'Secure boot van Windows 8 maakt booten Linux onmogelijk'

Door Dimitri Reijerman, woensdag 21 september 2011 12:05, 453 reacties, 46.409 views • Feedback

Linux-ontwikkelaars maken zich ongerust over de oem-eisen die Microsoft wellicht zal opleggen aan computerfabrikanten die Windows 8-certified-pc's gaan leveren. De vrees bestaat dat het beveiligde bootproces het booten van Linux verhindert.

Tux Een toenemend aantal pc's en laptops wordt uitgerust met een unified extensible firmware interface als vervanger voor het verouderde bios. Hierdoor wordt het startproces versneld en is er ondersteuning voor harde schijven die van een guid-partitietabel zijn voorzien. Uefi's maken het ook mogelijk om het bootproces te beveiligen.

Microsoft wil de beveiligingsoptie benutten door het hele bootproces van Windows 8 af te sluiten. De uefi zou uitsluitend code mogen accepteren als die is voorzien van een geldige handtekening die door een Certificate Authority is uitgegeven. Hierdoor moet worden voorkomen dat malware zich in het besturingssysteem weet te nestelen en bij het starten van Windows 8 actief wordt.

Microsoft wil de implementatie van de secure boot-methode afdwingen door in het Windows Logo-programma te eisen dat computerfabrikanten de beveiligde startmodus standaard activeren in de uefi. Linux-ontwikkelaars maken zich echter zorgen, omdat nog niet duidelijk is of de secure boot-optie in de uefi kan worden uitgeschakeld. Als de softwaregigant dit in zijn Windows Logo-programma verbiedt, wordt het op dergelijke systemen onmogelijk om alternatieve besturingssystemen zoals Linux te starten, omdat deze niet van de gewenste handtekening zijn voorzien. Als de fabrikant het wel mogelijk maakt om de secure boot-optie in de uefi uit te schakelen, is het ook denkbaar dat Windows 8 weigert te booten totdat het beveiligde bootproces weer wordt geactiveerd.

Microsoft heeft nog geen helderheid gegeven over de definitieve voorwaarden van het Windows Logo-programma, terwijl ook de houding van computerfabrikanten ongewis blijft. Blogger Brian Proffitt suggereert echter op zijn blog dat het uitsluiten van andere besturingssystemenen zoals Linux voor Microsoft een aardige bijkomstigheid is. De mogelijkheid om Linux te voorzien van handtekeningen van CA-autoriteiten wordt niet als oplossing gezien. Dit zou in strijd zijn met de gpl-voorwaarden en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen.

Reacties (453)

+2 L-VIS
21 september 2011 12:23

De vraag is eigenlijk: Waarom kan de Linux gemeenschap hun code niet certificeren? Ze lopen wel te klagen, maar in principe heeft MS wel een punt door te stellen dat het bootproces niet onderbroken mag worden. Zo voorkom je - denk ik - het installeren van rootkits ed.

Er is mi ook totaal geen sprake van monopolie misbruik, want in principe kan er straks elk OS worden geinstalleerd, mits je code gecertificeerd is door een CA.

+2 140398
@L-VIS • 21 september 2011 12:43

linux is open source, als de code gecertificeerd moet worden, dan is de source niet meer vrij aanpasbaar, omdat het certificaat dan komt te vervallen.

De hele filosofie achter open source gedachte staat dit soort certificatie niet toe.

+1 Cobalt
@140398 • 21 september 2011 14:56

Dat ben ik niet met je eens. De source is nog steeds vrij alleen is door modificatie een nieuw product ontstaan dat dus ook niet geverifieerd kan worden met hetzelfde cert als de originele source code.

0 Dreamvoid
@140398 • 21 september 2011 15:08

Dit is incorrect, dit is volgens GPLv2 gewoon mogelijk, en in de laatste draft van GPLv3 ook weer toegevoegd. Linus himself heeft er ook niks op tegen, zo heeft-ie meermaals bevestigd.

GeniusDex
@L-VIS • 21 september 2011 13:08

Sinds de GPLv3 is dergelijke tivo'ization verboden: als je op de eoa manier een GPL-product ergens op kunt draaien moet je zelf de code kunnen aanpassen en je aangepaste code kunnen draaien.

De (verreweg) meestgebruikte bootloader voor Linux is tegenwoordig GRUB en die is uitgebracht onder de GPLv3. Het is met zo'n certificering onmogelijk om je eigen versie van GRUB te compilen en te installeren: je build zou gecertificeerd moeten worden en als iedereen dat zomaar kan doen is de hele beveiliging niks meer waard.

onox
@GeniusDex • 21 september 2011 18:18

Ze hebben in latere drafts van de GPLv3 de anti-tivoization clausule wel enigszins aangepast; in sommige gevallen is tivoization niet verboden. Zie http://en.wikipedia.org/wiki/Tivoization#GPLv3. Verder valt GRUB 2 onder GPLv3, maar GRUB Legacy (versie 0.9x) valt onder GPLv2.

+1 Zer0
@L-VIS • 21 september 2011 12:40

Waarom kan de Linux gemeenschap hun code niet certificeren?

Blijkbaar gaat dat tegen de GPL in. De vraag is dus eigenlijk, is Linux wel zo vrij als men beweert. Waarom wordt het tegengehouden dat bijvoorbeeld Canonical Ubuntu van een certificaat voorziet zodat het ook mogelijk wordt om Secure Boot te gebruiken?

Even buiten de hele discussie om of Microsoft Secure Boot gaat vereisen, het zou een hele mooie feature zijn voor Linux distributies.

+2 jurrien
@Zer0 • 21 september 2011 12:47

Het probleem zit hem niet in de releases.

Debian , redhat , Suse etc hebben geen probleem. Ze kunnen de standaard software laten ondertekenen en het is klaar.

Echter als jij thuis je eigen kernel maakt. Of zelf lilo aanpast en compileert ontstaat het probleem. Op dat moment is er geen CA certificaat beschikbaar. Indien je dit probleemloos zou laten ondertekenen werkt ook niet. omdat er garant moet staan dat het juist is. Anders zou iemand ook zo windows code kunnen aanpassen en ondertekenen.

+1 psyBSD
@L-VIS • 21 september 2011 13:00

Omdat de linux-gemeenschap bij elke scheet die dwars zit het OS opnieuw compileert, dus een nieuwe handtekening moet gaan halen.

0 GORby
@L-VIS • 21 september 2011 16:19

Compileer even je eigen kernel, en je zal weten waarom...
Je zal dan ook je zelf gecompileerde kernel moeten gaan signen met een certificaat van een trusted CA, en dat kan je wat geld kosten.

Wat misschien een goede oplossing zou zijn is dat je op het moederbord een jumper kan verzetten, waarna je alleen nog in de UEFI geraakt om een certificaat toe te voegen (je eigen vertrouwde certificaat), maar geen besturingssysteem kan starten. Zodra je certificaat geïmporteerd is kan je dan de jumper terugzetten, en vanaf dat moment wordt het weer mogelijk om (correct gesigneerde) besturingssystemen te starten.
Vanuit je door de fabrikant gesigneerde linux distro kan je dan je eigen kernel builden, signeren met je eigen vertrouwde en vervolgens ook booten op elke PC die jouw certificaat geïmporteerd heeft.

+2 Dreamvoid
21 september 2011 12:15

Dit is helemaal geen Linux vs Windows issue, maar een signed code vs unsigned code. Het is net zoals met websites: iedereen kan een https website maken, maar wil je een groen URL-balkje krijgen zal je een certificate van een CA moeten hebben. Voor een Linux distro is het ook triviaal eenvoudig om de boel met een certificaat te signen. Mozilla bv is zo open source als het maar kan, maar wel gesigned.

Dit als een strijd tussen Linux en Windows neerzetten is IMO niet constructief - dit is net zo min een anti-Linux actie als de uitvinding van HTTPS.

[Reactie gewijzigd door Dreamvoid op 21 september 2011 12:20]

H!GHGuY
@Dreamvoid • 21 september 2011 13:05

Ik ben het toch niet eens.

Of het Microsoft's primaire bedoeling is om Linux op zo'n manier uit de markt te proberen drukken laat ik in het midden, maar het is wel een mogelijk neveneffect van het systeem zoals het tot nu toe bekend is.
In die zin hebben belanghebbenden van Linux wel degelijk gelijk dat ze Microsoft hierop attenderen en, mocht het uiteindelijk zo blijken te zijn, aan te klagen.

Trouwens denk ik dat je vergelijking krom is op vele vlakken:
- Mozilla's software valt niet onder de GPL maar (typisch) onder de MPL.
- Signing van een kernel is tegen de GPL
- software signing is een compleet andere materie als een SSL verbinding authenticeren
- HTTPS balkjes hebben niks te maken met het al dan niet signen van de Mozilla software
- de authenticatie in HTTPS heeft niet te maken met de browser, het is authenticatie van de server
- enz.

+1 Dreamvoid
@H!GHGuY • 21 september 2011 13:56

de authenticatie in HTTPS heeft niet te maken met de browser, het is authenticatie van de server

Precies, maar ook daar geldt dat je op een server elke willekeurige software kan draaien, zolang je maar wel voor die server een geldig certficaat bij een CA koopt. Niemand klaagt daar nu over.

software signing is een compleet andere materie als een SSL verbinding authenticeren

Integendeel, het is precies hetzelfde: authenticatie op basis van certificatie, oftewel: dat je weet dat de ander ook werkelijk degene is die je denkt dat het is.

Overigens is volgens mr Torvalds himself niks mis met het signen van open source code

Dit heet Tivoisation en is gewoon toegestaan volgens GPLv2.

[Reactie gewijzigd door Dreamvoid op 21 september 2011 14:34]

CAPSLOCK2000
@Dreamvoid • 21 september 2011 16:19

Met signen van code is op zich niks mis.

Het gaat er om dat het voor gebruikers niet mogelijk is om hun zelf gebouwde software te signeren, waardoor de hardware in praktijk alleen de software van de fabrikant kan draaien.

0 Arcticwolfx
@H!GHGuY • 22 september 2011 02:03

Uiteindelijk hebben Linux gebruikers wel het verstand een computer te kopen die geen gesloten EFI heeft.

Windows 8 zal alleen maar minder verkocht worden. PC's blijven beter worden en moderne applicaties draaien nog net zo goed Windows 7.

+1 worldcitizen
@Dreamvoid • 21 september 2011 12:52

Dit is helemaal geen Linux vs Windows issue, maar een signed code vs unsigned code. Het is net zoals met websites: iedereen kan een https website maken, maar wil je een groen URL-balkje krijgen zal je een certificate van een CA moeten hebben. Voor een Linux distro is het ook triviaal eenvoudig om de boel met een certificaat te signen. Mozilla bv is zo open source als het maar kan, maar wel gesigned.

Dit als een strijd tussen Linux en Windows neerzetten is IMO niet constructief - dit is net zo min een anti-Linux actie als de uitvinding van HTTPS.

Wat is het voordeel voor de consument?

IMO is het alleen maar zo dat Microsoft de consument, mits hij hier in trapt, bij de "ballen heeft.
Je bent uiteindelijk niet meer de eigenaar van je eigen hardware. Je krijgt een soort game console effect.

Microsoft kan zelf beslissen dat Windows 9 niet meer op de Windows 8 hardware werkt.

In eerste instantie zul je de BIOS nog kunnen vervangen door bijvoorbeeld Coreboot. De volgende stap zal mogelijk zijn dat er signed BIOS gebruikt moet worden zoals nu ook bij de game consoles is.

De consument wordt steeds meer een speelbal van de fabrikanten.

Martinspire
@worldcitizen • 21 september 2011 13:11

Voordeel voor de consument is dus dat je zeker weet dat er niet gerommeld wordt met je Bios en er geen beveiliginsrisico's meer zijn. Een soort software-hardware beveiliging dus.

Verder is het voornamelijk technisch, waar de consument weinig van merkt, maar indirect wel.

hAl
@worldcitizen • 21 september 2011 13:12

Wat is het voordeel voor de consument?

Security.
Nu is er veel malware met rootkits uitgerust en als je alleen signed code kan booten is een malware aanval met rootkit veel moeilijker.

FreakyFries
@Dreamvoid • 21 september 2011 12:17

Want jij ziet de linux distro´s al bij Microsoft aankloppen om een certificaat aan te schaffen?

+1 Cobalt
@FreakyFries • 21 september 2011 12:20

Het certificaat moet bij een van de CA's worden aangeschaft. Echter moeten moederboard fabrikanten zorgen dat UEFI zo nu en dan een update krijgt met nieuwe geaccepteerde certificaten.

idef1x
@Cobalt • 21 september 2011 14:08

Ja en als je nu zelf je kernel wil compileren of een bedrijf? Je gaat dan van consumenten en bedrijven eisen dat ze een certificaat afnemen bij een bekende CA omdat je het anders niet kunt signeren? Zal een goede business worden voor CA bedrijven dan.
En wat gaat er dan gebeuren als er een Dignotar issue komt?
Laat alsjeblieft de boel gewoon open anders heb je alleen nog maar windows pc's en apples. Dat microsoft in deze dan geen pc hardware maakt maakt dan niet meer uit.

+1 Dreamvoid
@idef1x • 21 september 2011 15:54

Dit *is* open, net zoals bv SSL een open standaard is. Ook daar heb je CA certificaten die ervoor zorgen dat de tegenpartij is wie hij zegt dat hij is. SecureBoot werkt net zo, maar dan met bootloaders.

mashell
@idef1x • 21 september 2011 18:20

Dan compileer je een eigen kernel, test die in een virtuele machine of een onzekere machine. Werkt het, submit je de code, Torvalds vraag een certificaat voor elke kernel release aan en er is niet echt een probleem. De zekerheid die een gecerfiiceerd OS kan bieden is veel waard, ook voor linux (juist voor linux omdat iedereen daar gemakkelijk een malware kernel kan maken) dat gooien we niet weg omdat de GPL te restrictief is of mensen te veel zekerheid willen opofferen voor een gemakkelijke werkwijze.

idef1x
@mashell • 21 september 2011 19:13

Ja en Torvalds ziet je aankomen met je eigen gebakken kernel. Daar zit hij echt niet op te wachten hoor

0 demilord
@FreakyFries • 21 september 2011 23:39

Want jij ziet de linux distro´s al bij Microsoft aankloppen om een certificaat aan te schaffen?

Ik niet, ik HOOP werkelijk dat je dat uit kan schakelen.., wat als ik een live usb stick wil booten met linux.. of een rescue cd die ik zelf gebakken heeft...

Fuzzillogic
21 september 2011 12:34

Beseffen mensen dat deze praktijk bij mobiles allang het geval is? Waarom accepteert men het daar wel, terwijl het voor pc's blijkbaar een enorme weerstand oproept?

Ik kan alleen maar hopen dat Microsoft zichzelf hiermee in de voet schiet en dat meer mensen de vrijheid die men altijd al op PC heeft gehad ook van hun mobiel gaan eisen.

CAPSLOCK2000
@Fuzzillogic • 21 september 2011 16:31

De meeste mensen zijn niet bereid om fors meer te betalen voor een product zonder beperkingen of het dan maar zonder te doen.

DRM zit ook al in iedere (moderne) grafische kaart, camera of beeldscherm. Er zijn een paar grote en rijke partijen die lobbyen voor meer beperkingen, en alleen wat arme hackers en burgerrechten-activisten die zich er tegen verzetten.

DVD-spelers hebben we ook allemaal gekocht terwijl daar toch ook DRM op zit, die is weliswaar gekraakt, maar toen hadden de meeste mensen al lang zo'n ding aangeschaft.

De grote fabrikanten zouden een andere beslissing kunnen maken, maar die zitten bij de content-industrie in de zak. Ze beseffen best dat hardware een middel is, en geen doel op zich. De content-industrie is enorm terughoudend. Alleen als je met zware DRM aan komt zetten krijg je een licentie. In de muziekwereld beginnen ze er een beetje van terug te komen, maar de film-maatschappijen denken nog dat het de toekomst is.

mashell
@CAPSLOCK2000 • 21 september 2011 18:36

rijke partijen die lobbyen voor meer beperkingen, en alleen wat arme hackers en burgerrechten-activisten die zich er tegen verzetten

In een democratie heeft de stem van het volk de macht. Feit is alleen dat het volk hier helemaal geen probleem mee heeft, slechts wat arme hackers en burgerrechten-activisten zien DRM als een probleem.

