Microsoft: 'secure boot' blokkeert andere besturingssystemen niet
De 'secure boot'-mogelijkheid in Windows 8 maakt het booten van andere besturingssystemen niet onmogelijk. Dat stelt een medewerker van Microsoft, nadat Red Hat eerder deze week zijn zorg uitsprak dat dat wel het geval zou zijn.
Deze week ontstond vrees dat de secure boot-functie in Windows 8 andere besturingssystemen zou dwarszitten. Onder anderen Red Hat-medewerker Matthew Garrett maakte zich zorgen hierover. Microsoft zou het hele bootproces willen afsluiten om het starten van malafide code onmogelijk te maken, waardoor ook concurrerende besturingssystemen niet meer zouden kunnen worden geboot. Bovendien zouden Windows 8-certified-pc's ondersteuning voor secure boot moeten hebben ingeschakeld.
Het is echter aan de makers van hardware om te bepalen hoe ze met de ondersteuning van andere besturingssystemen omgaan, schrijft senior program manager Tony Mangefeste van Microsoft op het Windows 8-weblog. "Secure boot is onderdeel van het uefi-protocol en geen Windows 8-feature", schrijft Mangefeste. Windows 8 blijft het oude bootproces ondersteunen, dus ook als een hardwarefabrikant of een gebruiker secure boot uitschakelt, kan Windows 8 nog steeds starten. Het is onduidelijk of hardwarefabrikanten de mogelijkheid geven om de beveiligde bootmodus, indien aanwezig, uit te zetten. Bij de Windows 8-tablet die Microsoft op zijn Build-ontwikkelaarsconferentie uitdeelde, kan dat in ieder geval wel.
De 'unified extensible firmware interface' is in steeds meer pc's aanwezig als vervanger voor het bios en bevat de mogelijkheid om het bootproces te beveiligen met public-key-cryptography. Windows 8 maakt daar gebruik van. Het besturingssysteem moet tijdens het booten een geldig certificaat overleggen om te kunnen starten, zodat malafide software het bootproces niet kan kapen.
Overigens kunnen makers van andere besturingssystemen er zelf ook voor kiezen om ondersteuning voor secure boot in te bouwen, maar bij Linux-distributies is dat waarschijnlijk geen optie, schrijft Garrett van Red Hat. Dat zou in strijd zijn met de gpl-voorwaarden en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen.
Foto: Microsoft
Reacties (100)
Zolang mensen het uit kunnen zetten en vrije keuze kunnen behouden heb ik er geen probleem (meer) mee.
Als het gemakkelijk door software (lees malware) is uit te schakelen biedt het geen extra veiligheid. Ik zou dat toch graag met een hardware jumper op het mainboard willen zien.
Gelukkig is dit dan ook iets wat via de BIOS geregeld wordt, dus niet door software uit te schakelen is. Als je het hele stuk leest kan je dit ook zelf uit vinden.
Hmmm, er zijn windows-tooltjes die je bios kunnen flashen, waarom kan een stukje malware dan niets in het bios wegschrijven?
Omdat die door UAC worden tegengehouden.
nieuws: Nieuwe malware poogt bios te besmetten
UAC is heel leuk en aardig, maar dat kan niet alles tegenhouden.
Bovendien zetten sommige mensen het uit.
Ik zou ook liever gewoon jumpers of schakelaartjes op het moederbord zien. Dan maar wat lastiger om bios te flashen dan dat je gevaar loopt
Overigens zijn we weer eens geheel afhankelijk van wat fabrikanten voor biossen gaan gebruiken. Op dit moment vind ik UEFI nog niet zo heel nuttig, en met een functie zoals secure-boot veranderd er niks aan mijn mening. Het zal dus alleen gebruikt worden om eens je pc helemaal op slot te gooien.
Ik dacht dat PC's waren voor de mensen die gewoon vrij dingen willen installeren en modificeren.
Ik hoop niet dat microsoft door deze ontwikkeling dit soort dingen gaat stimuleren
UAC is heel leuk en aardig, maar dat kan niet alles tegenhouden.
Bovendien zetten sommige mensen het uit.
Ik zou ook liever gewoon jumpers of schakelaartjes op het moederbord zien. Dan maar wat lastiger om bios te flashen dan dat je gevaar loopt
Overigens zijn we weer eens geheel afhankelijk van wat fabrikanten voor biossen gaan gebruiken. Op dit moment vind ik UEFI nog niet zo heel nuttig, en met een functie zoals secure-boot veranderd er niks aan mijn mening. Het zal dus alleen gebruikt worden om eens je pc helemaal op slot te gooien.
Ik dacht dat PC's waren voor de mensen die gewoon vrij dingen willen installeren en modificeren.
Ik hoop niet dat microsoft door deze ontwikkeling dit soort dingen gaat stimuleren
[Reactie gewijzigd door wootah op vrijdag 23 september 2011 13:02]
Helaas.. PC's zijn gereedschappen voor mensen die bepaalde taken moeten uitvoeren. Verder heeft UEFI weldegelijk voordelen, zoals bijvoorbeeld betere ondersteuning van het opstarten van niet-BIOS compatible apparaten (grote schijven, non-MBR schijven) en maakt het meer RAM voor het opstarten beschikbaar. Dan heb je nog betere recovery bij flashen, om dat je over het algemeen een image beschikbaar maakt voor UEFI, waarna bij de volgende herstart UEFI zelf kijkt of het werkt, en als het werkt het NAAST de bestaande image kan gebruiken. Mocht er wat mis gaan, kan je direct terug. Daarnaast start UEFI vele malen sneller dan de BIOS, en kan je met UEFI een een serial console alles doen qua configuratie, wat je bij de BIOS vaak alleen met speciale serveredities kan.
