Permalänk
Medlem
Skrivet av Petterk:

Gemalto har ingenting med BankID att göra. Du behöver inte betala extra för en klient som redan finns!

Om ingen ställer krav i rätt led så kommer inget att hända, så det krävs givetvis att någon entreprenör startar en bank och erbjuder andra lösningar för att de ska bli relevanta, och för att dessa ska finnas på marknaden. Utan detta får du inget Linux-stöd alls när det gäller legitimering och signering med e-legitimation, inte ens mot en enda bank eller kommersiellt företag. "Kör banken med sladdlös koddosa" leder absolut ingenstans när det gäller att stödja plattformen. Koddosor kommer också försvinna i framtiden.

Att som liten bank förmå Finansiell ID-Teknik BID AB att ändra sig och utveckla Linux-klient kan du inte argumentera emot, för det har ingen föreslagit.

E-legitimation som fungerar på x86-64-baserade Linux-datorer finns, det är bara att ingen bank använder det och den enda myndigheten som stödjer det är Skatteverket själva. Lösningen är knuten till smartkort också, i.a.f. på Linux då bara delen med stöd för smartkort stöds. Finns inget som hindrar dig från att vända dig till Gemalto och få till avtal om att ge ut smartkort med e-legitimation, använda dito för banken och således stödja Linux (x86-64) från dag ett utan koddosa eller mobilapp. Egentligen behöver du inget avtal med Gemalto, det är bara att få har Skatteverkets id-kort så det hade inte varit så användbart utan att kunna ge ut e-legitimation till kunderna. Swish kan du glömma utan Mobilt BankID däremot, men det gick t.ex. att använda Swish hos Forex innan de gav ut Mobilt BankID. Mastercard SecureCode och Verified by Visa, och MasterPass för den delen får du givetvis köra med kod över sms eller e-post också då folk inte bär med sig en dator med kortläsare hela tiden.

Finns egentligen ingen anledning att banken inte stödjer flera olika e-legitimationer dock, och du kanske hade kunnat aktivera Freja eID+ till att hantera kortköp, och utan att göra upp med ett företag som erbjuder digital brevlåda (eller starta en själv) så kommer ingen digital brevlåda stödja annat än BankID och Telia e-legitimation heller.

Utan någon som är beredd att göra allt detta så händer noll däremot.

Ok, då förstår jag din poäng. Jag har dock varken ekonomin, kunskaperna eller intresset som krävs för att driva en egen bank. Det är dock väldigt sant att någon måste börja någonstans.

Om någon känner för att genomföra ovan nämnda förändring kan denne vänta mig som potentiell kund, så mycket kan jag säga säkert.

Edit:

Skrivet av Petterk:

Vem ska de ens stämma?

Det får bankens juridikavdelning avgöra, men ett uppenbart mål skulle ju kunna tänkas vara polismyndigheten. Skadestånd till följd av tjänstefel?

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

Du siktar fortfarande på fel marknad. Librem 5 är inte riktad till de som vill ha ytterligare ett minimalt Linux-system med busybox och drivor av specialprogram för att lösa specialfunktioner.

Librem 5 är riktad till de som vill ha samma OS på telefonen som datorn. Underhåll av mjukvaran hänger alltså inte på Purism i det långa loppet. Naturligtvis står de för att leverera en fungerande produkt, men efter det är det samma organiska utvecklingscykel som för övriga skrivbordsdistar.

Jag är inte bekymrad eller har uttryckt något orosmoln när det gäller att stödja Librem 5, även om nyare kernels inte har stöd för enheten o.s.v. går det alltid att backporta säkerhetspatchar och andra funktioner. Däremot måste rätt typ av hårdvara finnas för att de ska kunna bygga en ersättare om några år, annars kommer det bara bli en ny Neo 1973/Freerunner som några tusen beundrar och som aldrig följs upp med något.

Jag skulle också säga att det inte gått särskilt bra för de FSF-godkända GNU/Linux-distributionerna. Problemet PureOS får är att de skrämmer bort alla som har hårdvara som kräver proprietära drivrutiner och/eller firmware, företaget har 27 anställda eller så och måste köra crowdfunding för all utveckling plus förlita sig på arbete andra redan gjort. Största problemet är att de inte gör något verkligen annorlunda mot tidigare misslyckade försök. Knappast någon skrivbords eller mobilrevolution de står får. Linux på skrivbordet är ungefär där det var på 90-talet, som andel har det absolut inte tagit fart.

Permalänk
Medlem
Skrivet av Djhg2000:

Edit:
Det får bankens juridikavdelning avgöra, men ett uppenbart mål skulle ju kunna tänkas vara polismyndigheten. Skadestånd till följd av tjänstefel?

Är du allvarlig?

Vill banken stämma någon så får de stämma bedragaren!

Permalänk
Medlem
Skrivet av Petterk:

Jag är inte bekymrad eller har uttryckt något orosmoln när det gäller att stödja Librem 5, även om nyare kernels inte har stöd för enheten o.s.v. går det alltid att backporta säkerhetspatchar och andra funktioner. Däremot måste rätt typ av hårdvara finnas för att de ska kunna bygga en ersättare om några år, annars kommer det bara bli en ny Neo 1973/Freerunner som några tusen beundrar och som aldrig följs upp med något.

De har ju valt just i.MX8M som SoC för att den redan har fullt stöd i mainline för all kritisk funktionalitet. Det var ju inte länge sedan det kom en officiell patch från annat håll som löste problemen med strömförbrukning. Alltså kommer du kunna köra senaste git-versionen av Linux fram tills i.MX8 blir en för gammal plattform för att vara relevant längre.

