתימה של המפתח הראשי (PK). אז הפיתרון הנכון לדעתי (ואתה יכול לחלוק עלי) הוא לגרום ליצרניות להכניס את המפתחות של הקוד הפתוח גם כן בנוסף למפתחות של מיקרוסופט. אנחנו דנים כאן במערכת ספציפית הנקראת secure-boot ולא במשהוא מדומיין שאולי היה יכול להיות טוב באיזה עולם אוטופי ולא קיים. אני אסביר שוב לאט: הפיתרון תוכנן כך *שלא ניתן* לבצע את מה שאמרת. יש כל מיני מפתחות אבל יש רק אחד (PK) ששווה יותר... ולא, משתמש הקצה וההפצה לא יכולים לבחור מי המפתח ששווה יותר -- מיקרוסופט כבר קבעו את זה עבורם ועבור יצרני החומרה. בתנאים אלו, אני סבור שצריך לעשות כל מאמץ לגרום לפיתרון להכשל במבחן השוק ולא לנסות להטעות אנשים כאילו שהכל נפלא ורק כמה ממורמרים מפריעים למציאות האידילית. צריך לנצל את ההזדמנות שחלונות 8 חלשה (מסיבות לא קשורות) ומיקרוסופט נמצאת בנחיתות בעולם הנייד, כדי לקבור את secure-boot קבורת חמור (כמו שקרה לסילברלייט). -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron LINUX is tied fairly closely to the 80x86. Not the way to go. - LINUX is obsolete, Andy Tanenbaum, 29 Jan 92. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Monday 15 April 2013 19:17:20 Elad Alfassa wrote: אתם פשוט מתאמצים לא להבין, נכון? אתם? אני בדרך כלל לא פונה לעצמי ברבים. תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני. בוא נתעלם לרגע קט מהסיפא של המשפט הזה ונחזור לדון בגופו של עניין. יש אפשרות למאגר מפתחות משלך, יש אפשרות לחתום על הפצות לינוקס, והפתרון של סוזה שמפורט כאן http://mjg59.dreamwidth.org/17542.html מאפשר להפצה לנהל מאגר מפתחות משלה בנוסף לשני המאגרים הרגילים (הPlatform Key והUser key) * המפתחות הללו רק עוזרים *לטען* לקבל החלטה אם לסמוך על גרעין מערכת ההפעלה או לא. * אבל כדי שהטען יורץ בכלל, Secure-Boot דורש שהוא יהיה חתום. * בקושחה יש *בדיוק* מפתח אחד עבור זה (על פי האיפיון). * אתה מוזמן לנחש של מי המפתח, ולקרוא שוב את מה שכתבתי בתשובתי הקודמת. במשפט אחד: המלחמה כאן היא, מי יהיה root-of-trust של עולם המחשבים. כל השאר זה התפלפלויות על פרטים חשובים אך משניים. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron First they ignore you, then they laugh at you, then they fight you, then you win. -- Gandhi ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
2013/4/16 Elad Alfassa e...@fedoraproject.org אתה טועה, אם הbootloader חתום עי מפתח משתמש שנמצא במאגר של הקושחה (ומשתמשים יכולים להוסיף לשם מפתחות) אז הוא ייטען אפילו אם הוא לא חתום עם מפתח של Verisign. עכשיו בבקשה תפסיקו לכתב אותי על אימיילים מהרשימה הזו. גם ההבנה שלי היא שיש רק מפתח אחד ראשוני. משתמשים לא מוספים מפתחות. מה גם שזה בקושחה כך שזה לא דבר שמוסיפים בקלות. היצרן אמור להוסיף את המפתח. בקיצור אני מסכים עם אורון, מדובר כאן במאבק מי יהיה ה Root of trust וכרגע זה רק מיקרוסופט ולא משנה עם זו חברת verisign שמקבלת את הכסף. לצורך העניין הם רק קבלן משנה של חברת מיקרוסופט. -- אורי עידן ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Monday 15 April 2013 20:30:45 Shai Berger wrote: On Monday 15 April 2013, Oron Peled wrote: * מיקרוסופט אסרה על אותם יצרני מחשבים להתקין דפדפן מתחרה (גם בנוסף לאקספלורר). מראה מקום? אני לא זוכר טענות כאלה. אני כן זוכר טענות על איסור למכור מחשבים שמותקנים מראש ל־Dual boot (דווקא בעיקר מצד BeOS, לא לינוקס), שלא הגיעו מעולם למבחן משפטי. בסיכום העדויות במשפט: http://www.justice.gov/atr/cases/f3800/msjudgex.htm נחסוך לך את החיפוש במסמך הארוך והמרתק הזה -- סעיפים 205. 206 מתארים את התקרית עם Compaq. הפרטים מעט שונים ממה שזכרתי, מיקרוסופט לא הרשו לקומפק להחליף קיצור דרך של Explorer בקיצור דרך של Navigator. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron The wonderful thing about standards is that there are so many of them to choose from. -- Grace Murray Hopper ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Tuesday 16 April 2013, Ori Idan wrote: 2013/4/16 Elad Alfassa e...@fedoraproject.org אתה טועה, אם הbootloader חתום עי מפתח משתמש שנמצא במאגר של הקושחה (ומשתמשים יכולים להוסיף לשם מפתחות) אז הוא ייטען אפילו אם הוא לא חתום עם מפתח של Verisign. גם ההבנה שלי היא שיש רק מפתח אחד ראשוני. משתמשים לא מוספים מפתחות. תקרא כאן, למשל http://mjg59.dreamwidth.org/12368.html: Most hardware you'll be able to buy towards the end of the year will be Windows 8 certified. That means that it'll be carrying a *set* of secure boot keys, and if it comes with Windows 8 pre-installed then secure boot will be enabled by default. This set of keys isn't absolutely fixed and will probably vary between manufacturers, but anything with a Windows logo will carry the Microsoft key ההדגשה שלי, רק כדי להבהיר שזה לא מפתח יחיד. וגם: ...The first is for a user to generate their own key and enrol it in their system firmware... (בדיון על פתרונות למשתמשים שרוצים לבנות kernel בעצמם). כלומר: לדעתו של מת׳יו גארט, יש הרבה מפתחות בקושחה, והמשתמש יכול להכניס מפתחות נוספים. אפשר בבקשה להמשיך את הדיון, אם בכלל, לפי עובדות? תודה, שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
[reordered, for clarity] On Tuesday 16 April 2013 12:15:40 Shai Berger wrote: אפשר בבקשה להמשיך את הדיון, אם בכלל, לפי עובדות? צודק לחלוטין, אנסה להבהיר את המונחים הטכניים כדי להסביר את הבלבול שנוצר. On Tuesday 16 April 2013, Ori Idan wrote: גם ההבנה שלי היא שיש רק מפתח אחד ראשוני. משתמשים לא מוספים מפתחות. תקרא כאן, למשל http://mjg59.dreamwidth.org/12368.html: ... That means that it'll be carrying a *set* of secure boot keys, ... ההדגשה שלי, רק כדי להבהיר שזה לא מפתח יחיד. וגם: ...The first is for a user to generate their own key and enrol it in their system firmware... כלומר: לדעתו של מת׳יו גארט, יש הרבה מפתחות בקושחה, והמשתמש יכול להכניס מפתחות נוספים. מת'יו גם צודק וגם מטעה באותו משפט. כיצד? * בקושחה יש *רק* Platform-Key אחד (PK). * ניתן לאחסן מפתחות נוספים (KEK -- Key-Exchange-Key) * אבל כול ה־KEK חייבים להיות חתומים על ידי ה־PK * אגב, בעל ה־PK (ורק הוא) יכול להוסיף בדיעבד KEK לרשימת מפתחות פסולים. [קריאה מומלצת -- http://lwn.net/Articles/447381] כלומר כשדיברתי על המפתח של המחשב לא השתמשתי לצערי בתיאור פורמלי מספיק (PK). זה מאפשר לאנשים לדבר על מפתחות ולהיות צודקים ברמה הטכנית (KEK). אני חוזר שוב על מוקד הבעיה: * מערכת Secure-Boot מתוכננת עם root-of-trust יחיד (PK). * במערכות שעברו סרטיפיקציה של חלונות-8, מקור האימון הזה הוא מיקרוסופט בלבד. * החלפת ה־PK, מורכבת, מסוכנת ותמנע boot של חלונות-8. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron Life is a sexually transmitted, 100% lethal disease. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK, בו יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם זה לא נכון אשמח לראות רפרנס). היצרנית מוסיפה את שאר המפתחות הרלוונטיים ב-KEK וב-DB ו-DBX, כלומר של עצמה ושל מיקרוסופט ואולי עוד מפתחות לפי הצורך כדי שיוכלו לקבל התקנות ועידכונים. אם אתה מדבר על root-of-trust יחיד במשמעות של חברה אחת שיוצרת מפתחות אז אין משמעות ל-PK כי מי ששם ב-PK את המפתחות זו יצרנית החומרה (לנובו, HP וכדומה), לא מיקרוסופט או verisign, אם אתה אומר שהבעיה היא שיש רק מקום אחד בו ניתן לדעת מי חתום ומי לא אז אכן ה-PK הוא הבעיה אבל אז האם יש בכלל פיתרון לענין הרוטקיט (שעד כמה שהבנתי יכול לפגוע גם בלינוקס, גם אם בסיכויים נמוכים יותר בגלל האבטחה הטובה יותר)? אם אני טועה אשמח לדעת איפה ורפרנס למקור. לגבי החלפת ה-PK, אם מחליפים את ה-PK למשהו שמאשר את המפתח של מיקרוסופט אתה עדיין תוכל להעלות את חלונות או כל מערכת הפעלה אחרת שיכולה לעבוד על המחשב הזה וחתומה עי מיקרוסופט. הדבר היחיד בהקשר הזה שמיקרוסופט מחייבת הוא ש-secure boot יהיה פעיל, כל עוד ה-PK עובד ומכיל מפתח שמאשר את המפתחות של מיקרוסופט חלונות 8 תעבוד בלי בעיה (לפחות עד שתגיע הבעיה הראשונה, אבל זה לא רלוונטי לדיון הזה) אני חושב שהמלחמה שלנו צריכה להיות לא האם להשתמש בטכנולוגיה הזו אלא איך להשתמש בה, ברגע שלא תהיה אפשרות לנצל את הטכנלוגיה הזו לרעה היא תעשה רק טוב כל עוד לא ינצלו אותה לרעה. התפקיד שלנו הוא למנוע שימוש לרעה בטכנולוגיה, לא למנוע שימוש בטכנולוגיה (אלא אם אתם נגד שימוש בכלי אבטחה מסוג זה גם אם זה לא פוגע בשום דרך בחופש של המשתמשים). לכן השאלה צריכה להיות כזו, האם אתם נגד הטכנולוגיה או נגד החברה שמציעה את השימוש בטכנולוגיה? אם הפחד שלכם הוא בגלל החברה אז תמנעו מהחברה הרלוונטית לנצל את זה לרעת המשתמשים, מאבק נכון ימנע מהם את הניצול לרעה בעתיד, מאבק לא נכון יגרום להם להיות מסוגלים לנצל את זה בעתיד כדי להשיג דברים שהם לא היו מסוגלים להשיג אחרת. 2013/4/16 Oron Peled o...@actcom.co.il [reordered, for clarity] On Tuesday 16 April 2013 12:15:40 Shai Berger wrote: אפשר בבקשה להמשיך את הדיון, אם בכלל, לפי עובדות? צודק לחלוטין, אנסה להבהיר את המונחים הטכניים כדי להסביר את הבלבול שנוצר. On Tuesday 16 April 2013, Ori Idan wrote: גם ההבנה שלי היא שיש רק מפתח אחד ראשוני. משתמשים לא מוספים מפתחות. תקרא כאן, למשל http://mjg59.dreamwidth.org/12368.html: ... That means that it'll be carrying a *set* of secure boot keys, ... ההדגשה שלי, רק כדי להבהיר שזה לא מפתח יחיד. וגם: ...The first is for a user to generate their own key and enrol it in their system firmware... כלומר: לדעתו של מת׳יו גארט, יש הרבה מפתחות בקושחה, והמשתמש יכול להכניס מפתחות נוספים. מת'יו גם צודק וגם מטעה באותו משפט. כיצד? * בקושחה יש *רק* Platform-Key אחד (PK). * ניתן לאחסן מפתחות נוספים (KEK -- Key-Exchange-Key) * אבל כול ה־KEK חייבים להיות חתומים על ידי ה־PK * אגב, בעל ה־PK (ורק הוא) יכול להוסיף בדיעבד KEK לרשימת מפתחות פסולים. [קריאה מומלצת -- http://lwn.net/Articles/447381] כלומר כשדיברתי על המפתח של המחשב לא השתמשתי לצערי בתיאור פורמלי מספיק (PK). זה מאפשר לאנשים לדבר על מפתחות ולהיות צודקים ברמה הטכנית (KEK). אני חוזר שוב על מוקד הבעיה: * מערכת Secure-Boot מתוכננת עם root-of-trust יחיד (PK). * במערכות שעברו סרטיפיקציה של חלונות-8, מקור האימון הזה הוא מיקרוסופט בלבד. * החלפת ה־PK, מורכבת, מסוכנת ותמנע boot של חלונות-8. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron Life is a sexually transmitted, 100% lethal disease. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Tuesday 16 April 2013 19:14:53 moshe nahmias wrote: אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK, בו יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם זה לא נכון אשמח לראות רפרנס). זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל המפתחות האחרים כי הם תלויים בחתימה של המפתח הראשי (PK). היצרנית מוסיפה את שאר המפתחות הרלוונטיים ב-KEK וב-DB ו-DBX, כלומר של עצמה ושל מיקרוסופט ואולי עוד מפתחות לפי הצורך כדי שיוכלו לקבל התקנות ועידכונים. אתה ממשיך להתרכז בקבלני הביצוע -- זה לא מעניין בכלל. יצרני המחשבים הגדולים מייצרים כבר שנים חומרה בדיוק לפי ההכתבות של מיקרוסופט ומי שמעז למרוד, מיקרוסופט משתמשים בו כדוגמא ומופת לכל האחרים. אם אתה חושב שמשהו מזה השתנה בשנים האחרונות (כי Dell מייצרים שניים ורבע דגמים עם לינוקס), אתה מוזמן לקרוא קצת על הטקטיקות בהן מיקרוסופט קברה את כל הנטבוקים לפני כמה שנים (להזכירך, כל הדגמים הראשונים יצאו עם התקנות לינוקס שונות ומשונות). אם אתה מדבר על root-of-trust יחיד במשמעות של חברה אחת שיוצרת מפתחות אז אין משמעות ל-PK כי מי ששם ב-PK את המפתחות זו יצרנית החומרה (לנובו, HP וכדומה), לא מיקרוסופט או verisign, לפי התיאור שלך אתה יכול להסביר מדוע כל הגורמים שמנסים להתאים את לינוקס (כולל מת'יו גארט המהולל) היו צריכים לפנות למיקרוסופט/ווריסיין ולא ליצרניי המחשבים? הסיבה מאוד פשוטה -- יצרני המחשבים שותלים את המפתחות שמיקרוסופט מספקים להם כחלק מתהליך היצור (כדי לקבל הסמכה לחלונות 8). אם אתה אומר שהבעיה היא שיש רק מקום אחד בו ניתן לדעת מי חתום ומי לא אז אכן ה-PK הוא הבעיה בינגו -- עכשיו תסביר את זה לכל אלו שעדיין חושבים שאפשר להתקין הרבה מפתחות... אבל אז האם יש בכלל פיתרון לענין הרוטקיט (שעד כמה שהבנתי יכול לפגוע גם בלינוקס, גם אם בסיכויים נמוכים יותר בגלל האבטחה הטובה יותר)? האפיון הנוכחי של secure-boot תוכנן כדי *למנוע* פיתרון יותר טוב ולהשאיר את המפתחות של המכונית בידיים של גורם אחד. ברור שכל אפיון שהיה מאפשר *אוסף* של PK במקום אחד בלבד לא היה יוצר את הדילמה הקשה הזו: * יצרנים היו יכולים להוסיף בתהליך היצור *כמה* מפתחות * אם הפצות הלינוקס היו מקימות גורם חתימה משותף (למשל Linux-foundation) אז אולי ליצרני החומרה היתה מוטיבציה להוסיף את המפתח הזה. * גם אם לא היה קורה דבר כזה, אז לכל הפצה היתה יכולת לתדרך משתמשים כיצד *להוסיף* את המפתח שלה מבלי לאבד את המפתחות האחרים (של מיקרוסופט). * זה היה מאפשר גם לחברות גדולות להוסיף את המפתחות שלהן למחשבי החברה. * ואפילו למפתחי תוכנה חופשית ליצור ולהוסיף מפתחות פרטיים משל עצמם. לגבי החלפת ה-PK, אם מחליפים את ה-PK למשהו שמאשר את המפתח של מיקרוסופט אתה עדיין תוכל להעלות את חלונות... אלו דמיונות פורחים באוויר: * גם מערכת ההפעלה יכולה לבדוק את ה־PK * המטרה היא כדי להוכיח שהמחשב אינו נגוע (עיין ערך WGA). * חלונות 8 לא תרוץ על מחשבים עם PK זר. הערה: זה בסך הכל הרחבה של רעיון ה־WGA שמופעל כבר מוויסטה. לדוגמא, לפני כמה שנים, אלפי משתמשי חלונות חוקיים גילו שהמחשב שלהם התחיל לעבוד ברזולוציה גרועה. לאחר בירור הסתבר שעקב באג, WGA סימן אותם כמשתמשים לא מורשים והדרייברים הגיבו בפעולת תגמול. ... כל עוד ה-PK עובד ומכיל מפתח שמאשר את המפתחות של מיקרוסופט חלונות 8 תעבוד בלי בעיה אתה טוען ש־PK זר יחתום על מפתחות של מיקרוסופט וחלונות 8 תמשיך לרוץ... תקרא לי כשתראה כזה דבר... חזירים מעופפים זה מחזה מרהיב... אני חושב שהמלחמה שלנו צריכה להיות לא האם להשתמש בטכנולוגיה הזו אלא איך להשתמש בה, ברגע שלא תהיה אפשרות לנצל את הטכנלוגיה הזו לרעה היא תעשה רק טוב אני חושב שהסברתי שהטכנולוגיה *הזו* תוכננה לשימוש לרעה (אחרת לא היו מכתיבים אילוץ ל־PK אחד ויחיד). כל עוד לא ינצלו אותה לרעה. התפקיד שלנו הוא למנוע שימוש לרעה בטכנולוגיה, לא למנוע שימוש בטכנולוגיה אילוץ של מפתח בודד, כל יכול, היא שימוש לרעה בטכנולוגית הצפנה. התפקיד שלנו למנוע את השימוש הזה. לכן השאלה צריכה להיות כזו, האם אתם נגד הטכנולוגיה או נגד החברה שמציעה את השימוש בטכנולוגיה? במקרה הספציפי הזה אין שום הפרדה: החברה *שאוכפת* (לא מציעה) את הטכנולוגיה הזאת, דאגה לכך שהיא תהיה בעייתית עבור עולם התכנה החופשית. לטענתי, זוהי המטרה *האסטרטגית* של הטכנולוגיה הזו, ונושא האבטחה הוא טקטי לחלוטין ובעיקר מהווה מסך עשן מצויין (כמו שהפתיל הזה ודומיו מוכיחים). אם הפחד שלכם הוא בגלל החברה אז תמנעו מהחברה הרלוונטית לנצל את זה לרעת המשתמשים, מאבק נכון ימנע מהם את הניצול לרעה בעתיד, מאבק לא נכון יגרום להם להיות מסוגלים לנצל את זה בעתיד כדי להשיג דברים שהם לא היו מסוגלים להשיג אחרת. בראבו! הדרך להשיג את מה שאתה מציע הוא לגרום לטכנולוגיה הזו להכשל במבחן השוק: * אני יודע שזה לא קל. * מת'יו גארט משוכנע שהקרב הוכרע כבר -- אני חולק עליו. * אני גם זוכר מצב דומה לפני כ־12 שנה עם Paladium -- הם לא ממש הצליחו אז. * מיקרוסופט נמצאים היום במצב הרבה יותר פגיע מאז (שוק ה־mobile לא סופר אותם) * אין שום צורך לעזור להם עם פתרונות עקומים עבור לינוקס * עדיף שמוצרים שעובדים עם secure-boot לא יעבדו עם לינוקס * זה יאלץ יצרני חומרה *לבחור*. * אם הלחץ של היצרנים יהיה גדול, מיקרוסופט יתקפלו (יאפשרו לחלונות 8 לרוץ גם כאשר הקושחה נמצאת במצב לא מאובטח). * מי שחושב שלמיקרוסופט לא תהיה סיבה להתקפל, מוזמן לבדוק את המכירות הנוכחיות של חלונות 8 (לא משהו...) * מי שחושב שהבחירה של יצרני המחשבים מובנת מאליה, מוזמן לבדוק מה שלום נוקיה. אני *לא טוען* שההצלחה שלנו מובטחת מאליה או שזה קלי קלות -- ההפך מכך. אלא שאנשים
Re: הגשת תלונה לממונה על הגבלים
2013/4/17 Oron Peled o...@actcom.co.il אגב, נזכרתי... On Wednesday 17 April 2013 00:19:05 Oron Peled wrote: * מת'יו גארט משוכנע שהקרב הוכרע כבר -- אני חולק עליו. אתם זוכרים את סילברלייט ואת הניסיון הנואש לייצר לו פיתרון לינוקסי תואם (מונלייט)? גם אז היה איום שהטכנולוגיה המיקרוסופטית הזאת או-טו-טו כובשת את האינטרנט ואנחנו נשאר מנותקים. מישהו עוד זוכר את הקישקוש הזה? מה לדעתכם מצבן של חברות שהימרו על הטכנולוגיה הזו, כי זה של מיקרוסופט אז זה בטוח יצליח? (לעומת חברות שהלכו על HTML5, JS, וכו'). אז לא צריך להכנס לפאניקה, למרות הסיכון. צריך לעבוד על פתרונות נכונים ולהסביר לאט ומסודר מה רע בפיתרונות שמיקרוסופט מנסה לדחוף. השאלה היא לא האם מיקרוסופט תנצח פה, אלא האם הפיתרון הזה הוא טוב/נכון לביצוע, הרי בסופו של דבר גם אם היא תפסיד בקרב הזה הטכנולוגיה לא תיעלם ותחזור לעשות לנו בעיות (קהילת הקוד הפתוח/תכנה חופשית). -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron Some people have a life, others have Windows to tell them where they want to go today - Ronald C.F. Antony ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
להערכתי הסיבה למפתח ראשי בודד היא גם כי יצרני המחשבים לא הביעו עניין רב בניהול של מאגר אישורים בעצמם, וגם לא בהקמה של גוף מאוחד שינהל את האישורים בשמם. סיבה נוספת למפתח ראשי בודד נובעת כמובן גם מאילוצי מקום, ולכן כנראה בלתי אפשרי לשמור כמות לא מוגבלת של מפתחות, אם כי ככל הנראה מחירי רכיבי הזיכרון אינו גבוה במיוחד ולכן כנראה אין מניעה טכנית להגביל את המערכת לחמישה מפתחות, למשל. לגבי אישורי ההפצות, אני לא בטוח כלל אם ההליך כרוך בתשלום חד פעמי של 99$ בלבד, ולהערכתי הוא כרוך בהליך הסמכה ל־SecureBoot שעלול לעלות כסף רב ולקחת זמן עבור כל גורם שירצה לעבור את ההסמכה, בדומה להליכי ההסמכה שמיקרוסופט עצמם נוהגים לדרוש ממפתים להעביר בהם יישומים ב־Windows (למרות שכיום עדיין אין לזה חשיבות רבה) כדי לאפשר להם להופיע ב־Windows Store, להתקין מנהלי התקנים אם צריך, וכנראה גם לקבל הטבות נוספות. לגבי המחיר של האישור עצמו, אני חושש שמדובר בחתימה לזמן מוגבל בעלות של 99$ אותה יידרשו הבעלים החוקיים לחדש בכל פרק זמן נתון. הבעיה בה צריך להתמקד כנראה הוא הפריבילגיה שמיקרוסופט קיבלו להופיע כבררת מחדל בכל המחשבים, והזכות לנהל את המאגר, מה שעשוי לגרום להם להטיל קשיים ומגבלות על גורמים אחרים להתקבל לחוג המצומצם של מערכות הפעלה המורשות להתקנה על מחשבים אישיים. -- Tomer Cohen http://tomercohen.com ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