[Reactie gewijzigd door johnkeates op vrijdag 23 september 2011 13:18]
Mag jij is proberen om in een bedrijfsomgeving 1000 pc's van een nieuwe BIOS te voorzien als je eerst een jumpertje moet omgooien Dit is eenvoudig op te lossen door BIOS binaries gewoon te signen.
Er is ook geen enkele fabrikant die het in zijn hoofd gaat halen om dit niet als optie in te bouwen. Die "windows certified" PC's die van de bad rollen zij net dezelfde als die voor de klant die 1000 linux bakken besteld heeft hoor.
Los daarvan: Je hoeft niet persé een ander OS te willen gebruiken om hier last mee te krijgen. Wij hebben ook al gespeeld met een (Linux) hypervisor om 2x Windows op een PC te zetten (werk / privé, XP / Win7, ...).
Dit is eenvoudig op te lossen door BIOS binaries gewoon te signen.Er is ook geen enkele fabrikant die het in zijn hoofd gaat halen om dit niet als optie in te bouwen. Die "windows certified" PC's die van de bad rollen zij net dezelfde als die voor de klant die 1000 linux bakken besteld heeft hoor.
Los daarvan: Je hoeft niet persé een ander OS te willen gebruiken om hier last mee te krijgen. Wij hebben ook al gespeeld met een (Linux) hypervisor om 2x Windows op een PC te zetten (werk / privé, XP / Win7, ...).
Nou, dan is dat misschien de oplossing: standaard worden alleen signed firmware-versies geaccepteerd, en met de bios-jumper (of een echt schakelaartje) ook andere.
Als je als klant (gebruiker/bedrijf) maar de keus hebt.
En wat die hypervisor betreft, Microsoft wilt natuurlijk dat je dan als host ook Windows gebruikt.
Als je als klant (gebruiker/bedrijf) maar de keus hebt.
En wat die hypervisor betreft, Microsoft wilt natuurlijk dat je dan als host ook Windows gebruikt.
Alleen wordt dat bios-jumpertje op een notebook waarschijnlijk zodanig geplaatst dat je er niet zomaar bij kan.
Het is maar de vraag of dat dan zo zal blijven... Hoogstwaarschijnlijk niet!!Die "windows certified" PC's die van de bad rollen zij net dezelfde als die voor de klant die 1000 linux bakken besteld heeft hoor.
Sterker nog, het is nu al een beetje zo. Een tijdje geleden kon je twee Dell-PC's bestellen met Linux. Alle andere PC's waren Windows-only (qua bestelling, dan. Maar als je zo weinig keus hebt, slaat Linux echt geen deuk in een pakje boter).
Het gaat hier niet meer om een BIOS maar om een UEFI.
quote: theforce81Als je het hele stuk leest kan je dit ook zelf uit vinden.
Dus zodra het in het firmware zou zitten ingebakken zou het zo geregeld kunnen worden dat de gebruiker het zelf niet meer zou kunnen aanpassen. Dat was dus ook de reden voor de zorg die uitgesproken werd.De 'unified extensible firmware interface' is in steeds meer pc's aanwezig als vervanger voor het bios en bevat de mogelijkheid om het bootproces te beveiligen met public-key-cryptography
Nou is het mooie van zo'n BIOS en ook van dat uefi dat het software is.
Het is dus zeker mogelijk om vanuit malware ook te doen, echter is het wel mogelijk dat het bij elk type moederbord weer anders moet.
Het is dus zeker mogelijk om vanuit malware ook te doen, echter is het wel mogelijk dat het bij elk type moederbord weer anders moet.
"... en het bovendien voor Linux-gebruikers die hun eigen kernel compileren vrijwel onmogelijk maken om aan een correcte handtekening te komen ..."
Zegt het artikel.
Betekent dit dat elke keer dat je linux een kernel update krijgt, er een nieuw certificaat moet komen, gelijk met de kernel update, als je voor secure boot onder linux kiest?
Onder Ubuntu komen kernel updates best wel af en toe voor. Een extra puntje van aandacht, zou dit dan kunnen zijn bij een kernel update ...
Zegt het artikel.
Betekent dit dat elke keer dat je linux een kernel update krijgt, er een nieuw certificaat moet komen, gelijk met de kernel update, als je voor secure boot onder linux kiest?
Onder Ubuntu komen kernel updates best wel af en toe voor. Een extra puntje van aandacht, zou dit dan kunnen zijn bij een kernel update ...
Nee, dat betekent het niet. De kernel is ondertekend met het certificaat, dus elke update kan dat ook gewoon zijn. Certificaten zijn gebaseerd op public key cryptografie, wat wil zeggen dat je zowel een publieke sleutel als een privesleutel hebt. Data dat met de ene sleutel is versleuteld kan met de andere sleutel weer worden ontsleuteld (en vice versa), en dit biedt dus de mogelijkheid voor authenticatie. Als jij iets met jouw eigen privésleutel (die alleen jij weet en niemand anders) versleuteld, dan kan iedereen verifieren dat het van jou af kwam omdat het met jouw publieke sleutel te ontsleutelen is.Betekent dit dat elke keer dat je linux een kernel update krijgt, er een nieuw certificaat moet komen, gelijk met de kernel update, als je voor secure boot onder linux kiest?
Welnu, Ubuntu kan gewoon een valide certificaat aanschaffen en alle updates ondertekenen met dat ene certificaat. Ubuntu kan dat doen omdat zij de privésleutel hebben. Echter, jij kan niet je eigen gecompileerde versie van de kernel booten omdat jij je binaries niet kan ondertekenen omdat jij niet beschikt over de privésleutel van Ubuntu.