Ersättare behöver som sagt inte ens tillverkas av Purism.

Skrivet av Petterk:

Jag skulle också säga att det inte gått särskilt bra för de FSF-godkända GNU/Linux-distributionerna. Problemet PureOS får är att de skrämmer bort alla som har hårdvara som kräver proprietära drivrutiner och/eller firmware, företaget har 27 anställda eller så och måste köra crowdfunding för all utveckling plus förlita sig på arbete andra redan gjort. Största problemet är att de inte gör något verkligen annorlunda mot tidigare misslyckade försök. Knappast någon skrivbords eller mobilrevolution de står får. Linux på skrivbordet är ungefär där det var på 90-talet, som andel har det absolut inte tagit fart.

FSF-approved i all ära, men om jag kan leva med att köra Debian idag med enstaka proprietära paket skulle jag nog klara mig med motsvarande OS om ett par år.

Debian är ju inte FSF-approved heller: https://www.gnu.org/distros/common-distros.html

Drivare är var jag försöker hålla den strikta gränsen i dagsläget och redan där är det problematiskt på en PC. Librem 5 å andra sidan klarar det galant.

Skickades från m.sweclockers.com

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Petterk:

Är du allvarlig?

Vill banken stämma någon så får de stämma bedragaren!

Alltså, att de skulle ge sig efter bedragaren förutsätter jag till nivån att man inte ska behöva säga.

Poängen är att om polisen utfärdar ett illegitimt ID-kort går de inte skuldfria!

Skickades från m.sweclockers.com

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

Alltså, att de skulle ge sig efter bedragaren förutsätter jag till nivån att man inte ska behöva säga.

Poängen är att om polisen utfärdar ett illegitimt ID-kort går de inte skuldfria!

Klart som fan att de gör så vida de följt regelverket. Om de inte följt reglerna kommer ändå inget mer hända än att folk får sparken. Det är inte någon annans fel än bedragarens när någon utsätts för bedrägeri, det är en rättsstat vi lever i trotts allt.

Det är väl inte polisens fel om en bedragare går in på din bank och begår urkundsförfalskning för att kvitta ut en ny koddosa.

Godkända ID-kort ges också ut av företag som företagslegitimation, körkort ges ut av Transportstyrelsen. Klart banker inte kan gå efter Transportstyrelsen, Polismyndigheten, Skatteverket eller företaget som ger ut SiS-märkt företagslegitimation. Det är inte någon av dessa om begår brott mot banken.

Permalänk
Medlem
Skrivet av Djhg2000:

De har ju valt just i.MX8M som SoC för att den redan har fullt stöd i mainline för all kritisk funktionalitet. Det var ju inte länge sedan det kom en officiell patch från annat håll som löste problemen med strömförbrukning. Alltså kommer du kunna köra senaste git-versionen av Linux fram tills i.MX8 blir en för gammal plattform för att vara relevant längre.

Betyder inte att drivrutiner för plattformen kommer underhållas, utvecklas eller inte drabbas av regressioner. Mycket möjligt att de kommer köra "fryst" kernel och backporta det som behövs. Det är inget fel i sig, men det kräver resurser.

Permalänk
Medlem
Skrivet av Djhg2000:

Det bygger dock på på att hela kedjan med illegitimt ID-kort för att gå så pass långt. I det läget faller det tillbaka på polisen att återkalla ID-kortet och bankerna att få ersättning från staten. Min bank kan också intyga att jag inte har BankID utfärdat av dem vilket också sannolikt skulle hålla i domstol för att ogiltigförklara allt som är gjort genom BankID.

Det lär inte vara lätt för bedragaren att få ut ett BankID utan att vara kund i banken, så kommer finnas ett konto skrivet på dig i en annan bank. Så det måste då gå att bevisa att bedragaren skapat kontot i den andra banken och inte du.

Permalänk
Medlem
Skrivet av SAFA:

Det lär inte vara lätt för bedragaren att få ut ett BankID utan att vara kund i banken, så kommer finnas ett konto skrivet på dig i en annan bank. Så det måste då gå att bevisa att bedragaren skapat kontot i den andra banken och inte du.

Ja, men så vida han inte varit oaktsam med idhandlingar så får banken stå för eländet. Men banken kommer såklart inte omedelbart ge tillbaka dina pengar och den drabbade behöver polisanmäla, spärra, bestrida o.s.v. Du kan få hjälp och rådgivning genom hemförsäkringen för att bestrida, men det kommer ju vara en förlust vilket som då banken eller någon annan inte ersätter dig för brottet och tiden du behöver lägga ner. Drabbad blir man ju oavsett om det är av oaktsamhet eller ren identitetskapning som inte går att skydda sig mot, och oavsett om banken står för förlusten eller inte. Sårbarheten finns där oavsett om du kör koddosa, kortläsare eller Mobilt BankID för dina tjänster, och istället för att använda BankID kan de lika gärna gå in på banken och fixa en ny koddosa.

När de väl kan skapa BankID kan de också ändra din spärrade adress hos Skatteverket. De kan göra mycket skada och allt kommer bli mycket svårare att göra i framtiden då det kommer ligga massor spärrar i olika system. Massor aktörer kommer säkert se dig som en högre risk o.s.v. också. Det är lite värre än när kortet blir kapat.