2013/4/17 Oron Peled o...@actcom.co.il On Tuesday 16 April 2013 19:14:53 moshe nahmias wrote: אני חושב שפיספסת דבר חשוב, החלק היחיד שיכול להיות בו מפתח בודד הוא ה-PK, בו יש מפתח של יצרנית המחשב (לפחות לפי ההרצאה של מת'יו גארט בדקה 32 בערך, אם זה לא נכון אשמח לראות רפרנס). זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל המפתחות האחרים כי הם תלויים בחתימה של המפתח הראשי (PK). אז הפיתרון הנכון לדעתי (ואתה יכול לחלוק עלי) הוא לגרום ליצרניות להכניס את המפתחות של הקוד הפתוח גם כן בנוסף למפתחות של מיקרוסופט. אתה מאפשר את החופש למשתמשים לבחור באפשרות של secure boot, לבחור במיקרוסופט או בקוד פתוח והבחירה היא של המשתמש, לא שלך או שלי. בנוסף, ליצרניות אין אינטרס לעשות לקהילת הקוד הפתוח בעיות. אם מיקרוסופט תדרוש מהיצרניות לבטל את המפתחות של הקוד הפתוח כבר תוכל לגרום בקלות יחסית לכל מי שצריך להיכנס במיקרוסופט. היצרנית מוסיפה את שאר המפתחות הרלוונטיים ב-KEK וב-DB ו-DBX, כלומר של עצמה ושל מיקרוסופט ואולי עוד מפתחות לפי הצורך כדי שיוכלו לקבל התקנות ועידכונים. אתה ממשיך להתרכז בקבלני הביצוע -- זה לא מעניין בכלל. יצרני המחשבים הגדולים מייצרים כבר שנים חומרה בדיוק לפי ההכתבות של מיקרוסופט ומי שמעז למרוד, מיקרוסופט משתמשים בו כדוגמא ומופת לכל האחרים. אם אתה חושב שמשהו מזה השתנה בשנים האחרונות (כי Dell מייצרים שניים ורבע דגמים עם לינוקס), אתה מוזמן לקרוא קצת על הטקטיקות בהן מיקרוסופט קברה את כל הנטבוקים לפני כמה שנים (להזכירך, כל הדגמים הראשונים יצאו עם התקנות לינוקס שונות ומשונות). אני לא חושב שזה השתנה לצערי, גם אם למראית עין זה השתנה. אבל זה רק מוכיח שהמלחמה שלנו צריכה להיות לא נגד השימוש בטכנולוגיה אלא באיפשור של שימוש בתכנה חופשית על החומרה הרלוונטית, אם וכאשר היצרניות יפסיקו לפחד ממיקרוסופט אנחנו כבר ננצח. כדי שזה יקרה צריך שיהיה מפתח של ה-FSF או ה-linux foundation שיבוא בנוסף למפתח של מיקרוסופט. אם נלך נגד מיקרוסופט ההימור הוא שלנו, לא של מיקרוסופט, זה לא מצב שאם מיקרוסופט מפסידה אנחנו מנצחים בוודאות כי יש עוד מתחרים. בנוסף, אם אנשים לא ירצו לעבור ללינוקס/מערכות הפעלה חופשיות בגלל שזה לא עובד עם לינוקס אנחנו לא נרוויח כלום מכך שהם לא רוצים את חלונות 8 כי הם יצטרכו לבטל את ה-secure boot כדי להפעיל את הלינוקס, לרוב הם יעדיפו כבר להוריד חלונות 7 או להתקין עותק חוקי שכבר יש להם מאשר להתקין לינוקס. לעומת זאת אם הם יכולים להתקין לינוקס כדי להחליף את המערכת יש סיכוי שהם ינסו. אם אתה מדבר על root-of-trust יחיד במשמעות של חברה אחת שיוצרת מפתחות אז אין משמעות ל-PK כי מי ששם ב-PK את המפתחות זו יצרנית החומרה (לנובו, HP וכדומה), לא מיקרוסופט או verisign, לפי התיאור שלך אתה יכול להסביר מדוע כל הגורמים שמנסים להתאים את לינוקס (כולל מת'יו גארט המהולל) היו צריכים לפנות למיקרוסופט/ווריסיין ולא ליצרניי המחשבים? כי הם החברה היחידה שמוכנה לעשות את המפתחות נכון לעכשיו, כמו שנאמר פה קודם גם ה-FSF יכולים להיות גוף שעושה את המפתחות הללו ואם יש להם מספיק כסף עבור זה הם גם יהיו מוכרים בתחום. הסיבה מאוד פשוטה -- יצרני המחשבים שותלים את המפתחות שמיקרוסופט מספקים להם כחלק מתהליך היצור (כדי לקבל הסמכה לחלונות 8). לא מדויק, הסיבה שהם מפעילים את ה-secure boot זה כדי לקבל את האישור של חלונות 8, הם יכולים באותה המידה להגדיר מפתח נוסף לטובת הקוד הפתוח. אם אתה אומר שהבעיה היא שיש רק מקום אחד בו ניתן לדעת מי חתום ומי לא אז אכן ה-PK הוא הבעיה בינגו -- עכשיו תסביר את זה לכל אלו שעדיין חושבים שאפשר להתקין הרבה מפתחות... אתה יכול להתקין הרבה מפתחות, זה פשוט מגיע בשלב מאוחר יותר ולא בקושחה של המחשב. לכן אתה צריך חברה שתשמש כיצרנית מפתחות. כרגע יש רק את מיקרוסופט בגלל סיבות שונות, אבל תיאורתית כל אחד יכול לעשות את זה. אבל אז האם יש בכלל פיתרון לענין הרוטקיט (שעד כמה שהבנתי יכול לפגוע גם בלינוקס, גם אם בסיכויים נמוכים יותר בגלל האבטחה הטובה יותר)? האפיון הנוכחי של secure-boot תוכנן כדי *למנוע* פיתרון יותר טוב ולהשאיר את המפתחות של המכונית בידיים של גורם אחד. האיפיון הזה נוצר עי ה-UEFI, לא עי מיקרוסופט וגם אם הם חברים שם (אני לא יודע איך זה עובד ואין רשימה מסודרת של אירגונים חברים שם), אני בטוח שיש אינטרסים לחברות אחרות לא לאפשר למיקרוסופט להיות השליטה היחידה בתחום. ברור שכל אפיון שהיה מאפשר *אוסף* של PK במקום אחד בלבד לא היה יוצר את הדילמה הקשה הזו: * יצרנים היו יכולים להוסיף בתהליך היצור *כמה* מפתחות * אם הפצות הלינוקס היו מקימות גורם חתימה משותף (למשל Linux-foundation) אז אולי ליצרני החומרה היתה מוטיבציה להוסיף את המפתח הזה. * גם אם לא היה קורה דבר כזה, אז לכל הפצה היתה יכולת לתדרך משתמשים כיצד *להוסיף* את המפתח שלה מבלי לאבד את המפתחות האחרים (של מיקרוסופט). * זה היה מאפשר גם לחברות גדולות להוסיף את המפתחות שלהן למחשבי החברה. * ואפילו למפתחי תוכנה חופשית ליצור ולהוסיף מפתחות פרטיים משל עצמם. אתה יכול לעשות את זה גם במצב הנוכחי, אבל כדי לסמוך על המפתח אתה צריך שמישהו בעל אמינות עבור המשתמש יגיד שזה אמין, בדיוק מאותה הסיבה שיש חתימות על החבילות שאתה מוריד במערכת הם עושים את זה ואם יש חבילה עם מפתח לא תואם היא לא תותקן בלי אישור שלך (מצב שקיים גם כשאתה עובד עם shim שכתב מת'יו וניתן לביצוע באופן יחסית מורכב גם עם המצב הרגיל של המערכת), עבור אבטחה (ומניעת הפעלת דברים שהם לא רוצים שנכלל גם באבטחה וגם בדברים אחרים). לכן המטרה שלנו צריכה להיות לאפשר את האבטחה אבל לא את הדברים האחרים. לגבי החלפת ה-PK, אם מחליפים את ה-PK למשהו שמאשר את המפתח של מיקרוסופט אתה
Re: הגשת תלונה לממונה על הגבלים
On Wednesday 17 April 2013 01:33:02 moshe nahmias wrote: 2013/4/17 Oron Peled o...@actcom.co.il זה נכון, וזו בדיוק הבעיה. אפשר להתעלם מהבלבול שיוצרים כל המפתחות האחרים כי הם תלויים בחתימה של המפתח הראשי (PK). אז הפיתרון הנכון לדעתי (ואתה יכול לחלוק עלי) הוא לגרום ליצרניות להכניס את המפתחות של הקוד הפתוח גם כן בנוסף למפתחות של מיקרוסופט. אנחנו דנים כאן במערכת ספציפית הנקראת secure-boot ולא במשהוא מדומיין שאולי היה יכול להיות טוב באיזה עולם אוטופי ולא קיים. אני אסביר שוב לאט: הפיתרון תוכנן כך *שלא ניתן* לבצע את מה שאמרת. יש כל מיני מפתחות אבל יש רק אחד (PK) ששווה יותר... ולא, משתמש הקצה וההפצה לא יכולים לבחור מי המפתח ששווה יותר -- מיקרוסופט כבר קבעו את זה עבורם ועבור יצרני החומרה. בתנאים אלו, אני סבור שצריך לעשות כל מאמץ לגרום לפיתרון להכשל במבחן השוק ולא לנסות להטעות אנשים כאילו שהכל נפלא ורק כמה ממורמרים מפריעים למציאות האידילית. צריך לנצל את ההזדמנות שחלונות 8 חלשה (מסיבות לא קשורות) ומיקרוסופט נמצאת בנחיתות בעולם הנייד, כדי לקבור את secure-boot קבורת חמור (כמו שקרה לסילברלייט). -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron LINUX is tied fairly closely to the 80x86. Not the way to go. - LINUX is obsolete, Andy Tanenbaum, 29 Jan 92. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. אני לא אהלל אותו יותר מדי; אבל יש לציין שמת׳יו גארט, שמבין כנראה יותר בענייני boot מכל אחד אחר על הפלנטה, מציג בסה״כ עמדה די חיובית כלפיו: http://mjg59.dreamwidth.org/12897.html http://mjg59.dreamwidth.org/13061.html (תודה, אלעד). ובעניין ניצול המונופול: אכן, מיקרוסופט, כזו שבשליטתה המפתח היחידי (כנראה) שיהיה נפוץ על כל מערכות ה־Desktop, תחזיק ביכולת יחודית לבטל את המפתחות של כל האחרים (שיסתמכו עליו; כך עושים פדורה וה־Linux Foundation). אבל היא לא משתמשת בזה כדי לייצר הכנסות לעצמה (אישור עולה 99$, פעם אחת לארגון פיתוח, והכסף כאמור הולך ל־Verisign; אורי, תסתכל ב־http://mjg59.dreamwidth.org/12368.html), ולכן, בינתיים, היא גם לא מבצעת שום עבירת הגבלים עסקיים. למעשה, העלות הזו היא מה שנקרא RAND – סביר ולא מפלה – ובעולם העסקי, זה נחשב מאוד פתוח ושיתופי. נכון, זה בעייתי לתוכנה חופשית, אבל אף רגולטור שפוי לא יפעל כנגד זה, ללא הוכחה מוצקה של ניצול הכח לרעה. שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. אני לא אהלל אותו יותר מדי; אבל יש לציין שמת׳יו גארט, שמבין כנראה יותר בענייני boot מכל אחד אחר על הפלנטה, מציג בסה״כ עמדה די חיובית כלפיו: http://mjg59.dreamwidth.org/12897.html http://mjg59.dreamwidth.org/13061.html (תודה, אלעד). ובעניין ניצול המונופול: אכן, מיקרוסופט, כזו שבשליטתה המפתח היחידי (כנראה) שיהיה נפוץ על כל מערכות ה־Desktop, תחזיק ביכולת יחודית לבטל את המפתחות של כל האחרים (שיסתמכו עליו; כך עושים פדורה וה־Linux Foundation). אבל היא לא משתמשת בזה כדי לייצר הכנסות לעצמה (אישור עולה 99$, פעם אחת לארגון פיתוח, והכסף כאמור הולך ל־Verisign; אורי, תסתכל ב־http://mjg59.dreamwidth.org/12368.html), ולכן, בינתיים, היא גם לא מבצעת שום עבירת הגבלים עסקיים. למעשה, העלות הזו היא מה שנקרא RAND – סביר ולא מפלה – ובעולם העסקי, זה נחשב מאוד פתוח ושיתופי. נכון, זה בעייתי לתוכנה חופשית, אבל אף רגולטור שפוי לא יפעל כנגד זה, ללא הוכחה מוצקה של ניצול הכח לרעה. שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot על x86. על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM, כי לא הולך להם עם הטאבלטים. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לדקויות האלה אין מקום בדיון. הכוונה הייתה להגבלה גורפת שלא ניתן לכבות כלל (וגם כתבתי זאת). Yaron Shahrabani Hebrew translator 2013/4/15 Elad Alfassa e...@fedoraproject.org אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. אני לא אהלל אותו יותר מדי; אבל יש לציין שמת׳יו גארט, שמבין כנראה יותר בענייני boot מכל אחד אחר על הפלנטה, מציג בסה״כ עמדה די חיובית כלפיו: http://mjg59.dreamwidth.org/12897.html http://mjg59.dreamwidth.org/13061.html (תודה, אלעד). ובעניין ניצול המונופול: אכן, מיקרוסופט, כזו שבשליטתה המפתח היחידי (כנראה) שיהיה נפוץ על כל מערכות ה־Desktop, תחזיק ביכולת יחודית לבטל את המפתחות של כל האחרים (שיסתמכו עליו; כך עושים פדורה וה־Linux Foundation). אבל היא לא משתמשת בזה כדי לייצר הכנסות לעצמה (אישור עולה 99$, פעם אחת לארגון פיתוח, והכסף כאמור הולך ל־Verisign; אורי, תסתכל ב־http://mjg59.dreamwidth.org/12368.html), ולכן, בינתיים, היא גם לא מבצעת שום עבירת הגבלים עסקיים. למעשה, העלות הזו היא מה שנקרא RAND – סביר ולא מפלה – ובעולם העסקי, זה נחשב מאוד פתוח ושיתופי. נכון, זה בעייתי לתוכנה חופשית, אבל אף רגולטור שפוי לא יפעל כנגד זה, ללא הוכחה מוצקה של ניצול הכח לרעה. שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