[Reactie gewijzigd door .oisyn op vrijdag 23 september 2011 15:16]
Mja dat is dus een beetje achterlijk.
Technisch gezien is het probleem niet zo moeilijk. Je moet simpelweg een eigen vertrouwd certificaat toe kunnen voegen. Dan kun je je eigen code tekenen en toevoegen. Niet zo'n probleem voor iemand die z'n kernels toch al zelf compiled lijkt me.
Ze moeten dan uiteraard wel ff een veilige manier vinden om zo'n certificaat toe te voegen, maar daar is vast wel iets voor te vinden.
Technisch gezien is het probleem niet zo moeilijk. Je moet simpelweg een eigen vertrouwd certificaat toe kunnen voegen. Dan kun je je eigen code tekenen en toevoegen. Niet zo'n probleem voor iemand die z'n kernels toch al zelf compiled lijkt me.
Ze moeten dan uiteraard wel ff een veilige manier vinden om zo'n certificaat toe te voegen, maar daar is vast wel iets voor te vinden.
het probleem zal voor de gebruikers meer in de kosten van een vertrouwd certificaat zitten
hoe checked uefi eigenlijk of een certificaat geldig is? kan me voorstellen dat er uefi computers zijn die NIET op een internet capable netwerk aangesloten zitten
hoe checked uefi eigenlijk of een certificaat geldig is? kan me voorstellen dat er uefi computers zijn die NIET op een internet capable netwerk aangesloten zitten
Ik snap nog niet helemaal waarom de kernel ondertekend moet zijn. Het lijkt mij genoeg om de boot loader (Grub) te ondertekenen, aangezien dát hetgeen is de EFI opstart. Dat Grub de kernel vervolgens lanceert lijkt me verder niet direct van belang.
Nou dan bij iedere opnieuw gecompileerde kernel. Zij die hun eigen kernel compileren doen dit immers ook regelmatig, en zij kunnen niet zo simpel een certificaat aanschaffen voor enkel privégebruik.
[Reactie gewijzigd door BeosBeing op donderdag 29 september 2011 13:51]
Niet door software uit te schaken?
Er zijn inmiddels trojans en virussen die jouw bios kunnen flashen etc. dus neit uit te schakelen .......
Er zijn inmiddels trojans en virussen die jouw bios kunnen flashen etc. dus neit uit te schakelen .......
Het is natuurlijk onmogelijk om te vereisen dat alleen gesignde UEFI-patches kunnen worden geflasht. [/sarcasme]
UEFI =!Bios !!!!
Voor een gebruiker is het hetzelfde: het doet in beide gevallen maar 1 ding: zorgen dat je windows opstart.
Op je zelfbouw PC zal je die keuze houden.
Op de generieke kant-en-klaar PC's van zelfstandige computerzaken waarschijnlijk ook.
Ik vrees dat er voor merk-PC (HP, Acer, PackerdBell, Dell etc,) geen keuze meer zal zijn. Of je start Windows 8 op, of je hebt een boekensteun.
Dat zal bij aanschaf niet zo'n probleem zijn. Je weet dat je een Windows bak koopt. Wil je wat anders draaien, moet je een andere PC kopen.
Het beperkt wel de mogelijkheden bij afdanken. Je kunt de PC niet meer meer zonder meer met een linux-distro een tweede leven als mediacenter, server of nas geven.
Op de generieke kant-en-klaar PC's van zelfstandige computerzaken waarschijnlijk ook.
Ik vrees dat er voor merk-PC (HP, Acer, PackerdBell, Dell etc,) geen keuze meer zal zijn. Of je start Windows 8 op, of je hebt een boekensteun.
Dat zal bij aanschaf niet zo'n probleem zijn. Je weet dat je een Windows bak koopt. Wil je wat anders draaien, moet je een andere PC kopen.
Het beperkt wel de mogelijkheden bij afdanken. Je kunt de PC niet meer meer zonder meer met een linux-distro een tweede leven als mediacenter, server of nas geven.
Nee. Fabrikanten zullen allemaal overstappen naar de nieuwe shit, als er niet vooraf kei- maar dan ook keiharde maatregelen zullen zijn tegen die voorwaarden die MS allemaal in het hoofd heeft zitten.Op je zelfbouw PC zal je die keuze houden.
En trouwens je hebt 't zelf al over merk-PC's: hoeveel % denk je dat dat samen is? Waarschijnlijk al gauw 99%.
Je spreekt hier jezelf al gigantisch tegen. Niet zo'n probleem? Het is juist een gigantisch probleem als je geen keuze meer hebt!!Dat zal bij aanschaf niet zo'n probleem zijn. Je weet dat je een Windows bak koopt. Wil je wat anders draaien, moet je een andere PC kopen. Het beperkt wel de mogelijkheden bij afdanken.
Een secure-boot proces is iets wat eigenlijk juist heel belangrijk is om te kunnen garanderen dat er op de laag vóór het OS (en eventuele virusscanners en dergelijke) geen malafide code uitgevoerd kan worden.
Dus eigenlijk een belangrijke feature die op bijvoorbeeld embedded systemen wel vaker voorkomt. Maar dat betekent wel dat het inderdaad niet te makkelijk moet kunnen worden uitgeschakeld, want je helpt daarmee die zekerheid praktisch om zeep. Aan de andere kant, als je al Windows gebruikt, heb je daar ook geen last van.
Wat wel lastiger gaat worden is het omschakelen naar een ander OS voor beginners. Opeens moeten ze aan de hardware gaan knoeien of in de BIOS iets omzetten voordat ze überhaupt een Linux-partitie kunnen starten, en dat zou wel een extra drempel kunnen zijn voor het overstappen naar een alternatief OS.