Permalänk
Medlem
Skrivet av Petterk:

Ja, men så vida han inte varit oaktsam med idhandlingar så får banken stå för eländet. Men banken kommer såklart inte omedelbart ge tillbaka dina pengar och den drabbade behöver polisanmäla, spärra, bestrida o.s.v. Du kan få hjälp och rådgivning genom hemförsäkringen för att bestrida, men det kommer ju vara en förlust vilket som då banken eller någon annan inte ersätter dig för brottet och tiden du behöver lägga ner. Drabbad blir man ju oavsett om det är av oaktsamhet eller ren identitetskapning som inte går att skydda sig mot, och oavsett om banken står för förlusten eller inte. Sårbarheten finns där oavsett om du kör koddosa, kortläsare eller Mobilt BankID för dina tjänster, och istället för att använda BankID kan de lika gärna gå in på banken och fixa en ny koddosa.

När de väl kan skapa BankID kan de också ändra din spärrade adress hos Skatteverket. De kan göra mycket skada och allt kommer bli mycket svårare att göra i framtiden då det kommer ligga massor spärrar i olika system. Massor aktörer kommer säkert se dig som en högre risk o.s.v. också. Det är lite värre än när kortet blir kapat.

Så sant. Som tur är så (för mig) var första steget att vara kund i banken, beställa koddosa på ett kontor och sen kunde man beställa bankid vilket senare skulle aktiveras med en engångskod.

Om man nu kan ha bankid utan koddosa så kan bedragaren som lyckats skaffa ett i ditt namn då spärra ditt riktiga bankid. Dvs du kan inte kolla kontot eller göra nåt utan kontakta banken direkt. Sen om det är en bra strategi från bedragarens sida är en annan sak.

Permalänk
Medlem
Skrivet av SAFA:

Så sant. Som tur är så (för mig) var första steget att vara kund i banken, beställa koddosa på ett kontor och sen kunde man beställa bankid vilket senare skulle aktiveras med en engångskod.

Om man nu kan ha bankid utan koddosa så kan bedragaren som lyckats skaffa ett i ditt namn då spärra ditt riktiga bankid. Dvs du kan inte kolla kontot eller göra nåt utan kontakta banken direkt. Sen om det är en bra strategi från bedragarens sida är en annan sak.

De flesta banker kräver väl något förfarande för att aktivera användningen av Mobilt BankID i internetbanken. Stoppar ingen från att ändra adressen, söka lån o.s.v. Finns andra sätt också, du är sårbar även om bedragaren inte går in på samma bank och fixar ny koddosa. Det finns helt enkelt inget skydd. Finns ingen teknisk lösning som skulle skydda mot identitetsstöld och motiverade bedragare.

Permalänk
Medlem
Skrivet av Petterk:

Klart som fan att de gör så vida de följt regelverket. Om de inte följt reglerna kommer ändå inget mer hända än att folk får sparken. Det är inte någon annans fel än bedragarens när någon utsätts för bedrägeri, det är en rättsstat vi lever i trotts allt.

Tyvärr har du nog rätt på den punkten.

Skrivet av Petterk:

Det är väl inte polisens fel om en bedragare går in på din bank och begår urkundsförfalskning för att kvitta ut en ny koddosa.

Det är dock polisens fel om de utfärdar ett ID med din identitet till någon annan.

Skrivet av Petterk:

Godkända ID-kort ges också ut av företag som företagslegitimation, körkort ges ut av Transportstyrelsen. Klart banker inte kan gå efter Transportstyrelsen, Polismyndigheten, Skatteverket eller företaget som ger ut SiS-märkt företagslegitimation. Det är inte någon av dessa om begår brott mot banken.

Det är dock ett rejält steg upp från en anonym automatiserad attack mot BankID.

Skrivet av SAFA:

Det lär inte vara lätt för bedragaren att få ut ett BankID utan att vara kund i banken, så kommer finnas ett konto skrivet på dig i en annan bank. Så det måste då gå att bevisa att bedragaren skapat kontot i den andra banken och inte du.

Du menar såsom visuell identifiering från övervakningskameror, kriminalteknisk analys av namnteckningar och vittnesmål? Vi har redan system för att avslöja bedragare av denna kaliber.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Petterk:

Betyder inte att drivrutiner för plattformen kommer underhållas, utvecklas eller inte drabbas av regressioner. Mycket möjligt att de kommer köra "fryst" kernel och backporta det som behövs. Det är inget fel i sig, men det kräver resurser.

Det finns heller inget som tyder på att support i mainline-spåret av Linux kommer att försvinna omedelbart efter lansering. Eftersom stödet redan finns där måste det mycket till för att koden ska ryckas ur utan massor av förvarning.

Att köra en gammal version och portera säkerhetspatchar är bara något du gör om du är låst av proprietära drivare, det är så ofantligt mycket mer jobb än att bara köra den senaste versionen.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

Det finns heller inget som tyder på att support i mainline-spåret av Linux kommer att försvinna omedelbart efter lansering. Eftersom stödet redan finns där måste det mycket till för att koden ska ryckas ur utan massor av förvarning.

Att köra en gammal version och portera säkerhetspatchar är bara något du gör om du är låst av proprietära drivare, det är så ofantligt mycket mer jobb än att bara köra den senaste versionen.

Eftersom Linux inte har något API för drivrutiner och inför ny teknik med jämna mellanrum så är det såklart att Etnaviv kan bli inkompatibelt med nyare kernels eller drabbas av regressioner. Etnaviv utvecklas inte av kernelutvecklarna i stort, det är en handfull personer som jobbar med Etnaviv. Jag vet inte riktigt vad du vill säga här, jag har inte kritiserat programvarustödet för Librem 5, fortfarande. Enda jag varit kritisk mot är att de inte har någon väg mot framtiden och att Librem 5 riskerar att bli den enda telefonen.

