Serana schrieb:
Ja, theoretisch kannst du per mokutil auch unsignierte Module laden. Aber dieses Verhalten mußt du als root explizit anfordern.
Ist doch aber letztlich völlig egal fürs Argument.
Und das war ja, das Microsoft sagen kann: "Lasst Secure-Boot ruhig eingeschaltet, denn falls es euch im Weg steht habt ihr hier den von uns signierten Shim-Bootloader, womit ihr das umschiffen könnt".
Das ist der wesentliche Punkt.
Serana schrieb:
Klar, du kannst natürlich SB ausschalten wenn du der Meinung bist, daß das alles ja ohnehin nur Schlangenöl ist.
Es bringt halt nur in gewissen Szenarien was. Und die will ich an der Stelle auch gar nicht kleinreden.
Es geht nur darum zu sagen, das Microsoft mehr Interesse daran hat das Secure-Boot eingeschaltet ist als das es ausgeschaltet ist.
Serana schrieb:
Alles was man tun kann ist, es einem Angreifer so schwer zu machen, daß es (im besten Fall) einige Kompetenz erfordert das System zu kompromittieren.
Ja klar. Aber wie jede Sicherheitsmaßnahme ist das halt eine Frage von Kosten-Nutzen-Verhältnis. Und Probleme mit Secure-Boot fallen ja auch einigen Leuten auf die Füße. Da braucht man sich ja nur mal im Forum umzusehen.
Und davon sind sicher auch welche betroffen, den ist es gar nicht so wichtig Secure-Boot zu haben.
Die ganze Diskussion gäbe es ja auch nicht, wenn Secure-Boot so umgesetzt wäre, das es ein Feature ist was für jeden gleich zugänglich ist und was man es nutzen kann, um seinen Rechner abzusichern.
Faktisch ist es aber im Augenblick so umgesetzt, das Microsoft in einer vorteilhaften Position sitzt.
Und das ist das, was die Kritik ist. Und die ist meiner Meinung nach nicht von der Hand zu weisen.
Es geht also nicht unbedingt um Secure-Boot als Solches.
Serana schrieb:
Vielleicht brauchen wir ja ein vollkommen neues System für die Mehrheit der Benutzer das so vernagelt ist, daß man nichts (von physischen Beschädigungen abgesehen) so beschädigen kann,
Das ist ja der Weg, den iOS, Spielkonsolen und ähnliche Geräte gehen. Selbst Android muss man ja erst "rooten" um Vollzugriff zu haben.
Und klar kann man argumentieren, das das für viele User vielleicht sogar besser wäre.
Dennoch finde ich es wichtig, das wir zusätzlich (zumindest halbwegs) offene Systeme als Alternative haben.
Und außerdem geht es ja bei geschlossenen Systemen eher nur indirekt darum den Nutzer zu beschützen. Es geht ja in erster Linie darum, die Plattform zu kontrollieren und das führt auch zu Dingen, die nicht unbedingt im Interesse der Nutzer sind. Und das sollte man dann auch so ansprechen können.
floTTes schrieb:
also mich haben shim, mokmanager und grub schon ein paar mal wieder ins Spiel gebracht, nachdem ich das BIOS reseted habe.
Man kann auch anderes herum sagen: Die Abhängigkeit funktioniert. :-)