Вы видите копию треда, сохраненную 17 ноября в 16:35.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.
Есть три варианта. Предлагайте ещё варианты, будем вместе рассматривать.
1. Сборка на серверной платформе из числа тех, для которых есть Libreboot.
Плюсы такой сборки:
+ Поддержка Libreboot.
+ Можно установить много серверной оперативной памяти.
+ Можно испольовать ECC оперативную память.
+ Серверное железо внушает доверие. Мне кажется, что отвалы чипсетов на серверном железе более редки, чем на потребительском.
Минусы такой сборки:
− Железо довольно дорогое.
− Необходима видеокарта? Как я понял, да, необходима.
− Высокое энергопотребление.
2. Сборка на AMD FX.
Плюсы:
+ И процессоры, и материнские платы в изобилии продаются на Авито и в других местах.
+ Мощные процессоры.
+ У восьмиядерных Эфыксов — настоящие восемь ядер. Настоящие. Это настоящие ядра, слышите? Настоящие ядра, кто бы там что ни говорил.
Минусы:
− Существует вероятность отвала мостов на старых материнских платах.
− Необходима видеокарта.
− Нет готового Libreboot или Coreboot, придётся немного поебаться.
− Высокое энергопотребление.
− Высокие требования к системе охлаждения процессора.
3. Сборка на AMD APU (AMD A-series).
Плюсы:
+ Материнские платы для AMD A-series вызывают больше доверия, чем для Эфыксов.
+ Встроенное графическое ядро.
+ И процессоры, и материнские платы в изобилии продаются на вторичном рынке.
Минусы:
− Максимум четыре ядра.
− Нет готового Libreboot или Coreboot.
− Нельзя использовать ECC оперативную память? Вроде нельзя.
Финкпады даже не хочется рассматривать. Я хочу персональный компьютер, а не ноутбук.
Предлагайте свои варианты ИТТ. Рассказывайте, как собрали систему, свободную от зондов. Рассказывайте, с какими трудностями столкнулись, как устанавливали Coreboot и QubesOS. А может быть, вы вместо QubesOS использовали BSD?
Сам я лично склоняюсь ко варианту собрать ПК на AMD A-series, домашний сервер на AMD FX, ну и майнер Монеро на AMD Ryzen 9000 (когда выйдет). А возможно, что со всеми домашнесерверными задачами может справиться 4-ядерный AMD APU, ну тогда есть смысл подумать и взять его, а не Эфыкс. Хотя он и не поддерживает ECC оперативную память, конечно.
>свободную от зондов
Самый обычный хуанан с зионом. Intel ME отключён по дефолту. Биос очень стандартный и древний, нах его менять на пердольную опенсорц прошивку не знаю. Так же у меня есть сборка на 1151 сокете с мутантом, там тоже ME вырубается в обязательном порядке, но биос уже UEFI с наворотами.
>У восьмиядерных Эфыксов — настоящие восемь ядер
А толку с этих ядер, если по производительности на ядро фикусы конкурируют с 775 сокетом? Конечно, в числодробильных операциях это важно, но с такой системой любой современный браузер ощущается как тормозной кисель.
>Сборка без зондов
Лучшая сборка без зондов - это нейролептики.
Принял, и любая сборка превращается в сборку без зондов. Попробуй, базарю ещё захочешь.
Несмешная шутка, анон. Несмешная, потому что неоригинальная. До тебя эту шутку пошутили уже тысячу раз. Но спасибо за бамп.
>свободную от зондов
Шпециально для богатых шизофреников есть https://www.raptorcs.com/content/TL2WK2/intro.html
/thread
> 2. Сборка на AMD FX.
> + Мощные процессоры.
> + У восьмиядерных Эфыксов — настоящие восемь ядер. Настоящие. Это настоящие ядра, слышите?
в чем он не прав, шизы?
амиде наебыаать не может, написано 8 значит 8. И они мощные, слышите?
и насколько мне известно 2011
и там ДЕЙСТВИТЕЛЬНО есть мощные процессоры, пусть однопоток и из 2012 года, но он всяко лучше позорного фха у которого однопоток уровня 2007 года))
>Intel ME отключён
Далеко не весь. Если вырезать вообще весь ME, будешь ловить ребут каждые полчаса.
Это не шутка.
8 настоящих ядер fx в современном мире равны 1.5 ядрам зен 7800. В любой задаче даже в тех где крайне важна параллельность.
После старта можно отключить прям весь на 100% никому не удалось доказать, что он сохраняет хоть какую-то активность.
Работает где-то до скайлайка.
> Numa Arce – первый в России программный модуль доверенной загрузки, прошедший сертификацию по безопасности информации в системах ФСБ России
лел
Ору нужно без зондов, а не С зондами. Пынямаешь?
> + У восьмиядерных Эфыксов — настоящие восемь ядер. Настоящие. Это настоящие ядра, слышите? Настоящие ядра, кто бы там что ни говорил.
Настоящие. Но есть нюанс(с). Ну ты в курсе
> Сборка на AMD APU (AMD A-series).
> − Нет готового Libreboot или Coreboot.
На некоторые мамки есть
> Предлагайте свои варианты
Если тебе обязательно
> Libreboot или Coreboot
то список крайне ограничен. И ты его наверняка знаешь.
Если Libreboot или Coreboot не обязателен, то можно рассмотреть платформу Х58 - Intel ME нет, UEFI нет, намного производительнее любого FXа, процессоры стоят как семечки. Но есть и подводные
> Самый обычный хуанан с зионом
> Intel ME отключён по дефолту
Ложь. На сенди/иви, хасвел/бродвел интел ми не отключается. Максимум его можно урезать миклинером.
> Биос очень стандартный и древний
Ложь. Там уефи-зонд. Просто он выглядит как легаси биос.
> никому не удалось доказать, что он сохраняет хоть какую-то активность
Лол, он оборудование инициализирует. Его невозможно отключить и сохранить работоспособность системы.
Полностью он вырезается на 775, 1366 и чипсетах Р55 в случае если там версия иМИ игнишн онли
Ты доской промахнулся. /b/ тремя блоками выше
785G ещё
Ноутбук, это такое устройство чтоб работать в поездке/дороге, переносимый персональный кампутер.
Какой-то особый ноутбук, раз ты его предложил в данном треде?
Потому что обычные ноуты ещё более анальнозондированны даже по сравнению с десктопами.
Какой видос?
Но они настоящие. В FX'ах восемь целочисленных ALU и четыре для вычислений с плавающей точкой.
Вообще, изначально, все процессоры представляли из себя именно целочисленные ALU, а для вычислений с плавающей точкой было дополнительное место на материнках под FPU.