Linuxdistributioner backportar grejer hela tiden, det har inget med proprietära drivrutiner att göra utan är normalt när man inte kör rullande dist. Även om PureOS är rullande distribution så applicerar de egna kernelpatchar. PureOS kör inte senaste kerneln från Debian testing i dagsläget eller för den delen inte senaste stabila, tror inte de planerar att göra det när det gäller Librem5 heller.

Permalänk
Medlem
Skrivet av Djhg2000:

Det är dock ett rejält steg upp från en anonym automatiserad attack mot BankID.

Det är betydligt enklare än att köra nätfiske eller utveckla MitB-malware, och sker dagligen.

Permalänk
Medlem
Skrivet av Petterk:

Eftersom Linux inte har något API för drivrutiner och inför ny teknik med jämna mellanrum så är det såklart att Etnaviv kan bli inkompatibelt med nyare kernels eller drabbas av regressioner. Etnaviv utvecklas inte av kernelutvecklarna i stort, det är en handfull personer som jobbar med Etnaviv. Jag vet inte riktigt vad du vill säga här, jag har inte kritiserat programvarustödet för Librem 5, fortfarande. Enda jag varit kritisk mot är att de inte har någon väg mot framtiden och att Librem 5 riskerar att bli den enda telefonen.

Nja, Linux har inget fast definierat API för drivrutiner, vilket jag antar är vad du menar. När en förändring görs i APIer brukar Linus vara rätt petig med att inte ha sönder saker. Etnaviv används inte bara i Librem 5 heller och såg utveckling redan med i.MX6 från annat håll, så den går nog säker de närmaste åren. När den till slut blir för bökig att ha kvar kommer det sannolikt finnas andra alternativ att gå över till.

Vill dock påminna om att PinePhone är en av huvudkandidaterna för min del eftersom Librem 5 saknar löstagbart batteri.

Skrivet av Petterk:

Linuxdistributioner backportar grejer hela tiden, det har inget med proprietära drivrutiner att göra utan är normalt när man inte kör rullande dist. Även om PureOS är rullande distribution så applicerar de egna kernelpatchar. PureOS kör inte senaste kerneln från Debian testing i dagsläget eller för den delen inte senaste stabila, tror inte de planerar att göra det när det gäller Librem5 heller.

Vad beträffar Linux är det huvudsakligen NVIDIA som är orsaken till äldre versioner med backports. Rullande distar verkar lösa det genom att antingen strunta i att de har sönder proprietära drivare eller ha tillräcklig tuggummikod för att lösa kompileringsfelen.

Kikade lite på en proprietär WiFi-drivare i Arch för ett par månader sedan och det var ju fulhack efter fulhack att få igång den i 4.20, bland annat interna systemanrop och implicit cast hejvilt. Men den kompilerade och drog igång kortet, vilket räckte för stackaren som har burken. Har i efterhand hört att den har "vissa" stabilitetsproblem.

Det finns ju också fall som Debian, kungen av backports, där gammla program fortsätter få säkerhetsuppdateringar. Det är ju dock för att Debian körs på så många kritiska system. Ska du ha en så pass stabil dist får du nöja dig med en gammal vältestad mjukvarustack.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Petterk:

Det är betydligt enklare än att köra nätfiske eller utveckla MitB-malware, och sker dagligen.

Det är jag inte så säker på. Illegitimt ID-kort är en riktad attack medan en automatiserad attack tar alla den kan. Risken att åka fast lär ju öka betydligt snabbare med tiden också.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

Nja, Linux har inget fast definierat API för drivrutiner, vilket jag antar är vad du menar. När en förändring görs i APIer brukar Linus vara rätt petig med att inte ha sönder saker. Etnaviv används inte bara i Librem 5 heller och såg utveckling redan med i.MX6 från annat håll, så den går nog säker de närmaste åren. När den till slut blir för bökig att ha kvar kommer det sannolikt finnas andra alternativ att gå över till.

Vill dock påminna om att PinePhone är en av huvudkandidaterna för min del eftersom Librem 5 saknar löstagbart batteri.

Skrivet av Djhg2000:

Det är jag inte så säker på. Illegitimt ID-kort är en riktad attack medan en automatiserad attack tar alla den kan. Risken att åka fast lär ju öka betydligt snabbare med tiden också.

Alltså Librem 5 har en gammal kernel – 4.18 – och kommer fortsätta ha en gammal kernel, de kommer komma med egna patchar oavsett vilken kernel de kör. När de patchar drivare så är det självklart fråga om backports/patchsets. Alltså gör de precis det jag misstänkte att de kunde behöva göra. Det är inte bara att ladda in en nyare kernel. Varken 4.18 eller 4.19 har etnaviv-stöd för iMX8. Stödet finns inte i mainline än när det gäller iMX8. Om de bestämmer sig för en uppföljare lär inte stödet finnas i mainline heller, och då blir de beroende av en massor olika faktorer för att faktiskt kunna få ut något.

Det finns ingen automatiserad attack, id-kapning sker dagligen däremot. Eller ja, du skulle kunna räkna en avancerad MitB/MITM-attack som sprids av sig själv som automatiserad, och det är betydligt svårare som sagt.

Permalänk
Medlem
Skrivet av Petterk:

Alltså Librem 5 har en gammal kernel – 4.18 – och kommer fortsätta ha en gammal kernel, de kommer komma med egna patchar oavsett vilken kernel de kör. När de patchar drivare så är det självklart fråga om backports/patchsets. Alltså gör de precis det jag misstänkte att de kunde behöva göra. Det är inte bara att ladda in en nyare kernel. Varken 4.18 eller 4.19 har etnaviv-stöd för iMX8. Stödet finns inte i mainline än när det gäller iMX8. Om de bestämmer sig för en uppföljare lär inte stödet finnas i mainline heller, och då blir de beroende av en massor olika faktorer för att faktiskt kunna få ut något.

