В рейтинге участвует:

групп:

каналов:

Виртуальный сервер на SSD - недорого!

Аренда выделенных и виртуальных серверов (VDS/VPS), хостинг, аренда IP-адресов, администрирование, круглосуточная поддержка

qwarta.ru подробнее

Резервное копирование с проверкой на вирусы!!!

Удобный сервис создания резервных копий на любой сервер сети интернет. Отслеживайте изменения, проверяйте на вирусы. Надежно защитите свой бизнес!

go.backupland.com

Выбираете сервер? Любая конфигурация на заказ!

Аренда физических серверов любых конфигураций под любые запросы - 1С бухгалтерия, игровые сервера, нагруженные проекты, интернет-магазины!

qwarta.ru подробнее

Size: a a a

codingteam

81 membersпожаловаться на группу
2021 March 04

c

codingteam@cjr in codingteam
sergevp
Ценой за пользование такой "безопасной" системой будут:
1. Хранить и помнить пароль от биоса, приватный ключ для UEFI (на самом деле там три ключа, кажется), ну и ключ для расшифровки ОС.
2. Доставать этот ключ каждый раз при обновлении системного загрузчика, чтобы переподписать апдейт (а он таки обновляется)
3. Невозможность загрузиться с флешки в случае любых проблем.
(вроде, ничего не забыл?)
источник
21:18пожаловаться#1

c

codingteam@cjr in codingteam
sergevp
А выгода:
1. Никто не сможет подсунуть программный троян в моё отсутствие (при условии, что оно будет недолгим, иначе подделают печать, вскроют корпус, сбросят ключ, ну и т.д.).
источник
21:18пожаловаться#2

O

Omap in codingteam
> 2. В UEFI удалены все ключи, кроме того, который сгенерировал ты, причём ты хранишь его отдельно в сейфе на флешке, не потеряешь, и флешка не испортится (иначе проблемы). Ну и ещё печать где-то в сейфе хранишь.

Кажется, мы уже определили, что это не проблема сама по себе, а проблема доверия к производителю или места хранения корневых ключей.
источник
21:20пожаловаться#3

c

codingteam@cjr in codingteam
sergevp
Причём это всё ещё не гарантирует безопасность. Потому что мне могут подсунуть аппаратный троян (usb keylogger, PCI-плату, сетевую карту, или ещё что-нибудь), или просто заснять на скрытую камеру мой пароль, а зная его загрузиться и установить что угодно.
источник
21:21пожаловаться#4

O

Omap in codingteam
> 3. Невозможность загрузиться с флешки в случае любых проблем.

Где это сказано? Загрузчик на флешке может быть подписанным.
источник
21:21пожаловаться#5

O

Omap in codingteam
> 2. Доставать этот ключ каждый раз при обновлении системного загрузчика, чтобы переподписать апдейт (а он таки обновляется)

Может быть в максимальной степени автоматизировано
источник
21:21пожаловаться#6

c

codingteam@cjr in codingteam
sergevp
> Может быть в максимальной степени автоматизировано

Доставание из сейфа не может быть автоматизировано. :)
источник
21:22пожаловаться#7

O

Omap in codingteam
> 1. Хранить и помнить пароль от биоса, приватный ключ для UEFI (на самом деле там три ключа, кажется), ну и ключ для расшифровки ОС.

Так, да, хорошо, храню. А ещё пароли от учётных записей.
источник
21:22пожаловаться#8

O

Omap in codingteam
codingteam@cjr
sergevp
> Может быть в максимальной степени автоматизировано

Доставание из сейфа не может быть автоматизировано. :)
я не занимаюсь обновлением ключей, этим занимается сервис, выдающий подписи для загрузчиков. Для меня это одна кнопка
источник
21:22пожаловаться#9

O

Omap in codingteam
автоматизировано? Автоматизировано.
источник
21:22пожаловаться#10

c

codingteam@cjr in codingteam
sergevp
И на этот сервис кто угодно может отправить свой загрузчик и подписать его? Тогда злоумышленник отправит туда свой загрузчик, подпишет, и поставит тебе 6)
источник
21:23пожаловаться#11

O

Omap in codingteam
Как минимум, ответственность за взлом я с себя перекладываю на сервис, обещающий безопасность
источник
21:23пожаловаться#12

c

codingteam@cjr in codingteam
sergevp
Усложнение системы (защиту ключами ключей на ключи) — это security through obscurity. Оно делает систему сложнее в использовании и починке, но не делает её особо безопаснее. :)
источник
21:24пожаловаться#13

O

Omap in codingteam
codingteam@cjr
sergevp
И на этот сервис кто угодно может отправить свой загрузчик и подписать его? Тогда злоумышленник отправит туда свой загрузчик, подпишет, и поставит тебе 6)
да, возможно. Как кто угодно может иметь доступ к твоему сейфу без твоего ведома. Ведь мы не рассматриваем ситуацию, что твой сейф абсолютно неуязвим?
источник
21:24пожаловаться#14

O

Omap in codingteam
сейчас ты несёшь хуйню, в чём здесь неясность?
источник
21:25пожаловаться#15

c

codingteam@cjr in codingteam
sergevp
Но, опять таки, я не говорю, что это плохо. :) Я же говорю, с secureboot-ом можно жить. Я лишь определяю, какие неудобства это вызовет. Главный вопрос, который я пытаюсь понять — стоит ли оно того?
источник
21:26пожаловаться#16

O

Omap in codingteam
Вот скажи
источник
21:26пожаловаться#17

O

Omap in codingteam
если в твоём доме не будет двери, он станет безопаснее?
источник
21:26пожаловаться#18

c

codingteam@cjr in codingteam
sergevp
Нет. Но наличие двери тоже не гарантирует безопасность: https://cdn.fishki.net/upload/post/2018/07/18/2653974/97d3fd361ac1cba3b47f3bea5c023f1e.jpg
источник
21:27пожаловаться#19

O

Omap in codingteam
> Главный вопрос, который я пытаюсь понять — стоит ли оно того?

Нет, ты отвлекаешь меня от работы пользуясь тем, что обсуждать с тобой бессмысленные темы проще, чем работать
источник
21:27пожаловаться#20