FPU встроенный в процессор появились только начиная с первых пеньков.
Так что если ты считаешь, что в FX'ах ненастоящие ядра, то и во всех процессорах интела до первого пня, они, получается, тоже были "ненастоящие", лол.
Да и похуй. Для интернета пойдет. А для игрулек беззондовость не нужна
Кроме этого ты должен озаботиться самосборным роутером с опенсорсными прошивкой и загрузчиком.
> + У восьмиядерных Эфыксов — настоящие восемь ядер. Настоящие. Это настоящие ядра, слышите? Настоящие ядра, кто бы там что ни говорил.
Четырехядерный i3-12100 вздернет в любой задаче эти "восемь" ядер. И хуле толку от этих "восьми" ядер?
Восемь ядер. Ага, нам то не гони.
Lenovo g505s -твой выбор. На лоре чел много распинался по этому поводу.
Из плюсов отсутствие апаратных закладок в проце, возможность накатить coreboot, относительная дешевизна на вторичке.
Из минусов - корпус средней паршивости и необходимость дорабатывать напильником
Те, кто спроектировал эту клавиатуру, сами пробовали пользоваться своим творением? Полагаю, что нет.
> Сборка на серверной платформе
Низкочастотное говно задорого, VRM впритык из расчёта на сильный ветер от 50к рпм батареи турбин, корпоративный оверпрайс после которого не будет ни откатов ни баньки с коньяком и блядями.
> Сборка на AMD FX.
Пиздёж что там нет PSP, он там есть начиная как минимум с Пахома II на предыдущих сокетах.
> 3. Сборка на AMD APU (AMD A-series).
Такой же пиздёж что нет PSP.
> Самый обычный хуанан с зионом
Низкочастнотное говно задёшево, иногда траблы с набрать одинаковых плашечек на нужные объёмы, южные мосты отпаянные хер пойми от чего, актуальные видеокарты нераскрываемы.
Интел без ME - это 965 (и до него) чипсёты когда он без интеловского сетевого контроллера онбоард, более поздний 775-й искаропки с ME. Насчёт АМД хз.
>>6893189
> и там ДЕЙСТВИТЕЛЬНО есть мощные процессоры,
Были когда-то, теперь они "мощные" только для Вынрара и обогрева квартиры.
>>6959305
> поридж плез уже в 386DX FPU было
Не было, FPU там отдельный внешний чип.
Первые интегрированные FPU - 486DX и Моторола 68040.
Ты некомпетентный дурачок
> они дохлые
Даже 775 вполне себе достаточен, если ты не игрунок
> Ты то куда лезешь
Школец, спокуха
> Сборка на AMD FX.
> Пиздёж что там нет PSP, он там есть начиная как минимум с Пахома II на предыдущих сокетах.
> > 3. Сборка на AMD APU (AMD A-series).
> Такой же пиздёж что нет PSP.
Вот тут подробнее. Считается что PSP появился в Kaveri. Вернее в Kaveri появилось нечто, ещё не имеющее названия PSP, но уже дававшее возможность удаленного управления системой
> Интел без ME - это
Это вплоть до Х58 на 1366. Тогда он был необязательным компонентом и вендоры забивали на него хуй. На Х58 МЕ есть скорее всего только на МП производства самого Интела. На вендерских его нет. Там и созданного АНБ УЕФИ нет. И размеры флешек для БИОС очень маленькие, туда МЕ физически не засунешь.
Но и в этом случае там МЕ от 30-х чипсетов и его прошивка полностью удаляется без потери работоспособности платформы
> 775-й искаропки с ME
Только Q чипсеты. И он полностью удаляется на 775
> Низкочастотное говно
Просто не надо выбирать 100500 ядер. При одинаковом теплопакете чем больше ядер, тем они тухлее. Оптимально от 4 до 8 ядер
> задорого
Было задорого. 15-20 лет назад
А ещё аналоги МЕ есть в видеокартах...
> Alibaba TH1520 chip with:
> 4 x Xuantie C910 CPU cores @ 2.5 GHz
> без зондов
"дирка грязний ванюсий зато дисовый.jpg"
Что тебе не понравилось?
>Четырехядерный i3-12100 вздернет в любой задаче эти "восемь" ядер
Как насчет задачи не иметь МЕ на платформе? Тоже вздернет?
>Финальная цель: заиметь сборку, свободную от зондов. Установить на неё Coreboot и QubesOS. Наслаждаться свободой.
Я думаю тебе питушок нужно плясать от обратного, например доказать что, с кастрированым МЕ плата что-то еще пытается посылать в сеть. Думаю получится ГРОМКО.
А пока ты этого не сделал, можешь на своих обоссаных бутах/775 сокете сам сидеть, ибо эти уебища за 10 лет нихуя не сделали.
>тебе питушок
Жид, не гори
>доказать что
Зачем? Если можно просто не наступать в это дерьмо
>Я думаю
Держи в курсе
>эти уебища за 10 лет нихуя не сделали
>делайте годноту сами
>кто? я?
Привык быть на всём готовом, инфантил?
>пук
Ожидаемо, как впрочем было и с чморбутом который потом раскололся надвое, на чмибребут и чморбут. Это говно сдохло, его просто закопают, а ты пиздуй за таблетками в диспансер.
>Автор me_cleaner утверждает что в Х58 нет МЕ
На супермикре Ч58 был ХВ свич на МЕ-офф или Резет не помню точно, в доке к любой Х58 поищи.
Я скинул скрин из официального интеловского пдф про Х58, что ты мне предлагаешь ещё искать?
>На супермикре
Не факт что 1366 супермикра на Х58 чипсете. Скорее всего нет
> а на каком он еще чипсете
На серверном, их под 1366 несколько было: 3400, 3420, 3450, 5500, 5520, 7500.
Х58 это геймерский, продолжение Х38 и Х48. За ним шли Х79, Х99, Х299
> 478 покупай
У меня есть
> на прескотине сидеть будешь
Пока я посижу на лице твоей мамки, мне норм. Ей тоже
В твоей мобилке зондов больше чем в нынешней Windows 11, а ты трясёшься над зондами на компе.
> У восьмиядерных Эфыксов — настоящие восемь ядер
Одно ядро Sandy Bridge равно двум ядрам Bulldozer.
Чего блять?
Лол, википедия пиздит, а ты ей веришь. 1366 это только x58 и 55xx.
34xx без QPI и для 1156, наверное, а 7500 под какой-то вообще забытый сокет, не ушедший в народ.
мимо
Попка не болит?
> Пиздёж что там нет PSP, он там есть начиная как минимум с Пахома II на предыдущих сокетах.