אני חושב שברגע שאתה מחייב לאפשר לכבות פיצ'ר מסויים רק בביוס אתה מונע מכל מי שלא יודע לעשות את זה להתקע עם המערכת שלך. לדעתי אפשר לדרוש להיות מסוגלים להתעסק עם זה בלחיצת כפתור (כמו שכדי לשנות את סדר הכוננים בהעלאת המחשב אפשר בלחיצת כפתור בחלק מהמחשבים היום), אחרת זה לא נועד להגנה אלא לפגיעה ביכולת של משתמש פשוט להשתמש במוצרים לא חתומים. אגב, אם מישהו רוצה לקמפל את מערכת ההפעלה שלו, איך הוא משיג את האישורים הרלוונטיים? ובהנחה ואין לו בעיה לעשות את זה, מה הבעיה של התכנה הזדונית להשיג את אותו הדבר? אם יש למקמפל קושי בהשגת המידע/מה שלא יהיה אז זה מקשה על כל מי שרוצה לראות את קוד המקור ולקמפל בעצמו (אני מניח שלא צריך לעשות אישור משלי כדי לקמפל קרנל לינוקס שאני לא מעביר הלאה את הקובץ הבינארי). אם אני טועה אשמח שתתקנו אותי 2013/4/15 Elad Alfassa e...@fedoraproject.org בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot על x86. על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM, כי לא הולך להם עם הטאבלטים. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לדקויות האלה אין מקום בדיון. הכוונה הייתה להגבלה גורפת שלא ניתן לכבות כלל (וגם כתבתי זאת). Yaron Shahrabani Hebrew translator 2013/4/15 Elad Alfassa e...@fedoraproject.org אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. אני לא אהלל אותו יותר מדי; אבל יש לציין שמת׳יו גארט, שמבין כנראה יותר בענייני boot מכל אחד אחר על הפלנטה, מציג בסה״כ עמדה די חיובית כלפיו: http://mjg59.dreamwidth.org/12897.html http://mjg59.dreamwidth.org/13061.html (תודה, אלעד). ובעניין ניצול המונופול: אכן, מיקרוסופט, כזו שבשליטתה המפתח היחידי (כנראה) שיהיה נפוץ על כל מערכות ה־Desktop, תחזיק ביכולת יחודית לבטל את המפתחות של כל האחרים (שיסתמכו עליו; כך עושים פדורה וה־Linux Foundation). אבל היא לא משתמשת בזה כדי לייצר הכנסות לעצמה (אישור עולה 99$, פעם אחת לארגון פיתוח, והכסף כאמור הולך ל־Verisign; אורי, תסתכל ב־http://mjg59.dreamwidth.org/12368.html), ולכן, בינתיים, היא גם לא מבצעת שום עבירת הגבלים עסקיים. למעשה, העלות הזו היא מה שנקרא RAND – סביר ולא מפלה – ובעולם העסקי, זה נחשב מאוד פתוח ושיתופי. נכון, זה בעייתי לתוכנה חופשית, אבל אף רגולטור שפוי לא יפעל כנגד זה, ללא הוכחה מוצקה של ניצול הכח לרעה. שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
מישהו שיודע לקמפל את מערכת ההפעלה שלו יודע לנטרל פיצ'ר בקושחה של המחשב. שינוי סדר עליית הכוננים קשה באותה מידה. אם אתה רוצה להפיץ מערכת הפעלה משלך, יש לך שתי ברירות, או לבקש מהמשתמשים לבטל את האפשרות בקושחה (הרבה הפצות עושות את זה) או לשלם לVerisign את הסכום הנמוך יחסית של 99$, להציג בפניהם תעודה מזהה, ולקבל הביתה כרטיס חכם שישמש להתחברות למערכת שלהם שתיתן לך אפשרות לחתום על הקבצים הבינאריים. יש בשרשור הזה המון קישורים לבלוג של מת'יו גארט שכל זה מפורט שם, כולל הרצאה של שעה וחצי על הסכנות והיתרונות של הטכנולוגיה ועל העמדות של יצרנים שונים (גוגל, מיקרוסופט, אפל) בנושא. למה שלא תקראו את הקישורים ותראו את ההרצאה לפני שאתם מגבשים דעה על נושא שאתם בפירוש לא מבינים בו כלום? 2013/4/15 moshe nahmias mosheg...@gmail.com אני חושב שברגע שאתה מחייב לאפשר לכבות פיצ'ר מסויים רק בביוס אתה מונע מכל מי שלא יודע לעשות את זה להתקע עם המערכת שלך. לדעתי אפשר לדרוש להיות מסוגלים להתעסק עם זה בלחיצת כפתור (כמו שכדי לשנות את סדר הכוננים בהעלאת המחשב אפשר בלחיצת כפתור בחלק מהמחשבים היום), אחרת זה לא נועד להגנה אלא לפגיעה ביכולת של משתמש פשוט להשתמש במוצרים לא חתומים. אגב, אם מישהו רוצה לקמפל את מערכת ההפעלה שלו, איך הוא משיג את האישורים הרלוונטיים? ובהנחה ואין לו בעיה לעשות את זה, מה הבעיה של התכנה הזדונית להשיג את אותו הדבר? אם יש למקמפל קושי בהשגת המידע/מה שלא יהיה אז זה מקשה על כל מי שרוצה לראות את קוד המקור ולקמפל בעצמו (אני מניח שלא צריך לעשות אישור משלי כדי לקמפל קרנל לינוקס שאני לא מעביר הלאה את הקובץ הבינארי). אם אני טועה אשמח שתתקנו אותי 2013/4/15 Elad Alfassa e...@fedoraproject.org בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot על x86. על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM, כי לא הולך להם עם הטאבלטים. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לדקויות האלה אין מקום בדיון. הכוונה הייתה להגבלה גורפת שלא ניתן לכבות כלל (וגם כתבתי זאת). Yaron Shahrabani Hebrew translator 2013/4/15 Elad Alfassa e...@fedoraproject.org אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. אני לא אהלל אותו יותר מדי; אבל יש לציין שמת׳יו גארט, שמבין כנראה יותר בענייני boot מכל אחד אחר על הפלנטה, מציג בסה״כ עמדה די חיובית כלפיו: http://mjg59.dreamwidth.org/12897.html http://mjg59.dreamwidth.org/13061.html (תודה, אלעד). ובעניין ניצול המונופול: אכן, מיקרוסופט, כזו שבשליטתה המפתח היחידי (כנראה) שיהיה נפוץ על כל מערכות ה־Desktop, תחזיק ביכולת יחודית לבטל את המפתחות של כל האחרים (שיסתמכו עליו; כך עושים פדורה וה־Linux Foundation). אבל היא לא משתמשת בזה כדי לייצר הכנסות לעצמה (אישור עולה 99$, פעם אחת לארגון פיתוח, והכסף כאמור הולך ל־Verisign; אורי, תסתכל ב־http://mjg59.dreamwidth.org/12368.html), ולכן, בינתיים, היא גם לא מבצעת שום עבירת הגבלים עסקיים. למעשה, העלות הזו היא מה שנקרא RAND – סביר ולא מפלה – ובעולם העסקי, זה נחשב מאוד פתוח ושיתופי. נכון, זה בעייתי לתוכנה חופשית, אבל אף רגולטור שפוי לא יפעל כנגד זה, ללא הוכחה מוצקה של ניצול הכח לרעה. שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions --
Re: הגשת תלונה לממונה על הגבלים
תיקון קטן. הסכום מועבר ל verisign דרך מיקרוסופט. אין למיטב ידיעתי דרך אחרת לרכוש חתימה. זה רע מאד שיש רק ספק אחד בעולם שיכול לאשר ולתת חתימה. זה כבר עניין לממונה על ההגבלים העסקיים. -- אורי עידן 2013/4/15 Elad Alfassa e...@fedoraproject.org מישהו שיודע לקמפל את מערכת ההפעלה שלו יודע לנטרל פיצ'ר בקושחה של המחשב. שינוי סדר עליית הכוננים קשה באותה מידה. אם אתה רוצה להפיץ מערכת הפעלה משלך, יש לך שתי ברירות, או לבקש מהמשתמשים לבטל את האפשרות בקושחה (הרבה הפצות עושות את זה) או לשלם לVerisign את הסכום הנמוך יחסית של 99$, להציג בפניהם תעודה מזהה, ולקבל הביתה כרטיס חכם שישמש להתחברות למערכת שלהם שתיתן לך אפשרות לחתום על הקבצים הבינאריים. יש בשרשור הזה המון קישורים לבלוג של מת'יו גארט שכל זה מפורט שם, כולל הרצאה של שעה וחצי על הסכנות והיתרונות של הטכנולוגיה ועל העמדות של יצרנים שונים (גוגל, מיקרוסופט, אפל) בנושא. למה שלא תקראו את הקישורים ותראו את ההרצאה לפני שאתם מגבשים דעה על נושא שאתם בפירוש לא מבינים בו כלום? 2013/4/15 moshe nahmias mosheg...@gmail.com אני חושב שברגע שאתה מחייב לאפשר לכבות פיצ'ר מסויים רק בביוס אתה מונע מכל מי שלא יודע לעשות את זה להתקע עם המערכת שלך. לדעתי אפשר לדרוש להיות מסוגלים להתעסק עם זה בלחיצת כפתור (כמו שכדי לשנות את סדר הכוננים בהעלאת המחשב אפשר בלחיצת כפתור בחלק מהמחשבים היום), אחרת זה לא נועד להגנה אלא לפגיעה ביכולת של משתמש פשוט להשתמש במוצרים לא חתומים. אגב, אם מישהו רוצה לקמפל את מערכת ההפעלה שלו, איך הוא משיג את האישורים הרלוונטיים? ובהנחה ואין לו בעיה לעשות את זה, מה הבעיה של התכנה הזדונית להשיג את אותו הדבר? אם יש למקמפל קושי בהשגת המידע/מה שלא יהיה אז זה מקשה על כל מי שרוצה לראות את קוד המקור ולקמפל בעצמו (אני מניח שלא צריך לעשות אישור משלי כדי לקמפל קרנל לינוקס שאני לא מעביר הלאה את הקובץ הבינארי). אם אני טועה אשמח שתתקנו אותי 2013/4/15 Elad Alfassa e...@fedoraproject.org בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot על x86. על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM, כי לא הולך להם עם הטאבלטים. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לדקויות האלה אין מקום בדיון. הכוונה הייתה להגבלה גורפת שלא ניתן לכבות כלל (וגם כתבתי זאת). Yaron Shahrabani Hebrew translator 2013/4/15 Elad Alfassa e...@fedoraproject.org אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. אני לא אהלל אותו יותר מדי; אבל יש לציין שמת׳יו גארט, שמבין כנראה יותר בענייני boot מכל אחד אחר על הפלנטה, מציג בסה״כ עמדה די חיובית כלפיו: http://mjg59.dreamwidth.org/12897.html http://mjg59.dreamwidth.org/13061.html (תודה, אלעד). ובעניין ניצול המונופול: אכן, מיקרוסופט, כזו שבשליטתה המפתח היחידי (כנראה) שיהיה נפוץ על כל מערכות ה־Desktop, תחזיק ביכולת יחודית לבטל את המפתחות של כל האחרים (שיסתמכו עליו; כך עושים פדורה וה־Linux Foundation). אבל היא לא משתמשת בזה כדי לייצר הכנסות לעצמה (אישור עולה 99$, פעם אחת לארגון פיתוח, והכסף כאמור הולך ל־Verisign; אורי, תסתכל ב־ http://mjg59.dreamwidth.org/12368.html), ולכן, בינתיים, היא גם לא מבצעת שום עבירת הגבלים עסקיים. למעשה, העלות הזו היא מה שנקרא RAND – סביר ולא מפלה – ובעולם העסקי, זה נחשב מאוד פתוח ושיתופי. נכון, זה בעייתי לתוכנה חופשית, אבל אף רגולטור שפוי לא יפעל כנגד זה, ללא הוכחה מוצקה של ניצול הכח לרעה. שי. ___ Discussions mailing list
Re: הגשת תלונה לממונה על הגבלים
טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים לעשות את זה. אני לא חושב שאף יצרן מחשבים יסמוך על חתימה של עמותת המקור, אבל תוכלו לתת הוראות לאנשים איך להוסיף את החתימה הזו למחשבים שלהם ולמחוק את החתימה של מיקרוסופט כדי שהמחשבים שלכם יריצו אח ורק תוכנה חופשית ויסרבו להריץ חלונות. זה אפשרי. ראו את ההרצאה של מת'יו בנושא. תכף גם תגישו בגצ נגד מכון התקנים על זה שיש לו מונופול על צורת שקע החשמל הנהוגה בישראל, או על זה שבכל הבתים יש 220V ולא 110V כמו בארהב. נכון, אפשר לשים שנאי (וזה בדיוק כמו להחליף את החתימה במחשב אם אנחנו עושים את ההשוואה) ואם לא תשימו שנאי אז מכשירים אמריקאיים שתחברו יישרפו, זה עדיין לא אומר שיש כאן עברה על איזשהו חוק או הגבלה בגלל שהמכשירים שהבאתם מאמריקה לא תואמים למתח בארץ וצריכים רכיב נוסף כדי לעבוד כראוי. או שאולי תתבעו את הרבנות הראשית על זה שהיא היחידה שיכולה לאשר חותמת כשר בכל העולם ואם עכשיו אתם מקימים מוסד כשרות משלכם לא תוכלו לתת חותמות כי אף אחד לא מכבד את החותמות שלכם. בדיוק אותו דבר. עדיף שתעזבו את X86 כי כאן מיקרוסופט *מחייבים* שלמשתמש תהיה בחירה ותתרכזו בבעיה האמיתית שהיא ARM. ושוב, תראו את ההרצאה. 2013/4/15 Ori Idan o...@helicontech.co.il תיקון קטן. הסכום מועבר ל verisign דרך מיקרוסופט. אין למיטב ידיעתי דרך אחרת לרכוש חתימה. זה רע מאד שיש רק ספק אחד בעולם שיכול לאשר ולתת חתימה. זה כבר עניין לממונה על ההגבלים העסקיים. -- אורי עידן 2013/4/15 Elad Alfassa e...@fedoraproject.org מישהו שיודע לקמפל את מערכת ההפעלה שלו יודע לנטרל פיצ'ר בקושחה של המחשב. שינוי סדר עליית הכוננים קשה באותה מידה. אם אתה רוצה להפיץ מערכת הפעלה משלך, יש לך שתי ברירות, או לבקש מהמשתמשים לבטל את האפשרות בקושחה (הרבה הפצות עושות את זה) או לשלם לVerisign את הסכום הנמוך יחסית של 99$, להציג בפניהם תעודה מזהה, ולקבל הביתה כרטיס חכם שישמש להתחברות למערכת שלהם שתיתן לך אפשרות לחתום על הקבצים הבינאריים. יש בשרשור הזה המון קישורים לבלוג של מת'יו גארט שכל זה מפורט שם, כולל הרצאה של שעה וחצי על הסכנות והיתרונות של הטכנולוגיה ועל העמדות של יצרנים שונים (גוגל, מיקרוסופט, אפל) בנושא. למה שלא תקראו את הקישורים ותראו את ההרצאה לפני שאתם מגבשים דעה על נושא שאתם בפירוש לא מבינים בו כלום? 2013/4/15 moshe nahmias mosheg...@gmail.com אני חושב שברגע שאתה מחייב לאפשר לכבות פיצ'ר מסויים רק בביוס אתה מונע מכל מי שלא יודע לעשות את זה להתקע עם המערכת שלך. לדעתי אפשר לדרוש להיות מסוגלים להתעסק עם זה בלחיצת כפתור (כמו שכדי לשנות את סדר הכוננים בהעלאת המחשב אפשר בלחיצת כפתור בחלק מהמחשבים היום), אחרת זה לא נועד להגנה אלא לפגיעה ביכולת של משתמש פשוט להשתמש במוצרים לא חתומים. אגב, אם מישהו רוצה לקמפל את מערכת ההפעלה שלו, איך הוא משיג את האישורים הרלוונטיים? ובהנחה ואין לו בעיה לעשות את זה, מה הבעיה של התכנה הזדונית להשיג את אותו הדבר? אם יש למקמפל קושי בהשגת המידע/מה שלא יהיה אז זה מקשה על כל מי שרוצה לראות את קוד המקור ולקמפל בעצמו (אני מניח שלא צריך לעשות אישור משלי כדי לקמפל קרנל לינוקס שאני לא מעביר הלאה את הקובץ הבינארי). אם אני טועה אשמח שתתקנו אותי 2013/4/15 Elad Alfassa e...@fedoraproject.org בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot על x86. על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM, כי לא הולך להם עם הטאבלטים. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לדקויות האלה אין מקום בדיון. הכוונה הייתה להגבלה גורפת שלא ניתן לכבות כלל (וגם כתבתי זאת). Yaron Shahrabani Hebrew translator 2013/4/15 Elad Alfassa e...@fedoraproject.org אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים
Re: הגשת תלונה לממונה על הגבלים
ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון דברים לא חתומים גם עם Secure Boot מופעל, הוא פשוט יציג הודעה שמבקשת מהמשתמש לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות* 2013/4/15 Elad Alfassa e...@fedoraproject.org טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים לעשות את זה. אני לא חושב שאף יצרן מחשבים יסמוך על חתימה של עמותת המקור, אבל תוכלו לתת הוראות לאנשים איך להוסיף את החתימה הזו למחשבים שלהם ולמחוק את החתימה של מיקרוסופט כדי שהמחשבים שלכם יריצו אח ורק תוכנה חופשית ויסרבו להריץ חלונות. זה אפשרי. ראו את ההרצאה של מת'יו בנושא. תכף גם תגישו בגצ נגד מכון התקנים על זה שיש לו מונופול על צורת שקע החשמל הנהוגה בישראל, או על זה שבכל הבתים יש 220V ולא 110V כמו בארהב. נכון, אפשר לשים שנאי (וזה בדיוק כמו להחליף את החתימה במחשב אם אנחנו עושים את ההשוואה) ואם לא תשימו שנאי אז מכשירים אמריקאיים שתחברו יישרפו, זה עדיין לא אומר שיש כאן עברה על איזשהו חוק או הגבלה בגלל שהמכשירים שהבאתם מאמריקה לא תואמים למתח בארץ וצריכים רכיב נוסף כדי לעבוד כראוי. או שאולי תתבעו את הרבנות הראשית על זה שהיא היחידה שיכולה לאשר חותמת כשר בכל העולם ואם עכשיו אתם מקימים מוסד כשרות משלכם לא תוכלו לתת חותמות כי אף אחד לא מכבד את החותמות שלכם. בדיוק אותו דבר. עדיף שתעזבו את X86 כי כאן מיקרוסופט *מחייבים* שלמשתמש תהיה בחירה ותתרכזו בבעיה האמיתית שהיא ARM. ושוב, תראו את ההרצאה. 2013/4/15 Ori Idan o...@helicontech.co.il תיקון קטן. הסכום מועבר ל verisign דרך מיקרוסופט. אין למיטב ידיעתי דרך אחרת לרכוש חתימה. זה רע מאד שיש רק ספק אחד בעולם שיכול לאשר ולתת חתימה. זה כבר עניין לממונה על ההגבלים העסקיים. -- אורי עידן 2013/4/15 Elad Alfassa e...@fedoraproject.org מישהו שיודע לקמפל את מערכת ההפעלה שלו יודע לנטרל פיצ'ר בקושחה של המחשב. שינוי סדר עליית הכוננים קשה באותה מידה. אם אתה רוצה להפיץ מערכת הפעלה משלך, יש לך שתי ברירות, או לבקש מהמשתמשים לבטל את האפשרות בקושחה (הרבה הפצות עושות את זה) או לשלם לVerisign את הסכום הנמוך יחסית של 99$, להציג בפניהם תעודה מזהה, ולקבל הביתה כרטיס חכם שישמש להתחברות למערכת שלהם שתיתן לך אפשרות לחתום על הקבצים הבינאריים. יש בשרשור הזה המון קישורים לבלוג של מת'יו גארט שכל זה מפורט שם, כולל הרצאה של שעה וחצי על הסכנות והיתרונות של הטכנולוגיה ועל העמדות של יצרנים שונים (גוגל, מיקרוסופט, אפל) בנושא. למה שלא תקראו את הקישורים ותראו את ההרצאה לפני שאתם מגבשים דעה על נושא שאתם בפירוש לא מבינים בו כלום? 2013/4/15 moshe nahmias mosheg...@gmail.com אני חושב שברגע שאתה מחייב לאפשר לכבות פיצ'ר מסויים רק בביוס אתה מונע מכל מי שלא יודע לעשות את זה להתקע עם המערכת שלך. לדעתי אפשר לדרוש להיות מסוגלים להתעסק עם זה בלחיצת כפתור (כמו שכדי לשנות את סדר הכוננים בהעלאת המחשב אפשר בלחיצת כפתור בחלק מהמחשבים היום), אחרת זה לא נועד להגנה אלא לפגיעה ביכולת של משתמש פשוט להשתמש במוצרים לא חתומים. אגב, אם מישהו רוצה לקמפל את מערכת ההפעלה שלו, איך הוא משיג את האישורים הרלוונטיים? ובהנחה ואין לו בעיה לעשות את זה, מה הבעיה של התכנה הזדונית להשיג את אותו הדבר? אם יש למקמפל קושי בהשגת המידע/מה שלא יהיה אז זה מקשה על כל מי שרוצה לראות את קוד המקור ולקמפל בעצמו (אני מניח שלא צריך לעשות אישור משלי כדי לקמפל קרנל לינוקס שאני לא מעביר הלאה את הקובץ הבינארי). אם אני טועה אשמח שתתקנו אותי 2013/4/15 Elad Alfassa e...@fedoraproject.org בוודאי שיש מקום בדיון. מיקרוסופט *מחייבים* שיהיה ניתן לכבות את Secure Boot על x86. על ARM הם עדיין חארות אבל אני בספק אם יהיו הרבה מחשבי Windows עם מעבדי ARM, כי לא הולך להם עם הטאבלטים. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לדקויות האלה אין מקום בדיון. הכוונה הייתה להגבלה גורפת שלא ניתן לכבות כלל (וגם כתבתי זאת). Yaron Shahrabani Hebrew translator 2013/4/15 Elad Alfassa e...@fedoraproject.org אתה לא יכול לחתום על MBR בכל מקרה, אז הטיעון שלך לא רלוונטי. מערכות הפעלה שנטענות עי bootloader שאינו UEFI Bootloader ייטענו עי מצב תאימות BIOS שאינו תומך בSecure Boot, רוב הסיכויים שכדי להפעיל את מצב התאימות הזה יהיה צורך לנטרל את Secure Boot. סטודנט שיכול לכתוב מערכת הפעלה בהחלט יכול לשנות אפשרות בביוס. 2013/4/15 Yaron Shahrabani sh.ya...@gmail.com לא שהעלות אסטרונומית אבל לבל נשכח שזה נועל את המערכת מפני שינויים וזה חסר כל הגיון שכל פעם שאני רוצה לשנות משהו ברמה כלשהי אני צריך רישיון. נעזוב את לינוקס רגע, כיום קיימות בשוק מספר מערכות הפעלה שהמטרה שלהן היא לימודית, חלק מחזיקות בסיס טעינה עצמאי על ה־MBR וחלקן משתמשות בכלי טעינה. דוגמה בולטת היא MenuetOS, מערכת שעובדת, קצת פחות לימודית אבל למטרות בסיסיות מסוימות היא אפילו שימושית, ללימודי NASM היא בכלל מעולה. בקיצור תחשבו כמה פרויקטים כאלה וכמה פוטנציאל נחנק פה, מה פתאום שסטודנטים ישלמו את הסכומים האלה ל־Verisign? (בהנחה שאי אפשר לבטל את ה־SB ימח שמו). יש גם את Xinu ועוד כל מיני כאלה שכיום מריצים בעיקר על וירטואליות לדעתי ובכל זאת יש הגבלה מפני התקנה על מערכת פיזית. בברכה, Yaron Shahrabani Hebrew translator 2013/4/14 Shai Berger s...@platonix.com (ועכשיו, אחרי שקראתי עוד קצת על הנושא, ביתר תשומת לב): On Sunday 14 April 2013, Tzafrir Cohen wrote: המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא
Re: הגשת תלונה לממונה על הגבלים
