LINUX.ORG.RU
Ответ на: комментарий от Deleted

По сравнению с G505S ноутбуки от Purism значительно более несвободны; помимо Intel ME (прошивка которого пусть и урезается, но сам ME от этого никуда не исчезает) - там есть закрытый бинарник Intel FSP, и может быть ещё чего. Purism Librem конечно же лучше чем System76 - и благодаря всяким killswitch'ам wifi/микрофона/камеры, и потому что coreboot внутри Librem даёт тебе возможность и самостоятельно пересобирать биос для получения даже ежедневных обновлений, и встраивать в него приятные вещи вроде memtest/tetris/KolibriOS. Поэтому если G505S - не вариант, например из-за более низкой производительности, и не боишься ME/FSP, то Librem не так уж и плох

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

уязвимость в procps-ng - программная, а не аппаратная. с таким же успехом время от времени обнаруживают уязвимости и в другом софте других дистрибутивов одобренных FSF. зато нет закрытых бинарников с не-пойми-чем, и когда их нет - лучше чем когда они есть

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от SakuraKun

вычислительный процесс на сисвызовах

Не пускать дворников и шизиков в программирование. Чем больше тайм слайсы, тем больше производительность, это и до уязвимостей было всем известно.

anonymous
()
Ответ на: комментарий от uuuuu

какую ОС на ноутбуке используете?

Из свободных (одобренных FSF): раньше стоял Trisquel (форк убунты), сейчас перекатываюсь на Parabola (форк Arch Linux)

либрбут и коребут бывают с закрытым блобом для псп или аналогичная ситуация с интел?

я пока не видел ни одной амд-шной платы с зондом PSP которая бы поддерживалась коребутом, но закрытый блоб обязательно понадобится, а значит - путь в либребут такому железу закрыт; оно если и будет где-нибудь - то только в коребуте и только с блобом

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

xhci - необязателен, только если тебе нужен USB 3.0

Бери тогда сразу абакус, чего мелочиться.

anonymous
()
Ответ на: комментарий от SakuraKun

точно кто-то попадется с закладкой как у меня и ип много....

где возможно приобрести ноутбук Столмана?

uuuuu
() автор топика
Ответ на: комментарий от anonymous

Если без anti-meltdown патча пакет syslog-ng компилился 4 минуты, а с патчем стал 21 минуту, то для пользователя-линуксоида в данном конкретном случае производительность снизилась на 81%

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

Тащи пруфс с тестированием на свежем ядре и на всех релевантных поколениях процессоров.

anonymous
()
Ответ на: комментарий от anonymous

У меня есть внешний жёсткий диск который типа «USB 3.0»: так вот, когда на другом компе я его подключаю к порту USB 3.0, то копирует всего на 10-15% быстрее чем через порт 2.0. Например, какой-то файл вместо 30 минут копируется 33-35. Ради доп. свободы можно немного потерпеть! Да и многие другие «USB 3.0» устройства не дают впечатляющего выигрыша, некоторые вообще просто наклейку приклеили что «USB 3.0» (особенно всякие флешки), а там даже максимальная скорость по USB 2.0 не всегда выходит. Поэтому и без USB 3.0 можно спокойно жить

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

А вот и нет - самый обычный HDD во внешнем корпусе. Ты же не будешь предлагать SSD заместо него, 1 ТБ SSD стоит очень дорого

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

помимо Intel ME (прошивка которого пусть и урезается, но сам ME от этого никуда не исчезает)

Насколько я понял, там Intel ME модуль и AMT отключается. И вместе с этим, они используют TPM чип для подписи BIOS'a и ME, таким образом, что если они изменятся, при загрузке пользователь узнает что система скомпрометирована.

Есть ли у этого недостатки?

https://puri.sm/posts/measuring-the-intel-me-to-create-a-more-secure-computer/

Intel FSP

Libreboot не убирает FSP? Прочитал faq libreboot'a. Там судя по тому что FSP рулит SMM, а SMM руткиты уже есть в этих ваших даркнетах — ситуация плачевная вообще.

Кстати:

https://puri.sm/posts/intel-fsp-reverse-engineering-finding-the-real-entry-po...

2018-05-10 UPDATE: Intel politely asked Purism to remove this document which Intel believes may conflict with a licensing term. Since this post was informational only and has no impact on the future goals of Purism, we have complied. If you would like the repository link of the Intel FSP provided from Intel, please visit their publicly available code on the subject.

2018-04-23 UPDATE: after receiving a courtesy request from Intel’s Director of Software Infrastructure, we have decided to remove this post’s technical contents while we investigate our options. You are still welcome to learn about reverse engineering in general with my introductory post on the matter, Introduction to Reverse Engineering: A Primer Guide.

