Sind Airbags im Auto überflüssig, nur weil du die nur dann zu sehen bekommst, wenn du mit deinem Auto wo drauf knallst?RAMSoße schrieb:Mich drängt sich eine eher philosophische Frage auf. Wenn ein Feature, dass 99,9% der User nicht auffällt oder nicht bewusst genutzt wird/genutzt werden kann (Update), ist es dann nicht überflüssig?
Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
News BIOS-Problem: Bei MSI ist Secure Boot praktisch aus, wenn es an ist
- Ersteller MichaG
- Erstellt am
- Zur News: BIOS-Problem: Bei MSI ist Secure Boot praktisch aus, wenn es an ist
Er hat eine leicht einsehbare Einstellung im UEFI gefunden und... richtig gelesen was da steht?
Das ist ja mal voll der Hacker.
MSI hat in meinen Augen nichts Falsches gemacht, da diese boards vornehmlich bei Privatpersonen landen ist diese Einstellung genau richtig um etwaige Problemchen zu vermeiden. Könnten sie das mit "secure boot: on" etwas klarer darstellen? Bestimmt.
Aber das kann auch nur jemand als "kritische Sicherheitslücke" deklarieren der sich damit in der Industrie profilieren will für ein Jobangebot oder mehr Klicks auf seinem twitter.
Das ist ja mal voll der Hacker.
MSI hat in meinen Augen nichts Falsches gemacht, da diese boards vornehmlich bei Privatpersonen landen ist diese Einstellung genau richtig um etwaige Problemchen zu vermeiden. Könnten sie das mit "secure boot: on" etwas klarer darstellen? Bestimmt.
Aber das kann auch nur jemand als "kritische Sicherheitslücke" deklarieren der sich damit in der Industrie profilieren will für ein Jobangebot oder mehr Klicks auf seinem twitter.
NDschambar
Lt. Junior Grade
- Registriert
- Aug. 2017
- Beiträge
- 382
Secure Boot ist Schrott. Microsoft's "Golden Key" ist 2016 aus einer schlecht geschützten MS-Binary geleaked worden und damit kann sich auch jedes Rootkit signieren.
Der beste Schutz ist nach wie vor Hirnschmalz im Alltag und ein sicher konfiguriertes und sauberes Betriebssystem zu nutzen.
[Nachtrag:] Der Key lässt sich nicht ohne weiteres austauschen oder blacklisten, weil er die Kompatibilität älterer Windows-Versionen brechen würde. Umgekehrt ließen sich neue Windowsversionen mit Secure Boot nicht mehr auf Mainboards mit älterem UEFI installieren. Hier ist man in einem Deadlock - daher ist das Problem quasi nicht ohne Kompatibilitätsbruch behebbar. Flawed by Design.
Der beste Schutz ist nach wie vor Hirnschmalz im Alltag und ein sicher konfiguriertes und sauberes Betriebssystem zu nutzen.
[Nachtrag:] Der Key lässt sich nicht ohne weiteres austauschen oder blacklisten, weil er die Kompatibilität älterer Windows-Versionen brechen würde. Umgekehrt ließen sich neue Windowsversionen mit Secure Boot nicht mehr auf Mainboards mit älterem UEFI installieren. Hier ist man in einem Deadlock - daher ist das Problem quasi nicht ohne Kompatibilitätsbruch behebbar. Flawed by Design.
Zuletzt bearbeitet:
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.750
Wenn der von 2016 ist, ist der dann noch relevant?
Der duerfte ja wohl in jedem UEFI welches seitdem erschienen oder upgedatet wurde geblacklisted sein. Dafuer kann man's ja updaten. Ist nicht so wie beim HDMI Masterkey, der bei Sperrung Millionen von nicht updatebaren Hardwaregeraeten verschrotten wuerde
Der duerfte ja wohl in jedem UEFI welches seitdem erschienen oder upgedatet wurde geblacklisted sein. Dafuer kann man's ja updaten. Ist nicht so wie beim HDMI Masterkey, der bei Sperrung Millionen von nicht updatebaren Hardwaregeraeten verschrotten wuerde
DocWindows
Vice Admiral
- Registriert
- Mai 2013
- Beiträge
- 6.812
Mal ne Frage zum Verständnis:
In den Screenshots ist der Secure Boot Mode auf Custom gestellt. Ist das der Auslieferungszustand?
Auf meinem Board steht der auf "Normal" und die ganzen Unterpunkte sind gar nicht zu sehen. Ist die Image Execution Policy im Modus "Normal" auch auf Allow gesetzt oder auf Deny?