На чем основано это утверждение?
> Такой же пиздёж что нет PSP.
И это?
Ты хочешь сборку без зондов чтобы у тебя не украли криптовалюты что ли?
Если не зонд, то хардваревная дыра тебя подведёт на старом железе.
Если хочешь чтобы данные не украли — просто не пользуйся сетью.
причина пука?
У амуды есть аналог NVENC?
Да похуй. Апарат сам по себе нормально работает и более производителен чем варианты шреуда с нормально отключаемым ме и прошиваемым свободным биос
> Да похуй
Мне не похуй
> варианты шреуда с нормально отключаемым ме и прошиваемым свободным биос
Это какие?
>Мне не похуй
Обоснуй тогда что конкретно смущает
Насколько я помню интеловский вариант это thinkpad x200 или dell E6400 с либрбут последние ноуты не на процах с core-i из которых интел ме еще можно выковырять
> что конкретно смущает
Это: При этом не создается нагрузка на ядра GPU и CPU,
То есть комп даже не будет знать что стрим идёт
>То есть комп даже не будет знать что стрим идёт
С каким боком это относится к сакура кун и к ноуту леново g505s?
>издёж что там нет PSP, он там есть начиная как минимум с Пахома II на предыдущих сокетах.
PSP есть на части поздних FX'ов с определённых ревизий, а на ранних FX'ах его нет и не было, не говоря уже про феники.
Налетай, всего-то 10 тыщ бакинских. На швабодку от ональных зондов никаких денег же не жалко, да.
Так я не про NVENC, откуда он вылез непонятно
>у старых PSP нет сетевых функций
Даже у протоPSP были такие функции
https://www.amd.com/en/support/downloads/drivers.html/processors/a-series/a10-series-apu-for-desktops/a10-7850k-with-radeon-r7-series.html#amd_support_product_spec
> PSP в бивисе же выключается
PSP память тренирует и железо инициализирует, его невозможно выключить - х86 ядра работать не будут. Погугли
Это противоречит всей инфе про PSP в интернете. Ты откуда вообще взял это?
Попутал с плутоном наверное. Перезагружаться проверять лень.
PSP появился в следующем поколении АПУ после 7850к.
Вернее даже не в следующем а через поколение.
Тем не менее 7850к поддерживает удаленное внеполосное управление.
Думай.
852x480, 0:01
Бамп вопросу
Что такое "старые PSP"?
ME точно отключается на оригинальных хуананах x79 (2.47, 2.49 например), которые сейчас хер найдёшь. По остальным мамкам нужно спрашивать в зионотреде.
Так же функции убивания ME есть в программе для редактирования биосов на платформу 1151 — CoffeeTime. Там он от устраняется для возможности запуска процессоров типа QTJ1 или серверных зионов.
> функции убивания ME есть в программе для редактирования биосов на платформу 1151 — CoffeeTime
Значит ли что такое можно провернуть и на 2066?
На любом интеле свежее хасвела можно.
Нужен или программатор или замыкать два контакта на аудиокодеке.
>
> Processor: SOPHON SG2042 (64 Core C920, RVV 0.71, up to 2 GHz)
> Memory: 4x DDR4 DIMM slots up to 128 GB RAM support
> PCI Express:
> 1x PCIe x16 Slot (PCIe 4.0 x16)
> 1x PCIe x16 Slot (PCIe 4.0 x8)
> Storage:
> 5x SATA connector
> 1x SPI Flash for BIOS
> 1x MicroSD card for recovery or OS loading
> 2x M.2 E Key (PCIe 3.0 x4)
> 1x eMMC module connector
> Size: 24.4 x 24.4 cm
> Power: 1x standard 24 P ATX power connector
> Ethernet: 2x RJ45 2.5 G
> Wireless: 1x M.2 E Key (PCIe 3.0 x1 + USB 2.0)
> USB:
> 8x USB 3.2
> 2x USB 3.0 header for front panel
> Other:
> 1x misc header for front panel power, reset, LED, etc.
> 1x serial port (USB-C) for front panel
>
Включаешь комп > каждый раз запускается ме для инициализации > если ME выключен, он полностью отключается. Так остаётся на все время, не до перезагрузки.
Ну-да ну-да. Проиницилизировал, а потом такой: а че это я, меня ж выключили, пойду-ка отключусь
>Ну-да ну-да. Проиницилизировал, а потом такой: а че это я, меня ж выключили, пойду-ка отключусь
Именно так, если ты или кто либо ещё сможет заметить любую активность МЕ после его отключения это будет означать, что в нем есть скрытый механизм включения и ты подвергся таргетированой атаке.
Пока все исследования говорят, что выключается он полностью.
Почесав репу, вспомнил что сорт оф отключал (в диспетчере устройств лол) МЕ на своём 2689 на х79 плешке. Скорее всгео нищетова и вообще плацебо, но на современном железе я даже найти его там не могу, такие дела.
А он там есть, но это просто PCI девайс-интерфейс для общения с операционной системой на работу me никак не влияет.
Ну и да, ещё вспомнил что после "отключения" ME компухтер начал дольше просираться до биваса, так что может и не плацебо было, хз, сейчас то железо на полке, если дособеру вторую пеку подрочусь снова с ним из принципа.
Дрочиться можно отсюда начинать
https://github.com/corna/me_cleaner
Прошивать flashrom через пинмод.
>>6977207 (OP)
>>6965095 (OP)
То есть получается на асусах Х79 можно полностью удалить МЕ если удалять не через me_cleaner
Но все равно остается вопрос что делать уефи-зондом
Желаю смерти твоей бабушке за то, что ты пошутил неоригинально.
>Как отключать AMD PSP?
Нахуя шиз? ПСП не умеет в удаленное управление как МЕ и не лезет к сетевухам и вайфаям, только шифрует канал CPU => RAM.
> Out of Band Manageability
https://www.amd.com/en/product/6101
Это Кавери на ФМ2+, официально ПСП ещё не существует
А внеполосное управление уже есть
Она не пошифрована. Она подписана ключём, чтобы ты не мог запустить свою. Но дизасемблить можешь. Во всяком случае МЕ дизасемблили.
Там же понятно что
> нужно запрещать вообще весь трафик даже на порте 443 и постепенно разрешать только то, что тебе нужно.
this особенно на порте 443 поскольку там обычно шифрованный трафик но пендосы запустят свой бэкдор через очередное обновление микрокода, биоса, или вообще винды
что? а, ну макось ещё забыл.
понятно же, что линуксобояре, в отличие от виндузоидов и маководов, никогда не устанавливают обновления в виде бинарных пакетов rpm/deb/hui/pizda/djigurda, а проверяют все исходные коды и компилируют все обновления самостоятельно.