Fuzzillogic
@mashell • 21 september 2011 18:49

Dat het volk er geen probleem mee heeft betwijfel ik. Mijn vermoeden is eerder dat het volk niet beter weet. Hoeveel mensen vinden het de normaal dat ze een CAM/CI+ module moeten kopen voor hun TV? Weten ze dat dat volstrekt overbodig is? (Ja, extra pakketten wil je afschermen, dan is encryptie wél begrijpelijk. Voor het basispakket is die DRM-drek alleen maar een nadeel voor de consument)

Zo ook met mobiele telefoons. De walled garden van Apple, Microsoft biedt enige bescherming tegen het boze wereld buiten. Da's mooi. Maar hoeveel mensen zouden het nog zo prachtig vinden als je hun vertelt dat Apple en Microsoft er alles aan doen om te verhinderen dat je naar buiten *kunt*, ondanks dat ze het apparaat met fors geld gekocht hebben?

En voor je begint over game consoles: die worden niet aangeboden als PC's, maar als spelcomputers. Mobieltjes worden allang niet meer aangeboden als "slechts" telefoons, maar als compacte PC's.

+1 HashIT
@Fuzzillogic • 21 september 2011 13:11

Accepteren? Volgens mij is dat niet het geval. Steeds meer fabrikanten geven de mogelijkheid om een dergelijke beveiliging uit te schakelen zodat custom ROMs geinstalleerd kunnen worden.

Jammer genoeg hebben fabrikanten andere belangen dan de tweaker. Als je bijvoorbeeld kijkt naar game consoles, worden die steeds beter dichtgetimmerd, terwijl tweakers ze het liefst zo open mogelijk zien.

0 TMoose
@Fuzzillogic • 21 september 2011 13:22

Op je telefoon kun je de verificatie uitzetten, waarna wel gesignde roms ook nog werken. Wat gesuggereerd wordt is dat de standaard gesignde rom's niet meer werken als je de verificatie uitzet.

+2 Bauknecht
21 september 2011 12:31

Misschien even nuanceren: http://mjg59.dreamwidth.org/5552.html
- MS legt helemaal geen eisen op mbt tot het uitschakelen van secure boot. MS wil enkel dat Windows 8 PC's standaard op 'secure boot = on' staan en de keys voor W8 bevatten.
- Dit gaat enkel over OEM PC's met zo'n stickertje. Als jij een retail moederbord koopt, is de keystore gewoon leeg en kan je installeren wat je wil.

+2 CabezaDelZorro
@Bauknecht • 21 september 2011 14:44

Als ik dit artikeltje zo lees lijkt het me zelfs mogelijk dat je zelf je keys in de keystore van je eufi bios kan zetten vanuit een geinstalleerd OS (Windows 8 bijv.). Dit betekent ook dat je zelf een key kan aanmaken voor je favoriete open source OS, de binaries hiermee signen, en dit OS ook via secure boot beschikbaar kan maken.

Verder is het natuurlijk zo dat deze functionaliteit alleen aan moet staan als je het Windows 8 Logo wil dragen (misschien dat er zelfs andere eisen zijn voor "Designed for Windows 8" en "Compatible with Windows 8")

0 Filip Maurits
@CabezaDelZorro • 21 september 2011 22:04

Het lijkt me onwaarschijnlijk dat je dat kan vanuit het OS, anders zou elke rootkit z'n eigen key kunnen whitelisten?

0 worldcitizen
@Bauknecht • 21 september 2011 13:25

Misschien even nuanceren: http://mjg59.dreamwidth.org/5552.html
- MS legt helemaal geen eisen op mbt tot het uitschakelen van secure boot. MS wil enkel dat Windows 8 PC's standaard op 'secure boot = on' staan en de keys voor W8 bevatten.
- Dit gaat enkel over OEM PC's met zo'n stickertje. Als jij een retail moederbord koopt, is de keystore gewoon leeg en kan je installeren wat je wil.

Dit vindt ik een schitterende link.

Volgens mij heeft deze hele blog niet meer of minder waarde dan een verhaaltje van welke andere blogger dan ook.

Waarom mensen deze reacte omhoog modden is mij een raadsel.

+1 CabezaDelZorro
@worldcitizen • 21 september 2011 15:04

Een blog van een Linux developer bij Red Hat heeft altijd nog meer waarde in dit onderwerp dan de meeste andere huis, tuin en keuken bloggers.

+2 Niet Henk
21 september 2011 12:23

Hierdoor moet worden voorkomen dat malware zich in het besturingssysteem weet te nestelen en bij het starten van Windows 8 actief wordt.

Hier hoort nog iets bij, ik denk namelijk dat Microsoft dit voornamelijk doet om het gebruik van bootloaders te voorkomen. In Windows 7 werden vaak bootloaders gebruikt, die de computer zich voor lieten doen als een OEM computer om Windows illegaal te kunnen gebruiken. Ik denk zelf dat dit de voornaamste motivatie is voor deze actie, en het voorkomen van malware een gunstige bijkomstigheid en excuus is.

0 Dreamvoid
@Niet Henk • 21 september 2011 15:28

Er is dan ook geen technisch verschil tussen een 'evil' rootkit en een bootloader crack.

+2 actionhenk
21 september 2011 12:31

Het lijkt mij vrijwel onmogelijk voor Microsoft om dergelijke eisen te stellen. Niet alleen maakt dit het onmogelijk om Linux te booten, maar ook een hoop andere utilities kunnen hierdoor niet zomaar meer geboot worden lijkt mij.

Denk aan:

Memtest
Norton Ghost[/i]
Utilities voor het flashen van een BIOS[/i]
Utilities voor het partitioneren of veilig wissen van hardschijven
etc

Met andere woorden, als dit geïmplementeerd wordt in de vorm zoals het in dit artikel beschreven staat, maakt dit het werk van zowel de IT professional als hobbyist zo goed als onmogelijk.

0 Bauknecht
@actionhenk • 21 september 2011 12:38

Om nog maar te zwijgen van het feit dat alle toekomstige versies van Windows ook niet zullen draaien wegens niet in de keystore aanwezig.
Neen, tenzij MS zelf suïcidale neigingen heeft, denk ik niet dat we ons zorgen moeten maken

0 Dreamvoid
@actionhenk • 21 september 2011 14:19

De bedrijven die deze utilities maken hebben allemaal al lang een CA certificaat, dus het signen van hun programma's is supersimpel.

CAPSLOCK2000
@actionhenk • 21 september 2011 16:22

Helaas worden de beslissingen vaak niet genomen door de IT-professionals en hobbyisten. De meeste computers worden gekocht door managers en consumenten. Die hebben hier veel minder mee te maken en zullen het waarschijnlijk als voordeel zien dat je BIOS/HD niet meer overschreven kunnen worden.
De grootste leveranciers zullen toch wel zorgen voor gesigneerde versies van hun product en hun klanten overtuigen dat het beter is dan de ongesigneerde versie van de concurrent.

0 demilord
@actionhenk • 21 september 2011 23:47

Het lijkt mij vrijwel onmogelijk voor Microsoft om dergelijke eisen te stellen. Niet alleen maakt dit het onmogelijk om Linux te booten, maar ook een hoop andere utilities kunnen hierdoor niet zomaar meer geboot worden lijkt mij.

Denk aan:
Memtest
Norton Ghost[/i]
Utilities voor het flashen van een BIOS[/i]
Utilities voor het partitioneren of veilig wissen van hardschijven
etc
Met andere woorden, als dit geïmplementeerd wordt in de vorm zoals het in dit artikel beschreven staat, maakt dit het werk van zowel de IT professional als hobbyist zo goed als onmogelijk.

Onboot virusscanners.. defraggers..

Sandertje03
21 september 2011 12:09

wil dit dan ook zeggen dat als je een PC met windows koopt er geen andere OS op kunt zetten?

+2 Phoenix_the_II
@Sandertje03 • 21 september 2011 12:18

Ja en nee:

De uefi zou uitsluitend code mogen accepteren als die is voorzien van een geldige handtekening die door een Certificate Authority is uitgegeven.

Als je distrubutie van jouw favoriete linux voorzien is van een geldige handtekening dan zou je deze gewoon moeten kunnen installeren.

Echter als dit niet zo is dan zou je verwachten dat je de secured boot optie moet kunnen uitschakelen. Echter:

Linux-ontwikkelaars maken zich echter zorgen, omdat nog niet duidelijk is of de secure boot-optie in de uefi kan worden uitgeschakeld

Als dat dan ook niet kan, kan je dus je installatie van je favo OS vergeten.

Andere puntjes:

Hoe zit het als een Certificate Authoriteit gehacked wordt (DigiNotar example)? Moet je dan je UEFI gaan zitten updaten? Ik denk dat veel mensen dit te ver gaat dit te regelen.

Hoe zit het met het kip-ei verhaal? Als je een paar jaar later nog een OS wilt installeren en de bekende CA's in het UEFI zijn allemaal revoked en het OS in precipe een geldig handtekening heeft van een nieuwe CA?

roy-t
@Phoenix_the_II • 21 september 2011 12:28

Het lijkt me een beetje dramaqueen spelen van de Linux kant. Nu is het net alsof MS alle moederbord fabrikanten ter wereld gaat dwingen om secure boot niet te kunnen uitschakelen in de bios.

Er is gewoon nog niets over gezecht maar een heel kamp maakt zich er al druk om. Verder heeft Windows 8 een eigen bootmanager waar ook andere os-en (zoals Windows 7) vanuit geboot kunnen worden, misschien kan je hier ook gewoon Linux in zetten. Dus misschien wordt het zelfs mogelijk om Linux met secure boot in de BIOS aan toch te starten.

Ook zou het kunnen dat je secure boot uit kunt laten en dat er een optie in Windows komt om toch te booten met secure boot uit.

Anyway er is dus nog helemaal niets bekend en iemand is in paniek geraakt omdat hij/zij een mogelijk doomscenario kon bedenken en helaas neemt een gerespecteerde site als tweakers.net (met de mogelijke aanmerkingen) over.

Kortom: niets aan de hand! Iig niet totdat MS daadwerkelijk iets over secure boot zegt.

Als laatste snap ik niet waarom een distributie zoals Ubuntu geen certificaat zou kunnen krijgen. 'Dat is in strijd met de GPL' hoe dan? En wordt het niet tijd om van de GPL af te stappen en iets nieuws te bedenken als de GPL dingen als veiligheid en bruikbaarheid in de weg zit?

[Reactie gewijzigd door roy-t op 21 september 2011 12:29]

+2 Rob Coops
@roy-t • 21 september 2011 13:08

Het is in strijd met de GPL omdat je dan andere buiten sluit, ik kan mijn eigen kernel niet meer bouwen omdat ik de certificaten niet kan toevoegen, en dat betekend dus dat ik met geen mogelijkheid meer een recompile kan uitvoeren zonder dat is de certificaten zelf in handen heb, en dat maakt het hele signed boot process een beetje onzinnig.

Daar naast is het argument dat de Windows boot loader geleverd wordt met een optie een ander OS te starten een lap middel omdat het nog steeds niet toe laat dat ik een eigen boot loader gebruik en dat is nog steeds een beperking van mijn mogelijkheden.

Het argument dat Microsoft onmogelijk alle moederbord fabrikanten op deze planeet kan dwingen secure boot in te schakelen is niet helemaal waar. De Linux markt (buiten de server markt om) is extreem klein in verhouding tot de Windows markt voor een moederbord fabrikant is het daarom totale onzin om een bord te maken dat geen Windows kan booten en voor een verkoper is het eigenlijk niet uit te leggen aan een klant waarom het ene bord een stuk meer kost dan het andere terwijl het enige verschil is dat de goedkope versie een beperking heeft met betrekking tot het booten van verschillende OS'en.

Microsoft zal het zeker niet erg vinden om andere OS'en in de weg te zitten en ze zal het dan ook niet nalaten dit te doen zeker als het kan van uit het argument van een "veiliger systeem". Het zou me niets verbazen als ze het in ieder geval overwegen om zo iets te proberen. Al denk ik ook niet dat ze het door zullen voeren...

Ik neem aan dat het er op neer komt dat Windows standaard kijkt of secure boot aanstaat en als dat niet het geval is op de een of andere manier aan de bel trekt. Zo kan Windows veilig blijven, klanten toch gewoon Linux gebruiken en daar naast ook een mindere veilige versie van Windows draaien. Klaagt een klant dan dat het systeem niet stabiel is dan is de eerste vraag stond secure boot aan tijdens het booten? Zo niet zet dat dan maar even aan en bel maar weer terug... lekker makkelijk ook voor de helpdesk van Microsoft.

+2 SPee
@Rob Coops • 21 september 2011 14:41

Nee, daarvoor is GPLv3 gekomen. Met GPLv2 is het nog wel toegestaan om de code te beschermen met certificaten.

De code is dan wel openbaar (zoals GPL voorschrijft), alleen het certificatieproces op die code (wat buiten de GPLv2 valt) is intern en kan niet nagedaan worden. Omdat het echter niet onderdeel is van de code, maar alleen met die code werkt (b.v. zoals de firmware in hardware, zoals GPU) is het dus niet tegen de regels.
Tivo heeft het toen zo gedaan, zodat hun klanten wel de code konden bekijken en aanpassen, maar deze toch niet op hun apparaat konden draaien.
Daarop zijn ze met GPLv3 gekomen, die ook verplicht om die certificaten mee te leveren. Maar Torvelds ging daar niet in mee, waardoor de kernel nog onder GPLv2 wordt uitgegeven.

MS zal het beveiligde bootproces zeker willen, maar tegelijkertijd ook beseffen dat dit niet mag betekenen dat de klant alleen Windows kan draaien. Misschien gaan ze daarvoor 2 OEM certificeringen uitgeven: secured en not-secured. Wie weet zullen de OEM fabrikanten het mogelijk maken om dit uit te schakelen (of zelf Linux kernels uitgeven

). Het zou toch zwaar een beperking van je eigen apparaat zijn als je dit niet kon aanpassen/uitschakelen.
Zeker voor laptops is er bijna geen andere keus dan een OEM apparaat.

+2 Dreamvoid
@SPee • 21 september 2011 15:22

Bovendien staat het iedereen vrij om een signed Linux te draaien van een 'veilige' bron zoals Red Hat, Canonical, IBM, etc. Het is een beetje jammer dat hier weer een hysterische Windows-versus-Linux draai aan gegeven wordt. Wat het werkelijk betekent is dat unsigned homebrew code niet meer kan draaien in het bootproces.

+1 Filip Maurits
@SPee • 21 september 2011 21:33

Correctie: GPLv2 staat het blokkeren via een key niet toe, maar het verbiedt het ook niet expliciet. Of het al dan niet mag met de GPLv2 staat al heel lang ter discussie, en alleen rechtzaken zouden die discussie kunnen laten stoppen (al is de kans groot dat meerdere rechters verschillend zullen oordelen ook...).

0 KinGuiN
@Rob Coops • 22 september 2011 14:27

Zou je je stukkie over "MS zal het niet erg vinden andere OS'en in de weg te zitten en zal het dan ook niet nalaten dit te doen" misschien willen weghalen??? Totaal ononderbouwd en eigenlijk gewoon een grove leugen... Volgens mij is dit juist waar MS de laatste paar jaar meer dan een miljard euro aan boetes voor heeft gehad en zullen ze echt geen strategie uitzetten die dit omvat...

H!GHGuY
@roy-t • 21 september 2011 12:57

Het is tegen de GPL aangezien GPL voorschrijft dat je geen andere beperkingen mag opleggen.
Kernel signing is een beperking aangezien je de key niet zomaar gratis kan vrijgeven. Iedereen die thuis zijn kernel compiled kan die dus niet meer booten.

In GPLv3 is het voor consumer producten zelfs zo dat wie GPLv3 software verspreidt
in een systeem waar secure boot op zit, verplicht kan worden de keys vrij te geven.

+2 Wim-Bart
@H!GHGuY • 21 september 2011 17:44

Op zich heb je een heel goed argument, maar wat ik mij af vraag is hoe veel mensen buiten standaard Linux distributies om een eigen compile maken van de kernel. Exacte aantallen zijn niet te noemen.

Maar wanneer je het aantal Linux desktop installaties afzet tegen het aantal Windows installaties dan is dit marginaal.

En waneer je het aantal mensen neemt wat een eigen compile doet van een custom kernel en dat afzet tegen standaard desktop implementaties van Linux dan is dit ook marginaal, behalve voor ontwikkelaars.