Dus eigenlijk een belangrijke feature die op bijvoorbeeld embedded systemen wel vaker voorkomt. Maar dat betekent wel dat het inderdaad niet te makkelijk moet kunnen worden uitgeschakeld, want je helpt daarmee die zekerheid praktisch om zeep. Aan de andere kant, als je al Windows gebruikt, heb je daar ook geen last van.
Wat wel lastiger gaat worden is het omschakelen naar een ander OS voor beginners. Opeens moeten ze aan de hardware gaan knoeien of in de BIOS iets omzetten voordat ze überhaupt een Linux-partitie kunnen starten, en dat zou wel een extra drempel kunnen zijn voor het overstappen naar een alternatief OS.
Dat zat er dik in dat Microsoft met dit statement naar buiten moest komen. Het zou ook van de zotte zijn geweest. Zelfs in de USA is koppelverkoop op deze manier verboden.
Goed nieuws om te horen.
Maar had ook niet anders verwacht.
Indien MS het onmogelijk maakt om andere Os-en te booten krijg je weer het hele monopolie verhaal met alle gevolgen van dien
Maar had ook niet anders verwacht.
Indien MS het onmogelijk maakt om andere Os-en te booten krijg je weer het hele monopolie verhaal met alle gevolgen van dien
Neen, omdat het niet MS is die het onmogelijk zal maken, maar wel de OEMs. Microsoft kan bijv. in de toekomst korting geven aan OEMs die secure boot gebruiken zonder dat deze kan uitgeschakeld worden.
Ik vind dat juist voor OEM's een goede feature om aan te zetten. Hoeveel mensen die Linux op hun PC zetten kopen een PC van een OEM? Niet veel denk ik, en hoeveel gebruikers die uitsluitend Windows gebruiken waarbij de oren gaan klapperen als je Linux of BSD zegt? Vrijwel de complete doelgroep.
Ideaal voor dat soort mensen om een secure boot procedure te hebben, want dat is de groep die momenteel in botnets word opgenomen.
Het moet natuurlijk wel mogelijk blijven om uit te zetten zodat je een ander OS kunt installeren, maar standaard aan daar heb ik 0 problemen mee.
Ideaal voor dat soort mensen om een secure boot procedure te hebben, want dat is de groep die momenteel in botnets word opgenomen.
Het moet natuurlijk wel mogelijk blijven om uit te zetten zodat je een ander OS kunt installeren, maar standaard aan daar heb ik 0 problemen mee.
Hoeveel Linux gebruikers gebruiken een ex-OEM machine? Ik ben er iig één van.
En hoe zit dat dan met de eerste keer linux gebruikers? Die dus een Windos PC hebben gekocht maar toch Ubuntu oid willen gaan draaien? Je zal maar net een PC met Secure Boot hebben gekocht die niet uitkan!
Je reactie raakt dus kant noch wal . Ik ken genoeg mensen die "uitsluitend Windows gebruiken" maar toch nieuwsgierig zijn naar Ubuntu (als dualboot)
Je reactie raakt dus kant noch wal . Ik ken genoeg mensen die "uitsluitend Windows gebruiken" maar toch nieuwsgierig zijn naar Ubuntu (als dualboot)
Mijn reactie raakt kant nog wal? Ik ben vrij zeker ervan dat 90% van de mensen die een OEM machine koopt nooit Linux zal installeren, simpel weg omdat ze er de kennis niet voor hebben.
En als je mijn reactie gelezen had dan lees je dat ik vind dat hij wel moet UIT kunnen worden gezet.
Ik ken ook genoeg mensen die wel eens Ubuntu willen gebruiken, maar ja dat krijg je nu eenmaal als ICT-er. Als ik eens kijk bij de mensen die mijn zus kent dan zijn dat allemaal OSX gebruikers omdat dat door de school erin word gestampt. Dus zij kent zat mensen die OSX gebruiken, en die zullen allemaal nooit Linux gebruiken. Als ik naar mijn ouders kijken en de mensen die zei kennen, die hebben allemaal een Windows of Mac systeem en zullen ook nooit Linux gebruiken.
De komende jaren verwacht ik geen enorme verschuiving richting Linux, tenzij OEM's dat zelf gaan aanbieden.
En als je mijn reactie gelezen had dan lees je dat ik vind dat hij wel moet UIT kunnen worden gezet.
Ik ken ook genoeg mensen die wel eens Ubuntu willen gebruiken, maar ja dat krijg je nu eenmaal als ICT-er. Als ik eens kijk bij de mensen die mijn zus kent dan zijn dat allemaal OSX gebruikers omdat dat door de school erin word gestampt. Dus zij kent zat mensen die OSX gebruiken, en die zullen allemaal nooit Linux gebruiken. Als ik naar mijn ouders kijken en de mensen die zei kennen, die hebben allemaal een Windows of Mac systeem en zullen ook nooit Linux gebruiken.
De komende jaren verwacht ik geen enorme verschuiving richting Linux, tenzij OEM's dat zelf gaan aanbieden.
Het gaat om de default. Als die default AAN staat, dan is de ramp echt al geschied, hoor.En als je mijn reactie gelezen had dan lees je dat ik vind dat hij wel moet UIT kunnen worden gezet.
Zelfs als je het dan uit kan zetten: dat zal dan vooral alleen in het begin zijn.
Dat is juist het gevaar: mensen verwachten het niet, totdat het eigenlijk vrij opeens gewoon de status quo is dat ook die mogelijkheid er ook niet meer is.De komende jaren verwacht ik geen enorme verschuiving
[Reactie gewijzigd door kimborntobewild op maandag 31 oktober 2011 04:22]
Ehm als je een computer niet van een OEM koopt waar kop je die dan?