Человек, желающий избежать бекдоров, не будет использовать ничего кроме линукса, причем крайне желательно одобренного ФСПО.
Ну или BSD, как вариант
>понятно же, что линуксобояре, в отличие от виндузоидов и маководов, никогда не устанавливают обновления в виде бинарных пакетов
Про fwupd ты типа забыл или настолько линуксоид что и не знал?
Даже как сарказм хуево получилось, потому что бинари из deb можно проверить. Сорцы всегда собираются бит в бит с одинаковыми хешами по любому алгоритму. Это называется повторяемые бинарные сборки.
>хешами
а ты знал, что невозможно доказать отсутствие бэкдоров в алгоритмах шифрования и кэширования?
>Сорцы всегда собираются бит в бит
хуя кукаретик
на каждой версии компилятора по разному
с настройками оптимизации по разному
даже на одной версии с одной настройкой будет по разному так как линкер сует туда время и еще всякое говно включая путь к сорсам
чтоб иметь одинаковые бинарники надо усраться незило
Ещё раз говорю, для дебиан обеспечена повторяемость бинарных сборок.
https://lists.debian.org/debian-devel-announce/2017/07/msg00004.html
https://tests.reproducible-builds.org/debian/reproducible.html
Если ты возьмёшь последний стабильный релиз дебиана как хост систему и соберёшь в нем любой пакет из deb-src ты получишь бит в бит результат как в репе. Если ты будешь брать зачем-то другие версии компилятора то не получишь
Это сделано специально, чтобы проверять что инфра дебиана ничего в твои бинари не закладывает.
Это поддерживается для многих дистров последние 5-7 лет.
Алгоритмов хеширования дохуя, но даже они для этой задачи не нужны.
Бери и сравнивай два бинаря по битику хоть глазами. Два побитово одинаковых файла не могут отличаться своим поведением.
> https://tests.reproducible-builds.org/debian/reproducible.html
> нет ядра и основных торчащих в интернет пакетов типа openssh-server
)
> https://tests.reproducible-builds.org/debian/reproducible.html
> нет ядра и основных торчащих в интернет пакетов типа openssh-server
https://tests.reproducible-builds.org/debian/rb-pkg/bookworm/amd64/openssh.html
В глаза ебешься?
хорошо спрятали, по ссылкам в меню слева
> Results for bookworm/amd64
> Unreproducible packages:
> with notes
> without notes
https://tests.reproducible-builds.org/debian/bookworm/amd64/index_notes.html
https://tests.reproducible-builds.org/debian/bookworm/amd64/index_no_notes.html
этого пакета нет
И куда-то потом сообщать, например уефи нового компа (а уже уефи передаст инфу дальше на (((их))) сервера)
Как удалить firmware с видеокарты?
потому что видеочип надо как-то запустить.
если ты удалишь с компа винду, то сможешь запустить на компе контрстрайк? то же самое с firmware - это операционная система для железки, если её удалить - железка работать не будет.
на лоре пишут что есть вк, которые могут работать без прошивки, только под нуво
>если ты удалишь с компа винду, то сможешь запустить на компе контрстрайк?
понятия не имею
ни разу в жизни не играл в контрстрайк и от винды уже пару лет как избавился
но чисто теоритически его можно запустить на линуксе под вайном или протоном
> нуво то будет
не будет, потому что это драйвер, а не прошивка.
> я спрашиваю как удалить
найти на видюхе флеш чип (скорее всего это будет 8-ногий с очевидной маркировкой, если не повезёт - 6тиногий без оной), очистить его любым программатором, профит
>это драйвер, а не прошивка
на лоре утверждают что этого хватит
>найти на видюхе флеш чип
>очистить его любым программатором
так ведь и окирпичить можно
вахтеришка, спок
Есть
>>7014976
>это драйвер, а не прошивка
>на лоре утверждают что этого хватит
Ну значи используй свой ноудрайвер.
>найти на видюхе флеш чип
>очистить его любым программатором
>так ведь и окирпичить можно
Там только фирмварь и лежит. Очистить можешь флешромом.
Окирпичить нельзя, енвидии во всяком случае. Они прошиваются, даже если не стартуют.
Жифорсы 9000 серии, не путать с 900.
Интеграхи интела до Broadwell не требуют фирмвари и имеют полностью открытый драйвер.
>Интеграхи интела
Ноутбуки не нужны
>Жифорсы 9000 серии
Вроде что-то подобное слышал про 710/730
>Интеграхи интела
>Ноутбуки не нужны
В ноутах раньше бродвела появились интеграхи с фирмварями, я про десктопы.
>Жифорсы 9000 серии
>Вроде что-то подобное слышал про 710/730
Это Кеплер, на кеплере такое уже невозможно.
>710/730
>Это Кеплер
Не только. Были 730 на Ферми
>на кеплере такое уже невозможно
Почему? Вроде как с Максвела гайки закрутили
Тому что никакая энвидия старше 9000 без фирмвари не запускается.
У 710-730 скорее всего просто разблочено управление частотами без загрузки куска фирмвари проприетарным драйвером. Но сама фирмваря все равно есть на флешке, без неё ГПУ не работает. Фирмваря обеспечивает взаимодействие между ГПУ и драйвером в системе.
Без программного интерфейса со стороны видимокарты ничего не заработает это вроде очевидно.
Это не противоречит тому, что пишу я.
Там говорят про удаление фирмвари из дистрибутива.
А твой реквест это удаление фирмвари из видиокарты.
Понимаешь разницу?
>думает, что нуво - это прошивка
Я знаю что это драйвера
Я так понял что некоторые карты могут работать - в режиме vga-адаптера - вообще без прошивки
они могут работать без дополнительно бинарника, загружаемого с хоста.
они НЕ могут работать без прошивки, загружаемой с флеш чипа на карте.
Без фирмвари все, но в них всё ещё есть VGA BIOS который все ещё проприетарный и может делать что захочет.
Бинарник загружаемый с хоста не обязательно нужен, без него карта просто не перейдет в режим частот 3д. Этого бинарника во флешке нету, он поставляется с драйвером.
Но во флешке есть своя прошивка которая и блочит частоты и ждёт этот бинарник. От неё не избавиться вот прям вообще никак.
Интеграхи интела до бродвела не требуют и фирмвари и не имеют встроенной памяти им нужен только открытый драйвер.
>Интеграхи интела до бродвела не требуют и фирмвари и не имеют встроенной памяти им нужен только открытый драйвер
Но intel ME, да
так в роутерах же тоже зонды.