Daarnaast hoeft alleen de bootloader gesigned te worden, dus wanneer je een eigen kernel bouwt en gewoon een bootloader uit een distributie gebruikt welke gesigned is dan voorzie ik niet echt problemen.

Aan de andere kant, UEFI heeft zo veel mogelijkheden met betrekking tot booten en afhankelijk van de compatibiliteit met de hardware dat het mij persoonlijk stug lijkt dat ze in een UEFI boot pad niet iets mee kunnen geven dat het een unsigned pad is.

0 Filip Maurits
@Wim-Bart • 21 september 2011 21:30

Het gaat niet enkel over zelf-gecompileerde kernels maar ook over kernels van kleinere distro's of distro-varianten. Vb. er is een afgeleide van Ubuntu die speciaal aangepast is voor blinden, en die had (vroeger alleszins) een lichtjes aangepaste kernel. De kans dat die ene persoon die die distro uitbrengt een signing key krijgt lijkt me redelijk klein (anders zou iedereen die zelf kernels bakt er ook één willen, en moet Microsoft 20 man extra in dienst nemen om al die aanvragen te verwerken

0 KinGuiN
@Filip Maurits • 22 september 2011 14:14

Nogmaals:

Daarnaast hoeft alleen de bootloader gesigned te worden, dus wanneer je een eigen kernel bouwt en gewoon een bootloader uit een distributie gebruikt welke gesigned is dan voorzie ik niet echt problemen.

Daarnaast, er worden enkele malen bedragen genoemd hier voor het signen van zo'n certificaat, zo'n €150(Ik durf me vingers niet aan een schatting te branden, maar als jij het echte bedrag weet, hoor ik dat graag).. Ga mij nou niet vertellen dat dit voor welke distro dan ook niet op te brengen is... Een fork van Ubuntu speciaal voor blinden zal echt wel iemand kunnen vinden die dit wilt betalen of dit kunnen betalen vanuit een donatie... Oh, en die opmerking over MS die 20 man moet aannemen ivm de aanvragen... Klok, klepel, net als de rest van je betoog...

+1 Bauknecht
@roy-t • 21 september 2011 12:34

Probleem hierbij is wel dat je nog steeds een Windows nodig hebt. Stel dat je een mediacenter met LinuxMCE vanaf een USB-stickje wil starten zoals het bedoeld is. Dan zou je toch nog een Windows 8 versie moeten kopen en installeren om via dat systeem je LinuxMCE te kunnen opstarten. Beetje omslachtig niet?

+1 Passkes
@Bauknecht • 21 september 2011 12:55

Heb je het artikel wel gelezen? In de kop nogwel.

oem-eisen die Microsoft wellicht zal opleggen aan computerfabrikanten die Windows 8-certified-pc's gaan leveren

Je hebt dan toch echt al een windows 8 licentie in huis als je een een windows 8 machine aanschaft.

Het zou zoals roy aangeeft dan helemaal geen probleem moeten zijn.

!nFerNo
@Passkes • 21 september 2011 13:15

Probeer eens een PC te kopen (geen losse onderdelen) ZONDER Windows... Er zullen er misschien wel een paar zijn maar het gros levert sowieso mét Windows. En ook dat onderdeel moet je betalen.

+1 GORby
@Bauknecht • 21 september 2011 16:07

Misschien moet je dan als media center geen windows 8 certified PC kopen, aangezien die sowieso geleverd gaan worden met windows 8, waarvoor je dan ook zal betalen...

Hopelijk zijn er dan natuurlijk nog altijd computers te koop die niet windows 8 certified zijn, wat misschien vooral bij laptops een probleem kan zijn, aangezien deze bijna altijd van OEMs komen, met Windows voorgeïnstalleerd.

[Reactie gewijzigd door GORby op 21 september 2011 16:11]

+1 Terracotta
@roy-t • 21 september 2011 12:53

Probleem is niet dat het niet uit te schakelen valt, het probleem komt pas te boven als men beide systemen wil laten draaien, elke keer als je boot de optie in/uitschakelen is niet echt gebruiksvriendelijk. Je kan trouwens met de optie ingeschakeld niet eens je eigen kernel compileren... Basically verlies je dus het recht op de controle van je eigen aangeschafte gerief.

Sjaaksken
@roy-t • 21 september 2011 16:52

Het lijkt me een beetje dramaqueen spelen van de Linux kant. Nu is het net alsof MS alle moederbord fabrikanten ter wereld gaat dwingen om secure boot niet te kunnen uitschakelen in de bios.

Wat jij aanstellerij vindt (dramaqueen spelen), vind ik een gepaste reactie van de community met de vroegere pogingen van microsoft om Linux te weren in het achterhoofd (patentenkwestie, aanpassen van protocols zodat deze slechter werken met linux ea trucjes) ... Wanneer had je dan verwacht dat er gereageerd ging worden? Als het al te laat was? Als er weer een jarenlang onderzoek nodig is van de Europese commissie?

Denk toch eens twee seconden na, dit is een manier om de veiligheid te garanderen maar daarom niet de beste. De optie om de uefi te verplichten om secure boot in te schakelen indien men windows wil opstarten is aanvaardbaar maar het omgekeerde niet (Windows die verplicht om secure boot ingeschakeld te laten, ook al wordt er Windows niet gestart).

Hier wordt geen drama over gemaakt, maar terecht op gewezen. Er zijn momenteel geen aanwijzingen dat de gebruiker de mogelijkheid krijgt om een aparte bootloader te installeren op OEM's pc's. Geen custom bootloader betekent gewoon geen apart OS. De optelsom is eenvoudig : geen linux meer op desktop pc's.

Doordat er voor dit scenario gewaarschuwd wordt, is de kans weer groter dat fabrikanten niet overstag gaan voor een 'secure boot - only' model maar een flexibeler 'secure boot - optionally' model. de uefi zou bv. een optie kunnen bevatten dat deze secure boot automatisch uitschakeld indien er voor een niet-windows bootloader gekozen wordt. De gewone gebruiker die enkel met windows bezig is en enkel de windows bootloader gebruikt zou hier niets van merken, windows wordt toch veilig gestart en Linux kan geïnstalleerd worden. En het is ook geen rocket science....

0 TheNymf
@roy-t • 21 september 2011 14:00

dat denk ik ook, je zorgt ervoor dat je geen bootmanager meer kunt installeren, maar als je die meelevert kun je prima een extra OS toevoegen aan die manager

BeosBeing
@roy-t • 25 september 2011 17:35

Het is allemaal nog misschien maar als Microsoft het bij OEM's gedaan krijgt om in het bios efi te blokkeren dat je een niet-gecertificeerd OS kunt opstarten dan is het belangrijkste onderdeel van Linux e.d. geëlimineerd: de vrijheid.

Hoewel veel gebruikers, m.n. van Ubuntu en van de commerciële distrbuties het nooit zouden doen haalt dit de mogelijkheid weg om zelf je kernel te compileren, om die daarmee voor jouw systeem te optimaliseren. Ook maakt het source-code-gebaseerde distributies zoals Gentoo, BYO, Calculate Linux, Funtoo, LFS, Gobolinux, Heretix, Sorcerer en Source Mage onmogelijk. Ook honderden andere kleine distributies, zoals die welke door één persoon gemaakt werden, zoals bv Masonux en SuperOS worden onmogelijk omdat zij zich nooit een certificaat kunnen veroorloven.

Een gecertificeerde kernel betekend nog niet dat het OS veilig is, er kan in een van derden afkomstige installatie-image altijd een applictie met remote beheersmodus bevatten waarmee die derde de controle over kan nemen van je PC ondanks dat de kernel of de bootloader gecertificeerd is.

Echter het is, zoals je al zegt nog te vroeg om te zeggen wat er gebeurt, echter mocht het wel zo zijn, dan zal Microsoft dat echt niet met zoveel woorden zeggen, ze zullen het enkel als veiligheids-feature presenteren. Daarom is het zinvol te waarschuwen voor het door anderen ongewenste mogelijke bijeffect. De gemiddelde systeem-OEM, zoals een Acer, Asus, Medion of MSI zal er echter niets om geven, zij installeren immers toch uitsluitend Windows op hun systemen.

Wat betreft de GPL, die is nooit bedoeld geweest om het gebruiksgemak te vergroten, maar om de vrijheid voor de gebruiker te waarborgen, ervan uitgaande dat die gebruiker vaardig genoeg is, o.a. om zelf te compileren enzovoorts.

+1 BugBoy
@Phoenix_the_II • 21 september 2011 13:15

Als de heren BIOS makers zorgen dat je zelf een certificaat kunt installeren in je UEFI, dan kun je daar een self-signed certificate op installeren en met dat certificaat je eigen kernel signen. Dan is er in feite niets aan de hand en blijft je boot lekker secure.

+1 Mijzelf
@BugBoy • 21 september 2011 13:24

Dacht je? Waarom zou die malware waarover het gaat

Hierdoor moet worden voorkomen dat malware zich in het besturingssysteem weet te nestelen en bij het starten van Windows 8 actief wordt.

dan ook niet zijn eigen cetificaat kunnen installeren?

+1 Wim-Bart
@Mijzelf • 21 september 2011 17:49

Dacht je? Waarom zou die malware waarover het gaat
[...]
dan ook niet zijn eigen cetificaat kunnen installeren?

Zou in theorie kunnen, maar een optie zou kunnen zijn dat het inlezen van het certficaat vanuit de firmware moet in speciale maintenance mode waartoe je geen toegang hebt tot de flash gegevens in schrijfmodus vanuit een OS

wildhagen
@Phoenix_the_II • 21 september 2011 12:26

Als je een paar jaar later nog een OS wilt installeren en de bekende CA's in het UEFI zijn allemaal revoked en het OS in precipe een geldig handtekening heeft van een nieuwe CA?

Zo'n vaart zal het niet lopen gok ik, die CA's lopen enorm lang door. Zo zijn Verisign-certificaten bijvoorbeeld vaak tot 2035 ofzo geldig.

Dat lijkt me dus niet echt een issue, want ik zie niet iemand in 2040 nog een Linux-distributie uit 2013 ofzo installeren...

Daarnaast kan je als fabrikant natuurlijk een update voor UEFI uitbrengen waarin nieuwe (of verlengde) CA's zijn opgenomen.

[Reactie gewijzigd door wildhagen op 21 september 2011 12:26]

Xubby
@Phoenix_the_II • 21 september 2011 12:58

Als je distrubutie van jouw favoriete linux voorzien is van een geldige handtekening dan zou je deze gewoon moeten kunnen installeren.
[...]

Als dat dan ook niet kan, kan je dus je installatie van je favo OS vergeten.

Los van het OS:
Vraag me af of dit de nieuwste versie van MS Windows Genuine Advantage is:
alleen kunnen booten met een OS met certificaat dat de software versie controleert.
En dat is natuurlijk een goed door MS gecontroleerde versie, betaald en wel. Met dat laatste is niks mis uiteraard, als het van MS zelf is.
(En en passent Linux de poot dwars zet.)

[Reactie gewijzigd door Xubby op 21 september 2011 12:59]

+1 Wh4ck0
@Phoenix_the_II • 21 september 2011 13:02

Nee je hoeft je UEFI niet te updaten, maar je OS, de beveiliging is een extensie van de firmware. De firmware maakt het mogelijk dat je OS extra dingen doet alvorens het opstarten, zoals device drivers op firmwre niveau laden, en ook dus beveiliging.

0 psyBSD
@Phoenix_the_II • 21 september 2011 12:57

Ik vertrouw CA's niet, ik wil alleen een OS kunnen booten dat IK heb ondertekend.

+1 arjankoole
@psyBSD • 21 september 2011 13:07

Ik vertrouw CA's niet, ik wil alleen een OS kunnen booten dat IK heb ondertekend.

Is wat voor te zeggen, inderdaad. Of: dat binnen een bedrijf alleen OS versies te booten zijn die gecertificeerd / ondertekend zijn door systeembeheer (en de corporate CA). Dat zou enige mate van extra security kunnen opleveren.

Hoe dan ook, dat zou een open proces moeten zijn, en het mag niet zo zijn dat je opeens geen OpenSource OS'en meer zou mogen/kunnen booten hierdoor.

+1 Wim-Bart
@arjankoole • 21 september 2011 17:46

Helemaal geen gek idee. Vooral met een hardwarematige lock op de configuratie van de interface. Dit maakt het mogelijk dat een gestolen laptop niet meer zo maar gebruikt kan worden zelfs niet na een bios reset. Zoiets als je bijvoorbeeld bij HP kan wanneer je een laptop hebt met embedded security.

Sebaszz
@Sandertje03 • 21 september 2011 12:14

Klopt, dat wil dit zeggen, hoop echter dat Microsoft niet zo dom is.

+1 macquarius
@Sebaszz • 21 september 2011 12:17

En het is daarbij onwettig dus krijgen ze Neelie weer op hun dak. Met andere woorden, dit gaat niet gebeuren.

Xubby
@macquarius • 21 september 2011 12:47

En het is daarbij onwettig dus krijgen ze Neelie weer op hun dak. Met andere woorden, dit gaat niet gebeuren.

Opvolger van Neelie. Inderdaad, als UEFI standaard een bootbeveiliging (via een certificaat) gaat krijgen, dan zou je in theorie MS en niet MS UEFI pc 's, laptops, enz kunnen / moeten krijgen.
Een (standaard) pc zonder MS windows kopen is soms al lastig, laat staan met een ander "bios".
En zo'n CA certificaat kost wellicht geld, dus bij "gratis" Linux ...
Lijkt op Linux pesten door MS.

[Reactie gewijzigd door Xubby op 21 september 2011 12:48]

+2 SED
@Xubby • 21 september 2011 12:58

Het zou geen probleem moeten zijn dat een Ubuntu bijv zijn kernel signed door een eigen certificaat. tenslotte komt de de beveiliging van alle pc's ten goede en moet men eens over het eigen bord heen leren kijken.

Het is pure winst als er een betere en veiligere bootprocedure komt. Dit zie ik dan ook als een goede stap van Windows en aangezien er best een oplossing aan oa Linuxzijde te bedenken is mag het geen probleem vormen.
Gratis Linux kun je dan alleen nog installeren op vrije hardware en tegen een geringe kostprijs kun je een signed Linux installeren op alle hardware.

Of een signed kernel de GPL schendt vraag ik me trouwens af.

[Reactie gewijzigd door SED op 21 september 2011 13:11]

killercow
@SED • 21 september 2011 13:27

Een signed kernel schendt inderdaad de gpl,

Het komt dan neer op Tivo-isation. Je kunt als gebruiker immers niets meer met een aangepaste of zelg gecompileerde versie, wat nu juist het hele punt van de gpl is.

Over je eigen bord heen kijken, ja, jij ja.

Security op hardware nivo is altijd waardeloos, je kunt immers altijd een andere disk erin stoppen. De enige oplossing is om je disk zelf te encrypten, maar daar heb je dan weer geen certificaten voor nodig. De boot methode is volgens mij in tijden niet als attackvector gebruikt, want het is gewoon ontzettend lastig om hier iets in de bouwen wat daarna de geinstalleerde kernel aanpast.

+2 army
@killercow • 21 september 2011 15:53

Een signed kernel schendt op geen enkele manier de GPL. Het punt waar GPLv3 het punt ligt en waar GPLv2 plat ging is dat GPLv3 verplicht om te beschrijven hoe je de DRM toepast en ook kan toepassen. Het probleem hier is het verkrijgen van een geldig certificaat of hoe zelf certificaten kan toevoegen zodat het gaat werken.

Hier maakte TiVo dus gebruik van in GPLv2 doordat dit niet werd afgedwongen. En ik begrijp deze stap wel van Microsoft. Veel commerciele klanten eisen dit gewoon om hun infra veiliger te maken en ze hebben gewoon gelijk eigenlijk.

Bonez0r
@army • 21 september 2011 17:30

@army
Het is heel leuk dat het kan, fijn voor bedrijven die het graag willen om hun netwerk veilig te houden etc, maar laat MS het aub optioneel maken, opt-out via een jumper op het mobo of zo.

0 KinGuiN
@Bonez0r • 22 september 2011 13:52

Volgens mij heeft MS heel weinig invloed op wat voor jumper er op het moederbord van Gigabyte wordt geplaatst... Ze kunnen een verzoek indienen, maar de fabrikant beslist nog steeds wat de mogelijkheden van het mobo zijn... Maar ze kunnen het natuurlijk altijd lief vragen..