On Monday 15 April 2013, Ori Idan wrote: תיקון קטן. הסכום מועבר ל verisign דרך מיקרוסופט. אין למיטב ידיעתי דרך אחרת לרכוש חתימה. איזשהו reference? מה שאני הבנתי הוא שמיקרוסופט הפקידו מפתח בידי verisign, והללו מנהלים את כל העניינים וגובים את הכספים שלהם בעצמם. זה רע מאד שיש רק ספק אחד בעולם שיכול לאשר ולתת חתימה. זה כבר עניין לממונה על ההגבלים העסקיים. לא, זה לא. או, ליתר דיוק, כל ממונה על הגבלים עסקיים שתסתכל על זה תערוך עם המתלונן את הדיאלוג הבא: ש. מה המשמעות של החתימה הזו? ת. משתמשים לא־טכניים יוכלו להריץ מערכות הפעלה רק בעזרת החתימה. ש. אז המשתמשים צריכים חתימה? ת. לא, יצרן מערכת ההפעלה צריך אותה, כדי שמשתמשים יוכלו להריץ את המערכת שלו ש. ומה היצרן צריך לעשות כדי להשיג חתימה כזו? ת. לשלם 99$ לחברה החותמת ש. ואין דרישות נוספות? ת. אם מערכת ההפעלה תהיה כזו שאפשר לנצל אותה כדי לעקוף את המנגנון, החתימה כנראה תשלל. ש. יש סיבה להניח שסמכות השלילה הזו תנוצל לרעה? ת. היא נמצאת בידיה של חברה שלפני 10 שנים היתה נוהגת לעשות תרגילים כאלה על ימין ועל שמאל. היא אינה החברה החותמת, אבל היא יצרנית מונופוליסטית של מערכת הפעלה. ש. יש דרישות אחרות לקבלת החתימה? ת. לא. ש. מתחרים של המונופליסטית הצליחו לקבל חתימות כאלו? ת. כן. ש. תחזור אלי כשתהיה בעיה אמיתית. שי ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Monday 15 April 2013 12:32:41 Elad Alfassa wrote: ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון דברים לא חתומים גם עם Secure Boot מופעל, עכשיו הבנתי: * מערכות הלינוקס יאלצו להסתפק בהתקנות לא חתומות על ידי Secure-Boot * תוכנות מיקרוסופט יהיו תמיד חתומות האם זה האינטרס של קהילת הלינוקס להצטרף לפתרונות טכנולוגיים שישאירו אותה בנחיתות מתמדת? (ועוד בנושאי אבטחה, בהם מיקרוסופט ידועה כמצטיינת במיוחד...) הוא פשוט יציג הודעה שמבקשת מהמשתמש לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות* לא נכון: * במנהלי חבילות אני יכול לקבוע את *רשימת* החתימות המאושרות על ידי. * למשל בסביבה ארגונית, אני יכול להוסיף מאגר חתום פנימי של הארגון *בנוסף* למאגר של ההפצה. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron We continue to live in a world where all our know-how is locked into binary files in an unknown format. If our documents are our corporate memory, Microsoft still has us all condemned to Alzheimer's. -- Simon Phipps ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
אתם פשוט מתאמצים לא להבין, נכון? תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני. יש אפשרות למאגר מפתחות משלך, יש אפשרות לחתום על הפצות לינוקס, והפתרון של סוזה שמפורט כאן http://mjg59.dreamwidth.org/17542.html מאפשר להפצה לנהל מאגר מפתחות משלה בנוסף לשני המאגרים הרגילים (הPlatform Key והUser key) 2013/4/15 Oron Peled o...@actcom.co.il On Monday 15 April 2013 12:32:41 Elad Alfassa wrote: ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון דברים לא חתומים גם עם Secure Boot מופעל, עכשיו הבנתי: * מערכות הלינוקס יאלצו להסתפק בהתקנות לא חתומות על ידי Secure-Boot * תוכנות מיקרוסופט יהיו תמיד חתומות האם זה האינטרס של קהילת הלינוקס להצטרף לפתרונות טכנולוגיים שישאירו אותה בנחיתות מתמדת? (ועוד בנושאי אבטחה, בהם מיקרוסופט ידועה כמצטיינת במיוחד...) הוא פשוט יציג הודעה שמבקשת מהמשתמש לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות* לא נכון: * במנהלי חבילות אני יכול לקבוע את *רשימת* החתימות המאושרות על ידי. * למשל בסביבה ארגונית, אני יכול להוסיף מאגר חתום פנימי של הארגון *בנוסף* למאגר של ההפצה. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron We continue to live in a world where all our know-how is locked into binary files in an unknown format. If our documents are our corporate memory, Microsoft still has us all condemned to Alzheimer's. -- Simon Phipps ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
נראה כאילו אתה מתאמץ לא להבין. כבר בפסקה הראשונה כתוב שהם ידאגו לבינארי שיחתם על ידי מיקרוסופט ואתה זה שטוען שלא מיקרוסופט חותמת נכון? למה הם מעדיפים ללכת בגישה הזו? זו נראית כמו התרפסות בפני מיקרוסופט וכמו שאורון אמר, ישאיר אותנו תמיד בעמדה נחותה. -- אורי עידן 2013/4/15 Elad Alfassa e...@fedoraproject.org אתם פשוט מתאמצים לא להבין, נכון? תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני. יש אפשרות למאגר מפתחות משלך, יש אפשרות לחתום על הפצות לינוקס, והפתרון של סוזה שמפורט כאן http://mjg59.dreamwidth.org/17542.html מאפשר להפצה לנהל מאגר מפתחות משלה בנוסף לשני המאגרים הרגילים (הPlatform Key והUser key) 2013/4/15 Oron Peled o...@actcom.co.il On Monday 15 April 2013 12:32:41 Elad Alfassa wrote: ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון דברים לא חתומים גם עם Secure Boot מופעל, עכשיו הבנתי: * מערכות הלינוקס יאלצו להסתפק בהתקנות לא חתומות על ידי Secure-Boot * תוכנות מיקרוסופט יהיו תמיד חתומות האם זה האינטרס של קהילת הלינוקס להצטרף לפתרונות טכנולוגיים שישאירו אותה בנחיתות מתמדת? (ועוד בנושאי אבטחה, בהם מיקרוסופט ידועה כמצטיינת במיוחד...) הוא פשוט יציג הודעה שמבקשת מהמשתמש לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות* לא נכון: * במנהלי חבילות אני יכול לקבוע את *רשימת* החתימות המאושרות על ידי. * למשל בסביבה ארגונית, אני יכול להוסיף מאגר חתום פנימי של הארגון *בנוסף* למאגר של ההפצה. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron We continue to live in a world where all our know-how is locked into binary files in an unknown format. If our documents are our corporate memory, Microsoft still has us all condemned to Alzheimer's. -- Simon Phipps ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Monday 15 April 2013 12:25:52 Elad Alfassa wrote: טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים לעשות את זה. אני לא חושב שאף יצרן מחשבים יסמוך על חתימה של עמותת המקור, אבל תוכלו לתת הוראות לאנשים איך להוסיף את החתימה הזו למחשבים שלהם ולמחוק את החתימה של מיקרוסופט כדי שהמחשבים שלכם יריצו אח ורק תוכנה חופשית ויסרבו להריץ חלונות. זה אפשרי. ראו את ההרצאה של מת'יו בנושא. זה אפשרי אבל בעייתי בכמה מובנים: * אפיון המערכת מאפשר *רק* מפתח אחד (הממ... מעניין למה...) * זה אומר שאם משתמש רוצה שהמחשב שלו יהיה חתום על ידי גורם אחר (למשל ה־FSF) אזי הוא לא יוכל להריץ את הגרסאות הבאות של חלונות (עיין ערך דואל-בוט). * גם אז, זוהי פעולה שמהווה מחסום מסויים למשתמשים לא מנוסים ואף מאלצת אותם לקחת את הסיכון שהמחשב שלהם יהפוך לעציץ (מי שחושב שהמקרה של מחשבי סמסונג מסויימים הוא האחרון, כנראה לא השתמש במחשבים מספיק כדי להתקל בבאגים בקושחה). מהות העניין היא שגם אם אפשר למצוא פתרונות יצירתיים, המדובר במנגנון *המקשה* על מערכות הפעלה אלטרנטיביות. אם ניזכר במשפט ההגבלים המפורסם נגד מיקרוסופט מסוף שנות ה־90: * מיקרוסופט אילצה את יצרני המחשבים להתקין את הדפדפן שלה כחלק ממערכת ההפעלה. * מיקרוסופט אסרה על אותם יצרני מחשבים להתקין דפדפן מתחרה (גם בנוסף לאקספלורר). * מיקרוסופט הורשעה בעבירות על חוקי ההגבלים (בכל הערכאות) * זאת למרות שכל משתמש היה יכול להתקין על מחשבו איזה דפדפנים שהוא רוצה (אגב, מבלי לשוחח עם Verisign, או מישהו אחר, ובוודאי מבלי לשלם אגורה). שים לב שגם אז טענה מיקרוסופט שלצעדים שנקטה היו סיבות אובייקטיביות טובות (שילוב הדפדפן במערכת ההפעלה, בלה, בלה, בלה...) -- בית המשפט זרק אותם מכל המדרגות. עם זאת, תוצאות המשפט ההוא מראות שמהלכים משפטיים לבדם הם מעט מדי ומאוחר מדי. כך שפנייה לממונה על ההגבלים יכולה לדעתי להועיל יותר במישור התקשורתי (הגברת מודעות צרכנית) ופחות במישור הפרקטי. תכף גם תגישו בגצ נגד מכון התקנים על זה שיש לו מונופול על צורת שקע החשמל הנהוגה בישראל, או על זה שבכל הבתים יש 220V ולא 110V כמו בארהב. * מכון התקנים עצמו הוא גוף רישוי של המדינה ולכן הוא מונופול בהגדרה * אתה יכול לקנות שקע תקני ממגוון ענק של יצרנים ומשווקים מתחרים בארץ ובעולם * היו מקרים בעבר בהם מכון התקנים ניצל את מעמדו החוקי כדי לקבע מונופולים פרטיים (למי שזוכר את התקן על שקיות התה עם הסיכה של וויסוצקי). נגד מקרים כאלו של שימוש לרעה, הפיתרון היחידי הוא שקיפות ובקרה מתמדת של הציבור. או שאולי תתבעו את הרבנות הראשית על זה שהיא היחידה שיכולה לאשר חותמת כשר בכל העולם ואם עכשיו אתם מקימים מוסד כשרות משלכם לא תוכלו לתת חותמות כי אף אחד לא מכבד את החותמות שלכם. בדיוק אותו דבר. אלעד, אנחנו חיים באותה מדינה? במכולת שלי אני מוצא כמות ענקית של של מוצרים עם חותמות כשרות מתחרות (העדה החרדית ושות'). לצערי, בחלק מסוגי המוצרים יש *רק* כשרות כזאת (שקדי מרק, פסטות, ...) עדיף שתעזבו את X86 כי כאן מיקרוסופט *מחייבים* שלמשתמש תהיה בחירה ותתרכזו בבעיה האמיתית שהיא ARM. לא קשה לנחש מדוע האפיון של מיקרוסופט דורש אופציה זו בקושחה: * לשמש מס-שפתיים להגנה מביקורת הרגולטור (מה אתה רוצה, אנחנו *דורשים* שלמשתמש תהיה אפשרות ביטול). * מניעת קטסטרופות בתקופת ההסתגלות. כשאתה מחזיק שוק של מאות מליוני מחשבים שמריצים גרסאות ישנות של קושחות, חלונות-7, וכדומה -- אפיון דור חדש של מחשבים *ללא* שום אפשרות להריץ מערכות ישנות שלך מהווה סיכון שאפילו המגלומנים ממיקרוסופט לא מספיק טפשים לקחת. * אם המהלך שלהם יצליח (אני מקווה ומאמין שהוא יכשל), אז תגלה שבדור הבא (3-4 שנים?) האופציה תתחיל להדחק למקומות לא ברורים בתפריטי הקושחה ואף להעלם בדגמי מחשבים פופולריים. לגבי הבעיה האמיתית בנושא ARM, די ברור שזה איש קש של מיקרוסופט שנועד להסיט את הדיון משוק ה־PC בו היא מהווה מונופול לשוק ה־ARM בו לא כל כך סופרים אותה. ושוב, תראו את ההרצאה. אני מצטרף להמלצה. קראתי את רוב המאמרים שפרסם בזמנו (הם הופיעו אצלי בפלנטה של פדורה). ואף על פי כן, אני סבור שהוא מפספס בגדול את התמונה האסטרטגית: * מיקרוסופט מנסים מחדש לנעול את ה־PC (עיין ערך פלדיום מלפני 12 שנה) * זהו הימור ענק מבחינתם, להשיג שליטה על שוק סגור (מי אמר אפל ולא קיבל?) * אבל יש לנו סיכוי סביר לנצח במשחק הזה: בשוק המכשירים הניידים הם לא ממש קיימים וכך המנוף שלהם על יצרני המחשבים נחלש במקצת. קהילת הלינוקס צריכה להבנתי להתרחק מפתרונות ל־UEFI ו־Secure-Boot כדי להעמיד את יצרני המחשבים (ביחוד בשוק הנייד) בפני ברירת שלמה: * ללכת בקו של מיקרוסופט ולפגוע באימוץ המערכות שלהם על ידי מערכות לינוקס/אנדרואיד. * להעדיף תמיכה במערכות חופשיות גם אם לא מקבלים הסמכה של מיקרוסופט לחלונות-8. * במצב המכירות של חלונות-8 כיום, לא ברור כלל שכל היצרנים ילכו עם הבחירה של מיקרוסופט. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron Protect your digital freedom and privacy, eliminate DRM, learn more at http://www.defectivebydesign.org/what_is_drm ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