нужна цепочка из роутеров вида
кудахтер - xiaomi - cisco - tp-link - элтекс - huawei - mikrotik - ростелеком - интернет
Шигорин, съеби нахуй и фсбшный кал свой забери.
кернель 4.4
как я же лолирую с госпердоликов которые ведро пердоликса за 5 лет нешмогли распердолить до 5 версии хотя бы когда уже скоро 7.
Так я и не говорил что их нет, я просто сказал что они отечественные. А зная наших горе-производителей я практически уверен, что они не работают нихуя, лол.
поридж, спок
Когда будут отечественные компы на risc-v?
Ебало это тупого апдутера представили?
> зная наших горе-производителей я практически уверен, что они не работают нихуя
Ну хуй знает
620x720, 0:11
> Пруфы?
знание общих принципов работы комплюктеров и его комплектующих, если у тебя оных нет - начни с ардуинки.
Не, fsf шизы для железок проверяют прям все все, включая любые фирмвари в любых флешках на устройстве. Вот список требований
https://ryf.fsf.org/about/criteria/
>>7019328
Факт, что не соответствует, ни одной видиокарты среди сертифицированных продуктов нету, зато есть интеграхи интела в ноутах, вот и думайте.
https://ryf.fsf.org/products
> However, there is one exception for secondary embedded processors. The exception applies to software delivered inside auxiliary and low-level processors and FPGAs, within which software installation is not intended after the user obtains the product. This can include, for instance, microcode inside a processor, firmware built into an I/O device, or the gate pattern of an FPGA. The software in such secondary processors does not count as product software.
> шизы для железок проверяют прям все все, включая любые фирмвари в любых флешках на устройстве
ты тупой штоле сука? у швитого Столлмана единственный критерий "свободного" железа - это чтобы оно работало в линуксе, а совсем не чтобы в этом железе не было закрытых блобов.
всё железо имеет свои закрытые блобы и не будет работать, если этот блоб удалить. если хотите реально открытую видюху без БЛОБОВ - берёте FPGA девбоард с VGA/HDMI портом и пилите на нём видюху, если хотите сетевуху без блобов - берёте FPGA девборд с LAN портом и пилите на нём сетевуху, заебали, короче, все верующие в швитого Столмана идите нахуй и перечитывайте пост >>7018386 до полного просветления
Мне кажется это ты тупой. По ссылке написано, что исключения это код из которого собран FPGA и некоторые контроллеры I/o типа контроллера Клавы, дисплея етц. Ну и ещё микрокод. Все это не зонды и не позволяют никак тебя прозондировать хоть удаленно хоть при локальном доступе.
Ты жопочтец? Никакие фирмвари вайфаев, видиокарт, сетевых карт, uefi и прочий мусор проверку не проходят. Если есть устройство которое на своей флешке содержит закрытую фирмварь и не попадает в исключение - сертификацию оно не проходит.
Комп/плата может пройти сертификацию только с coreboot. Остальное железо только с открытыми фирмварями или без них совсем.
если ты не понял, что там написано про исключение, попроси чатгопоту перевести на русский.
все железки, "сертифицированные FSF", не являются открытыми, так как имеют закрытые прошивки, но при этом всё железо "попадает в исключение", потому что прошивки грузятся не с хоста, а с флеш чипа на самой железке.
> Все это не зонды и не позволяют никак тебя прозондировать хоть удаленно хоть при локальном доступе.
прошивка сетевых карт позволяет зондировать тебя хоть локально, хоть удалённо.
Собираешь свой роутер на одноплатнике, задаешь белые списки и никто больше твое цопе не спиздит.
Вообще, забавный тред, доказанных железных бекдороров и их успкшного юзания у крупных производителей потребительских комплектух никто никогда не видел, но шизики-окрщики пытаются что-то найти
мимо
То есть из пруфов у тебя только примернопочуствования? Ок
> дважды два = четыре
> Пруфы?
> бля пчел пашол нахуй
> То есть из пруфов у тебя только примернопочуствования? Ок
> Вообще, забавный тред
согласен, одни незнайки сидят, у которых сетевуха сама с Божией помощью работает без программного обеспечения
любая уязвимость становится бэкдором, когда про неё знают третьи лица, но не пользователь
>доказанных железных бекдороров
>никто никогда не видел
ЛОЛ, блять. Intel ME и AMD PSP это очевидные бекдоры
Хоть один пример в использования в том виде о котором в треде шизят есть? Ну или если ты такой шифропанк, то опять же, что тебе мешает собрать свой роутер и фаервол с белыми списками?
К слову, если ты так недоверяешь железякам, то хули вообще свою "особую" пеку в интернеты пускаешь? Значит амуде с инцелом ты недоверяешь, а цепочке провайдеров и центру выпуска корневых сертификатов все данные отдавать собрался?
> центру выпуска корневых сертификатов
не стоит вскрывать эту тему. вы молодые, шутливые, вам всё легко
о, раз ты шаришь, расскажи, пожалуйста, что такое Wake-on-Lan и как оно работает.
Несвободная прошивка сетевой карты сертификат fsf никогда не получит. Пынямаешь?
> However, there is one exception for secondary embedded processors. The exception applies to software delivered inside auxiliary and low-level processors and FPGAs, within which software installation is not intended after the user obtains the product. This can include, for instance, microcode inside a processor, firmware built into an I/O device, or the gate pattern of an FPGA. The software in such secondary processors does not count as product software.
Сетевые карты не содержат фирмварей в процессоре, только во флешке. Фирмвари на флешках как в материнках и видиокартах - не закон.
Не пынямаешь?
> хули вообще свою "особую" пеку в интернеты пускаешь?
Как ты предлагаешь пользоваться интернетом без компа? Смердфоны в разы хуже в смысле безопасности
Никак, интернет работает на доверии, что ни один узел не начнет творить дичь и сниффить ваш трафик. Там где реально нужна безопасность в интернеты пека не лезет вообще.
я пынямаю, что столлман вас за лохов держит, а вы и рады обманываться
В том и дело что на доверии интернет не работает.
Интернет работает с условием, что буквально каждый узел в сети начиная с твоего роутера снифает каждый пакет, а ещё может пакеты подменять.
Именно потому нормально и безопасно работает интернет банкинг, Свифт, пейпал.
> Там где реально нужна безопасность в интернеты пека не лезет вообще.
Пека и существует для интернета. Это такой комп для интернета, ради интернета собранный. Понимаешь?
Потому
https://t.me/dvachannel/142603
Чето они как-то слишком серьезно рассказывают в этой рекламе о своей OEM-хуйне из китая с переклееными шильдами, лол.