+1 Dreamvoid
@killercow • 21 september 2011 14:43

Een signed kernel schendt inderdaad de gpl,

Nee, want 'Tivoisation' is na veel discussie inmiddels toch toegestaan in de laatste GPLv3 draft, en is volkomen legaal in GPLv2 (waar de Linux kernel onder valt).

En dan is Tivo nog een systeem waar maar 1 certificaat geaccepteerd wordt, SecureBoot maakt het mogelijk om andere 'trusted' certificaten toe te voegen, dus ook van Linux distrobakkers.

[Reactie gewijzigd door Dreamvoid op 21 september 2011 14:58]

Xubby
@SED • 21 september 2011 13:21

Ik vind alleen dat MS niet het recht heeft af te dwingen hoe of ik onder linux mijn pc beveiliging moet regelen. Of niet moet regelen.

0 KinGuiN
@Xubby • 21 september 2011 15:57

MS dwingt jou tot niets, of staan ze je bij je voordeur op te wachten als je naar de winkel gaat om hardware te kopen en gaan ze dan zeggen "Je moet die en die types en merken hardware kopen, anders mag je geen W8 installeren"??? Nee dus...

Dit gaat om Windows 8-certified systemen, je weet wel, waarvan MS dus garandeert dat het spul werkt... Net als er op systemen en randapparatuur vroeger een XP-certified en nu een Windows 7-certified stickertje zit... Daar mogen zij dus eisen aan stellen..

Er staat helemaal nergens dat je verplicht wordt om die secure boot te gebruiken... Dat het beter is, daar zal MS wel wat aandacht aan besteden, net zoals je nu wordt gepusht om een virusscanner te installeren en mocht je er geen eentje willen kopen, bieden ze je gratis een goed alternatief aan...

Tweakers hoeven natuurlijk al helemaal niet bang te zijn hiervoor, want die kopen allemaal hun hardware gewoon los via Pricewatch, toch???

Het zal volgens mij vooral de mensen raken die toch al niet zoveel met computers hebben en die zullen al niet snel Linux op een tablet of PC proberen te krijgen...

Mocht, zoals hierboven aangegeven, zo'n certificaat echt maar rond de 150, 200 Euro zijn, dan kan zelfs de allerkleinste linux-distro dit nog wel ophoesten en terugverdienen met ads op de download-pagina of een donatieknop... Maar ik heb werkelijk waar geen enkel idee aan welk bedrag ik zou moeten denken...

[Reactie gewijzigd door KinGuiN op 21 september 2011 15:57]

Vnze
@KinGuiN • 21 september 2011 17:02

offtoppic: ik koop inderdaad mijn hardware los voor mijn desktop maar mijn laptop is gewoon een dell.

Ontoppic: Ik heb de indruk dat de hele informatica wereld de tablet kant op gaat. Eerst de metro UI en appstore op windows 8, next een locked bootloader. Wat is eigenlijk voor de eindgebruiker het voordeel van Secure boot? Je mag alleen maar minder doen als je (helaas) een merk pc wilt/bezit.

0 BoringDay
@Vnze • 21 september 2011 20:24

De informatica is wel flink wat meer dan tablets of pc's-tjes.
Het grootste deel bestaat nog steeds uit PLC's.

Ik zou er niet aan moeten denken om alles op een tablet te moeten doen.
Vormgeving en grafisch ontwerp, development heb je nog steeds de reguliere desktop OS voor nodig.

Post-PC's betekent niet zozeer dat PC's zullen verdwijnen het zal een aanvulling zijn.
Daarbij is het op zich niet erg dat de consument straks kan kiezen.

+1 Delgul
@SED • 21 september 2011 13:37

Of een signed kernel de GPL schendt vraag ik me trouwens af.

Volgens mij niet. Je mag signen wat je wilt, zolang het proces om dat te doen maar GPL is. Volgens mij is daar niet veel tegen.

Ook denk ik niet dat er een CA aan te pas gaat komen. Om een certificaat te checken moet je namelijk online zijn en dat ben je bij het booten niet.

Zonder het gelezen te hebben, gok ik dat het zal gaan over een 'signed' executable in de zin van een hash waarmee bewezen kan worden dat er niet met deze executable is geknoeid. Als je er iets in wijzigt (wat virussen etc soms doen), klopt de hash niet meer en kun je niet meer booten. Zo lang het proces waar dat mee gebeurt dus open is, zal er geen probleem, zelfs niet als je zelf je kernels compileert.

Maar, zoals gezegd: Ik heb het artikel niet gelezen en ben dus niet gehinderd door enige kennis van zaken ;-)

+2 The Van
@Xubby • 22 september 2011 12:37

Lijkt op Linux pesten door MS.

Hoezeer ik dat zou willen onderschrijven, denk ik toch dat het iets anders ligt.
Dit lijkt me ongeveer de enige manier, waarop MS kan voorkomen, dat Win 8 beveiliging gekraakt gaat worden (Vista kon toch niet gekopieerd worden?!?).

Dit is een kopieerbeveiliging!

Dat Linux daar last van heeft heet dan uhhh.. Collateral Damage.

En er zal zeker gegniffeld worden binnen het MS kamp, maar voorkomen dat Linux kan opstarten zal zeker nimmer als argument worden opgevoerd.

[Reactie gewijzigd door The Van op 22 september 2011 12:37]

+1 Dreamvoid
@Xubby • 21 september 2011 14:01

En zo'n CA certificaat kost wellicht geld, dus bij "gratis" Linux ...

Je hoeft geen certificaat per installatie te kopen, alleen per distro. Die paar honderd euro kunnen Canonical, Red Hat, Google, etc zich allemaal wel veroorloven.

0 Rio6000
@Dreamvoid • 21 september 2011 14:55

Ik niet met mijn eigen kernel....

+1 Dreamvoid
@Rio6000 • 21 september 2011 15:05

Goed, maar noem het dan wat het is: een maatregel tegen homebrew code, niet tegen Linux.

+1 ATS
@Dreamvoid • 21 september 2011 16:27

@Dreamvoid: En dat is dan wel precies de kern van GPL-ed software (zoals Linux): het recht om het zelf aan te passen.

[Reactie gewijzigd door ATS op 21 september 2011 16:27]

+1 Rio6000
@Dreamvoid • 21 september 2011 19:24

Is geen homebrew, ik zet gewoon opties aan of uit of ik zet drivers uit of aan wat niet standaard is in mijn distributie.

0 coretx
@Dreamvoid • 21 september 2011 15:41

Een aanslag op zelfvertrouwen.

0 Juicyhil
@macquarius • 21 september 2011 12:29

Apple mag dan wel rustig zijn gang gaan?

+1 p0pster
@Juicyhil • 21 september 2011 12:37

Apple verkoopt de hardware zelf inclusief OS.
Dat is zoals een horlogemaker er voor zorgt dat zijn horloge ook werkt.

Microsoft is een Softwareboer en jij koopt daarvoor in principe zelf de hardware.

Wat de MS nu doet is verhinderen dat je 'andermans' besturingssysteem (software dus) naast die van Microsoft mag draaien.

Dat is tegen de Europese regels en dus kan MS daarvoor dan ook een flinke rekening verwachten.

Makkelijk
@p0pster • 21 september 2011 12:42

Nouja, microsoft doet nog helemaal niks. Er is ook geen aanwijzing dat microsoft wat doet. Alleen in het kader van 'de aanval is de beste verdediging' komt dit nu al naar buiten vanuit de linux community. Waarschijnlijk verstandig, want nu zal microsoft het niet meer in zijn hoofd halen.

Het brengt echter wel het dual booten in gevaar, vraag me af wat ze daar aan doen.

+1 Amir0ff
@Makkelijk • 21 september 2011 13:08

Ik denk dat het volgende gaat gebeuren:
- Microsoft gaat door met secure boot
- Linux krijgt toegang van uit de hardware fabrikanten
- Nadeel voor Linux wordt dat de eindgebruiker op deze systemen niet meer geheel
opensource is.
- Voordeel Microsoft, ze geven toegang aan Linux maar de eindgebruiker kan nu minder bij
Linux, microsoft breekt geen regels. Fabrikanten worden gedwongen door Linux modelen te
bouwen zonder deze ondersteuning, waar niet alleen Linux gebruik van gaat maken maar
ook bijv. Google etc.

+1 Dreamvoid
@Amir0ff • 21 september 2011 14:13

Nee hoor, ik voorzie gewoon dat er op je mobo een jumper oid komt waarmee je SecureBoot uit kan schakelen.

Dat, of er komen voor die systemen gewoon signed Linux bootloaders uit, problem solved. Een certificaat kost 150 euro, zelfs het kleinste bedrijfje kan zoiets doen - laat staan Google/Canonical/RedHat/etc.

[Reactie gewijzigd door Dreamvoid op 21 september 2011 14:15]

onox
@Dreamvoid • 21 september 2011 16:45

@Dreamvoid
Je vergeet dat er heel wat mensen zijn die kernels zelf bakken. Ik zie liever gewoon een jumper op het moederbord om SecureBoot uit te schakelen, want dit is gewoon Trusted Computing 2.0. http://www.cl.cam.ac.uk/~rja14/tcpa-faq.html

CAPSLOCK2000
@Amir0ff • 21 september 2011 16:09

Ik denk dat het volgende gaat gebeuren:
- Linux krijgt toegang van uit de hardware fabrikanten

Dat is eigenlijk niet mogelijk. Je zal namelijk iedere versie van Linux apart moeten registreren. Microsoft heeft een paar versies van Windows 8, dat is nog te doen. Van Linux zijn er echter duizenden, zo niet tienduizenden versies, en er komen er dagelijks bij. Die allemaal gaan registreren is niet te doen. Zelfs als er een bureau wordt opgericht waar iedereen z'n OS kan laten registreren dan moet je er waarschijnlijk voor betalen, en dat is niet aantrekkelijk voor een gratis OS. Zelfs als de grote distro's gaan betalen, dan nog zal het heel vervelend worden. Je zal als ontwikkelaar bijvoorbeeld aparte hardware moeten gaan kopen om je eigen aanpassingen aan het OS te testen, of iedere keer betalen (en met een beetje pech 3 maanden wachten).
Er zijn talloze linux-gebruikers die zelf aan hun systeem hebben zitten prutsen, die zouden allemaal in de problemen kunnen raken.

0 KinGuiN
@CAPSLOCK2000 • 22 september 2011 13:11

Niet zo doemdenken, joh... Het enige is dat een klein deel van de verkochtte PC's, degenen die Windows 8-certified zijn en dus een stickertje hebben, een extra veiligheid ingebouwd krijgen... Iedere zelf samengestelde PC kan gewoon alles booten en mogelijk kan je bij W8 er dan voor kiezen om ook gebruik te maken van de extra veiligheid(Als het mobo dit dus ondersteund), dus waar maak je je druk om?? Mensen die zelf kernels schrijven en programmeren, hebben waarschijnlijk ook geen standaard Packard Bell-systeem bij de Mediamarkt gehaald...

+1 Mellow Jack
@p0pster • 21 september 2011 12:51

Bullshit natuurlijk

Microsoft verkoopt software aan OEM's en OEM's verkopen hetzelfde totaal pakket aan de consument.

Het probleem is en blijft de monopolie positie, MS is en blijft monopolist en de fabrikanten die gebruik maken van Windows moeten de consument de keuze blijven geven om een alternatief te kunnen gebruiken (al dan niet voor geinstalleerd.) Apple heeft helemaal niks (geen enkele monopolie op desktop, server of mobiel gebied) en mogen dus gewoon hun eigen regels bepalen.

Geloof mij maar dat wanneer Apple een monopolie verkrijgt ze ook gelijk het OS moeten open zetten voor concurrenten en verschillen ze helemaal niks meer met MS

H@rry
@Juicyhil • 21 september 2011 12:31

Volgens mij kan je daar heel goed windows op zetten met bootcamp!

+1 TAMW
@H@rry • 21 september 2011 13:32

Apple laat sinds de switch naar x86 ook geen native linux meer toe.
(tenzij je "hack's" als als refit gaat gebruiken)

[Reactie gewijzigd door TAMW op 21 september 2011 14:01]

+2 aequitas
@TAMW • 21 september 2011 16:29

http://refit.sourceforge.net/myths

Het niet niet een kwestie van niet toelaten, maar gewoon van niet ondersteunen.

Magnetic_Man
@TAMW • 21 september 2011 13:55

Klopt niet. Zonder refit werkt het ook gewoon. Stop een linux cd er in, houd alt ingedrukt, boot van cd en overschijf alle partities.

+1 DLGandalf
@Magnetic_Man • 21 september 2011 14:02

neehoor, dat werkt niet. Het EFI van de Mac zal dan weigeren optestarten van je zojuist MBR ingedeelde schijf. (dus nadat je hebt geinstalled met de live-cd)

[Reactie gewijzigd door DLGandalf op 21 september 2011 14:02]

+1 Zilla
@DLGandalf • 21 september 2011 14:25

De EFI van de mac kan domweg niet opstarten vanaf MBR, hij accepteerd alleen gpt.

Dus linux op een gpt gepartitioneerde schijf gaat prima werken (geen ervaring)

[Reactie gewijzigd door Zilla op 21 september 2011 14:26]

0 TAMW
@Magnetic_Man • 21 september 2011 14:04

Heb je een bron/link voor me?

+1 ppl
@TAMW • 21 september 2011 20:42

Mijn Mac mini met een Core 2 Duo 1,83GHz processortje en 2GB aan mem heeft een 160GB harde schijfje met de oude mbr indeling. Dat moest omdat FreeBSD daar een heel stuk gelukkiger mee is. Nou ja, sysinstall dan. FreeBSD zelf kun je namelijk ook prima op zo'n schijf installeren als ie GPT doet. FreeBSD is overigens ook het enige OS wat er op draait. Dat ding heb ik ook alleen voor het draaien van FreeBSD gekocht. Destijds het zuinigste, goedkoopste en snelste machientje voor dat doeleinde.

Linux had ik er ongetwijfeld ook via die weg erop kunnen zetten. Dat is alleen niet het probleem. Het gaat om het installeren naast OS X. Dan MOET je die GPT indeling gebruiken en dan kom je ook al snel aan iets als EFI. De ondersteuning daarvoor in Windows en in Linux is uiterst prematuur, zelfs in Windows 7 die iets aan EFI zou moeten ondersteunen. Die ondersteuning is helaas anders dan wat Apple gebruikt en dus werkt dat niet zo. Voor Windows en Linux werkt het dan ook iets anders. Je kunt echter ook tools als rEFIt gebruiken (let op de letters

) waarmee je dan de verschillende operating systems kunt booten. Dat is ook meteen het volgende probleem van wat Apple standaard toestaat: je kunt er maar 1 OS naast OS X zetten, niet meerdere. Handmatig partitioneren en het gebruik van rEFIt laat dat weer wel toe. Dat handmatig partitioneren is sinds Lion vaak ook een beter plan omdat Lion 2 partities heeft itt 1 welke de Boot Camp Assistant eigenlijk verwacht. Er zijn veel mensen die daar problemen mee hebben gehad.

0 friggler
@H@rry • 21 september 2011 12:32

Nu wel ja, maar voorheen niet (lees: x aantal jaren geleden).

JapyDooge
@friggler • 21 september 2011 13:08

Ook op PowerPC kon je prima Linux installeren, er is zelfs een PPC versie van Ubuntu.

+1 Eldee
@JapyDooge • 22 september 2011 00:49

Er is ook voor PowerPC Window NT support geweest, dus die kon je ook installeren. Microsoft is alleen vrij vroeg (na Windows NT 4.0) opgehouden met PowerPC support in Windows NT. DE hele microkernel arcitectuur van Windows NT was - en is nog steeds -
gebaseerd om relatief eenvoudig diverse processorplatformen te ondersteunen. Grappig genoeg heeft Linux een monolithic kernel en (door Linius Torvalds zelf verklaard) oorspronkelijk alleen bedoeld voor i386.
http://en.wikipedia.org/wiki/Windows_NT
http://en.wikipedia.org/wiki/Linux_kernel

[Reactie gewijzigd door Eldee op 22 september 2011 00:57]

+1 foxofinfinety
@friggler • 21 september 2011 13:21

vanwege de processor architectuur ja, niet vanwege beveiliging.

je kan op die Mac's waar Windows niet op werkt namelijk wel Linux krijgen, maar dan moet je wel een hebben die voor PowerPC, of nog ouder Motorola, is gecombileerd.

als voorbeel heb ik op mijn eMac met 1Ghz PowerPC G4 Ubuntu gehad.
dat draaide wel voor geen meter maar je hoeft er niks speciaals voor doen.
CD er in, tijdens opstarten de C ingedrukt houden en hij boot zo van de LiveCD.