אני בהתחלה הייתי נגד הרעיון של secure boot ועכשיו אני לא נגד (לא בטוח שאני בעד, אבל בהחלט לא נגד). הפיתרון של מת'יו מאפשר למשתמש להוסיף חתימות גם אם הן לא נעשו עי מיקרוסופט וניתנות לשימוש בקלות יחסית גם על ידי משתמש פשוט (מערכת שמאפשרת לך המשתמש לבחור בחתימות הרלוונטיות). יש שיטות נוספות שמאפשרות למשתמש להוסיף חתימות אבל הן מסובכות יותר למשתמש הפשוט ולכן בעייתיות. הרעיון במערכת שבנה מת'יו הוא שכשמנסים להשתמש במשהו שלא חתום המשתמש יוכל להוסיף מפתח בהתאם לצורך ולכן הפיתרון משאיר את הכוח אצל המשתמש ולא אצל העסק... יש אפשרות ליותר מאשר מפתח אחד פר מחשב, ולכן בוודאות ניתן לבצע דואל בוט, מה גם שלא ראיתי שום בעיה עם זה גם במקומות אחרים מהבחינה הזו. כשמשתמשים ב-secure boot לא ניתן להתקין שום דבר על המחשב ללא חתימה, בדיוק כמו שלא ניתן להסתכל על מייל שהתקבל ומוגן עם gpg כדי לפתוח אותו, העובדה שהיום ניתן להתקין דואל בוט על מחשבים עם secure boot מוכיחה שזה אפשרי, עד כמה שאני יודע הפיתרון של רד האט הוא שימוש במפתח שונה משל מיקרוסופט (הם קנו אחד, לא משתמשים במפתח של מיקרוסופט). אני לא חושב שהפיתרון של EUFI יעבוד עבור אבטחה של מערכות הפעלה, אבל זה בגלל הכישרון של מיקרוסופט להרוס רעיונות טובים, לא בגלל שהרעיון גרוע מלכתחילה (בניגוד למה שחשבתי שהרעיון גרוע מלכתחילה) 2013/4/15 Ori Idan o...@helicontech.co.il נראה כאילו אתה מתאמץ לא להבין. כבר בפסקה הראשונה כתוב שהם ידאגו לבינארי שיחתם על ידי מיקרוסופט ואתה זה שטוען שלא מיקרוסופט חותמת נכון? למה הם מעדיפים ללכת בגישה הזו? זו נראית כמו התרפסות בפני מיקרוסופט וכמו שאורון אמר, ישאיר אותנו תמיד בעמדה נחותה. -- אורי עידן 2013/4/15 Elad Alfassa e...@fedoraproject.org אתם פשוט מתאמצים לא להבין, נכון? תקרא שוב את *כל* ההודעות שלי בשרשור הזה. אתה באמת לא רציני. יש אפשרות למאגר מפתחות משלך, יש אפשרות לחתום על הפצות לינוקס, והפתרון של סוזה שמפורט כאן http://mjg59.dreamwidth.org/17542.html מאפשר להפצה לנהל מאגר מפתחות משלה בנוסף לשני המאגרים הרגילים (הPlatform Key והUser key) 2013/4/15 Oron Peled o...@actcom.co.il On Monday 15 April 2013 12:32:41 Elad Alfassa wrote: ובואו נזכיר לכם שוב שאתם יכולים להשתמש בshim החתום שמת'יו כתב כדי לטעון דברים לא חתומים גם עם Secure Boot מופעל, עכשיו הבנתי: * מערכות הלינוקס יאלצו להסתפק בהתקנות לא חתומות על ידי Secure-Boot * תוכנות מיקרוסופט יהיו תמיד חתומות האם זה האינטרס של קהילת הלינוקס להצטרף לפתרונות טכנולוגיים שישאירו אותה בנחיתות מתמדת? (ועוד בנושאי אבטחה, בהם מיקרוסופט ידועה כמצטיינת במיוחד...) הוא פשוט יציג הודעה שמבקשת מהמשתמש לאשר את ההפעלה, *בדיוק כמו שנעשה היום במנהלי חבילות* לא נכון: * במנהלי חבילות אני יכול לקבוע את *רשימת* החתימות המאושרות על ידי. * למשל בסביבה ארגונית, אני יכול להוסיף מאגר חתום פנימי של הארגון *בנוסף* למאגר של ההפצה. -- Oron Peled Voice: +972-4-8228492 o...@actcom.co.il http://users.actcom.co.il/~oron We continue to live in a world where all our know-how is locked into binary files in an unknown format. If our documents are our corporate memory, Microsoft still has us all condemned to Alzheimer's. -- Simon Phipps ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Monday 15 April 2013, Oron Peled wrote: On Monday 15 April 2013 12:25:52 Elad Alfassa wrote: טכנית גם אתה או עמותת המקור או כל אחד אחר יכול להקים CA משלו. אתם מוזמנים לעשות את זה. זה אפשרי אבל בעייתי בכמה מובנים: * אפיון המערכת מאפשר *רק* מפתח אחד (הממ... מעניין למה...) אני חושש שהתבלבלת קלות. אפיון המערכת מאפשר רק חתימה אחת על Bootloader (או מערכת הפעלה), אבל אין מניעה שיהיו הרבה מפתחות במחשב. * זה אומר שאם משתמש רוצה שהמחשב שלו יהיה חתום על ידי גורם אחר (למשל ה־FSF) אזי הוא לא יוכל להריץ את הגרסאות הבאות של חלונות (עיין ערך דואל-בוט). אז זהו, שזה לא המחשב שחתום, אלא מערכת ההפעלה. * גם אז, זוהי פעולה שמהווה מחסום מסויים למשתמשים לא מנוסים ואף מאלצת אותם לקחת את הסיכון שהמחשב שלהם יהפוך לעציץ (מי שחושב שהמקרה של מחשבי סמסונג מסויימים הוא האחרון, כנראה לא השתמש במחשבים מספיק כדי להתקל בבאגים בקושחה). זה נכון. מהות העניין היא שגם אם אפשר למצוא פתרונות יצירתיים, המדובר במנגנון *המקשה* על מערכות הפעלה אלטרנטיביות. נכון. כי גם רושעות־של־טעינה הן „מערכות הפעלה אלטרנטיביות”. אם ניזכר במשפט ההגבלים המפורסם נגד מיקרוסופט מסוף שנות ה־90: * מיקרוסופט אילצה את יצרני המחשבים להתקין את הדפדפן שלה כחלק ממערכת ההפעלה. (לא מדויק, היא פשוט כללה את הדפדפן; היצרנים לא היו צריכים לעשות דבר. אגב, בערך מאז אותה תקופה, אין מערכת הפעלה למשתמשי־קצה שלא כוללת דפדפן) * מיקרוסופט אסרה על אותם יצרני מחשבים להתקין דפדפן מתחרה (גם בנוסף לאקספלורר). מראה מקום? אני לא זוכר טענות כאלה. אני כן זוכר טענות על איסור למכור מחשבים שמותקנים מראש ל־Dual boot (דווקא בעיקר מצד BeOS, לא לינוקס), שלא הגיעו מעולם למבחן משפטי. * מיקרוסופט הורשעה בעבירות על חוקי ההגבלים (בכל הערכאות) * זאת למרות שכל משתמש היה יכול להתקין על מחשבו איזה דפדפנים שהוא רוצה (אגב, מבלי לשוחח עם Verisign, או מישהו אחר, ובוודאי מבלי לשלם אגורה). א. אם אתה חושב שלפי האפיון, כל משתמש צריך לדבר עם verisign בשביל להתקין מערכת הפעלה אחרת, אתה עוד יותר מבולבל ממה שחשבתי. ב. צריך לזכור שחוקי ההגבלים העסקיים לא נועדו להגן על תוכנה חופשית. * אם המהלך שלהם יצליח (אני מקווה ומאמין שהוא יכשל), אז תגלה שבדור הבא (3-4 שנים?) האופציה תתחיל להדחק למקומות לא ברורים בתפריטי הקושחה ואף להעלם בדגמי מחשבים פופולריים. כמו שהאופציה ל־Boot מהתקן נתיק התחילה להעלם מה־BIOS כשה־Live-CDs התחילו להיות נפוצים. - אה, היא לא התחילה להעלם. ואף על פי כן, אני סבור שהוא מפספס בגדול את התמונה האסטרטגית: * מיקרוסופט מנסים מחדש לנעול את ה־PC (עיין ערך פלדיום מלפני 12 שנה) * זהו הימור ענק מבחינתם, להשיג שליטה על שוק סגור (מי אמר אפל ולא קיבל?) * אבל יש לנו סיכוי סביר לנצח במשחק הזה: בשוק המכשירים הניידים הם לא ממש קיימים וכך המנוף שלהם על יצרני המחשבים נחלש במקצת. על איזה נעילה אתה מדבר? ליצרן של מערכת הפעלה עולה מאה דולר לקנות מפתח למנעול הזה. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Sat, Apr 13, 2013 at 04:23:11PM +0300, Shai Berger wrote: On Saturday 13 April 2013, Tzafrir Cohen wrote: אבל בוא ונבדוק על מה הוא מדווח בקישור הזה: קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות. נבדוק מה כתוב עליו באחד הקישורים מהכתבה: http://mjg59.dreamwidth.org/23113.html תרגום חופשי שלי: האם הטען הזה רצוי לשימוש בהפצות? כנראה שלא. אחד ההבדלים הפונקציונליים העיקרים בין הטען הזה לטען שאני כתבתי הוא שהוא משתמש בגיבובים ולא במפתחות. זה אומר שהמשתמש חייב להוסיף גיבובים במפורש על כל שינוי של הליבה או של הטען שהוא מתקין. זה מחייב נוכחות פיזית מול המכונה. די מעצבן. זהו כל מודל האבטחה של Secure Boot במח[ש]בים שולחניים. אם תיצור סרטיפיקט שמאפשר את זה, מיקרוסופט תשלול אותו. יש לזה תוצאות מוזרות לגבי מגבלות שמוספות עכשיו לליבה של לינוקס. אהממ, או שאני לא הבנתי משהו, או שאתה. מה שהבנתי, הוא שה„סרטיפקט שמאפשר את זה” (ליתר דיוק, טען שמאפשר את זה ויש לו סרטיפיקט) הוא בדיוק מה שגארט (שאותו אתה מצטט) כתב, והוא מאושר, ופדורה משתמשת בו (וגם אובונטו); קרן לינוקס הוציאה טען נוסף, שמתאים לשימוש במקרים קצת שונים; והם גם הולכים (תוך שיתוף פעולה) למזג את השניים. המגבלות הנדרשות אינן רק מגבלות על הטען. המגבלות הנדרשות הן גם מגבלות על שאר מערכת ההפעלה. מערכת ההפעלה שהטען מעלה צריכה לוודא שהיא בעצמה לא טוענת מערכת הפעלה לא חתומה אחרת. מכיוון שלינוקס יכולה להעלות מערכת הפעלה אחרת בעזרת kexec, זה פתאום יוצר כל מיני מגבלות על מה שמותר לליבה לעשות. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. אני לא חסיד גדול של הממונה על ההגבלים העסקיים ולא בטוח שהפניה אליו היא הדבר הנכון. מצד שני, אני לא אוהב את כל חסידיו של SecureBoot שמהללים אותו. הקישור שאליו הפנית היה דוגמה מוצלחת במיוחד. -- Tzafrir Cohen | tzaf...@jabber.org | VIM is http://tzafrir.org.il || a Mutt's tzaf...@cohens.org.il || best tzaf...@debian.org|| friend ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Saturday 13 April 2013, Tzafrir Cohen wrote: אבל בוא ונבדוק על מה הוא מדווח בקישור הזה: קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות. נבדוק מה כתוב עליו באחד הקישורים מהכתבה: http://mjg59.dreamwidth.org/23113.html תרגום חופשי שלי: האם הטען הזה רצוי לשימוש בהפצות? כנראה שלא. אחד ההבדלים הפונקציונליים העיקרים בין הטען הזה לטען שאני כתבתי הוא שהוא משתמש בגיבובים ולא במפתחות. זה אומר שהמשתמש חייב להוסיף גיבובים במפורש על כל שינוי של הליבה או של הטען שהוא מתקין. זה מחייב נוכחות פיזית מול המכונה. די מעצבן. זהו כל מודל האבטחה של Secure Boot במח[ש]בים שולחניים. אם תיצור סרטיפיקט שמאפשר את זה, מיקרוסופט תשלול אותו. יש לזה תוצאות מוזרות לגבי מגבלות שמוספות עכשיו לליבה של לינוקס. אהממ, או שאני לא הבנתי משהו, או שאתה. מה שהבנתי, הוא שה„סרטיפקט שמאפשר את זה” (ליתר דיוק, טען שמאפשר את זה ויש לו סרטיפיקט) הוא בדיוק מה שגארט (שאותו אתה מצטט) כתב, והוא מאושר, ופדורה משתמשת בו (וגם אובונטו); קרן לינוקס הוציאה טען נוסף, שמתאים לשימוש במקרים קצת שונים; והם גם הולכים (תוך שיתוף פעולה) למזג את השניים. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