>Тайвань не являвется частью КНР
Но является Китаем. Официальное название государства на Тайване - Китайская Республика.
>Я русский.
Ага, как же.
>Но является Китаем
Да. Причем единственным настоящим Китаем.
А оемные болванки для алисы высерают в подвалах лжекитая ака кнр.
>Ага, как же.
Что-то не так с этим?
жаваскрипт включен? значит твой браузер фингерпринтится и идентифицирует тебя с вероятностью 99,99...%
>единственным настоящим Китаем
Единственный настоящий Китай это КНР
>оемные болванки для алисы высерают в подвалах лжекитая ака кнр
Свинья детектед
>Что-то не так с этим?
Хрюкни
Там даже мою ОС не угадали. Так же не угудали мою видеокарту, разрешение экрана и местоположение. Но угадали количество ядер у процессора, что странно.
>жаваскрипт
И куки сюда же.
Можно как-то проанализировать скачанный с сайта производителя файл биоса?
По новым данным зонды в АМД были аж с 2006 года
https://3dnews.ru/1109264/uyazvimost-sinkclose-v-chipah-amd-moget-sdelat-millioni-kompyuterov-ne-podlegashchih-vosstanovleniyu/print
Ты скорее всего не прав.
У гигабайта была такая "гибрид ефи" - классический биос с добавлением какой-то залупы для возможности грузиться с 3тб дисков
И? Долго ждать когда эти мильон кампутеров сдохнет? Фейк на фейках.
чё терпеть-то, я же не амдаун хотя и планирую переезжать с интела, ибо он чёто посасывает в последнее время
Ну как (((им))) после этого верить?
Ну так что в итоге?
К чему пришли?
Давайте составим список железо подходящего под критерии "сборка без зондов"
А ещё? Из того, на чем можно браузер запустить и более-менее комфортно пользоваться интернетом
Ну-да ну-да
в интернетах было принято писать с маленькой буквы задолго до того, как тебе купили первый компьютер.
Качаем свежий биос, за пару наносекунд обрабатываем этим питон скриптом и вот уже его можно прошить, в большинстве случаев прямо через стандартную утилиту или внутренний интерфейс обновления. С гигой на H61 всё заняло не более пяти минут, и то я большую часть времени просто тупил и разбирался что там и как.
Потому что по слухам ранние версии МЕ (до 60-х чипсетов и Х79 включительно) полностью удаляются без me_cleaner (с ним только частично)
И ты забываешь об UEFI. Которая представляет стартующее до ОС ПО с низкоуровневым доступом к железу, имеет сетевой стек и возможностью самостоятельно устанавливать дополнительные модули
Потому что быдлу похуй?
>И ты забываешь об UEFI. Которая представляет стартующее до ОС ПО с низкоуровневым доступом к железу, имеет сетевой стек и возможностью самостоятельно устанавливать дополнительные модули
Так уефи не настолько анально закрытая хуйня в отличии от прошивки ME. Вон в хуанахах китайсы шьют какой-то полурабочий дефолт биос, который потом васяны хакают для разблокировки разгона.
Те же яйца только в профиль. Просто уефи не нужен какой-то отдельный скрытый процессор - она исполняется на cpu
> китайсы шьют какой-то полурабочий дефолт биос
собирают из разрозненных блобов один большой полурабочий блоб, лол
И как эта параша будет что-то там зондировать, если сама по себе еле работает?
Не нервничай )
Горение луркоёба со скобочки бесценно бггг
Для этого надо определится, а что собственно мы хотим исключить
Ну то есть список технологий, которые можно назвать условными зондами/бекдорами
Я начну
Нет, не с intel ME
Я начну с видеокарт, точнее технологий в них
Крайне сомнительные с точки зрения безопасности технологии в видеокартах:
Nvidia NVENC, AMD VCE, intel Quick Sync
Теоритически могут незаметно сжимать видеопоток и отсылать куда-то на сервера
Продолжайте
+ Регистры процессора - их много, за всеми не уследишь, там можно хранить украденные данные и пароли
+ AVX - очень быстрые паралельные инструкции ля кражи данных пока что то другое полезное работает
+ BIOS - моно записать троян и воровать данные прямо при загрузке
ShadowPlay использует возможности NVENC, как AMT использует возможности intel ME
Нет
хз, скорее всего из шины PCI, выцепляя данные с определённым IRQ / hardware interrupt.
тут нужен низкоуровневый байтоёб, который шарит за пекарни уровня 80386
Я вижу связь между удаленным доступом к рабочему столу и переносом встройки в процессор
Оп, а что мешает купить пятую малину? Или ты считаешь, что в ней тоже закладки?
Я не оп, но помоему она слишком слаба даже для инета
И да, в ARM, начиная с какого-то поколения, они тоже есть
Вообще, с точки зрения швабодки, одноплатники худший вариант
Если собрать дома шлюз на Pfsense и анально ограничить доступ железяк в глобальную сеть. Правила там, ну вот это всё.
iME жидко пукнет, если не сможет связаться с тем, чем надо. К примеру, если использовать запретительную логику и "запрещено всё кроме"?
>использовать запретительную логику и "запрещено всё кроме"
По каким критериям сортировать запросы? Вот в чем вопрос
Хз. Я так подозреваю что зависит от поколения iME. На старых такой трюк может сработать. Старые это старее сокета 1151
Точки нужны для разделения предложений. Где ты там видишь несколько предложений?
> Точки нужны для разделения предложений
Ты это говоришь потому, что у тебя выработался рефлекс: если видишь какое-то утверждение на Дваче (2ch.hk - Двач), то его нужно обязательно оспорить, засрать, спиздануть что-нибудь едкое, сказать что-нибудь наперекор. У тебя нет своего мнения, ты просто ходишь по Двачу (2ch.hk - Двач) и перечишь всем.
>Ты это говоришь потому, что у тебя выработался рефлекс: если видишь какое-то утверждение на Дваче (2ch.hk - Двач), то его нужно обязательно оспорить, засрать, спиздануть что-нибудь едкое, сказать что-нибудь наперекор
Ты это говоришь, потому что ты тупой зумер, которому взрослые дяди насрали в мозг, как будто бы ты в чем-то разбираешься. А я так говорю, потому что сообщаю факты. Очевидные для недолбоёбов, но не для тебя
> Ребёнок с клиповым мышлением не может выразить мысль одним постом. Я всегда говорил, что если говно не ставит точки в конце предложений, то это говно точно залетело из Телеграма, из Вконтакта, с Пикабу, из Твиттера, из Тиктока.