Het probleem is dat de meeste systemen niet meer gemaakt worden door het bedrijf dat ze verkoopt er zijn maar een handje vol bedrijven die de kennis apparatuur en schaal hebben om dit soort dingen te produceren en er geld aan te verdienen. En dat zijn eigenlijk allemaal Chinese bedrijven, dus als Microsoft deze bedrijven nu eens lief zou aankijken en er van zou overtuigen dat het voor hun uiteindelijke klanten beter is als men het secure boot proces niet kan uitzetten en dat om de veiligheid van de gemiddelde computer gebruiker te verbeteren ze een beloning uitloven voor een ieder die mee werkt aan het initiatief om een veiliger boot sequence te leveren dan is het redelijk snel gedaan met de Linux pret.
Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt. Dus zelfs als Microsoft dat zou doen dan nog zou er niet meteen een man overboord zijn, het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.
Nu kan Microsoft de bad press en de mogelijke aantijgingen van concurrentie vervalsing missen als kiespijn en is er eigenlijk geen echte reden om dit te doen. Zo lang ze slim genoeg zijn om tijdens en of na het booten aan de gebruiker aan te geven dat secure boot uitstond en het systeem dus minder veilig is dan het zou kunnen zijn. Dan is het redelijk snel zo dat 99% van de mensen bang is om te werken met een PC waar secure boot uitstaat, of waarbij het OS niet verteld of het veilig is gestart. Met als resultaat dat acceptatie van Linux op de consumenten markt, waar de meeste mensen totaal geen idee hebben hoe het ding nu eigenlijk werkt, simpel weg heel erg veel moeilijker is geworden. En uiteindelijk is dat het doel niet de concurrentie op een opzichtige manier tegen werken.
Ik ga er dus ook van uit dat Microsoft een mooie popup waarschuwing weergeeft elke keer als je zonder secure boot start. Zodat de meeste mensen dat al hele snel niet meer durven.
Het probleem is dat de meeste systemen niet meer gemaakt worden door het bedrijf dat ze verkoopt er zijn maar een handje vol bedrijven die de kennis apparatuur en schaal hebben om dit soort dingen te produceren en er geld aan te verdienen. En dat zijn eigenlijk allemaal Chinese bedrijven, dus als Microsoft deze bedrijven nu eens lief zou aankijken en er van zou overtuigen dat het voor hun uiteindelijke klanten beter is als men het secure boot proces niet kan uitzetten en dat om de veiligheid van de gemiddelde computer gebruiker te verbeteren ze een beloning uitloven voor een ieder die mee werkt aan het initiatief om een veiliger boot sequence te leveren dan is het redelijk snel gedaan met de Linux pret.
Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt. Dus zelfs als Microsoft dat zou doen dan nog zou er niet meteen een man overboord zijn, het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.
Nu kan Microsoft de bad press en de mogelijke aantijgingen van concurrentie vervalsing missen als kiespijn en is er eigenlijk geen echte reden om dit te doen. Zo lang ze slim genoeg zijn om tijdens en of na het booten aan de gebruiker aan te geven dat secure boot uitstond en het systeem dus minder veilig is dan het zou kunnen zijn. Dan is het redelijk snel zo dat 99% van de mensen bang is om te werken met een PC waar secure boot uitstaat, of waarbij het OS niet verteld of het veilig is gestart. Met als resultaat dat acceptatie van Linux op de consumenten markt, waar de meeste mensen totaal geen idee hebben hoe het ding nu eigenlijk werkt, simpel weg heel erg veel moeilijker is geworden. En uiteindelijk is dat het doel niet de concurrentie op een opzichtige manier tegen werken.
Ik ga er dus ook van uit dat Microsoft een mooie popup waarschuwing weergeeft elke keer als je zonder secure boot start. Zodat de meeste mensen dat al hele snel niet meer durven.
Dat weet je niet, want er is nergens geregistreerd dat iemand een linux distro draait. Die installeer je namelijk lekker zelf. Stel nou he, dat 75% van de mensen met een nieuwe pc thuiskomt en meteen Windows eraf knikkert en linux installeert dan is die 75% nog steeds als Windows pc gekend. Nu zal het geen 75% zijn natuurlijk, maar hoeveel het wel is dat weet niemand.Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt.
Met browserstatistieken kun je bij benadering schatten wat het percentage linux is, maar dat is niet echt betrouwbaar.
Je vergeet dat je geen OEM pc hoeft te kopen, maar je kunt hem ook zelf in elkaar zetten. Zeker als je met Linux een bepaald doel voor ogen hebt zul je dat snel doen. Vooral omdat er soms enorme driver problemen zijn met hardware en dat duurt dan even voor dat gefixed is. Als jij een PC gaat aanschaffen dan wil jij niet zitten wachten tot die patches er zijn zodat je PC boot. Ik heb massa's aan problemen gehad met mijn vorige laptop gewoon omdat er geen goede drivers waren voor een aantal onderdelen (vooral de intel Wifi was rampzalig). Als ik dus Linux als primair systeem wil gebruiken op een nieuwe PC, dan zal ik zeker eerst zoeken naar hardware die zeker werkt.
Ziehier, iemand die zich al totaal over heeft gegeven aan Microsoft!!Nu moeten we ook wel reeel zijn en er bij zeggen dat linux op consumenten PC's een marge speler is. Zelfs Apple met hun OS X heeft al een groter markt aandeel dan Linux op de consumenten markt. Dus zelfs als Microsoft dat zou doen dan nog zou er niet meteen een man overboord zijn, het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.