2013/4/13 Shai Berger s...@platonix.com On Saturday 13 April 2013, Tzafrir Cohen wrote: אבל בוא ונבדוק על מה הוא מדווח בקישור הזה: קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות. נבדוק מה כתוב עליו באחד הקישורים מהכתבה: http://mjg59.dreamwidth.org/23113.html תרגום חופשי שלי: האם הטען הזה רצוי לשימוש בהפצות? כנראה שלא. אחד ההבדלים הפונקציונליים העיקרים בין הטען הזה לטען שאני כתבתי הוא שהוא משתמש בגיבובים ולא במפתחות. זה אומר שהמשתמש חייב להוסיף גיבובים במפורש על כל שינוי של הליבה או של הטען שהוא מתקין. זה מחייב נוכחות פיזית מול המכונה. די מעצבן. זהו כל מודל האבטחה של Secure Boot במח[ש]בים שולחניים. אם תיצור סרטיפיקט שמאפשר את זה, מיקרוסופט תשלול אותו. יש לזה תוצאות מוזרות לגבי מגבלות שמוספות עכשיו לליבה של לינוקס. אהממ, או שאני לא הבנתי משהו, או שאתה. מה שהבנתי, הוא שה„סרטיפקט שמאפשר את זה” (ליתר דיוק, טען שמאפשר את זה ויש לו סרטיפיקט) הוא בדיוק מה שגארט (שאותו אתה מצטט) כתב, והוא מאושר, ופדורה משתמשת בו (וגם אובונטו); קרן לינוקס הוציאה טען נוסף, שמתאים לשימוש במקרים קצת שונים; והם גם הולכים (תוך שיתוף פעולה) למזג את השניים. אני עדיין לא רואה איפה יש כאן בעיה שמצדיקה התערבות של הממונה על ההגבלים. הבעייה היא שרק מיקרוסופט (לא מצאתי בשום מקום עדות לכך שזה מישהו אחר אבל עדיין זו חברה אחת) יכולים לאשר למי בדיוק יש חתימה. כן פדורה ואובונטו משתמשים בטען Boot loader (שונא לתרגם את זה) שהם שילמו למיקרוסופט כדי שיאשרו להם אותו. מצד שני הממונה על ההגבלים העסקיים כנראה לא יתערב כי יש אפשרות לבטל את זה בביוס. נכון שגם אפשרות ביטול זו, הגיעה אחרי שהרבה אנשים בעולם הרימו קול צעקה על מה שמיקרוסופט עושים. בגדול המהלך הזה ממש לא נועד לאבטחה, אלא כדי להבטיח שכולם ירכשו מחשבים חדשים על מנת להריץ חלונות 8 וכמובן כדי ליצור מקור הכנסה נוסף למיקרוסופט. עכשיו יש באמת מס מיקרוסופט על כל מחשב. -- אורי עידן ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Saturday 13 April 2013, Ori Idan wrote: הבעייה היא שרק מיקרוסופט (לא מצאתי בשום מקום עדות לכך שזה מישהו אחר אבל עדיין זו חברה אחת) יכולים לאשר למי בדיוק יש חתימה. עכשיו אתה מרגיז. אתה יכול למצוא עדות לכך שזו verisign, ולא מיקרוסופט, שקיבלה את הכסף מ־Red Hat, בפוסט של אלעד שהוא קישר אליו בפתיל הזה אתמול: 2013/4/12 Elad Alfassa e...@fedoraproject.org http://blog.eladalfassa.com/?p=629 מצד שני הממונה על ההגבלים העסקיים כנראה לא יתערב כי יש אפשרות לבטל את זה בביוס. לא, הוא לא יתערב כי אין כאן עניין מונופולי כלל. נכון שגם אפשרות ביטול זו, הגיעה אחרי שהרבה אנשים בעולם הרימו קול צעקה על מה שמיקרוסופט עושים. אני לא טוען שמיקרוסופט הם צדיקים גדולים, חלילה; היו צעקות, הן עשו את שלהן, הגענו למצב שהוא בסדר. אפשר להרגע. עכשיו יש באמת מס מיקרוסופט על כל מחשב. כשאתה מוריד פדורה, אתה אפילו לא משלם כדי לכסות את ה־$99 שהם שלמו, פעם אחת, וכאמור, לא למיקרוסופט. על מה אתה מדבר? שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Wednesday 27 March 2013, Tomer Cohen wrote: היי, אני לא יודע אם אתם עוקביםhttp://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90% D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה לגבי השילוב של טכנולוגיית Secure Boot במחשבים והתנהגות מונופוליסטית מצד מיקרוסופט לגבי מניעת התקנה של מערכות הפעלה אחרות על מחשבים. כדאי לדעת שגם Red Hat וגם Linux Foundation פיתחו כלים שמאפשרים להתקין לינוקס עם Secure Boot. העמדה המעודכנת של מי שעוסק בזה היא ש־Secure Boot הוא, אכן, אמצעי להגברת האבטחה של מחשבים, ולא תעלול כנגד לינוקס. ידיעה לדוגמה: http://www.h-online.com/open/news/item/Linux-Foundation-s-Secure-Boot-bootloader-now-available-1801527.html שי. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
אולי לפני שאתם הולכים כל כך רחוק תקראו את מה שכתבתי על הנושא לפני מספר חודשים? http://blog.eladalfassa.com/?p=629 2013/4/12 Ori Idan o...@helicontech.co.il 2013/4/12 Shai Berger s...@platonix.com On Wednesday 27 March 2013, Tomer Cohen wrote: היי, אני לא יודע אם אתם עוקבים http://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90% D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה לגבי השילוב של טכנולוגיית Secure Boot במחשבים והתנהגות מונופוליסטית מצד מיקרוסופט לגבי מניעת התקנה של מערכות הפעלה אחרות על מחשבים. כדאי לדעת שגם Red Hat וגם Linux Foundation פיתחו כלים שמאפשרים להתקין לינוקס עם Secure Boot. העמדה המעודכנת של מי שעוסק בזה היא ש־Secure Boot הוא, אכן, אמצעי להגברת האבטחה של מחשבים, ולא תעלול כנגד לינוקס. ידיעה לדוגמה: http://www.h-online.com/open/news/item/Linux-Foundation-s-Secure-Boot-bootloader-now-available-1801527.html עד כמה שאני מבין, הבעייה היא שכדי להתקין משהו על Secure boot צריך חתימה של מיקרוסופט ומיקרוסופט תחתום רק על דברים בינריים מקומפלים. אז חסל סדר קימפול קרנל? וגם למה שניתן למונופול להשתלט עלינו ושהם יחליטו על מה הם חותמים ומה לא? על פניו זה נראה טוב שרק image חתום יכול לעלות, אבל מי החליט שרק מיקרוסופט תחתום? -- אורי עידן ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
בנוסף, צפו בהרצאה הבאה כדי להבין עוד על הטכנולוגיה הזו: http://www.codon.org.uk/~mjg59/sb/mjg59_secure_restricted_boot.ogv 2013/4/12 Elad Alfassa e...@fedoraproject.org אולי לפני שאתם הולכים כל כך רחוק תקראו את מה שכתבתי על הנושא לפני מספר חודשים? http://blog.eladalfassa.com/?p=629 2013/4/12 Ori Idan o...@helicontech.co.il 2013/4/12 Shai Berger s...@platonix.com On Wednesday 27 March 2013, Tomer Cohen wrote: היי, אני לא יודע אם אתם עוקבים http://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90% D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה לגבי השילוב של טכנולוגיית Secure Boot במחשבים והתנהגות מונופוליסטית מצד מיקרוסופט לגבי מניעת התקנה של מערכות הפעלה אחרות על מחשבים. כדאי לדעת שגם Red Hat וגם Linux Foundation פיתחו כלים שמאפשרים להתקין לינוקס עם Secure Boot. העמדה המעודכנת של מי שעוסק בזה היא ש־Secure Boot הוא, אכן, אמצעי להגברת האבטחה של מחשבים, ולא תעלול כנגד לינוקס. ידיעה לדוגמה: http://www.h-online.com/open/news/item/Linux-Foundation-s-Secure-Boot-bootloader-now-available-1801527.html עד כמה שאני מבין, הבעייה היא שכדי להתקין משהו על Secure boot צריך חתימה של מיקרוסופט ומיקרוסופט תחתום רק על דברים בינריים מקומפלים. אז חסל סדר קימפול קרנל? וגם למה שניתן למונופול להשתלט עלינו ושהם יחליטו על מה הם חותמים ומה לא? על פניו זה נראה טוב שרק image חתום יכול לעלות, אבל מי החליט שרק מיקרוסופט תחתום? -- אורי עידן ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions -- -Elad Alfassa. -- -Elad Alfassa. ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
Re: הגשת תלונה לממונה על הגבלים
On Fri, Apr 12, 2013 at 10:28:23PM +0300, Shai Berger wrote: On Wednesday 27 March 2013, Tomer Cohen wrote: היי, אני לא יודע אם אתם עוקביםhttp://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90% D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה לגבי השילוב של טכנולוגיית Secure Boot במחשבים והתנהגות מונופוליסטית מצד מיקרוסופט לגבי מניעת התקנה של מערכות הפעלה אחרות על מחשבים. כדאי לדעת שגם Red Hat וגם Linux Foundation פיתחו כלים שמאפשרים להתקין לינוקס עם Secure Boot. העמדה המעודכנת של מי שעוסק בזה היא ש־Secure Boot הוא, אכן, אמצעי להגברת האבטחה של מחשבים, ולא תעלול כנגד לינוקס. ידיעה לדוגמה: http://www.h-online.com/open/news/item/Linux-Foundation-s-Secure-Boot-bootloader-now-available-1801527.html זוהי כתבה מאת מישהו שחושב ש־Secure Boot הוא בטוח ולא מטיל מגבלות מוזרות שאי אפשר לחיות איתן. מעניין מתי תהיה הפעם הראשונה שמערכת תיפרץ בגלל שלמנהלה אסור היה לעדכן את הליבה בגלל Secure Boot. אבל בוא ונבדוק על מה הוא מדווח בקישור הזה: קרן לינוקס כתבה טען בוט עם תמיכה ב־Secure Boot. חדשות מרעישות. נבדוק מה כתוב עליו באחד הקישורים מהכתבה: http://mjg59.dreamwidth.org/23113.html תרגום חופשי שלי: האם הטען הזה רצוי לשימוש בהפצות? כנראה שלא. אחד ההבדלים הפונקציונליים העיקרים בין הטען הזה לטען שאני כתבתי הוא שהוא משתמש בגיבובים ולא במפתחות. זה אומר שהמשתמש חייב להוסיף גיבובים במפורש על כל שינוי של הליבה או של הטען שהוא מתקין. זה מחייב נוכחות פיזית מול המכונה. די מעצבן. זהו כל מודל האבטחה של Secure Boot במחזבים שולחניים. אם תיצור סרטיפיקט שמאפשר את זה, מיקרוסופט תשלול אותו. יש לזה תוצאות מוזרות לגבי מגבלות שמוספות עכשיו לליבה של לינוקס. -- Tzafrir Cohen | tzaf...@jabber.org | VIM is http://tzafrir.org.il || a Mutt's tzaf...@cohens.org.il || best tzaf...@debian.org|| friend ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions
הגשת תלונה לממונה על הגבלים
היי, אני לא יודע אם אתם עוקביםhttp://wiki.hamakor.org.il/index.php/%D7%90%D7%A7%D7%98%D7%95%D7%90%D7%9C%D7%99%D7%94#.D7.9E.D7.A8.D7.A5, אבל נראה כי לאחרונה מתחילה מחאה חדשה לגבי השילוב של טכנולוגיית Secure Boot במחשבים והתנהגות מונופוליסטית מצד מיקרוסופט לגבי מניעת התקנה של מערכות הפעלה אחרות על מחשבים. מאז הפעם האחרונה שעמותת המקור עלתה לכותרות בנושאים אלו עבר זמן רב, ועכשיו יש לנו הזדמנות לעשות זאת שוב עם פרסום של מכתב פתוח הקורא לממונה על הגבלים לחקור התנהגות דורסנית מצד חברת מיקרוסופט המעודדת ספקים לייבא ולמכור מחשבים עם מערכות הפעלה מתוצרתה בלבד וכן לגבי שימוש בטכנולוגית SecureBoot. -- Tomer Cohen http://tomercohen.com ___ Discussions mailing list Discussions@hamakor.org.il http://hamakor.org.il/cgi-bin/mailman/listinfo/discussions