>точно залетело из Телеграма, из Вконтакта, с Пикабу, из Твиттера, из Тиктока
Это старый морской обычай, хуита ты тупая
>Ребёнок
С моей точки зрения ребенок ты
беспроводное управление выключенным компьютером, ммм каеф
ФБР и поддерживает террористов
Террористы это свиньи и жиды. Не путай
В материнских платах ПК - пока не обнаруживали
Террористы это хохлы
Долбоёбы, у меня пульт ДУ от полоумного телека с десяток лет подслушивает.
А по теме треда заведите отдельный комп/ноут без доступа к сети. Можете карту извлечь, порты физически заблокировать. У меня, к примеру, так ноутбук для прошивок отдельный заведён. Сношается с миром только через USB флешку.
Ну так твоя сетевая активность это тоже данные которые надо скрывать. В наше то неспокойное время.
А где можно найти старые версии кур-е-бута? Когда-то у него была поддержка кучи мамок. Но потом всё повыкидывали
на гитхабе лол
типа в целом в чем замысел железа открытого, если достаточно включить браузер, и вся информация потекла во все четыре стороны? а без js и куков 95% сайтов не работоспособны...
фиг с ними, пускай последят за умным человеком, может тож чему научатся
это местный алтфак с лурочки, не обращай внимания. он на всех мелкобукв триггерится.
ща ему всю дупу разворотит от твоей скобочки)
это я понял уже...
а про идею c фпга фаерволом кто что думает? потому что в готовом железе фактически гарантировать отсутствие зондов нельзя
"выносной" фаервол - это идеальное решение, потому что обычный софтовый фаервол на компе не защитит от бэкдоров в железе.
но этот отдельный фаервол должен как-то передавать данные обратно на комп, чтобы ты выбирал, разрешать подключение или нет. а откуда ему (и, соответственно, тебе) знать, что именно куда-то лезет? обычный софтовый фаервол в твоей операционной системе покажет, какая именно программа лезет на какой домен, а внешний фаервол может показать только сырые IP и порты.
то есть на компе должна быть вспомогательная программа, "агент", получающая от внешнего фаервола source IP и source port, и по этим данным угадывающая, какая именно из запущенных программ куда стучится.
не, надо просто логи виндового парсить на отдельном - и тогда понимать какая программа стучит куда...
>а про идею c фпга фаерволом кто что думает?
И где ты собрался держать в фпга таблицу соединений?
Нормальному keep-state фаерволу нужно проверять правильность последовательности syn-ack-fin, например.
Оператива нужна так или иначе.
я подозреваю, что он имел в виду реализовать процессор на фпга, вместо использования дефолтных пробэкдоренных армов и интелов.
Так если появляется оператива - то какой смысл упираться именно в фпга. У фпга применение для stateless задач.
Любой незашкваренный проц подойдёт.
так суть в том, что незашкваренных процов нет)))) незашкваренными можно считать только фпга, и то старые, в которые ещё не начали встраивать арм ядра.
> этот отдельный фаервол должен
Должен быть на доверенной платформе. То есть обычное железо из магазина не подходит, по крайней мере современное
>Любой незашкваренный проц подойдёт
Например? Список в студию. Там про АМД пишут что они с 2006 года того, зашкварены
могло произойти всё, что угодно.
если кто-то имеет физический доступ к твоему компу, то это уже не твой комп.
так он моим и не был никогда, просто интересно, что по факту могли сделать, по камерам не понятно, что происходило, но показалось что не смогли загрузиться с флешки...
> показалось что не смогли загрузиться с флешки...
очевидно пробэкдорили загрузчик для включения режима SMM когда надо или для подгрузки специального модуля ядра.
я хотел сначала пукнуть гринтекстом в стиле
> специально обученная для захождения в биос макака не смогла зайти в биос
но потом вспомнил, как наши доблестные стражи порядка выдают секретным агентам паспорта с номерами идущими подряд и понял, что макака действительно могла не осилить зайти в биос.
ну, никто ж в адеквате открытый биос не оставит на серваке, мимо которого все ходят...
https://aliexpress.ru/item/1005007094871497.html
https://aliexpress.ru/item/1005003058308095.html
https://aliexpress.ru/item/1005005983293718.html
https://aliexpress.ru/item/1005006850957542.html
>про идею c фпга фаерволом кто что думает?
Это слишком, как по мне. Но с тем что фаервол имеет смысл только если он внешний полностью согласен
Есть. Старые компы не содержат заведомых бекдоров
>>572447 (OP)
Бля.
Телевизоры Samsung и LG пойманы на слежке
Популярные среди россиян марки телевизоров Samsung и LG могут делать скриншоты того, что вы смотрите. Об этом сообщает американский ученый Яш Векария из Калифорнийского университета.
«Когда пользователь подключает свой ноутбук через HDMI, чтобы просто просматривать что-то на своем ноутбуке на большом экране, используя телевизор в качестве дисплея, он не подозревает, что его действия будут засняты», — передает слова Векария новостной портал iPhones.ru. Эти скриншоты используются, чтобы показывать людям таргетированную рекламу.
К таким выводам Векария пришел после проведенного исследования, в ходе которого ученые подключали телевизоры к своему серверу с программным обеспечением. Телевизоры Samsung могут делать снимки экрана каждые 500 миллисекунд, а телевизоры LG — каждые десять, выяснили исследователи.
По словам Векария, пользователи могут отказаться от такого отслеживания, однако это непростой процесс, так как опции, которые нужно отключить, во всех моделях разные
27.09.2024
https://ura.news/news/1052822738
Там такие как ты, вернись к своим
Тут ничего особо интересного по сравнению с другим случаем, когда лет 5-8 назад какие-то дешёвые китайские телевизоры транслировали изображение со встроенной вебки на специальный сайт для богатых китайских дрочеров. Я практически уверен что он существует до сих пор, и до сих пор там ведутся трансляции с любителями категории "топ за свои деньги".
>Телевизоры Samsung и LG пойманы на слежке
>Тут ничего особо интересного
Свинья на перекрытии, лол
Судя по интеловской пдфке на всех 40-х чипсетах кроме G41 есть Intel Remote Wake Technology (Intel RWT), который базируется на intel ME
Ведь говорили же что intel ME только в Q чипсетах
Осталось разобраться где именно наебали. Потому что пока не совсем понятно
Specifications
Manufacturer Gigabyte
Name GA-G41M-ES2L
Chipset Intel G41
Architecture x86_64
Original boot firmware AWARD BIOS
Intel ME/AMD PSP Present. Can be disabled
Почему они пишут что МЕ там есть, когда на Хабре и в Позитив Технолоджис утверждают что на G41 его нет?