Het is vreselijk wat je zegt: omdat jij geen voordeel van Linux inziet, trek jij maar de conclusie dat er geen man overboord zou zijn. Sterker nog... De hele wereld is dan eigenlijk overboord!! Juist omdat ze dan geen keuze meer hebben en aan het verrotte Microsoft vast blijven zitten!!
Neen, want het gaat om de hele wereldbevolking die dan noodgedwongen verstookt van Linux zal blijven - simpelweg omdat het niet meer kán. Dus niks relatief klein aantal gebruikers. En ook als je inderdaad alleen de huidige gebruikers bekijkt: die vind jij niet belangrijk genoeg?? Vreselijk.het gaat maar om een relatief klein aantal gebruikers die hier hinder van zouden ondervinden.
En volgens jou is dat geen misbruik van een economische machtspositie? De opsommingen genoemd in art. 102 VWEU zijn niet limitatief: elke vorm van ongeoorloofd misbruik van een economische machtspositie kan leiden tot een sanctie door de Europese Commissie.
Het geven van kortingen om secure boot te gebruiken zonder dat deze uitgeschakeld kan worden, leidt tot het wegdrukken van concurrentie zoals Linux en andere operating systems. Windows heeft op het gebied van operating systems sowieso een economische machtspositie. En een dergelijke actie zou zeker onder de noemer misbruik van een economische machtspositie vallen.
Ter informatie:
Artikel 102 Verdrag betreffende de werking van de Europese Unie
1. Onverenigbaar met de interne markt en verboden, voorzover de handel tussen lidstaten daardoor ongunstig kan worden beïnvloed, is het, dat een of meer ondernemingen misbruik maken van een machtspositie op de interne markt of op een wezenlijk deel daarvan.
... enz. enz.
Het geven van kortingen om secure boot te gebruiken zonder dat deze uitgeschakeld kan worden, leidt tot het wegdrukken van concurrentie zoals Linux en andere operating systems. Windows heeft op het gebied van operating systems sowieso een economische machtspositie. En een dergelijke actie zou zeker onder de noemer misbruik van een economische machtspositie vallen.
Ter informatie:
Artikel 102 Verdrag betreffende de werking van de Europese Unie
1. Onverenigbaar met de interne markt en verboden, voorzover de handel tussen lidstaten daardoor ongunstig kan worden beïnvloed, is het, dat een of meer ondernemingen misbruik maken van een machtspositie op de interne markt of op een wezenlijk deel daarvan.
... enz. enz.
Ook onder amerikaanse regels (antitrust laws) zal dat niet mogen.
Dat zou zeer dicht liggen bij "Intel geeft OEMs heel veel korting, maar wel op voorwaarde dat ze beloven geen AMD producten te gebruiken". En daarvoor heeft Intel hoge boetes gekregen.
Dat zou zeer dicht liggen bij "Intel geeft OEMs heel veel korting, maar wel op voorwaarde dat ze beloven geen AMD producten te gebruiken". En daarvoor heeft Intel hoge boetes gekregen.
Ja maar dat maakt geen fuck uit. Zodra het Microsoft heet wordt onder de voeten in een bepaalde staat, dreigt ze die staat geen Microsoft-producten meer te leveren en hoppa... Het OM trekt alle klachten weer in! Dit is geen verzinsel, dit is al praktijk!Ook onder amerikaanse regels (antitrust laws) zal dat niet mogen.
Tenslotte is Microsoft een USA-bedrijf. Dus een concurrent zoals Linux: dat kan de USA echt niet veel schelen hoe 't daarmee gaat.
Zelfs als Microsoft wel veroordeeld wordt, dan schenkt Microsoft wat Windows-licenties aan scholen (om nog meer zielen voor zich te winnen: jong inpalmen en je hebt ze de rest van hun leven aan je gebonden) en that's it.
[Reactie gewijzigd door kimborntobewild op maandag 31 oktober 2011 04:32]
Ik vermoed dat HP de eerste gaat zijn om dit toe te passen ...
Maar als je het uitzet en je kunt toch Windows 8 booten dan heeft dit alleen zin als mensen standaard hun uefi settings beveiligen met een password. En je uefi settings zul je wel kunnen reseten door de cmos batterij er uit te halen.
In ieder geval levert dit wel extra beveiliging op voor virussen en andere malware die zich probeert te laden voor dat Windows dit doet.
Alleen als mensen fysiek toegang krijgen tot je systeem en ze je kast kunnen open halen voor een cmos reset dan kunnen ze nog altijd allerlei rottigheid installeren.
In ieder geval levert dit wel extra beveiliging op voor virussen en andere malware die zich probeert te laden voor dat Windows dit doet.
Alleen als mensen fysiek toegang krijgen tot je systeem en ze je kast kunnen open halen voor een cmos reset dan kunnen ze nog altijd allerlei rottigheid installeren.
Als je het batterijtje eruit haalt blijft je wachtwoord beveiliging uiteraard bewaard.
Niet waar.
Bij de meeste consumenten moederborden word je BIOS en UEFI gereset naar "default" als je een CMOS reset doet (mijn overclock board heeft daar een knopje voor) of de batterij er uit haalt.
Alleen bij laptops heb je een probleem als je je bios password niet meer weet. (en het ook hebt ingesteld om te kunnen booten)
Bij de meeste consumenten moederborden word je BIOS en UEFI gereset naar "default" als je een CMOS reset doet (mijn overclock board heeft daar een knopje voor) of de batterij er uit haalt.
Alleen bij laptops heb je een probleem als je je bios password niet meer weet. (en het ook hebt ingesteld om te kunnen booten)
[Reactie gewijzigd door Niak op vrijdag 23 september 2011 12:07]
Anno 2011 voor 99% van de moederborden wel. Maar 10 jaar terug was dit vaak de enige manier om het bios paswoord te verwijderen. 3 of 4 dagen zonder stroom zetten en *poef* wachtwoord was weg.