Intel такие http://pidora.ca/

Deleted
()
Ответ на: комментарий от SakuraKun

2,5″ 5200rpm днище, ещё небось из 2007года.

anonymous
()
Ответ на: комментарий от SakuraKun

Многабукав? Потерпите, швабодунам не привыкать.

anonymous
()
Ответ на: комментарий от anonymous

и как я тебе притащу, если у меня нет ни одного Intel помимо 4-го пенька, а в AMD мельдония нету? :) такое сильное замедление 4 -> 21 минута обнаружили на свежем i5-7440HQ с Fedora 27, и этого достаточно

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от SakuraKun

Пошли оправдания. Кстати отличительная черта амдуна - рассуждать о том, чего он не имеет и соответственно не имеет о нём реального представления.

anonymous
()
Ответ на: комментарий от uuuuu

есть свободные одноплатники, на свободных чертежах и т.п.

Погугли, если не найдёшь, я позже скину ссылку. Уже с мобилки.

Deleted
()
Ответ на: комментарий от SakuraKun

Во внешние диски всегда ставят отбраковку с завода, так что не слишком релевантно. Если ты только не заплатишь за высокое качество и/или спеки отдельно.

anonymous
()
Ответ на: комментарий от anonymous

ты сам попросил невозможного. если тебе так интересно, замедлится ли на твоём интеле из-за мельдония тоже на 81% или всего лишь на 79%, ну так скомпиль syslog_ng у себя и довольствуйся полученными результатами

SakuraKun ★★★★★
()
Ответ на: комментарий от uuuuu

Да сейчас вообще ни одного одноплатника, способного работать без закрытых блобов (либо в загрузчике либо в ОС) - не существует. Поэтому и пытаются сделать EOMA68

SakuraKun ★★★★★
()
Ответ на: комментарий от Deleted

Насколько я понял, там Intel ME модуль и AMT отключаются

Их прошивка уменьшается до минимальных размеров + выставляется специальный «ME-disabling bit», но с моей точки зрения нет 100% гарантий что оно действительно полностью отключилось (см. ниже)

И вместе с этим, они используют TPM чип для подписи BIOS'a и ME, таким образом, что если они изменятся, при загрузке пользователь узнает что система скомпрометирована

А если там есть встроенный механизм временного восстановления прошивки, так что при включении (может быть не всегда, а чтобы затруднить обнаружение проблемы - раз в месяц по выходным в нерабочее время, когда исследователи безопасности отдыхают) прошивки ME/AMT вместо загрузки из локальной памяти SPI Flash будет подгружаться не в урезанном а в полном варианте из какого-нибудь другого места - например, из секретного ROM внутри процессора? При этом содержимое SPI Flash чипов, в которых хранятся образы BIOS и ME, останется неизменным и TPM проверка при включении будет успешной. С появлением всяких инициатив вроде me_cleaner компания Intel обязательно будет искать пути совершенствования своего бэкдора, и даже если они пока не воплощены в железе сейчас, думаю они уже на бумаге и к этому нужно быть готовым

Libreboot не убирает FSP?

в Libreboot никого с закрытыми бинарниками не пускают, соответственно те железки которые не могут грузиться без закрытого FSP (в число которых входят Purism Librem) - пока не разработана опенсорсная альтернатива, могут поддерживаться максимум в коребуте. Собирают коребут вместе со встроенным бинарником FSP, и он используется в процессе загрузки

Кстати

Да, Intel мешает разработке опенсорсной замены FSP. Действительно, они - http://pidora.ca/

SakuraKun ★★★★★
()
Ответ на: комментарий от Deleted

Неплохо неплохо интересный пост. А IDA лицензионная? В этих ваших интернетах только очень древняя IDA есть...

anonymous
()
Ответ на: комментарий от anonymous

На FPGA не катит, потому что для синтеза прошивки для любых объёмных FPGA нужен закрытый несвободный софт, который в теории может скрытно добавить какую-нибудь бяку к твоему RISC-V . есть проект http://www.clifford.at/icestorm/ но там то ли 8 то ли 16 тысяч вентилей в поддерживаемой FPGA максимального объёма - соответственно, большой серьёзный процессор при помощи опенсорса в FPGA пока не получишь

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

Дешёвый китайский контроллер не тянет? Других предположений нет. USB3 дико быстрый так-то.

anonymous
()
Ответ на: комментарий от anonymous

видел довольно свежую IDA на каких-то форумах несколько месяцев назад, там был большой скачок в версиях по сравнению с тем что было выложено до этого

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

Не знаю, может быть и так - но как тут быть, если большинство USB-шного железа собрано на этих дешёвых контроллерах? И получается: даже если потратиться на дорогие адаптеры с топовыми контроллерами, вдруг принесли к тебе вот такой типичный терабайтник или, того хуже, флешку - и всё, преимуществ USB 3.0 уже не ощущается...