Så du tycker att de ska köra en kontinuerlig rebase på varje ny kernel? Praxis är ju annars att utveckla mer eller mindre färdig kod först och uppdatera mot skillnaderna när du förbereder för att skicka patcharna uppåt. Vad jag kan se håller de fortfarande på att skriva drivare.

Att Librem 5 aldrig kommer att få stöd i mainline är dock helt och hållet FUD. Deras andra enheter har stöd i mainline Linux (och Coreboot) så att de skulle ge upp nu är bara pessimistisk spekulation.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Petterk:

Det finns ingen automatiserad attack, [...]

Det finns ingen offentligt känd automatiserad attack. De som är ute efter att sno pengar och identiteter brukar inte skriva hur de gör.

Skrivet av Petterk:

[...] id-kapning sker dagligen däremot. Eller ja, du skulle kunna räkna en avancerad MitB/MITM-attack som sprids av sig själv som automatiserad, och det är betydligt svårare som sagt.

ID-kapning genom fysiska ID-handlingar är dock något som det redan finns goda skydd mot och processer för att reda ut. BankID å andra sidan litas det blint på, den är ju "modern och säker".

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

Det finns ingen offentligt känd automatiserad attack. De som är ute efter att sno pengar och identiteter brukar inte skriva hur de gör.

ID-kapning genom fysiska ID-handlingar är dock något som det redan finns goda skydd mot och processer för att reda ut. BankID å andra sidan litas det blint på, den är ju "modern och säker".

Fast det är ju skitsnack. Varför tror du de infört QR-koder och GPS-stöd i BankID? Varför tror du de loggar IP-adresser? Det är ingen som blundar för risker eller litar blint på systemet.

Hade en bred attack skett så hade den varit känd eftersom folk hade drabbats. Sen jo, brottslingars metoder hålls inte hemliga utan de har ekonomiska intressen av att lära ut metoderna.

De breda sårbarheterna som finns är social manipulation och identitetskapning. Dessa drabbar BankID-användare, koddose-användare, och för den delen de som inte ens använder internetbanken. De är så lätta att göra att man inte behöver vara något högvärdigt mål och det finns inget skydd mot det sistnämnda. Det går inte att jämföra hypotetiska attacker mot riktiga attacker och säga att den som inte finns är enklare än de som finns som vem som helst klarar av att utföra.

Permalänk
Medlem
Skrivet av Djhg2000:

Så du tycker att de ska köra en kontinuerlig rebase på varje ny kernel? Praxis är ju annars att utveckla mer eller mindre färdig kod först och uppdatera mot skillnaderna när du förbereder för att skicka patcharna uppåt. Vad jag kan se håller de fortfarande på att skriva drivare.

Att Librem 5 aldrig kommer att få stöd i mainline är dock helt och hållet FUD. Deras andra enheter har stöd i mainline Linux (och Coreboot) så att de skulle ge upp nu är bara pessimistisk spekulation.

Det är för h* helt oviktigt om stöd finns i mainline om två år, jag har fortfarande inte kritiserat Librem 5 och dess programvara. Det är för den delen inte Purism som bestämmer vad som ska inkluderas i Linux. Det intressanta är om de har resurser att göra motsvarande utveckling för nästa telefon med ny hårdvara. Skrev om det för att du antydde att de hade bredare stöd för iMX8 i mainline än de har, hade stöd funnits i den omfattningen hade de kunnat köra senaste kernel.

Purism kommer fortsätta köra med patchar/backporta och fortsätta köra kernel flera versioner efter senaste. Det är vad de själva sagt. Även om allt kommer i Linux (mainline) så betyder det inte att man inte får regressioner vid nya versioner eller att man kommer hoppa på nya versioner direkt.

Vad som skett med deras andra enheter är oviktigt i sammanhanget, de kör hårdvara ett större community utvecklar för. Påståendet jag vände mig emot är att mainlinestöd redan skulle finnas, det finns varken för iMX8 med proprietära drivrutiner eller med etnatviv i dagsläget. Det är väl kul om man enkelt kan köra andra distar på Librem 5 om ett par år också, men det är då.

Jag har inte påstått att stödet aldrig kommer till mainline för iMX8, så ditt svar är helt i hållet ett argumentationsfel tyvärr.

Permalänk
Medlem
Skrivet av Petterk:

Varför tror du de infört QR-koder och GPS-stöd i BankID?

GPS-stöd är den största högen lejonpulver jag har hört. Det tillför absolut noll till säkerheten och det krävs en särskild sorts idiot till angripare för att skicka något annat än polerna eller stilla havet som koordinater.

QR-koder är fortfarande inte en riktig lösning på problemet heller.

Skrivet av Petterk:

Varför tror du de loggar IP-adresser?

För att det vore kolossalt dumt att inte göra det? Det betyder däremot inte att informationen leder särskilt långt.

Skrivet av Petterk:

Det är ingen som blundar för risker eller litar blint på systemet.

Det finns massor av användare som bara litar på att det är säkert eftersom bankerna kör det.

Skrivet av Petterk:

Hade en bred attack skett så hade den varit känd eftersom folk hade drabbats.

Bara om den hade varit tillräckligt bred för att nå större nyhetsvärde än vad som går att tysta ned med kompensation.

Skrivet av Petterk:

Sen jo, brottslingars metoder hålls inte hemliga utan de har ekonomiska intressen av att lära ut metoderna.

De som säljer attacker har ett egenintresse av att ingen annan kan göra det billigare, så din logik går inte ihop där.

Skrivet av Petterk:

De breda sårbarheterna som finns är social manipulation och identitetskapning.