Zo lang? LOL, gewoon stekker er uit (en dan batterij er uit) en aan (proberen) zetten, weg laatste restje stroom, weg BIOS instellingen...
Ik was nogal computer verslaafd 10 jaar terug, en me ouders hebben meerdere malen een wachtwoord op me BIOS gezet, dus ervaring genoeg (en een tijdsklok op de router)
Ik was nogal computer verslaafd 10 jaar terug, en me ouders hebben meerdere malen een wachtwoord op me BIOS gezet, dus ervaring genoeg (en een tijdsklok op de router)
Toch niet bij bv. een Toshiba Satellite (pentum 1, 133MHz) van een bekende van mij. Die heeft weken, zoniet maanden, zonder stroom gelegen maar wachtwoord bleef erop.
uiteindelijk werkte een speciaal geprepareerde diskette wel om het wachtwoord te resetten
uiteindelijk werkte een speciaal geprepareerde diskette wel om het wachtwoord te resetten
Certificaten... Iets voor Diginotar 
.
.Ergens een goed punt. Stel dat er plots valse certificaten in omloop zijn. Moet je dan de uefi updaten? Of hoe zit dat?
Yep. Als je de root cert in je UEFI wilt intrekken zal daarvoor een update moeten komen.
Allicht zal de root store van UEFI PCs geen 106 verschillen CA Root certs bevatten, maar slechts een paar. Dan wordt de kans op problemen stukken kleiner.
Allicht zal de root store van UEFI PCs geen 106 verschillen CA Root certs bevatten, maar slechts een paar. Dan wordt de kans op problemen stukken kleiner.
Ik vind het alsnog onzin, we hebben hier toch beveiligings-software voor en het is niet alsof dit iets is waar iedereen al tijden op zit te wachten.
Elke stap om de veiligheid van computers te verbeteren lijkt me mooi meegenomen, hoe klein de toevoeging ook is.
Zeker als het makkelijk uit te schakelen is, en niks anders in de weg zit, zoals in dit geval.
Zeker als het makkelijk uit te schakelen is, en niks anders in de weg zit, zoals in dit geval.
Alleen denk ik dat MS hier andere motieven mee heeft. Windows 7 word op zeer eenvoudige wijze gekraakt door in te grijpen bij het opstartprocess. Het zou me niet verbazen dat met Secure Boot deze mogelijkheid niet meer bestaat. En hoewel dit in Windows 8 nog een optie is lijkt het mij persoonlijk niet ondenkbaar dat in de toekomst Secure Boot een verplichting word.
Dus ze voorkomen rootkits, virussen én piracy van hun product, win-win situatie voor MS en de consument toch? Behalve voor mensen die te lui zijn om te betalen dan....
En behalve voor mensen die iets anders dan Windows willen gebruiken natuurlijk.
Dat is de win-win-WIN situatie voor Microsoft.
Dat is de win-win-WIN situatie voor Microsoft.
Het is wat afgezaagd, maar de muziek- en filmindustrie zouden maar wat graag b.v. certificaten vereist zien door het UEFI (bios). Als je in het certificaat een encryptie-stgring opneemt, kan er eindelijk van hardware tot en met hardware, ofwel van schijf tot tft en luidspreker geëncrypt worden, danwel dit komt dichterbij, zodat drm (digitale rechten management) op muziek en film weer wat dichterbij komt.
Terwijl ik gewoon denk dat elke hard- en software beveiliging tegen virusen enz. tot nu toe gewoon omzeild is door deze virussen, dus dat zal ook wel weer met deze secure boot gebeuren.
En als het voor de "heren" van allerlei rechten instanties is, laat u maar, ik regel mijn (boot) beveiliging zelf wel: anders, hoe dan ook.
Terwijl ik gewoon denk dat elke hard- en software beveiliging tegen virusen enz. tot nu toe gewoon omzeild is door deze virussen, dus dat zal ook wel weer met deze secure boot gebeuren.
En als het voor de "heren" van allerlei rechten instanties is, laat u maar, ik regel mijn (boot) beveiliging zelf wel: anders, hoe dan ook.
softwarebeveiliging werkt alleen in het OS en niet op low-level niveau, daar waar rootkits zich juist nestelen.
Dit is zeker wel iets waar men op zit te wachten. Dit is namelijk een goede beveiliging tegen root kits, en virussen welke zich in het MBR nestelen.
En daarnaast, mensen welke Linux (of een ander OS willen) installeren weten ook wel hoe je de optie kunt uitzetten in de Bios. En voor de overige gebruikers is het weer een extra beveiliging tegen malware.
Overigens, deze optie moet alleen aan staan om aan het "Windows 8-certified-pc" programma te kunnen voldoen. Als je te lui bent om iets in de Bios uit te zetten, dan koop je een pc die dat stickertje niet heeft.
En daarnaast, mensen welke Linux (of een ander OS willen) installeren weten ook wel hoe je de optie kunt uitzetten in de Bios. En voor de overige gebruikers is het weer een extra beveiliging tegen malware.
Overigens, deze optie moet alleen aan staan om aan het "Windows 8-certified-pc" programma te kunnen voldoen. Als je te lui bent om iets in de Bios uit te zetten, dan koop je een pc die dat stickertje niet heeft.
[Reactie gewijzigd door TMDevil op vrijdag 23 september 2011 12:09]
' t gaat hier NIET om een BIOS maar om een UEFI. Das wel even wat anders.