+1 rob12424
@foxofinfinety • 21 september 2011 13:35

Ik denk dat je gecompileerd bedoeld en niet gecombileerd!

Je hebt voor een deel gelijk, namelijk Aplle hanteerde ook als eerste de EFI bootloader en die begint nu door zowel Linux als windows nu pas een beetje goed ondersteunt te worden! (rare zin maar ja)

Ik vraag mij af op Linux: heb je chrootkit en rkhunter tegen rootkits waarom maken ze dat niet voor windows van Microsoft. Immers met hun windows is dat secure booten zo weer gehacked denk ik!

0 MassIV
@rob12424 • 22 september 2011 18:01

Ik denk dat je Apple bedoeld en niet Aplle!

+1 p0pster
@friggler • 21 september 2011 12:38

Toen verkocht Apple ook alleen eigen hardware met zijn eigen OS daarop, zoals een Nokia telefoon (destijds) ook Nokia's eigen OS draaide om de telefoon te kunnen bedienen. Dat is dus van een andere orde.

[Reactie gewijzigd door p0pster op 21 september 2011 12:38]

+1 Austin
@friggler • 21 september 2011 12:40

Dat is voordat Apple Intel processoren ging gebruiken.
Toen werd er nog gebruik gemaakt van PowerPC processoren die geen ondersteuning boden voor Intels x86 instructieset.

Magnetic_Man
@friggler • 21 september 2011 13:53

Dat is onjuist. Zelfs in de PowerPC jaren kon je er nog een ander OS opzetten. Tuurlijk was Windows niet compatibel met die architectuur, maar er waren Linux distro's die dit wel waren.

0 swartzkip
@friggler • 21 september 2011 15:27

toen kon je echter wel linux erop gooien ls je dat wou. Windows wou domweg niet omdat er tene erste geen bios in zat en ten tweede een hele andere processor architectuur gebruik werd.

ZpAz
@friggler • 21 september 2011 12:35

Ja, want toen hadden ze processoren die niet door Windows ondersteund werden. En ja, als Apple wil mag het morgen de ondersteuning voor Windows stoppen. Ze verkopen namelijk een totaalproduct. Net als een XBOX of PlayStation of Boxee of enig ander totaalproduct.

Stomme autocorrectie ook.

[Reactie gewijzigd door ZpAz op 21 september 2011 14:25]

Laudor
@ZpAz • 21 september 2011 12:41

Dat doen die pc verkopers toch ook!

+1 arjankoole
@Laudor • 21 september 2011 12:59

Dat doen die pc verkopers toch ook!

Nee, want die kopen Windows van Microsoft. Dat maakt het een totaal ander verhaal, juridisch.

0 vampke
@arjankoole • 21 september 2011 20:39

nee hoor:
- apple koop ook hardware van andere fabrikanten
- wasmachineproducenten kopen ook een OS voor hun machines

+1 rmpel
@vampke • 22 september 2011 07:44

@vampke

Dat zie je verkeerd;

Apple ___laat in opdracht van hunzelf___ hardware produceren naar hun design en specs en plaatsen daar hun OS op.
Wasmachineproducenten ___laten in opdracht van hunzelf___ hun OS produceren.

Windows daarentegen is een ___vrije keuze___ van de hardware fabrikant. Microsoft laat geen hardware produceren in opdracht van hun.

Er is een duidelijk verschil.

Een OSX computer is een Apple computer
Een Windows computer is GEEN Microsoft computer maar een Dell of een HP (zolang het nog duurt) of een PackardBell etc.

[Reactie gewijzigd door rmpel op 22 september 2011 07:44]

+1 jacobvdm
@rmpel • 22 september 2011 10:47

Niet als je 't over desktops hebt, al maak ik uit je kromme voorbeelden op dat je niet veel met PC's in aanraking komt. Een PC is niet een "Windows computer" (wat dat ook mogen betekenen). Volgens dezelfde logica (Windows draait immers op Intel Macs - hardware die allesbehalve naar "Apple's design en specs" is) zou een Mac ook een "Windows computer" zijn. Het zijn gewoon allebei PC's, met als verschil dat je bij Apple slechts de keuze hebt tussen duur, duurder en duurst (wat prima zou zijn als het niet slecht, slechter en slechtste hardware zou zijn).

Daarnaast stellen (zeker op T.net) PC gebruikers vaak hun eigen computer samen om zo de het meeste er uit te halen voor hun doeleinden, dus hoe je erbij komt dat een "Windows computer" een Dell of een HP is snap ik ook niet.

Volgens mij let je veel te veel op branding; maar het enige waar dat nuttig voor is is om te kijken uit welke fabriek je componenten komen (en of die niet, zoals bij Apple hardware, in virtuele slavernij zijn gemaakt - en met enorme vervuiling van mens & milieu) en hoe ze over 't algemeen presteren.

Bij PC gebruikers zul je dan ook veel minder "brand-loyalty" bekennen (laat staan zoals de religieuze gevoelens die Apple volgelingen ervaren).

Ik vind het enorm jammer dat Microsoft Windows hiermee verder de kant op gaat van Apple producten; Vendor lock-in, planned obsolescence, en allerlei methodes om in plaats van echt te innoveren slechts de concurrentie proberen te hinderen (al is dat laatstgenoemde natuurlijk hoe MS in de jaren '80 en '90 van de vorige eeuw groot is geworden met hun leger van agressieve verkoopmannetjes). De Metro GUI is een slechte grap en een grote middelvinger naar desktop-gebruikers.

Ik krijg bij Windows 8 echt de indruk (sterker nog, hoe meer ik zie, hoe meer ik 't zeker weet) dat dit weer zo'n erbarmelijke fail wordt als WinME en Vista. Al moet je daar bij bedenken dat die beide ruim genoeg geld in het laatje gebracht hebben.

Ik denk dat de meeste mensen die XP zijn blijven gebruiken gedurende Vista en pas na Win7 zijn overgestapt deze ook wel over zullen slaan voor Windows 9 of hoe 't ook gaat heten, mijzelf incluus. Handig genoeg lijkt dat ook niet de doelgroep van Win8 te zijn.

Toch maar 's een keer Mint proberen.

[Reactie gewijzigd door jacobvdm op 22 september 2011 10:49]

efari
@vampke • 21 september 2011 22:35

het verschil zit 'm erin dat Microsoft geen toestellen verkoopt
als de macintosh door een andere fabrikant gemaakt zou worden, die daar standaard altijd OSX op zet, zou daar hetzelfde aan de hand zijn als nu bij Microsoft

+1 svenk91
@ZpAz • 21 september 2011 16:41

Dankzij die sticker word het een totaal product, een Windows certified PC. Word ook in het artikel gezegt, dat willen OEM's zo'n sticker (en de goedkopere OEM licentie) gebruiken dan word dit misschien een eis.

Er staat nergens in het artikel dat dit voor alle PC's geld btw, enkel voor OEM pc's. Moge dat duidelijk zijn.

+1 KinGuiN
@ZpAz • 21 september 2011 13:12

Hou je ff aan de feiten, wil je?? Je mag met je XBox doen wat je wilt, alleen vervalt de garantie als je 'm ombouwt of er veranderingen op aanbrengt... Je mag met je PC doen wat je wilt, alleen kan de leverancier eisen stellen aan de voorwaarden voor garantie of service aan het apparaat, bijvoorbeeld dat de originele software er nog op staat...

apple is een van de weinige bedrijven die krampachtig blijft geloven dat verkochte hardware nog steeds van hen is en zij daar na aankoop nog steeds alles over mogen beslissen... Als zij morgen de ondersteuning van Bootcamp en dergelijke stopzetten, krijgen ze de EU achter zich aan..

[Reactie gewijzigd door KinGuiN op 21 september 2011 13:14]

DivxLover
@KinGuiN • 21 september 2011 16:36

@KinGuiN:

Hou je ff aan de feiten, wil je??

apple is een van de weinige bedrijven die krampachtig blijft geloven dat verkochte hardware nog steeds van hen is en zij daar na aankoop nog steeds alles over mogen beslissen... Als zij morgen de ondersteuning van Bootcamp en dergelijke stopzetten, krijgen ze de EU achter zich aan..

Dan moet je zelf ook feiten gebruiken:

Bootcamp is niets meer en niets minder dan de naam voor een makkelijke manier om je harde schijf in te delen om je Mac te kunnen dual-booten en daarnaast een makkelijk programmaatje om daarna onder Windows in één keer extra drivers te installeren.

Maar ook zonder van bootcamp gebruik te maken kun je op een Mac probleemloos Windows, Linux of wat je maar wilt (zolang het geschikt is voor x86-architectuur) installeren.

Als je wilt, gooi je gewoon OS X er af en installeer je Windows7 met Ubuntu als dualboot, geen probleem.

Jouw argumentatie is mogelijk voortgekomen uit onwetendheid (maar spreek een ander dan niet aan op het "aan de feiten houden"), of het is bewust en in dat geval is het gewoon FUD.

[Reactie gewijzigd door DivxLover op 21 september 2011 16:38]

+1 282252
@KinGuiN • 21 september 2011 17:27

Bootcamp is alleen een tool om windows te installeren, partitieste maken etc + juiste drivers zodat je Windows en OSX op je Apple hardware kunt zetten.

Op een iMac of macBook zit gewoon de open standaard EFI en Apple heeft niets daarin ingebakken die jouw kan verhinderen om een ander besturingen systeem te installeren.
je kunt dus prima een pure Linux EFI boot maken als je dat zou willen en OSX van je apple hardware verwijderen.

Ik ben zelf niet zo bekend met Windows, maar als Miscrosoft een Windows verzou zou maken/heeft dit EFI ondersteund dan kun je prima windows booten zonder Bootcamp.

Dit heeft dus niets te maken met Apple die ergens krampachtig is over hun desktop hardware en als ze Bootcamp stopzetten (wat ze niet gaan doen) kun je nog steeds prima alle operating systemen installeren die de open standard EFI ondersteunen.

0 simplicidad
@KinGuiN • 21 september 2011 14:49

apple is een van de weinige bedrijven die krampachtig blijft geloven dat verkochte hardware nog steeds van hen is en zij daar na aankoop nog steeds alles over mogen beslissen...

Zevert niet... ik kan zonder problemen mijn ram en harde schijf upgraden. Andere zaken niet maar dat heeft veel meer te maken de form factor van bvb iMacs dat het extreem moeilijk maakt. Met Mac pro's bvb heb je daardoor ook veel meer vrijheid.

Of denk je dat in al de rest van die All in one systemen, je pakweg makkelijk de videokaart kunt veranderen ?

Trouwens hilarisch dat uw reactie ontopic word gemod. De Apple haat ken hier op tweakers klaarblijkelijk geen grenzen dat dergelijke onzin naar boven wordt gemod.

[Reactie gewijzigd door simplicidad op 21 september 2011 14:52]

bogy
@simplicidad • 21 september 2011 20:08

bij een hele hoop mac's kan je enkel maar een harde schijf met mac-aansluitingen kopen...

het zijn gewoon sata-schijven waarvoor mac het drievoudige vraagt omdat ze de aansluitingen hebben aangepast ...

zogezegd om de temperatuur uit te kunnen lezen (terwijl dit met SMART kan over de bestaande connectoren)

dus; ja je kan je HDD upgraden, maar NEEN, je kan ze niet zomaar upgraden met eender welke HDD; je MOET een MAC-HDD kopen....

0 Blue_Airplane
@bogy • 21 september 2011 23:26

Off-topic:
Waar heb je het over?
Ik heb een mac uit 2007 en ik heb mijn sata schijfje zonder issues kunnen vervangen en ik krijg ook braaf alle gegevens er over terug.
Dus ook hoe warm die wel of niet is...
Welke aangepaste sata aansluitingen heb je het over?

On-topic:
Als microsoft het inderdaad mogelijk maakt om met secureboot Linux of een ander OS te weren dan hoop ik datde juristen niet liggen te slapen

De initiële gedachten van malware weren is op zich wel een aardige maar deze implantatie lijkt me niet de beste in dit opzicht.

0 rmpel
@bogy • 22 september 2011 07:50

@bogy

"het zijn gewoon sata-schijven waarvoor mac het drievoudige vraagt omdat ze de aansluitingen hebben aangepast ..."

Bullshit

Ten eerste geldt dit alleen voor nieuwe iMacs, lang niet voor alle Macs
Ten tweede is het een standaard SATA aansluiting. Het doorgeven van temperatuur informatie via één van de pennetjes van de Sata Power connector, waar een reguliere harddisk enkel massa heeft, is een nieuwe standaard die door vele harddisk fabrikanten wordt ondersteund.

In alle gevallen werkt de harddisk zonder problemen, enkel, zonder de temperatuur sensor koelt je mac permanent maximaal. Daar gebruik je dan SMC Fan Control (Of ander tooltje naar je gading) voor en klaar is klara.

0 Tanguyvd
@bogy • 22 september 2011 12:27

blijkbaar heb je nog niet echt veel met pc's en macs geprutst.
mijn mac krijgt regelmatig een nieuwe HDD, geen probleem.

dat van die temperatuur klopt wel bij de mac, nl op de default schijf (bij de oudere G4 met IDE) zit een extra chip die dus gekoppeld moet worden. SMART biedt een gelijkaardige oplossing die wel degelijk ondersteund wordt.

mijn HP (en ook andere merken) gaat je wel degelijk in de BIOS opstart vragen of je de aanpassing wil bevestigen. maar dit is dus compleet naast de kwestie.

the point is:
MS will de UEFI gebruiken om de boot te beschermen bij "out-of-the-box" oplossingen (zoals Dell, HP, PB, etc...) en voor een "out-of-the-box" pc waar je Linux wil op draaien kan dat idd voor problemen zorgen, dat roept idd vragen bij me op

vgroenewold
@KinGuiN • 21 september 2011 13:30

Je mag niets zomaar doen met een xbox, zodra je het mod wordt je van Live Gold geschopt.

_Dune_
@vgroenewold • 21 september 2011 14:07

Je mag weldegelijk de XBOX aanpassen, alleen mag je niet met een gemodde XBOX op Live Gold komen. Een klein detail..

0 depeje
@vgroenewold • 21 september 2011 14:09

Je mag wel doen wat je wil, en Live Gold ook...

0 E_E_F
@ZpAz • 21 september 2011 13:57

Ook hier is een weg omheen.

Vmware kan ook een bios emuleren net als pre loader hacks voor windows 7.

Het lijkt wel of het alleen maar gemakkelijker wordt om windows zonder licentie de draaien.

(Al heb ik natuurlijk wel netjes en licentie voor alle software die ik gebruik)

[Reactie gewijzigd door E_E_F op 21 september 2011 13:59]

0 lenny_z
@E_E_F • 21 september 2011 19:18

Eh... Nou het was vroeger met xp toch een stuk makkelijker zonder licentie draaien dan met win7. De huis tuin en keuken gebruiker die illegaal win7 er op heeft staan loopt binnen no time tegen licentie perikelen aan waarbij dat bij winxp nauwelijks zo was.

Natuurlijk heb ik ook netjes een licentie via mijn werk.

M-Opensource
@ZpAz • 21 september 2011 12:53

@ZpAz
De professoren op mijn opleiding ondersteunden eigenlijk altijd Windows

Countess
@84hannes • 21 september 2011 13:44

En Apple is geen monopolist!

enkel omdat ze het marktaandeel niet hebben, verder lijken ze er in alle opzichten verdacht veel op.

[Reactie gewijzigd door Countess op 21 september 2011 13:45]

ZpAz
@Countess • 21 september 2011 14:27

Nee, want de definitie van een monopolist is dat ze het grootste gedeelte (of de gehele) markt in handen hebben. Als je dat punt al niet hebt kan je er ook niet op lijken.

0 simplicidad
@Countess • 21 september 2011 14:53

"Een monopolie (uit het Grieks monos / μονος (alleen, enkel) + polein / πωλειν (verkopen)) is een situatie waarin een product of dienst slechts door één (markt)partij wordt aangeboden."

http://nl.wikipedia.org/wiki/Monopolie

Knappe jongen als je in de huidige situatie een monopolie ziet.