Wenn die Image Execution im Mode "Normal" auf Deny steht, und das der standardmäßige Auslieferungszustand ist, gibt es überhaupt kein Problem. Wenn sie aber auf Allow steht und man die Option zum Deaktivieren gar nicht sieht.
In den Screenshots ist der Secure Boot Mode auf Custom gestellt. Ist das der Auslieferungszustand?
Auf meinem Board steht der auf "Normal" und die ganzen Unterpunkte sind gar nicht zu sehen. Ist die Image Execution Policy im Modus "Normal" auch auf Allow gesetzt oder auf Deny?
Wenn die Image Execution im Mode "Normal" auf Deny steht, und das der standardmäßige Auslieferungszustand ist, gibt es überhaupt kein Problem. Wenn sie aber auf Allow steht und man die Option zum Deaktivieren gar nicht sieht.
- Registriert
- Feb. 2007
- Beiträge
- 1.520
Besuz schrieb:Bei all dem Gemecker über Secureboot wäre es mal interessant zu wissen, was diejenigen für ein Mobiltelefon haben
Keine Ahnung, was diese Vergleiche zwischen PC/Notebook und Smartphone immer sollen.
Es soll Leute geben, die ihr Smartphone nicht für das gleiche benutzen wie ihr PC/Notebook.
Hito360
Commander
- Registriert
- Apr. 2017
- Beiträge
- 2.632
deiner Meinung nach schoen und gut, mir geht es nicht nur um den einzelnen Sicherheitsaspekt:Ranayna schrieb:ist doch kein Supergau. Das ist wenn ueberhaupt ein Sturm im Wasserglas. Die Rootkitbedrohung vor der Secureboot schuetzen soll ist meiner Meinung nach vollkommen uebertrieben dargestellt
wenn ein renomierter Hersteller die Pflicht (BIOS testing, secureboot ist auch kein unbekanntes oder selten gekutztes feature) nicht mehr erfuellt, sollte man auf die Kuer verzichten.
Wieviele BIOSfehler kann man verkraften?
Was wenn nach BIOSupdate die Spannungen nicht das tun was BIOS vorgibt zu tun?
Wird nur ein RAMriegel verwendet aber dualchannel ist angeblich aktiv?
ergo: BIOS bestimmt zuviel um sich Patzer zu erlauben. imho
ps: deawegen sind bios fail news auch so selten und unter allen herstellern
Ranayna
Admiral
- Registriert
- Mai 2019
- Beiträge
- 7.750
@Hito360: Das es ein Fehler ist der korrigiert gehoert habe ich doch garnicht abgestritten.
Aber ein Supergau, insbesondere solange wir hier von Desktop PCs sprechen, ist es bei weitem nicht. Es scheint ja nichtmal eine Auswirkung auf die praktische Funktionalitaet eines Rechners gehabt zu haben.
Da ist ja Spectre kritischer gewesen, und das ist soeine Sache die ich fuer den typischen Privat PC auch fuer vernachlaessigbar halte.
Wenn die Laptops betroffen gewesen waeren, dann saehe das womoeglich anders aus. Denn da ist die Sicherheitsanforderung in der Regel, insbesondere bei Firmenkunden, wesentlich hoeher. Das liegt in der Natur der Sache, da ein Laptop mobil ist, und schneller verloren werden kann. Secureboot ist dann ein Baustein der trotz Hardwarezugriff moeglicherweise eine Manipulation verhindern kann, wenn er richtig verwendet wird.
Aber bei Desktops, insbesondere bei Custombuilds aus einzelnen Komponenten, ist das in den allermeisten Faellen in der Praxis vollkommen irrelevant.
Aber ein Supergau, insbesondere solange wir hier von Desktop PCs sprechen, ist es bei weitem nicht. Es scheint ja nichtmal eine Auswirkung auf die praktische Funktionalitaet eines Rechners gehabt zu haben.
Da ist ja Spectre kritischer gewesen, und das ist soeine Sache die ich fuer den typischen Privat PC auch fuer vernachlaessigbar halte.
Wenn die Laptops betroffen gewesen waeren, dann saehe das womoeglich anders aus. Denn da ist die Sicherheitsanforderung in der Regel, insbesondere bei Firmenkunden, wesentlich hoeher. Das liegt in der Natur der Sache, da ein Laptop mobil ist, und schneller verloren werden kann. Secureboot ist dann ein Baustein der trotz Hardwarezugriff moeglicherweise eine Manipulation verhindern kann, wenn er richtig verwendet wird.