МЕ присутствует на всех настольных компьютерах Intel, мобильных устройствах (ноутбуках) и серверных системах с середины 2006 года
Как так? Ведь в других местах утверждают что МЕ стали в обязательном порядке встраивать во все новые чипсеты только начиная с LGA1156 - а это 2009 год - а на LGA775 и LGA1366 он присутствовал только на некоторых платах, т.к. был необязательным компонентом.
Кто врёт?
> на Хабре
Джимми.жпг
> Позитив Технолоджис
данную конкретную мамку не ковыряли
> На сайте Либребут
данную конкретную мамку ковыряли, поэтому я бы доверял именно им, а не вышеуказанным.
>данную конкретную мамку не ковыряли
Они заявили что на 775 МЕ есть только на Q-чипсетах, на других нет.
А либребут заявляет что МЕ на всех чипсетах.
>данную конкретную мамку ковыряли, поэтому я бы доверял именно им, а не вышеуказанным
Тут есть непонятки. Там где МЕ гарантированное есть - на материнках с Q-чипсетами - там обычно большой (для времен 775 сокета) биос-чип - 16/32 Мb и сетевой чип практически всегда интеловский. В то время как на простых мамках биос 8Мb, иногда 4Mb, и очень редко (на некоторых платах высшего сегмента) - 16Мb.
А конкретно на этой биос 8Мb и сетевой чип реалтековский.
Нипонятна
Это-то понятно. Только какие конкретно жиды: интеловские, из позитив технолоджис или либребутовские?
ида про везде одинаковая
Как только речь заходит о приватности личной жизни или о каких-либо излучениях, появляется долбоёб-истеричка, и начинает орать про шизиков
Такое впечатление, что он нарочно пытается дискредитировать подобные темы.
Но почему?
Либо его заставляют их отрабатывать, и это ленивое хуйло не хочет работать, сидя на зарплате от народа. Либо он криворукий шпион, которому лишний раз жопу из машины вытащить лень, и прослушки что он стааит фонят, а под облучением стеновизора можно запекать яйца.
Всё потому что его взяли по блату на место, которого он не достоин, и ради сохранения оного он вовсе не старается работать лучше. Он пытается обесценить отношение к последствиям своего распиздяйства, лени, халатности и самодурства, визжа как свинья в интернете про шизиков.
В конкретно этом случае, он возможно, работает в психиатрии, где закармливает излишне проницательных и разумных нейролептиками, делая из них церебральных уродов.
Потому что сам урод на голову от рождения. Урод и неудачник, не сумевший получить нормального образования. И теперь спекулирует на ассоциации с нормальными врачами, напяливая белый халатик, который психиатру не нужен в работе, так как он не работает с телом пациента.
Ебучая дешёвая мартышка-вредитель.
> Как только речь заходит о приватности личной жизни или о каких-либо излучениях, появляется долбоёб-истеричка, и начинает орать про шизиков
Верные наблюдения.
> Либо его...
Неверные выводы.
Всё намного проще. Поведение таких вот анончиков, советующих принимать таблетки, объясняется пастой:
> Ты это говоришь потому, что у тебя выработался рефлекс: если видишь какое-то утверждение на Дваче (2ch.hk - Двач), то его нужно обязательно оспорить, засрать, спиздануть что-нибудь едкое, сказать что-нибудь наперекор. У тебя нет своего мнения, ты просто ходишь по Двачу (2ch.hk - Двач) и перечишь всем.
А ты недалеко ушёл от него, если веришь, что на Дваче (2ch.hk - Двач) сидят твои личные враги, обидчики, санитары и школьные травители.
Меня не травили в школе :)
Я сам задирал огромного второгодника.
А на дваче кто только не сидит.
Есть другой вариант: собрать любой компьютер и контролировать его сетевую активность свободным от зондов роутером. Плюсы - не ограничен в выборе железа и софта, все ограничения касаются роутера. Далее нужно написать программу, которая будет просматривать твою работу с браузером и автоматически добавлять нужные адреса в белый список на роутере.
Тебя забыл спросить, что мне делать, собака сутулая 😔😒😔
Почему бы не собрать слабенький ПК без зондов и использовать его как роутер?
> фаервол должен как-то передавать данные обратно на комп
Чёт меня тригернуло.
В виндоус есть network controller роль. Там довольно скудный набор access roles.
Но пусть у нас есть fw, на котором помимо классики и сигнатур и эвристики.. мы динамически поднимаем рулы с помощью сущности вроде нетворк контроллера.
Тогда ос, поднимая процесс и открывая сокет, должна передать этому контроллеру сигнатуру процесса, секурити контекст процесса и запрашиваемые им параметры коннекции, а контроллер должен принять решение - отправлять ли на fw запрос на создание рула для того, чтоб эта коннекция прошла.
Это ведь точно кто-то реализовал. Тут ведь суть примерно как при маркировки трафика для его приоритизации.
Ведь реализовали это уже, да?
Ну т.е., условно, если Иван в броузере идёт на порно сайт, то добро пожаловать.
А если локал систем, то нахуй иди, локал систему не положено на порно сайты ходить.
Ну а содинение без отождествления с процессом, ос их не зарепортила, это как бэкдорное hw можно о ранжировать.
Когда говорят про секурити, говорят про стандарты и комплаенс.
dod, disa, nist, fedramp, cmmc, noforn, dfars. 7580.1-2017, 152,153,63 фз, указ 250, 57580.1-2017, ФСТЭК 17, 21, 31, 239, ГОСТ 57580, 27001.
Тьма их.
И методы реализации scap, stig, mdm.
Ну может ещё про теорию.. модель белла-лападулы и прочее.
В 10х годах в банках свифтнет на виндоусах был, например. Сейчас может на касперскийос переходят.
Но ос это не особо важно в целом. В 80х были серьёзные попытки, они вылились в genode, phantomos, eros, но я не слышал, чтоб бизнес это использовал.
>>7142503
И главное, что fw может обратно с контроллером общаться. Например, Иван раз в час заходит на порно сайт и сессия всего на сотню килобайт, поднимаем скор подозрительности.
В принципе, самое близкое, что в голову приходит, это vxvlan, которые sdn рулятся по уровню пайпа приложений. Т.е. там сорс контекст - это контейнер, или вм-ка принадлежат одной группе, значит им можно поднять для связи канал.
А то что тот антоша придумал, это что-то в вроде - прикладывать к керберос тикету канал связи.
Вы видите копию треда, сохраненную 17 ноября в 16:35.
Скачать тред: только с превью, с превью и прикрепленными файлами.
Второй вариант может долго скачиваться. Файлы будут только в живых или недавно утонувших тредах. Подробнее
Если вам полезен архив М.Двача, пожертвуйте на оплату сервера.