SakuraKun ★★★★★
()
Ответ на: комментарий от Deleted

Скорее всего имелся ввиду RISC-V, но его нельзя синтезировать опенсорсными тулами для помещения в объёмную FPGA т.к. проект IceStorm (см.выше) таких не поддерживает; а если использовать закрытые тулы - то это доп.риск безопасности. Лучше уж тогда собирать свой процессор из проволочек и других базовых компонентов, или приобрести у того кто уже смастерил подобное чудо - https://www.bigmessowires.com/bmow1/ - полный опенсорс, можно использовать как печатную машинку :)

SakuraKun ★★★★★
()
Ответ на: комментарий от SakuraKun

Как проблему закладок и доп. функционала в серверных решают учитывая что есть спе. и меркд. уязвимости.

Вопрос связан что тцпдамп смотреть бесполезно. Они так уверены что сетевое оборудование без доп. функционала? Не учитывая дырок там.

uuuuu
() автор топика
Ответ на: комментарий от SakuraKun

А если там есть встроенный механизм временного восстановления прошивки, так что при включении (может быть не всегда, а чтобы затруднить обнаружение проблемы - раз в месяц по выходным в нерабочее время, когда исследователи безопасности отдыхают) прошивки ME/AMT вместо загрузки из локальной памяти SPI Flash будет подгружаться не в урезанном а в полном варианте из какого-нибудь другого места - например, из секретного ROM внутри процессора?

Кем? Исполнение процессора и tpm-чип контролируется open-source фирмварей «Heads» (http://osresearch.net) с записью в readonly область spi-flash. Объясни пожалуйста, является ли это решением?

Deleted
()
Ответ на: комментарий от anonymous

У кого, хакеров из puri.sm?) Дмаю да, а так хз.

Deleted
()
Ответ на: комментарий от SakuraKun

https://www.bigmessowires.com/bmow1/

Неее, ну это кроме как для хакинга и дрочинга я хз зачем надо))

Даже 486/586 для печатной машинки, без интернета получше будет. А и с стабилизатором напряжения, и фольгой на стенах))

Deleted
()
Ответ на: комментарий от Deleted

есть свободные одноплатники, на свободных чертежах и т.п.

если бы они реально существовали, то вряд ли стали бы мучиться и делать EOMA68

SakuraKun ★★★★★
()
Ответ на: комментарий от anonymous

Как человек имеющий весьма ясное представление о всём том, о чём он говорит, я могу утверждать что чувак из видео не очень. Читай: не смотрите всяких пидоров.

anonymous
()
Ответ на: комментарий от uuuuu

Там нету, там ссылки на проекты.

Deleted
()
Ответ на: комментарий от Deleted

Является ли требованием попадания в этот список «open source hardware projects», помимо наличия открытых схем и тому подобного, возможности запуска этого железа без единого закрытого блоба? (где могут скрываться бэкдоры) Сомневаюсь - иначе бы там не было PiPhone и ZeroPhone т.к. любая pi-шка без блобов стартануть не может. Вот EOMA68 будет свободной не только в аппаратном но и в программном плане, поэтому она будет сертифицирована FSF RYF; а какой-нибудь PiPhone из списка по той ссылке - не будет

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)
Ответ на: комментарий от Deleted

Там может быть аппаратно реализован следующий алгоритм: в 99% случаев процессором послушно подгружаются урезанные «нейтрализованные» прошивки ME/AMT с «ME-disabled» битом из памяти SPI Flash, а в 1% случаев включается «безопасный режим» - в котором процессор временно подгружает из секретного ROM'а изначальные полные бинарники ME/AMT без «ME-disabled» бита - и бэкдор запущен, при этом содержимое SPI Flash осталось неизменным и любые проверки проходят

контролируется open-source фирмварей «Heads» (http://osresearch.net)

Подгрузка бинарников ME/AMT происходит на самом раннем этапе загрузки coreboot, задолго до передачи управления «Heads» или любому другому дополнению для coreboot. В результате неважно, используешь ли ты Heads/GRUB/SeaBIOS или что-то другое в качестве дополнения к coreboot, если бэкдор уже запустился по вышеописанной схеме

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 2)
Ответ на: комментарий от SakuraKun

Во-первых есть, но они далеко не первой свежести, проще говоря - старые. Во-вторых, при чём тут EOMA68?
Boot ROM, он же сейчас везде есть. И чем это не блоб?

anonymous
()
Ответ на: комментарий от anonymous

Во-первых есть, но они далеко не первой свежести, проще говоря - старые

назови пожалуйста конкретные модели. интересно, как же тогда FSF прошла мимо них? вот что они пишут про одноплатники:
https://www.fsf.org/resources/hw/single-board-computers
в категорию «свободные» пока не смогли поместить ни одного

причём тут EOMA68?

uuuuu нужны были «свободные одноплатники», а с моей точки зрения (которая может измениться при получении новой информации) пока что только EOMA68 может стать таким

Boot ROM, он же сейчас везде есть. И чем это не блоб?

в EOMA68 при его успешном создании - Boot ROM будет открытый. а в каком-нибудь PiPhone, Boot ROM - закрытый блоб, + могут требоваться доп.блобы для успешной загрузки ОС

SakuraKun ★★★★★
()
Последнее исправление: SakuraKun (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.