[Reactie gewijzigd door simplicidad op 21 september 2011 14:54]

+1 knirfie244
@H@rry • 21 september 2011 13:12

En het zou best kunnen dat Microsoft met een vergelijkbaar tool komt.

Overigens is Windows 8 ook een tablet OS, op iPads is het niet mogelijk om een ander OS te installeren.

+1 JeroenC
@H@rry • 21 september 2011 17:11

nou 1, als je een pc laat bouwen of zelf bouwt heb je geen windows 8 er standaard op voor zover ik weet?
2 schijnt dat je in de standaard bios het kan aanpassen zo niet met firmware update
3 het schijnt te kunnen dmv een jumper
4 grub is eraan aant werken dat het geen probleem moet zijn

4 mogelijkheden om het te voorkomen of iets aan te doen, niks aan het handje dus

Terrestraeon
@H@rry • 21 september 2011 20:29

Gelijk Apple Bootcamp gebruikt, zo zou Microsoft ook een soort 'bootcamp' moeten hebben in Windows.

Want ik begrijp Microsoft, en eufi is een blije verwelkoming. Maar anderen besturingssystemen op deze manier verbannen kan niet. Daarom ook een soort 'bootcamp' in Windows installeren zodat alles snor zit qua beveiliging in het bootproces maar gebruikers door een 'bootcamp' in Windows toch de optie krijgen om een ander besturingssysteem te installeren!

0 Menno-Pro
@H@rry • 21 september 2011 15:05

ook zonder bootcamp

+1 Mellow Jack
@Juicyhil • 21 september 2011 12:36

Apple mag natuurlijk veel meer want ze hebben geen monopolie. Daarom mag OSx ook alleen maar in combinatie met Apple hardware verkocht worden.

Voor MS geldt als monopolist compleet andere regels

Daarom zeg ik altijd bij dit soort berichten... @Apple fans, loop je mac of iphone niet zo te showen bij je omgeving want zodra ze een monopolie positie verkrijgen zal dr een hoop veranderen voor Apple

+1 arjankoole
@Mellow Jack • 21 september 2011 13:03

Apple mag natuurlijk veel meer want ze hebben geen monopolie. Daarom mag OSx ook alleen maar in combinatie met Apple hardware verkocht worden.

Daar heeft 't niet eens echt wat mee te maken. Een Dell PC kun je niet kopen zonder Windows (in theorie wel, in praktijk levert 't je alleen grijze haren op). Dat is koppelverkoop waarbij Microsoft een fors aantal eisen stelt, en hindernissen opwerpt.

Bij Apple echter, is het 1 product, gemaakt door 1 bedrijf. (dat de componenten door andere bedrijven worden gemaakt deert niet, ze zijn niet los verkrijgbaar of bruikbaar). Dat is het zeer wezelijk verschil waar het werkelijk uitmaakt.

In die lijn der gedachte zal je ook eerder zien dat Samsung of HTC problemen krijgen door de koppelverkoop met WP7 of Android, dan Apple met iOS en de iPhone of OSX en de Mac, of zelfs Google/Motorola met Android. Dit is natuurlijk maar een fictief voorbeeld, omdat er voldoende concurentie is in die markt.

+1 Mellow Jack
@arjankoole • 21 september 2011 15:05

Het gaat niet zo zeer over koppel verkoop. Het gaat om het feit dat MS de markt in handen heeft en daarom verplicht andere mogelijkheid moet geven tot een alternatief. Dit zie je intern (internet explorer) en extern (de mogelijkheid een alternatief OS te installeren).

Deze regels gelden niet voor Apple, ze hoeven geen alternatieve browser aan te bieden en mogen zelf kiezen of ze andere de mogelijkheid bieden alternatieve software te installeren.

Leuk dat je de vergelijking met Android maakt, waarom denk je dat de bootloaders steeds vaker open gezet worden? Omdat de fabrikanten zo lief zijn voor die paar tweakertjes? Nee joh ze doen dat gewoon om in de toekomst problemen te voorkomen... Het is allemaal zo simpel op dit gebied

En juist daarom zeg ik dat je maar eens moet opletten wat dr gebeurd wanneer Apple een monopolie positie verkrijgt op de mobiele of desktop markt.... Je zal dan OSx of iOS op elk willekeurig systeem "kunnen" installeren

Maar ja waarschijnlijk wilt niemand het snappen en voert Apple gewoon zijn normale koers (aan alles wat het bedrijf doet zie je dat ze proberen in het hogere segment te blijven om zo geen monopolie positie te verkrijgen en op die manier zoveel mogelijk geld te verdienen dmv het complete platform). Zo kan iedereen lekker in de waan blijven leven

[Reactie gewijzigd door Mellow Jack op 21 september 2011 15:09]

Thrilseeka
@Mellow Jack • 21 september 2011 12:50

hoewel ik een fan ben zal apple nooit een monopolie gaan krijgen. alleen al om de reden dat OSX potdicht zit. het is voor de gewone gebruiker mischien handiger en kan veiliger zijn. maar als devver of programmer zal mijn voorkeur toch uitgaan naar Windows.

+1 Denni
@Thrilseeka • 21 september 2011 13:24

Waar heb je het in godsnaam over? OSX is zo open als wat. De helft is open source en je kunt doen en laten wat je wil. Juist microsoft heeft aangekondigd dat je in de toekomst Apps die in de Metro interface draaien alleen via de Windows Store kunt installeren. Dat is een beperking van de vrijheid op je PC die zelfs Apple nog niet heeft durven uitvoeren. En waar Apple de laatste jaren steeds beter presteerd(Windows toelaten op een Mac, Linux kon je al lang draaien op een Mac) zet Microsoft nu juist een stap terug volgens dit gerucht.

Ik snap niet hoe je op het idee komt dat OSX gesloten zou zijn. Ik kan onder OS X makkelijker en sneller dingen aanpassen die bij Windows toch redelijk wat (zoek)werk vereisen..

+1 grasnek
@Denni • 21 september 2011 13:48

Dat zeg je precies goed:

Juist microsoft heeft aangekondigd dat je in de toekomst Apps die in de Metro interface draaien alleen via de Windows Store kunt installeren.

Binnen de metro interface, die voornamelijk voor tablets en phones bedoeld is, maar ook op PC's werkt. Windows 8 heeft ook gewoon een desktop namelijk, waarop je net als in alle voorgaande versies gewoon kunt installeren waar je zin in hebt. Ik heb op de Windows Developer Preview die vorige week uit kwam op MSDN al een firefox en chrome browser geïnstalleerd. Werkte prima!

Dus voor tablets en phones ben je misschien minder vrij, maar dit zal dan dus exact hetzelfde zijn als de huidige appstore van Apple.

+1 Mellow Jack
@Thrilseeka • 21 september 2011 12:54

Dat hoeft voor de consument geen reden te zijn. De programmeurs zullen altijd de massa achterna lopen aangezien daar het geld te verdienen is (ik zou het raar vinden wanneer een bedrijf zich niet concentreert op het gedeelte van de markt waar het meeste geld is te verdienen). De reden dat Apple geen monopolist zal worden is dat het niet de strategie van het bedrijf is (zie bijv de duidelijke verschillen tussen iOS en Android... Dan zie je zo welke is ontwikkeld vanuit het oogpunt van een monopolist

)

[Reactie gewijzigd door Mellow Jack op 21 september 2011 12:54]

MsG
@Thrilseeka • 21 september 2011 13:33

En je denkt dat het meerendeel van de wereld devver is? Apple zal denk ik prima een monopolie kunnen krijgen. Ik denk vooral dat de hogere prijs dat nu nog tegenhoud.

0 arjankoole
@Thrilseeka • 21 september 2011 13:00

hoewel ik een fan ben zal apple nooit een monopolie gaan krijgen. alleen al om de reden dat OSX potdicht zit.

OSX potdicht? Sinds wanneer?

0 WPN
@arjankoole • 21 september 2011 14:27

@ arjank ligt dat niet meer aan de definitie van pot?

0 Tanguyvd
@arjankoole • 22 september 2011 12:34

sinds MS zo lek is als een zeef?

sorry, 'k kon het niet laten

0 johnkeates
@Thrilseeka • 21 september 2011 13:01

Als je een devver of programmeur was, dan wist je wel beter

Ooit gekeken naar hoeveel geheime of niet-gedocumenteerde rotzooi je tegenkomt op het moment dat je echt op performance aan het programmeren bent? Als je gewoon wat 'dingetjes' maakt binnen de microsoft ideologie, is er niks aan de hand, maar zodra je echt aan de slag gaat en je wil dingen doen, dan 'mag' dat op eens niet meer.

0 quistnet
@johnkeates • 21 september 2011 13:21

@johnkeates heb je een voorbeeld hiervan?

+1 enthernal
@Juicyhil • 21 september 2011 13:27

Dat is niet het geval want op een mac kan je wel windows of linux installeren.
Waar het hier over gaat is via de hardware het OS bepalen, apple doet het omgekeerde, via het OS de ondersteunde hardware bepalem.

-Tom
@Juicyhil • 21 september 2011 16:07

Vanwege het simpele feit dat Apple géén economische machtspositie heeft als het aankomt op besturingssystemen. Zolang dit het geval is, mogen ze zulke praktijken uitoefenen. Raadpleeg ook art. 101 e.v. VWEU. Alleen ondernemingen (in de Europese zin van het woord!) met een economische machtspositie, op de relevante markt, is het verboden om de concurrentie te beperken. Daarom is Microsoft zo hard aangepakt op het gebied van koppelverkoop*, zie ook het arrest Microsoft.

Dus ja: in principe mag Apple 'rustig zijn gang' gaan.

Al is het uiteraard mogelijk om te stellen dat er voor de grafische sector geen alternatief boven de Macintosh gaat, waarbij de relevante markt weldegelijk wordt gedomineerd door Apple. Waarbij er dus wel sprake is van een economische machtspositie. Maar dat is uiteraard hypothetisch, en naar mijn idee is een Mac prima vervangbaar door een Windows-PC.

Edit:
*overigens is er hier niet sprake van koppelverkoop, maar wel van het wegdrukken van concurrenten door middel van misbruik van de economische machtspositie. Wat bij het uitsluiten van Linux weldegelijk het geval zou zijn

[Reactie gewijzigd door -Tom op 21 september 2011 16:09]

hasjee
@Juicyhil • 21 september 2011 18:40

naar mijn weten koop je een apple die is uitgerust met hun eigen os, koop je een dell, acer of wat voor merk dan ook dan staat daar niet een os van de fabrikant op. lijkt me dus dat apple dat mag ja.

dell zou het lijkt mij ook mogen wanneer ze een eigen OS zouden hebben.

0 klaafstra99
@Juicyhil • 21 september 2011 13:23

Bootcamp of Refit.

0 tvmcrusher
@Juicyhil • 21 september 2011 14:37

Een mogelijkheid niet ondersteunen is iets heel anders dan een mogelijkheid die in vorige versies anwezig was, verwijderen.
imho kan microsoft dit echt niet maken.
Er zal ook wel een stokje voor gestoken worden (hopelijk!)

0 KinGuiN
@tvmcrusher • 22 september 2011 13:15

Ah, dus jij hebt apple ook aangeklaagd toen ze ondersteuning voor appletalk er zomaar, zonder enige aankondiging, uit hadden gesloopt??? Waar mensen pas achter kwamen toen de update al geïnstalleerd was??? Waar in het begin geen enkele info over was en systeembeheerders dus met de handen in het haar zaten hoe dit op te lossen??? Waardoor bedrijven weer flink geld moesten investeren om gewoon werkende printers weer aan de praat te krijgen op macs???

Jij hebt ook Windows aangeklaagd, omdat de spellen die op W95 werkten, niet meer op XP werken???

Backwards compatibility is een extraatje, geen recht...

0 coretx
@Juicyhil • 21 september 2011 15:39

Apple gebruikt al jaren EFI en is tot op heden niet op misbruik betrapt.

0 BoringDay
@Juicyhil • 21 september 2011 20:17

Apple levert hun eigen systemen (OS + Hardware)
Microsoft levert slechts Windows en niet de hardware.

Als Microsoft zoiets wil flikken moeten ze maar hun eigen systemen gaan bouwen anders zijn ze illegaal bezig.

0 zozamis
@Juicyhil • 21 september 2011 12:32

apple biedt bootcamp aan in zijn OS..

0 TAMW
@zozamis • 21 september 2011 13:33

Dat is alleen voor windows geen linux

0 Genicus
@TAMW • 21 september 2011 13:41

ik heb ubuntu naast OS X staan op mijn mac

0 LoloftheRings
@TAMW • 21 september 2011 13:40

Wat? Waarom zijn er dan mensen die linux op hun appel hebben draaien?

0 TAMW
@LoloftheRings • 21 september 2011 13:56

Native en zonder refit of andere hack?

0 Rio6000
@TAMW • 21 september 2011 14:51

Jep op het moment dat ik hoorde dat lion geen 32 bit meer ondersteunde ben ik naar linux only gegaan. Bevalt prima!

HAFTX
@LoloftheRings • 21 september 2011 15:41

Dat is de GRUB van linux die daar voor zorgt.

catfish
@macquarius • 21 september 2011 13:29

daar is niets ontwettigs aan
bv HP levert een PC met Windows
het is HP die Windows op die pc heeft gezet (niet MS) en zodus kan HP zeggen dat ze enkel ondersteuning bieden voor de pc als er Windows op staat
iedereen blijkt het normaal te vinden dat je het OS kan wijzigen, maar dat is niet zo (probeer maar eens het OS van je auto te wijzigen...)
aangezien HP geen monopolie heeft, mag HP deze beslissing maken (net zoals Apple)

de vraag is mag MS dit eisen, dat zullen ze niet mogen door hun quasi monopoliepositie
of de optie in het uefi aanpasbaar is wordt dus een keuze van de oem (welke onder tafel zal aangemoedigd worden door MS)

het is dan ook raar dat men denkt dat Windows8 niet zou kunnen booten zonder deze functie ingeschakeld is aangezien ze dat niet kunnen eisen indien je de onderdelen apart koopt of een ouder moederbord hebt (zonder de functie)

Sthomkop
@catfish • 21 september 2011 15:26

Met je reactie ben ik het eigenlijk volledig eens, maar ik wil wel even een opmerking maken over je vergelijking met een auto catfish.

Het veranderen van een OS op een computer is namelijk imho iets totaal anders dan het veranderen van de software in een auto. De software in een auto kun je namelijk makkelijk beschouwen als embedded software, die alleen statistieken verzamelt, werking van onderdelen controleert, et cetera. Het veranderen van software in een auto kan hoogstens invloed hebben op brandstofverbruik of tot gevolg hebben dat onderdelen niet meer worden gecontroleerd op goede werking.
Het veranderen van het OS op een computer kan enorme consequenties hebben met betrekking tot gebruikservaring, bijvoorbeeld snelheid, ondersteuning van bepaalde hardware (USB, CD-rom (branden), WiFi, zelfs grafische kaart), om nog maar te zwijgen over uiterlijk dan wel manier van interactie met de computer. Denk daarbij aan ondersteuning van muis en toetsenbord, ondersteuning van "commando prompt", bash of grafische omgeving, et cetera.
Mijn mening is dat een gebruiker wel degelijk het recht heeft om dit te veranderen, aangezien het een erg grote (misschien zelfs essentiële) factor is bij het gebruik van een computer.

Laatste voetnoot: het aanpassen van software van een auto kan ook gewoon, het wordt alleen minder vaak gedaan dan het veranderen van het OS op een computer.

0 KinGuiN
@Sthomkop • 21 september 2011 16:25

Dus als ik de software van mijn auto overschrijf met alleen maar 00000000, dan doet mijn auto nog precies wat hij daarvoor ook deed, behalve statistiekjes bijhouden??? Brandstof-injectie wordt niet door software geregeld, airbags worden niet geactiveerd door software, de meters op je dashboard worden niet aangestuurd door software??? Dat kekke digitale snelheidsmetertje heeft een klein extra cameraatje en GPS-functie, om de snelheid te berekenen???

Auto's van tegenwoordig zijn steeds vaker geheel afhankelijk van de boordcomputer, die starten niet eens meer als de zekering eruit ligt...

+1 jqv
@macquarius • 21 september 2011 13:54

Iphone?
Televisies met software?
Andere digitale apparaten?

Wat is er illegaal aan?
De fabrikant maakt de keuze er Windows op te zetten.
Dat doet niet Microsoft.