Jo tack, det är därför ämnet rörde sig om identitetskapning via BankID tills du drog in falska ID-kort. Hela den diskussionen har varit ett moment 22 redan från början.

Skrivet av Petterk:

Dessa drabbar BankID-användare, koddose-användare, och för den delen de som inte ens använder internetbanken. De är så lätta att göra att man inte behöver vara något högvärdigt mål och det finns inget skydd mot det sistnämnda.

Eftersom du äntligen har konstaterat att de inte är relevanta för frågan, skulle vi kunna sluta diskutera dem då?

Skrivet av Petterk:

Det går inte att jämföra hypotetiska attacker mot riktiga attacker [...]

Klart det går. Till exempel; varför tror du att det blev sådan panik att täppa igen hålen i spekulativ exekvering när det inte hade hittats någon attack ute i det vilda?

Skrivet av Petterk:

[...] och säga att den som inte finns är enklare än de som finns som vem som helst klarar av att utföra.

Du blandar äpplen och päron. Det är ju inte samma grupp av brottslingar som sysslar med säkerhetshål i mjukvara och att lura till sig andras ID från poliser. Ska man vara petig kan "vem som helst" köra brute force också, och så behöver man inte ens gå utanför dörren.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

GPS-stöd är den största högen lejonpulver jag har hört. Det tillför absolut noll till säkerheten och det krävs en särskild sorts idiot till angripare för att skicka något annat än polerna eller stilla havet som koordinater.

Och det skulle ju vara en utmärkt ledtråd till att legitimering/signering i det fallet inte är legitim, om du nu är orolig att banken skulle påstå något annat.

Sluta snuttifiera åt helvete för fan. Meltdown, Foreshadow och Spectre är avslöjade (demonstrerade) sårbarheter, inte påhittade sårbarheter. Konspirationsteorier kan du ta i någon tråd som handlar om dito. Att en bedragare kan beställa BankID i ditt namn med hjälp av id-kort i ditt namn istället för att kapa ditt BankID eller lura dig är relevant till tråden, det är en av de största riskerna med lösningen. Du säger emot dig själv i ditt inlägg t.o.m. så du ska nog inte prata om logik.

Skrivet av Djhg2000:

Det finns massor av användare som bara litar på att det är säkert eftersom bankerna kör det.

Ditt egna inlägg tog inte upp kundernas tillit, jag har inte nämnt kundernas tillit – så detta är bara en halmdocka. Du argumenterar mot påhittade ståndpunkter.

Permalänk
Medlem
Skrivet av Petterk:

Det är för h* helt oviktigt om stöd finns i mainline om två år, jag har fortfarande inte kritiserat Librem 5 och dess programvara.

Du säger det, men samtidig säger du också:

Skrivet av Petterk:

Betyder inte att drivrutiner för plattformen kommer underhållas, utvecklas eller inte drabbas av regressioner. Mycket möjligt att de kommer köra "fryst" kernel och backporta det som behövs. Det är inget fel i sig, men det kräver resurser.

Skrivet av Petterk:

Jag skulle också säga att det inte gått särskilt bra för de FSF-godkända GNU/Linux-distributionerna. Problemet PureOS får är att de skrämmer bort alla som har hårdvara som kräver proprietära drivrutiner och/eller firmware, företaget har 27 anställda eller så och måste köra crowdfunding för all utveckling plus förlita sig på arbete andra redan gjort. Största problemet är att de inte gör något verkligen annorlunda mot tidigare misslyckade försök. Knappast någon skrivbords eller mobilrevolution de står får. Linux på skrivbordet är ungefär där det var på 90-talet, som andel har det absolut inte tagit fart.

Skrivet av Petterk:

Alltså Librem 5 har en gammal kernel – 4.18 – och kommer fortsätta ha en gammal kernel, de kommer komma med egna patchar oavsett vilken kernel de kör. När de patchar drivare så är det självklart fråga om backports/patchsets. Alltså gör de precis det jag misstänkte att de kunde behöva göra. Det är inte bara att ladda in en nyare kernel. Varken 4.18 eller 4.19 har etnaviv-stöd för iMX8. Stödet finns inte i mainline än när det gäller iMX8. Om de bestämmer sig för en uppföljare lär inte stödet finnas i mainline heller, och då blir de beroende av en massor olika faktorer för att faktiskt kunna få ut något.

Och mer kritik ger du dem en bit ner. Lite svårt att ta dig seriöst när du säger mot dig själv i samma inlägg.

Skrivet av Petterk:

Det är för den delen inte Purism som bestämmer vad som ska inkluderas i Linux.

Nej, men det är det väl ingen som har sagt heller?

Skrivet av Petterk:

Det intressanta är om de har resurser att göra motsvarande utveckling för nästa telefon med ny hårdvara.

På någon nivå är det väl intressant, men inte särskilt relevant i dagsläget.

Skrivet av Petterk:

Skrev om det för att du antydde att de hade bredare stöd för iMX8 i mainline än de har, hade stöd funnits i den omfattningen hade de kunnat köra senaste kernel.

Stödet för i.MX8 som SoC finns det patchar för och är sakta men säkert på väg in i git, Etnaviv har stöd för GC7000 vilket är vad i.MX8 använder, Debian har Mesa med preliminärt stöd för Etnaviv på i.MX8. Det enda som saknas i mainline är en liten drivare för att brygga gapet mellan hårdvaran och libdrm, och det är här du ska hålla ögonen för att se när den kommer. Mainline bootar redan idag på en i.MX8 men telefonen är ju lite tråkig utan grafik.