De mogelijkheid die MS hier probeert te pakken is het probleem voorkomen. Doordat voordat er ook maar iets wordt opgestart verkeerde zaken als maleware te blokkeren heb je minder beveiliging nodig op het moment dat het systeem draait. Je sluit op deze manier een mogelijke beveiligingslek.
Tsja, toch maar EFI gebruiken dan hè
Het helen verhaal gaat over EFI. de secure boot functie zit ook niet in de bios.
Maar in EFI dit is dan ook de vervanger voor de Bios.
Maar in EFI dit is dan ook de vervanger voor de Bios.
Ik heb er geen probleem mee zolang dit optioneel is. Het probleem met dit soort zaken en aanwezigheid van TPM chips is dat je daar Sony praktijken van krijgt.
Bedrijven gaan het gebruiken om rechten te verwerven die men wettelijk niet heeft. Dat men er niet voor schroomt heeft Sony al laten zien
Een PS3 heb je gekocht en is je eigendom, maar door de encryptie die Sony toepast, kan je er alleen maar mee doen wat Sony goedkeurt.
Dan krijg je straks PC fabrikanten die dit ook gaan gebruiken om PC's te beperken tot het meegeleverde windows. En als je er wat anders mee wilt, dan kan het niet of mag je betalen voor het vrijschakelen. De tweaker zal die PC niet kopen, maar velen zullen hier niet eens over nadenken. En als een aldi PC hier bijvoorbeeld mee uitgeleverd zou worden, kan je wachten op de ellende.
Ik vertrouw in ieder geval niet in de goedheid van ondernemingen.
Bedrijven gaan het gebruiken om rechten te verwerven die men wettelijk niet heeft. Dat men er niet voor schroomt heeft Sony al laten zien
Een PS3 heb je gekocht en is je eigendom, maar door de encryptie die Sony toepast, kan je er alleen maar mee doen wat Sony goedkeurt.
Dan krijg je straks PC fabrikanten die dit ook gaan gebruiken om PC's te beperken tot het meegeleverde windows. En als je er wat anders mee wilt, dan kan het niet of mag je betalen voor het vrijschakelen. De tweaker zal die PC niet kopen, maar velen zullen hier niet eens over nadenken. En als een aldi PC hier bijvoorbeeld mee uitgeleverd zou worden, kan je wachten op de ellende.
Ik vertrouw in ieder geval niet in de goedheid van ondernemingen.
Zoals ik in het eerdere artikel waar alle Linux-fans moord en brand in schreeuwden al schreef: leuke feature voor de Windows gebruikers, iets wat je gewoon uit kunt zetten als je er geen behoefte aan hebt voor mensen die graag een anders OS draaien.
Hoop herrie om niks dus weer, maar wel een leuk voor MS dat deze Win8 feature zo goed onder de aandacht is gekomen
Hoop herrie om niks dus weer, maar wel een leuk voor MS dat deze Win8 feature zo goed onder de aandacht is gekomen
Ik snap het hele probleem niet. De secure boot zoals deze omschreven word, is niet iets wat MS zelf heeft ontwikkeld, alleen maar iets wat gebruikt wordt. De feature is immers gewoon aanwezig. Maar op het moment dat MS dit zou gebruiken, is het opeens een probleem bij een hele community?
Omdat (als je alles zwart wit ziet) het onmogelijk word om dan nog een ander OS op je PC op te starten waardoor microsoft alle linux distros uit de markt lijkt te drukken.
Natuurlijk ligt de waarheid waarschijnlijk een hele hoop genuanceerder en ergens hier tussen in.
Ik denk dat je gewoon in de UEFI kan komen om "Secure Boot" (tijdelijk?) uit te zetten als je echt wat anders wilt. Dat zou in mijn ogen de meest logische stap zijn als Microsoft geen problemen met de EU wil (zoaisl aangegeven in een reactie ergens hierboven).
Zoals MS zelf al zegt: het is aan de OEM om te bepalen hoe of wat die beveiliging precies inhoud (ze schuiven de schuld al een beetje af lijkt het wel).
We zullen wel zien wat er gebeurt. En anders zal het misschien zo gaan worden dat alle mensen die Linux op hun PC willen hebben de eerste keeer iemand om hulp vraagt uit de community (of iemand die ze kennen met *nix even vragen nattuurlijk). Er is altijd wel een manier omheen als je graag genoeg iets wilt hoor.
Natuurlijk ligt de waarheid waarschijnlijk een hele hoop genuanceerder en ergens hier tussen in.
Ik denk dat je gewoon in de UEFI kan komen om "Secure Boot" (tijdelijk?) uit te zetten als je echt wat anders wilt. Dat zou in mijn ogen de meest logische stap zijn als Microsoft geen problemen met de EU wil (zoaisl aangegeven in een reactie ergens hierboven).
Zoals MS zelf al zegt: het is aan de OEM om te bepalen hoe of wat die beveiliging precies inhoud (ze schuiven de schuld al een beetje af lijkt het wel).
We zullen wel zien wat er gebeurt. En anders zal het misschien zo gaan worden dat alle mensen die Linux op hun PC willen hebben de eerste keeer iemand om hulp vraagt uit de community (of iemand die ze kennen met *nix even vragen nattuurlijk). Er is altijd wel een manier omheen als je graag genoeg iets wilt hoor.
Op dit item kan niet meer gereageerd worden.
Onderwerpen
Populair: Tablets Samsung Websites en communities Mobiele telefoons Google Microsoft Sony Games Politiek en recht Galaxy S
© 1998 - 2013 Tweakers.net B.V. Contact Over Tweakers Jouw privacy Algemene voorwaarden Cookies
Tweakers wordt uitgegeven door De Persgroep en wordt gehost door True