Android telefoons, BADA, Nokia, Iphones. Normaal gesproken kun je hier ook niets anders opzetten zonder allerlei trucs.
Al zijn natuurlijk steeds meer android apparaten te vinden met roottoegang om wel meer mogelijkheden te hebben.

0 Loller1
@macquarius • 21 september 2011 13:11

Mmm, dit is voor de veilgheid van Windows te verbeteren, dus ik weet nog niet zo of dit niet mag.

ingmaronline
@macquarius • 21 september 2011 13:43

Neelie doet tegenwoordig iets anders toch?

0 michelr
@macquarius • 21 september 2011 19:53

Welkom in 2011; Neelie heeft de Telecom portefeuille, niet mededinging.

+1 Tukkertje-RaH
@Sebaszz • 21 september 2011 12:18

Er zijn meer fabrikanten die specifieke hardware aan hun OS koppelen (ik noem geen namen)...

De keuze om het bootproces af te schermen is een lastige, omdat je veiligheid uit moet ruilen met flexibiliteit. Er lijkt een nieuwe generatie bootsector virussen aan te komen waar je alleen met dit soort maatregelen effectief iets tegen kan doen.

+1 mullah
@Tukkertje-RaH • 21 september 2011 12:28

gezien het diginotar debacle is het maken van valse certificaten voor je malware bootsector virus niet onmogelijk... en of het dus in de praktijk echt effectief is, is ook weer moelijk te voorspellen

DigitalTux
@mullah • 21 september 2011 12:41

Ik denk dat het idd wel mee zal vallen. Je zal denkelijk je bios moeten flashen om de beveiliging eruit te slopen. en dan alsnog linux installeren. Wat ms wil tegen gaan is dat mensen niet meer met slic aan de haal kunnen gaan. doormiddel van slic kun je namelijk legaal windows 7 draaien. en door een beveiliging in te bouwen is dit dan niet meer mogelijk. Maar ook dat vraag ik me af.

+1 Wh4ck0
@DigitalTux • 21 september 2011 12:54

BIOS flashen heeft in dit geval geen zin volgens mij.
met een EFI: Extensible Firmware Interface, maak je het mogelijk dat je uitbreidingen maakt op de bestaande firmware. Net als support voor bepaalde hardware daar inzetten (zodat je sneller boot) is de bewuste beveiliging zo'n uitbreiding, die je tijdens het booten erbij aanmeldt. Dus je moet windows hacken om de beveiliging eruit te slopen.

i-chat
@mullah • 21 september 2011 13:36

het hele diginotar debacle toont juist aan dat dit soort aanvallen niet erg effectief zijn... binnen een paar maanden werkt het immers niet meer, is het bedrijf failliet en kun je weer van voor af aan beginnen...

0 es593
@i-chat • 22 september 2011 10:59

Hoeveel mensen gaan patchen ? (iOS, Win, OSX)
Hoeveel mensen gaan hun Android te lijf om het certificaat te verwijderen ?
Heeeeeeel weinig.
Hacker rekenen net daarop.

+1 Soundstorm2010
@Tukkertje-RaH • 21 september 2011 12:25

Inderdaad, en wss als je een Nieuwe HDD koopt en dat als bootrom gebruikt, kun je waarschijnlijk als nog linux ofzo er opzetten.

Neem aan dat MS niet kan dringen op perse windows 7 a 8 te installeren terwijl je XP wilt installeren

Ook zullen er tools en zulke dingen komen om dit om te zeilen, dus geen probleem van maken, want voor elke probleem is er een oplossing

i-chat
@Soundstorm2010 • 21 september 2011 13:35

dat kunnen ze dus juist WEL... dit heeft namelijk NIETS met de hdd te maken. maar met het bios die alleen nog windows 7 of 8 code wil draaien...
enig alternatief zou zijn dat de autoriteit die de code moet verfieren ook de linux code van een cert voorziet... feitelijk zou linux dan net zo beveiligd kunnen worden als windows in dit opzicht...

en misschien is dat in sommige opzichten niet eens zo heel raar...

+1 Carharttguy
@Tukkertje-RaH • 21 september 2011 12:23

Als je het over Mac hebt:

Hun OS wordt gekoppeld aan hun hardware, niet omgekeerd.
Het is perfect mogelijk om Linux native op een mac te installeren.

HerrPino
@Sebaszz • 21 september 2011 12:19

Dan is het maar te hopen dat Microsoft met net zoiets komt als dat Apple doet met Bootcamp. Want uiteindelijk is het toch wel goed als nu eens een keer de verouderde BIOS gaat verdwijnen.

Het probleem voor Linux zit hem met name in het licentie model van GPL. Iets waarvan de sourcecode vrij beschikbaar is en aanpasbaar kun je niet signen.

[Reactie gewijzigd door HerrPino op 21 september 2011 12:38]

0 p0pster
@HerrPino • 21 september 2011 12:41

Apple maakt eigen hardware en verkoopt dit met haar eigen OS, Microsoft maakt alleen de software...

0 BoringDay
@p0pster • 21 september 2011 20:25

Dan kan Microsoft nog wel systemen gaan ontwerpen/maken?

+1 es593
@Sebaszz • 22 september 2011 10:57

Klopt niet. je zal kiezen tss de 2 opties. (Geen stemmingmakerij aub)
- EUFI secure boot enabled: Windows 8 zal booten / maar geen alternatieve OSen mogelijk als ze niet gesigned zijn.
- EUFI secure boote disabled: Windows 8 zal niet booten en je bent vrij om te installeren wat je wil.

Goed compromis, je kan MS niet verwijten dat ze secure willen tewerk gaan.

0 KinGuiN
@es593 • 22 september 2011 14:05

Kleine nuance: Windows 8 zal wel booten, ook al staat het secure booten uit... Er staat duidelijk in het artikel dat het alleen om OEM systemen gaat... Anders zou dus niemand meer een eigen systeme kunnen bouwen en dit uitrusten met W8...

0 Toothless
@Sebaszz • 21 september 2011 16:11

Hoezo dom?
Apple mag dit wel?

+1 DominoNL
@Sandertje03 • 21 september 2011 12:34

Hoeveel mensen die een kant-en-klare pc kopen met windows (en hier dus bijna 100 euro extra voor uitgeven) willen hier nog Linux op zetten? Beetje een non-discussie als je het mij vraagt.

wildhagen
@DominoNL • 21 september 2011 12:37

Mee eens... daarnaast kan je altijd Secure Boot nog uitzetten, en dan is er ook geen probleem meer.

En het geld sowieso idd alleen voor systemen die je OEM koopt, dus kant en klaar van Dell enzo. Niet voor zelf in elkaar gezette systemen.

Ik vind dit alles bij elkaar een beetje het zoeken van problemen die eigenlijk geen problemen zijn.

+1 worldcitizen
@wildhagen • 21 september 2011 13:02

Mee eens... daarnaast kan je altijd Secure Boot nog uitzetten, en dan is er ook geen probleem meer.

Dat is een aanname. Wie zegt dat je secure boot (altijd) kunt uitzetten?

0 KinGuiN
@worldcitizen • 22 september 2011 15:30

Dat is dus een eis die je aan jezelf stelt, als je een nieuwe PC gaat uitzoeken... Bied HP geen enkel model aan waar dit uitgeschakelt kan worden, is HP dus een klant kwijt...

Countess
@wildhagen • 21 september 2011 13:49

Mee eens... daarnaast kan je altijd Secure Boot nog uitzetten, en dan is er ook geen probleem meer.

microsoft heeft anders nog niet gezegd of ze systemen waarbij dat mogelijk is nog steeds een windows cerfiticaat willen geven of niet.

0 Terracotta
@wildhagen • 21 september 2011 12:54

Hoeveel laptops zet je zelf ineen?

0 Mellow Jack
@Terracotta • 21 september 2011 13:05

Binnenkort al je laptops dus

+1 Sv3n
@DominoNL • 21 september 2011 12:50

Zo ongeveer alle laptops zijn alleen verkrijgbaar met Windows. Hier op m'n werk krijgen alle ontwikkelaars een standaard Dell laptop met windows voorgeinstalleerd, zo ongeveer 70% van de ontwikkelaars zet daar Linux op. Ik zie dus wel degelijk een issue.

0 KinGuiN
@Sv3n • 22 september 2011 15:35

Als jij een badge laptops of desktops aanschaft, is er geen OEM fabrikant die dit niet zonder Windows licentie wilt leveren... Je krijgt er dan gewoon een FreeDOS licentie op of er wordt überhaupt niet gesproken over licenties... Voor een enkele los bestelde laptop zal je even iets moeite moeten doen, maar reken maar dat die ook gewoon te vinden zijn... Zeker als het überhaupt al een issue zou worden, gaan de grote fabrikanten daar echt wel rekening mee houden... Misschien zelfs wel iets met E-fuses, zodat je eenmalig je certificering kan doorbreken ofzo, zonder deze weer erop te kunnen krijgen, beetje hetzelfde idee als wanneer je je HTC mod, mag best, alleen geen ondersteuning meer...

i-chat
@DominoNL • 21 september 2011 13:49

enkele procenten van de bevolking dus... en in sommige landen nog veel meer...

bovendien is het maar de vraag of fabriekanten 2 mobo's naarst elkaar willen bouwen eentje met tpm en eentje zonder...

dus dat uitschakelen kan nog wel eens lastig blijken... - zit jij te wachten op het moeten rooten en jailbreaken van je normale pc....

bovendien heb je nog eens het recht om die windows belasting terug te vragen als je windows niet wilt... (dat dit in de practijk erg lastig is, heeft alles te maken met machtsmisbruik en zou veel harder bestraft moeten worden... (lees boetes van mijarden euro's, en verkoop verboden, in plaats van dat geneuzel wat de eu nu doet)...

dat jij er persoonlijk geen gebruik van maakt maakt iets nog niet nutteloos...
als we die logica volgen kunnen we die kernramp in japan beter z'n gang laten gaan, de straling zal hier in nederland immers toch niet gevaarlijk hoog worden, dus waarom druk maken...

Blokker_1999
@DominoNL • 21 september 2011 17:29

Dat zijn er meer dan je denkt. Niet alleen laptops/netbooks/ultrabooks maar ook all-in-ones zijn al niet zelf in elkaar te steken of wat dacht je van de gezins PC waar vader met Windows op wenst te werken terwijl de dochter liever Ubuntu heeft?

En de meerprijs is echt geen 100 euro. Een OEM licentie kost voor de fabrikant enkele tientallen dollars en deze worden betaald door al die crapware van trials die worden meegeleverd.

manuarmata
@DominoNL • 21 september 2011 13:01

Niet veel, enkel diegene die intelligent genoeg zijn om met linux te werken. veel keuze heb je niet he, je steekt zelf een pc samen of je koopt er een met windows op.

Xubby
@DominoNL • 21 september 2011 13:03

Hoeveel mensen, die Linux op een pc willen zetten, willen euro 100,- voor MS windows neertellen? Kun je ook vragen ...

Countess
@Xubby • 21 september 2011 13:50

bij laptops heb je anders eigenlijk nooit een keuze.

catfish
@Xubby • 21 september 2011 14:38

als je een oem pc koopt, betaal je echt geen 100 euro voor Windows...

0 Rainlife
@DominoNL • 21 september 2011 21:38

Ik koop ook gewoon een kant en klare pc, smijt windows eraf en zet linux erop. Ja ik koop dus ook een (ongebruikte) windows licentie en zou kunnen uitsparen door het zelf in elkaar te zetten. Maar hardware is nu niet echt "mijn ding" dus ik heb geen zin om componenten te gaan zoeken en die dan samen te voegen en blablablabla.

0 KinGuiN
@Rainlife • 22 september 2011 15:44

Dan vraag je of die lieve PC-boer voor jouw budget een kek PCtje in elkaar wilt zetten, zonder Windows licentie... Heb je dus precies wat je wilt en bespaar je het geld van die 25 lettertjes en cijfertjes op een stickertje of je doet van het bespaarde bedrag de bouwkosten financiëren... Maar spijkers zoeken daar in dat lage water is veel leuker natuurlijk...

[Reactie gewijzigd door KinGuiN op 22 september 2011 15:45]

+1 chime
@Sandertje03 • 21 september 2011 12:19

Behalve als dat ander OS wel weer een geldig certificaat heeft.

Voor Apple, google zie ik dat nog wel lukken.

Voor veel linux distro's stel ik me dan wel de vraag of die een certificaat te pakken kunnen krijgen.

wildhagen
@chime • 21 september 2011 12:23

Voor veel linux distro's stel ik me dan wel de vraag of die een certificaat te pakken kunnen krijgen.

Waarom zou dat niet lukken? In principe kan elk bedrijf gewoon een certificaat aanvragen bij Verisign, Thawte, GXE etc etc. Zo enorm duur zijn die nu weer ook niet, je hebt ze al vanaf enkele tientjes per jaar, afhankelijk van de gekozen CA.

Zolang je een gangbare CA neemt als Verisign zie ik geen probleem, en ga je dus ook als Linux-distributie ook geen problemen krijgen.

+1 Mellow Jack
@wildhagen • 21 september 2011 12:39

Lees het bericht nog eens goed

De mogelijkheid om Linux te voorzien van handtekeningen van CA-autoriteiten wordt niet als oplossing gezien. Dit zou in strijd zijn met de gpl-voorwaarden en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen.

Het is dus wel mogelijk maar geen oplossing omdat het niet mag volgens de huidige licentie

wildhagen
@Mellow Jack • 21 september 2011 12:43

Ik heb goed gelezen hoor

Het is alleen een beetje een flauwe redenatie. Wat is er dan in strijd met GPL-voorwaarden? Sowieso hoeft MS zich niet aan de voorwaarde in de GPL-licentie te houden lijkt me, hun software valt immers (iig grotendeels) niet onder die licentie.

En hoeveel mensen die een OEM-systeem kopen gaan zelf kernels liggen compileren? Want let wel, dit geld dus alleen voor OEM-systemen, niet voor zelf gebouwde systemen!

En hé, dan zet je Secure Boot toch uit (indien mogelijk op de betreffende PC), of je koopt een PC zonder het Windows Certified-logo (of stelt zelf een PC samen).

Tadaa, problemen opgelost.

Eigenlijk is er dus, als je het goed beschouwt, helemaal geen probleem!

+1 Mellow Jack
@wildhagen • 21 september 2011 13:02

Hahahaha klopt klopt, ik vind het ook een flauwe redenatie zonder enige argumenten

Ik zit net te denken, wat dan als je zelf een PC bouwt en daar Windows op wilt installeren? Moet je dan alsnog je hardware signen oid?

+1 BRAINLESS01
@Mellow Jack • 21 september 2011 13:43

Het gaat om software, de hardware hoeft niet gesigned te worden. Windows is al signed, dus daar hoef je niks aan te doen. Linux is echter niet signed en kun je dus niet zomaar installeren als de bios (uefi) een signed OS vereist.

+1 Mellow Jack
@BRAINLESS01 • 21 september 2011 14:18

Oke dus je hoeft niet een ondertekende BIOS te hebben om Windows te installeren? Ik dacht namelijk dat het 2 kanten op zou gaan maar het gaat dus maar 1 kant op als ik je goed begrijpt (hardware die de ondertekening van het OS bekijkt)

0 KinGuiN
@Mellow Jack • 22 september 2011 15:19

Je begrijpt het nu goed, ja..

+1 Mijzelf
@wildhagen • 21 september 2011 13:27

En hoeveel mensen die een OEM-systeem kopen gaan zelf kernels liggen compileren? Want let wel, dit geld dus alleen voor OEM-systemen, niet voor zelf gebouwde systemen!

Veel. Denk maar eens aan al die laptops waar net weer een afwijkend drivertje in moet.
Ik *denk* dat dat de meest voorkomende reden is om eigen kernels te compileren, en bijna alle laptops zijn OEM systemen.

0 KinGuiN
@Mijzelf • 22 september 2011 15:25

Dan zoek je dus een OEM systeem, waar je de beveiliging uit kan zetten... Ik gok dat HP en Asus dit zelfs zullen promoten... Als je dan een Medion laptop koopt die dit niet ondersteund, heb je niet goed gekeken naar je eigen eisen, want daar zal minstens tussen moeten staan "dat je Linux moet kunnen booten"...