Att de sedan kan köra mainline är inte samma sak som att det är en bra idé att vänta tills koden finns där innan man trycker det vidare till PureOS. Kunderna lär ju prioritera att sakerna fungerar bra först och finns i mainline senare, eller hur?

Skrivet av Petterk:

Purism kommer fortsätta köra med patchar/backporta och fortsätta köra kernel flera versioner efter senaste. Det är vad de själva sagt. Även om allt kommer i Linux (mainline) så betyder det inte att man inte får regressioner vid nya versioner eller att man kommer hoppa på nya versioner direkt.

Nu börjar du kritisera hur de kommer att hantera utvecklingen igen baserat på din spekulation. Rimligen vill de vara någorlunda i synk med vad Debian har för att inte behöva sitta och handplocka paketspecifikationer från "stable", "testing" och "unstable". Oavsett är det ändå inte samma sak som att det bara är deras OS som fungerar på telefonen, PostmarketOS till exempel har ju redan börjat arbeta på stöd i sitt träd.

Skrivet av Petterk:

Vad som skett med deras andra enheter är oviktigt i sammanhanget, de kör hårdvara ett större community utvecklar för.

Hur stor community som utvecklar för hårdvaran är irrelevant när det var Purism själva som skickade in koden!

Skrivet av Petterk:

Påståendet jag vände mig emot är att mainlinestöd redan skulle finnas, det finns varken för iMX8 med proprietära drivrutiner eller med etnatviv i dagsläget.

Mainline som sagt bootar redan idag, men den är ganska tråkig på en telefon utan grafik. Om du tar patcharna för DRM från Purisms träd kan du köra mainline med grafik också.

Skrivet av Petterk:

Det är väl kul om man enkelt kan köra andra distar på Librem 5 om ett par år också, men det är då.

Ubuntu Touch och PostmarketOS har redan börjat på stödet, så jag ser den kommentaren som ganska dåligt grundad.

Skrivet av Petterk:

Jag har inte påstått att stödet aldrig kommer till mainline för iMX8, så ditt svar är helt i hållet ett argumentationsfel tyvärr.

Du har dock i din kritik antytt en grov avsaknad av förtroende för deras utvecklingsprocedur. Du har inte ordagrant sagt det, men du kan ju inte påstå att det är en orimlig tolkning av linjen du har kört på.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Petterk:

Och det skulle ju vara en utmärkt ledtråd till att legitimering/signering i det fallet inte är legitim, om du nu är orolig att banken skulle påstå något annat.

Och vad tror du händer när man inte ger telefonappen tillgång till GPS?

Skrivet av Petterk:

Sluta snuttifiera åt helvete för fan. Meltdown, Foreshadow och Spectre är avslöjade (demonstrerade) sårbarheter, inte påhittade sårbarheter.

Att dela upp dina inlägg är nödvändigt när du tar så många långa sidospår och samlar ihop dem till ett stycke.

Svordomar gör inte argumenten bättre heller. I detta fall har du spenderat så mycket mer tid åt språkmissbruk än att formulera ett argument att texten du svarar på har försvunnit. Du vet också mycket väl vad jag menade med det jag skrev; hur tror du de kom på att ens undersöka exemplet? Tror du de var trötta på att rulla tummarna och slumpmässigt testade saker eller för att de satt och tänkte igenom potentiella problem?

Skrivet av Petterk:

Konspirationsteorier kan du ta i någon tråd som handlar om dito.

Nu är du bara ute och cyklar med halmgubbar. Vad skulle denna "konspirationsteori" vara?

Skrivet av Petterk:

Att en bedragare kan beställa BankID i ditt namn med hjälp av id-kort i ditt namn istället för att kapa ditt BankID eller lura dig är relevant till tråden, det är en av de största riskerna med lösningen.

Det är också en risk med samtliga lösningar. Att diskutera den i detalj är bara textutfyllnad.

Skrivet av Petterk:

Du säger emot dig själv i ditt inlägg t.o.m. så du ska nog inte prata om logik.

Utan något citat kan du påstå vad som helst, men det gör inte att det är sant.

Skrivet av Petterk:

Ditt egna inlägg tog inte upp kundernas tillit, jag har inte nämnt kundernas tillit – så detta är bara en halmdocka.

Det är väl synd att du har så stora problem att tolka vad jag säger, men det är faktiskt inte mitt problem när du konstant försöker vantolka dig fram till att du alltid har rätt.

Skrivet av Petterk:

Du argumenterar mot påhittade ståndpunkter.

Jag kan försäkra dig om att det inte är medvetet. Om du lugnt och samlat förklarar ordentligt istället för att sänka dig ner till vredesutbrott går diskussionen lättare för oss båda.

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Djhg2000:

Och vad tror du händer när man inte ger telefonappen tillgång till GPS?

Att dela upp dina inlägg är nödvändigt när du tar så många långa sidospår och samlar ihop dem till ett stycke.

Svordomar gör inte argumenten bättre heller. I detta fall har du spenderat så mycket mer tid åt språkmissbruk än att formulera ett argument att texten du svarar på har försvunnit. Du vet också mycket väl vad jag menade med det jag skrev; hur tror du de kom på att ens undersöka exemplet? Tror du de var trötta på att rulla tummarna och slumpmässigt testade saker eller för att de satt och tänkte igenom potentiella problem?

Nu är du bara ute och cyklar med halmgubbar. Vad skulle denna "konspirationsteori" vara?

Det är också en risk med samtliga lösningar. Att diskutera den i detalj är bara textutfyllnad.

Utan något citat kan du påstå vad som helst, men det gör inte att det är sant.

Det är väl synd att du har så stora problem att tolka vad jag säger, men det är faktiskt inte mitt problem när du konstant försöker vantolka dig fram till att du alltid har rätt.