Aber bei Desktops, insbesondere bei Custombuilds aus einzelnen Komponenten, ist das in den allermeisten Faellen in der Praxis vollkommen irrelevant.
Hast du dafuer eine Quelle? Belastbare Zahlen taeten mich wirklich interessieren.Euphoria schrieb:Seit Secure Boot existiert sind die Angriffe mit Rootkits/Bootkits massiv runtergegangen, früher waren die deutlich häufiger. Hat aber natürlich nichts mit nichts zu tun.
raekaos
Commander
- Registriert
- Sep. 2008
- Beiträge
- 2.401
ghecko schrieb:Das ist der Kernpunkt des Problems. Microsoft zertifiziert. Wenn das eine unabhängige Organisation machen würde, hätte ich kein Problem damit. Aber solange Microsoft allein entscheidet, was laufen darf und was nicht ist das inakzeptabel, aus jeglicher Hinsicht.
Das setzt voraus, dass es eine Organisation gibt, die das Know-How und die Ressourcen hat sowas zu unterhalten. Der Überprüfungsprozess müsste dann vermutlich Geld kosten, was wiederum weitere/andere Hürden bedeuten würde.
Da ein überwiegender Teil der DIY-/Systembuilder-Hardware Micosoftsysteme beheimatet, macht es da durchaus Sinn, es in MS-Hand zu belassen.
Heute habe ich sogut wie keine Probleme mehr mit SecureBoot und Linux und wenn lassen sie sich leicht umgehen (außer in MS Hyper-V)
BTT:
Ich weiß wieso ich MSI-Boards meide, die haben einfach das schlechteste BIOS am Markt und wie man sieht nicht nur optisch oder vom Bedienkonzept.
- Registriert
- Feb. 2007
- Beiträge
- 1.520
So eine Organisation wird dann durch eine Hardware-Umlage finanziert. Dann kostet das Mainboard, der Fertig-PC oder der Laptop 5 Cent mehr.raekaos schrieb:Das setzt voraus, dass es eine Organisation gibt, die das Know-How und die Ressourcen hat sowas zu unterhalten. Der Überprüfungsprozess müsste dann vermutlich Geld kosten, was wiederum weitere/andere Hürden bedeuten würde.
Genau deshalb diese Einstellung, gut für den Support des Herstellers, schlecht für alle die "nicht so genau" hinschauen.ssh schrieb:mehr ein akademisches Problem, Secure Boot braucht kein Mensch, macht mehr Probleme als es nutzt.
Fruchtnektar
Lieutenant
- Registriert
- Okt. 2003
- Beiträge
- 942
Hmm verstehe die News dahinter nicht. Für mich wirkt es wie ein "Works as designed". Also prinzipiell ist es an, aber auf "Erlaube alles" gestellt.
In zumindest bei SELinux heißt das: Permissive und Enforce (das erste erlaubt alles, loggt eventuell; das zweite erzwingt es mit allen Nachteilen).
In zumindest bei SELinux heißt das: Permissive und Enforce (das erste erlaubt alles, loggt eventuell; das zweite erzwingt es mit allen Nachteilen).
brotkastn
Cadet 2nd Year
- Registriert
- Nov. 2020
- Beiträge
- 31
a) Sysadmin mit weitreichenden Zugriffsrechtenrg88 schrieb:a) warum sollte jemand das machen?
b) warum sollte er das Gerät nicht einfach mitnehmen?
b) Die platte ist verschlüsselt, wenn jetzt jemand den bootprozess glaubhaft nachbaut (am dock in meiner abwesenheit gesteckter) via bootbarem usb-stick, und dass das eingegebene passwort einfach als text auf dem stick ablegt, kann man die platte entschlüsseln
pseudopseudonym
Admiral
- Registriert
- Mai 2017
- Beiträge
- 9.562
ghecko schrieb:Und ein verschlüsseltes Laufwerk mit passwortgesichertem Bios würde in welcher Weise erlauben was Secureboot verhindert?
Viel Spaß dabei, auch deinen Bootloader komplett zu verschlüsseln...rg88 schrieb:Nur eine Verschlüsselung der Platte würde hier was bringen und dafür brauchst kein Secure boot
Da ist die Frage nicht, was sie dir da auslesen, sondern was sie dir draufspielen. Wenn da dann unsigniertes Zeug drauf landet, merkst du's mit SecureBoot. Ohne nicht.
flaphoschi
Lt. Commander
- Registriert
- Jan. 2018
- Beiträge
- 1.723
Ähm. Doch genau das tut esEuphoria schrieb:Setzen 6...
Wenn man keine Ahnung hat und so. Passwort Schutz schützt dich nur vor Angreifern die an deinen Rechner physikalisch rankommen. Secure Boot hingegen schützt vor Allem vor Malware, da bringen dir auch 20 Passwörter absolut NICHTS.
- Die Firmware-Passwort (BIOS/UEFI) verhindert Firm- und Hardwaremanipulation
- Das Verschlüsselung-Passwort verhindert das jemand das Systempasswort ändert oder direkt Daten ausliest oder Daten manipuliert.
- Das System-Passwort schützt im laufenden Betrieb.
Sonst würde es einen automatischen Mechanismus geben, mit denen sich ein System bei Installation offiziell eintragen kann. Sprich, Boot von anderem Medium führt zur Abfrage des BIOS-Passwort und das System hinterlegt seine Hashsumme für den Bootloader oder EFISTUB (alles mit Zertfikaten ist chronisch Abfall). Ob und wie dann weiter verfahren wird entscheidet der Bootloader oder EFISTUB.
Zuletzt bearbeitet:
eastcoast_pete
Lt. Commander
- Registriert
- Juni 2020
- Beiträge
- 1.669
Es geht doch nicht darum, ob "Secure Boot" jetzt gut, schlecht oder eigentlich egal ist, sondern darum, das ein MB Hersteller das, was da ausgeliefert wird, nicht richtig beschreibt. Die Wahl ob und wie SB benutzt wird sollte dem User überlassen werden, und wenn in der Beschreibung des MB BIOS "Secure Boot enabled" oder ähnliches steht, sollte das auch so funktionieren. Und dann eben auf die Möglichkeit hinweisen, SB abzustellen oder "Pseudo SB" zu ermöglichen (damit Anti Cheat denkt, es ist an), und gut ist's.
MBs werden ja nicht von Leuten gekauft, die sich Fertig-PCs kaufen und einfach einschalten und loslegen wollen. Allerdings muss ich auch eingestehen, daß ich nicht selbst immer nachprüfe, ob jedes vom Hersteller als "aktiviert" beschriebenes Feature auch tatsächlich so funktioniert wie spezifiziert. Gerade wenn das Teil von einem lang etablierten Hersteller kommt erwarte ich, daß die Beschreibung stimmt. Vielleicht sollte ich meine Erwartungen ändern, aber dann macht das Selbst Bauen irgendwann mal keinen Spaß mehr.
MBs werden ja nicht von Leuten gekauft, die sich Fertig-PCs kaufen und einfach einschalten und loslegen wollen. Allerdings muss ich auch eingestehen, daß ich nicht selbst immer nachprüfe, ob jedes vom Hersteller als "aktiviert" beschriebenes Feature auch tatsächlich so funktioniert wie spezifiziert. Gerade wenn das Teil von einem lang etablierten Hersteller kommt erwarte ich, daß die Beschreibung stimmt. Vielleicht sollte ich meine Erwartungen ändern, aber dann macht das Selbst Bauen irgendwann mal keinen Spaß mehr.
Das ist toll - und trifft auf eine homöopathische Anzahl an Benutzern zu.brotkastn schrieb:Weil die einzigen Keys in der Secure Boot Policy meine sind.
- Registriert
- Juli 2010
- Beiträge
- 13.387
Artikel-Update: Auf Reddit hat MSI Stellung genommen. Demnach sei die bemängelte Standardeinstellung von Secure Boot nach dem Aspekt der Anwenderfreundlichkeit und Kompatibilität gewählt worden. Nutzer, die auf Sicherheit bedacht sind, könnten die Ausführungsrichtlinien entsprechend anpassen.
MSI wolle aber neue BIOS-Versionen bereitstellen, bei denen die Einstellung „Deny Execute“ standardmäßig ausgewählt ist.
MSI wolle aber neue BIOS-Versionen bereitstellen, bei denen die Einstellung „Deny Execute“ standardmäßig ausgewählt ist.
Akkulaus
Lt. Commander
- Registriert
- Nov. 2014
- Beiträge
- 2.046
Genau Ist Müll. Wer braucht schon Anti Cheat Software. Alle Spieler Spielen fair ohne Cheats. Ironie offssh schrieb:Anti Cheat Software ist selbst Malware, solchen Dreck sollte man sich niemals installieren!
Bist traurig weil du nicht Cheaten kannst?
Ähnliche Themen
- Antworten
- 2
- Aufrufe
- 972
- Antworten
- 2
- Aufrufe
- 3.852