Het zou zelfs nog zo kunnen zijn dat juist de allergoedkoopste laptops toch al niet W8 certified worden(Te lage specs hw, geen UEFI opties, het zo goedkoop mogelijk houden van het model dus geen certificering aanvragen, enz) en dus juist interessant worden voor Linux gebruikers...

i-chat
@wildhagen • 21 september 2011 13:43

code signing van af enkele tientjes per keer bedoel je... ? dan mag cononical ineens fors gaan redekenen voor toegang tot de repositories... immmers staan er duizenden pakketten in en kost het dus honderdduizenden tientjes per jaar...

das nogal een uitgave voor een pakket dat tot nu toe gratis te downloaden was...

als het gesigned houden van alle pakketen miljoenen gaat kosten, zullen ze die kosten toch ergens moeten gaan verhalen... dikke kans dat je dan een x bedrag per jaar of per versie moet gaan betalen... of dat er aanzienlijk minder updates vrij komen...

+1 Dreamvoid
@i-chat • 21 september 2011 15:24

Je hebt maar 1 certificaat nodig, daarmee kan je zoveel code en recompiles als je wilt signen.

0 KinGuiN
@i-chat • 22 september 2011 15:27

Het gaat niet om ieder los pakket, alleen om "Het OS"...

[Reactie gewijzigd door KinGuiN op 22 september 2011 15:28]

0 Terracotta
@wildhagen • 21 september 2011 12:54

En als persoon die zijn eigen kernel wil compileren, of als hobby-distro, of kleinere distro die het gratis doet?

+1 dasiro
@Sandertje03 • 21 september 2011 15:46

toch wel, maar dat OS moet dan wel als zijnde veilig bestempeld zijn, maw prutsen met een niet-veilig OS zal verhinderen dat windows boot en dus ook niet geïnfecteerd kan worden (door bvb een linux rootkit)

Titan_Fox
@Sandertje03 • 22 september 2011 02:48

Nog een reden om niet voor Windows 8 te gaan en lekker bij W7 te blijven. Het moet niet gekker worden. Wat Microsoft van plan is, is in dit geval koppel-verkoop wat bij wet verboden is. Een software-gigant die de hardwarefabrikant gaat vertellen wat er op hun producten geïnstalleerd mag worden. Is de wereld helemaal gek geworden ?

Ik wil zelf uitmaken wat ik met mijn computer doe. Oplossing lijkt simpel; enkel nog voor zelfbouw-PC's gaan en de kant-en-klare meuk laten liggen totdat dit "beveiligings-systeem" gehackt is.

Een OS moet ervoor zorgen dat de hardware goed z'n werk doet. Het is niet de bedoeling dat het OS jou gaat voorschrijven welke hardware je aan moet schaffen. Op deze manier wordt de software veel te dominant tegenover de hardware (wat nu al het geval is-). Het is een omgekeerde wereld ...

[Reactie gewijzigd door Titan_Fox op 22 september 2011 02:50]

0 KinGuiN
@Titan_Fox • 22 september 2011 15:50

Waarom is het koppelverkoop??? Jij wordt nergens verplicht om een Windows 8 licentie aan te schaffen of een PC te kopen met Windows 8... MS stelt alleen de eis, dat als een fabrikant een sticker met "Windows 8-certified" op het kastje wilt plakken... Net als apple eisen stelt aan fabrikanten van accessoires voor de iphone... Net als je internet provider verwacht dat jij goede bekabeling in je huis hebt, als je komt klagen... Wat is nu precies het probleem??? Of jij zou het heel logisch moeten vinden dat HP een W8-sticker op de eerste de beste PC plakt en MS daarna moet gaan uitleggen aan degene die dit model heeft gekocht, waarom W8 toch niet erop wilt draaien...

Je kan nog steeds W8 op een custom PC installeren, dus je laatste alinea is volledige onzin... Je hebt de situatie gewoon echt niet goed begrepen...

[Reactie gewijzigd door KinGuiN op 22 september 2011 15:51]

0 Amanoo
@Sandertje03 • 21 september 2011 13:28

Als ik me neit vergis mag je nog wel gewoon Windows eraf gooien.
De enige groep die het echt nodig heeft zijn gamers, verder kan alles prima op Linux.

0 Beatboxx
@Sandertje03 • 21 september 2011 22:07

Dat is onwettig, dat valt onder kartelverkoop. Eigenlijk zijn ze niet de enige...

Martindo
21 september 2011 12:13

Lekker, straks moet je PC's kopen voor elk OS. Dat wordt nog leuk. Ik vind dit nou niet echt een slim idee. Waarom de booten afsluiten zodat je niks anders op je PC kan zetten.

Geef mij maar een PC waar nog een oude bios op staat. Dit vind ik maar niks.

+2 worldcitizen
@Martindo • 21 september 2011 12:43

Geef mij maar een PC waar nog een oude bios op staat. Dit vind ik maar niks.

Helemaal mee eens. Ze hadden IMO voor Open Firmware moeten kiezen ipv UEFI.

Zo zie je maar dat [url=http://en.wikipedia.org/wiki/Coreboot[/url] ontwikkelaar Ronald G. Minnich gelijk lijkt te krijgen met zijn verwachting van 2007. Hij noemde met niet voor niets DRM BIOS.

What are your thoughts on the Extensible Firmware Interface (EFI)?

I have spoken with the EFI authors at length. They make no secret of the fact that a "core value" of EFI is the preservation of intellectual property related to chipset programming and internal architecture. To put it another way, EFI is dedicated to the preservation of "Hard" hardware (as defined above), and the provision of binary interfaces and subsystems to BIOS vendors and others.
It is not really possible to build a full open-source BIOS if EFI is involved. The Tiano system, which Intel claims is an open source BIOS, can not be used to build a BIOS unless it is attached to proprietary, binary-only BIOS code provided by a vendor.

Another important thing to realize about EFI is that it also contemplates enabling chipset features that will trap certain OS operations to an EFI-based control system running in System Management Mode. In other words, under EFI, there is no guarantee that the OS owns the platform.
Accesses to IDE I/O addresses, or certain memory addresses, can be trapped to EFI code and potentially examined and modified or aborted. Many see this as an effort to build a "DRM BIOS".
I am not sure what the real intent of this design is, but is is a real concern in secure environments (such as those found in governments, banks, and large search engine companies). A number of vendors and users have told me that they are not sure they can ship an EFI system they are willing to trust in a secure environment.

+1 Homer J.Simpson
21 september 2011 12:09

Aangezien Hyper-V een standaard feature wordt in Win8, kan daar dan toch Linux in geinstalleerd worden?

GeniusDex
@Homer J.Simpson • 21 september 2011 12:15

Dan ben je dus nog steeds afhankelijk van een stukje Windows om Linux te draaien. In praktijk is dit geen gewenste oplossing en vooral voor de ergere puristen is het compleet onaanvaardbaar.

+1 webkiller71
@GeniusDex • 21 september 2011 12:21

Ik wil geen windows licentie moeten aanschaffen om linux te draaien. Dat is puur economisch al onaanvaardbaar.

+2 Dreamvoid
@webkiller71 • 21 september 2011 14:08

Dat hoeft ook, het OS hoeft alleen een valide CA certificaat te hebben (dat heeft verder niks met Windows te maken). Vergelijk het met een SSL verbinding: iedereen kan een SSL verbinding opzetten, maar alleen een verbinding met een certificaat is "trusted" en krijgt een groen balkje.

GeniusDex
@webkiller71 • 21 september 2011 12:44

Dit gaat vooral om PC's in het Windows Logo programma. Dat zijn dus OEM PC's die al met een Windows licentie geleverd worden; daar het geld van je Windows licentie terugkrijgen is vaak (helaas) al een probleem...

catfish
@webkiller71 • 21 september 2011 14:39

waarom zou je dan een oem pc met Windows kopen?

0 KinGuiN
@catfish • 22 september 2011 15:55

Omdattie die spijkers nog moet zoeken!! Daar, bij eb!!!

+1 IoorLTD
@Homer J.Simpson • 21 september 2011 12:13

Dat is altijd mogelijk, maar niet de strekking van dit verhaal...Het gaat erom dat je native linux op kunt starten , en niet in een virtuele watdanook machine.

Dit klinkt meer als een "apple" constructie, enkel uitgebreid naar elke soort en type PC.
Let maar op, als dit door gaat , is de volgende eis van MS dat zij voor gaan schrijven welke hardware jij moet gebruiken (wat ze al in zekere zin doen) .

+1 oliveroms
@IoorLTD • 21 september 2011 12:26

Welke apple heeft geen 'Bootcamp' optie?

Apple gebruikt geen bios lockdowns welk OS je op je hardware draait. Genoeg macbooks, mini's of servers die Linux of iets anders draaien.

0 KinGuiN
@IoorLTD • 22 september 2011 15:52

Je kan nog steeds native Linux opstarten, alleen niet in een beveiligde boot-omgeving..

mashell
@Homer J.Simpson • 21 september 2011 12:14

Eigenlijk is met het succesvol worden van virtualisatie dualboot achterhaald geraakt.

0 Mythix
@mashell • 21 september 2011 12:19

Ja maar als developer doe ik het andersom; linux is mijn host en windows de guest... als dat niet meer kan stap ik over op apple...

Ik kan niet leven zonder multiple desktops; en zeker niet met die command line van windows, das de grootste bucht ooit...

0 KinGuiN
@Mythix • 22 september 2011 15:54

LOL, wat??? "Ik werk op Linux en Windows, daar heb ik al mijn programma's en licenties voor, maar als iets wat totaal geen probleem is wordt doorgevoerd, ga ik naar een nog geslotener en beperkter systeem.."

0 BRAINLESS01
@mashell • 21 september 2011 13:45

Niet als je alleen Linux wilt draaien en je dat niet meer kunt booten natuurlijk

+1 highflyer
@Homer J.Simpson • 21 september 2011 12:18

Denk dat mensen die Linux draaien het liever omgekeerd zien. die draaien Linux met virtualbox (of variant) waar dan windows in zit.

ik zie niet graag dat als ik een PC of onderdelen koop dat deze dan alleen met windows werkt, ik draai dan geen Linux als standaard OS maar ben wel af en toe aan het experimenteren er mee en dan vind ik het persoonlijk fijner om dat niet virtueel te draaien.

en weet niet of ze Hyper-V hebben aangepast met Linux support want heb het eens in server 2008 geprobeerd maar kon toen geen Hyper-V support installen in de Linux-gast OS

0 KinGuiN
@highflyer • 22 september 2011 15:57

O-E-FREAKING-M!!! Wordt slechts een keer of 80 hierboven uitgelegd!!! Losse PC of onderdelen gaat dit hele verhaal geheel niet voor op!!!

0 worldcitizen
@Homer J.Simpson • 21 september 2011 12:28

Aangezien Hyper-V een standaard feature wordt in Win8, kan daar dan toch Linux in geinstalleerd worden?

Dat zou betekenen dat je gedwongen wordt om Windows te kopen om een ander OS te kunnen draaien.

Daarbij heb je alle onhebbelijkheden van Windows op je systeem wat je in den beginnen al niet wou hebben, voor veel Linux gebruikers.

hAl
@worldcitizen • 21 september 2011 12:58

Als je een systeem zonder windows koopt speelt het probleem al helemaal niet.

+1 worldcitizen
@hAl • 21 september 2011 13:07

Als je een systeem zonder windows koopt speelt het probleem al helemaal niet.

Je weet ook heel goed dat PC's primair voor Microsoft Windows ontwikkeld worden inclusief de BIOS. Linux heeft bijvoorbeeld niet zo'n uitgebreide BIOS nodig, Linux doet zo goed als geen BIOS calls het wordt gebruikt om te booten. Met het oog op Linux hadden ze beter voor Open Firmware kunnen kiezen.

Het zou daarom best kunnen zijn dat Secure boot een standaard feature wordt die altijd aan staat. Dan heb je dit probleem wel degelijk.

[Reactie gewijzigd door worldcitizen op 21 september 2011 13:27]

0 cuylfrits
@Homer J.Simpson • 21 september 2011 13:15

Volgens de FAQ van Hyper-V wordt op dit moment alleen SUSE Linux Enterprise Server 10 (x86/x64) ondersteunt met als randvoorwaarden dat alleen uniprocessor ondersteund wordt en geen integration components beschikbaar zijn.

In onderstaande tweakers artikel wordt wel vermeld dat drivers beschibaar worden gesteld:

nieuws: Microsoft doneert Hyper V-drivers aan Linux-kernel

Hyper-V is in mijn opinie daarom in dit geval geen volwaardige oplossing.

+1 Jackb01
@cuylfrits • 21 september 2011 21:17

Welnee joh, dat is gedateerde info.
MS ondersteund nu al gewoon meerdere Linux server versies (o.a. Redhat) en ook multiprocessor op Hyper-V R2 incl. Live Migration.

0 KinGuiN
@cuylfrits • 22 september 2011 16:01

Ja, want er zijn ook zo ongelooflijk veel OEM PC's, waar we allemaal verschillende Linux servers virtueel op willen draaien...

Welk gedeelte van OEM lezen jullie nu allemaal overheen??? Wees nu eens eerlijk, wie heeft er Windows 2008 server geïnstalleerd op een desktopje, om daar dan weer een x aantal virtuele Linux servers in te proppen???

+1 _Thanatos_
21 september 2011 12:47

Storm in een glas water.

Natuurlijk kun je het uitzetten. Het is tenslotte je eigen veiligheid. En daarbij kan een linux-distro natuurlijk ook prima zo'n digitale handtekening krijgen.

Waar je wel problemen mee zou kunnen krijgen, is verschillende rescue-booters, zoals memtest86, partedmagic, Acronis rescue disk, etc. Ook zou je geen oudere Windows kunnen installeren.

Daarbij *kan* Windows 8 simpelweg die beveiliging niet eisen, omdat bijna alle PC's in de wereld die feature niet hebben. Windows 8 zal ook massaal geinstalleerd gaan worden op PC's die nu in gebruik zijn, dus in het ergste geval als je dit hele verhaal niet wil: koop het dan niet.

Al met al lijkt het me dus ZWAAR overtrokken om te stellen dat we alleen maar keihard beperkt worden. Dit gaat dus echt niet gebeuren hoor. Storm in een glas water.

[Reactie gewijzigd door _Thanatos_ op 21 september 2011 12:49]

+1 Dreamvoid
@_Thanatos_ • 21 september 2011 15:09

Waar je wel problemen mee zou kunnen krijgen, is verschillende rescue-booters, zoals memtest86, partedmagic, Acronis rescue disk, etc. Ook zou je geen oudere Windows kunnen installeren.

Die bedrijven hebben allemaal ook al een CA certificaat, dus die code draait ook gewoon (moeten ze wel even hun code recompilen en signen, maar dat is zo gedaan).

[Reactie gewijzigd door Dreamvoid op 21 september 2011 15:10]

+1 .MaT
@_Thanatos_ • 21 september 2011 18:25

Natuurlijk kun je het uitzetten. Het is tenslotte je eigen veiligheid. En daarbij kan een linux-distro natuurlijk ook prima zo'n digitale handtekening krijgen.

Artikel goed gelezen?

Als de fabrikant het wel mogelijk maakt om de secure boot-optie in de uefi uit te schakelen, is het ook denkbaar dat Windows 8 weigert te booten totdat het beveiligde bootproces weer wordt geactiveerd.
...
De mogelijkheid om Linux te voorzien van handtekeningen van CA-autoriteiten wordt niet als oplossing gezien. Dit zou in strijd zijn met de gpl-voorwaarden en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen.

0 _Thanatos_
@.MaT • 22 september 2011 12:50

Als de fabrikant het wel mogelijk maakt om de secure boot-optie in de uefi uit te schakelen, is het ook denkbaar dat Windows 8 weigert te booten totdat het beveiligde bootproces weer wordt geactiveerd.

Dat is het stuk dat onmogelijk is. Dat zou betekenen dat Windows 8 niet te installeren is op een PC die geen secure boot heeft, en dat zijn *alle* pc's die geen (discrete) UEFI hebben. Dat is ondenkbaar en zou Windows 8 onverkoopbaar maken.

De mogelijkheid om Linux te voorzien van handtekeningen van CA-autoriteiten wordt niet als oplossing gezien. Dit zou in strijd zijn met de gpl-voorwaarden en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen.

Sorry maar Linux doet het zichzelf aan hoor. Door dit soort gezever komt Linux nooit bij de massa op de pc's thuis.

1 2 3 ... 9 Volgende

Op dit item kan niet meer gereageerd worden.

Cookies op Tweakers

Lees meer over

Gerelateerde content

Reacties (453)

Sorteer op:

Weergave: