hardwärevreag schrieb:
b) Macht
Secure Boot nichts besser. Phishing funktioniert immer noch,
dumme Menschen sind immer noch dumm und Wasser ist immer noch Wasser. Dumme Menschen werden immer das Opfer intelligenter Menschen sein, nur die Methoden werden anders. (Ein guter Grund bei der KI-Forschung aufzupassen, aber das wissen hier ja eh alle
)
Und ja, ich weiss, dass die Statistiken hier etwas anderes erzählen, aber da ist das letzte Wort noch nicht gesprochen und es gibt zu viele konfundierende Variablen.
Das ist aber ein Widerspruch...
Diese "dummen" Menschen werden hier normal durch entsprechenden Standard Einstellungen vor viel Dummheit geschützt. Exakt dabei geht es bei der Nummer... Secureboot nutzt man man doch nicht um sich weniger "dumm" zu fühlen. Sondern es bringt dort was, wo die Leute eben nicht wissen, was sie da eigentlich fabrizieren... Es schützt nicht vollumfänglich - aber das ist auch gar nicht notwendig. Schon ein bisschen mehr ist auch mehr.
NDschambar schrieb:
Aus diesem Grund mussten sichim Wesentlichen alle anderen Betriebssysteme sich eine Signatur bei Microsoft erbetteln und dann über Microsofts Bootloader "shim" huckepack gehen, was MS nur sehr widerwillig implementiert hat und den "Schutz" von SecureBoot quasi komplett aushebelt. Inzwischen ist Microsoft's Key geleaked und damit ist Secure Boot komplett überflüssig geworden, es sei denn, es werden die Schlüssel ausgetauscht und ältere Windowsversionen damit ebenfalls ausgesperrt. Das komplette Design ist ranzig und schlecht umgesetzt.
Nachzulesen unter
https://en.wikipedia.org/wiki/UEFI#Secure_Boot_criticism
"Signatur erbetteln" Hä? Wieso erbetteln?
Dem Sicherheitsaskept ist es total wumpe, wer die Signaturen vergibt. Es reicht sie nicht zu haben (ohne Secureboot) und das Resultat ist x-fach anfälliger als die schlechteste und unvertrauenswürdigste Stelle für Signaturen...
NDschambar schrieb:
Secure Boot ist Schrott. Microsoft's "Golden Key" ist 2016 aus einer schlecht geschützten MS-Binary geleaked worden und damit kann sich auch jedes Rootkit signieren.
Der beste Schutz ist nach wie vor Hirnschmalz im Alltag und ein sicher konfiguriertes und sauberes Betriebssystem zu nutzen.
? Kannst du das bitte mal konkret verlinken?
2016 wurde nicht irgend ein "Goldenkey" bekannt, wie du es beschreibst, sondern bekannt, was man machen muss, um die Überprüfung zu deaktivieren. Dafür musste man Root Rechte im System haben um das auszunutzen. (CVE-2016-3287)
Die im Wiki Artikel hinterlegte Quelle:
https://arstechnica.com/information...-secure-boot-firmware-snafu-leaks-golden-key/ beschreibt auch irgendwie was anderes als da im Wiki Text steht.
Leider ist das arsch lange her - ich kann mich kaum an die Story erinnern. Also bitte mehr und belastbare Quellen zu der Aussage!
Laut Infos zu CVE-2016-3287 gilt das btw. nur für ARM, also WindowsRT Geräte. Angeblich nicht für x86-64.
NDschambar schrieb:
[Nachtrag:] Der Key lässt sich nicht ohne weiteres austauschen oder blacklisten, weil er die Kompatibilität älterer Windows-Versionen brechen würde. Umgekehrt ließen sich neue Windowsversionen mit Secure Boot nicht mehr auf Mainboards mit älterem UEFI installieren. Hier ist man in einem Deadlock - daher ist das Problem quasi nicht ohne Kompatibilitätsbruch behebbar. Flawed by Design.
Das ist - äh irgendwie total irrelevant. Zudem Microsoft eh aktuell mit der ewig langen Kompatibilität bricht. Man könnte jetzt spekulieren, ob es irgendwie nen Grund warum, warum Microsoft auf "Krampf" mit Win11 zwingend gern alles älter 2016-2017 aus dem Rennen hätte? Jetzt mal rein ins Blaue spekuliert? Möglich wäre es da durchaus was...
Die Nummer damals ist/war sicher nicht schön, aber wirklich ein Problem für heute? Ist das in der Form doch gar nicht mehr...