Jag kan försäkra dig om att det inte är medvetet. Om du lugnt och samlat förklarar ordentligt istället för att sänka dig ner till vredesutbrott går diskussionen lättare för oss båda.

Alltså sluta snuttifiera det hjälper dig inte. Inlägget du citerade var inte långt, innehöll inte nio olika spår och det du citerar har i flera fall inget med dina svar att göra. Du behöver inte kasta ut spydiga kommentarer, jag vet inte vad du menade när du tar upp demonstrerade säkerhetshål och likställer med påhittade.

Dina spekulationer om att folk drabbade av hypotetiska säkerhetshål tystas ner är konspirationer och inget argument.

Skrivet av Djhg2000:

Det är väl synd att du har så stora problem att tolka vad jag säger, men det är faktiskt inte mitt problem när du konstant försöker vantolka dig fram till att du alltid har rätt.

Skrivet av Djhg2000:

Jag kan försäkra dig om att det inte är medvetet. Om du lugnt och samlat förklarar ordentligt istället för att sänka dig ner till vredesutbrott går diskussionen lättare för oss båda.

Jag kan bara gå efter vad du säger vilket var (min fetning) –

Skrivet av Djhg2000:

ID-kapning genom fysiska ID-handlingar är dock något som det redan finns goda skydd mot och processer för att reda ut. BankID å andra sidan litas det blint på, den är ju "modern och säker".

Mitt svar var att det inte alls litas blint på BankID, ditt svar var –

Skrivet av Djhg2000:

Det finns massor av användare som bara litar på att det är säkert eftersom bankerna kör det.

Nästa stycke.

Skrivet av Djhg2000:

Utan något citat kan du påstå vad som helst, men det gör inte att det är sant.

Antingen har de egenintresse av att hålla på attackmetoderna eller så har de inte, har de intresse av att hemlighålla kommer inte din andra del här under vara sann.

Skrivet av Djhg2000:

De som säljer attacker har ett egenintresse av att ingen annan kan göra det billigare, så din logik går inte ihop där.

Skrivet av Djhg2000:

Du blandar äpplen och päron. Det är ju inte samma grupp av brottslingar som sysslar med säkerhetshål i mjukvara och att lura till sig andras ID från poliser. Ska man vara petig kan "vem som helst" köra brute force också, och så behöver man inte ens gå utanför dörren.

Ger man inte programmet tillgång till GPS när de som integrerat BankID i sin plattform kräver GPS kan du helt enkelt inte legitimera dig eller signera något.

Permalänk
Medlem
Skrivet av Djhg2000:

Du säger det, men samtidig säger du också:

Och mer kritik ger du dem en bit ner. Lite svårt att ta dig seriöst när du säger mot dig själv i samma inlägg.

Samma inlägg? En uppföljare syftar såklart på en telefon med en annan SoC än iMX8.

Skrivet av Djhg2000:

Nej, men det är det väl ingen som har sagt heller?

Du har bokstavligen sagt att man kommer kunna köra mainline. Skrivet av @Djhg2000: "Alltså kommer du kunna köra senaste git-versionen av Linux fram tills i.MX8 blir en för gammal plattform för att vara relevant längre." (#17860167)

Skrivet av Djhg2000:

På någon nivå är det väl intressant, men inte särskilt relevant i dagsläget.

Frågan var ju om de gör något annorlunda där enheter som Neo 1973/Freerunner misslyckades. En plattform som leder till fler enheter borde vara intressantare än en som inte gör det.

Skrivet av Djhg2000:

Stödet för i.MX8 som SoC finns det patchar för och är sakta men säkert på väg in i git, Etnaviv har stöd för GC7000 vilket är vad i.MX8 använder, Debian har Mesa med preliminärt stöd för Etnaviv på i.MX8. Det enda som saknas i mainline är en liten drivare för att brygga gapet mellan hårdvaran och libdrm, och det är här du ska hålla ögonen för att se när den kommer. Mainline bootar redan idag på en i.MX8 men telefonen är ju lite tråkig utan grafik.

Att de sedan kan köra mainline är inte samma sak som att det är en bra idé att vänta tills koden finns där innan man trycker det vidare till PureOS. Kunderna lär ju prioritera att sakerna fungerar bra först och finns i mainline senare, eller hur?

Nu börjar du kritisera hur de kommer att hantera utvecklingen igen baserat på din spekulation. Rimligen vill de vara någorlunda i synk med vad Debian har för att inte behöva sitta och handplocka paketspecifikationer från "stable", "testing" och "unstable". Oavsett är det ändå inte samma sak som att det bara är deras OS som fungerar på telefonen, PostmarketOS till exempel har ju redan börjat arbeta på stöd i sitt träd.

Jag har inte påstått att bara deras OS fungerar.

Spekulerades om att iMX8 skulle få stöd av mainline för ett år sedan, men har ännu inte fått det. Libdrm är del av kerneln givetvis.

NXP har försökt skickat in drivers/soc/imx/soc-imx8.c några gånger, och den finns fortfarande inte i utvecklingsgrenen av kerneln så den har inte accepterats. Den finns givetvis i deras egna kernel och hos de som försöker stödja iMX8. När något blir mainline och i vilken omfattning är omöjligt att säga.

Skrivet av Djhg2000:

Hur stor community som utvecklar för hårdvaran är irrelevant när det var Purism själva som skickade in koden!

Purism har inte utvecklat Coreboot eller Libreboot, inte heller har de listat ut hur man avaktiverar Intel ME.

Skrivet av Djhg2000:

Mainline som sagt bootar redan idag, men den är ganska tråkig på en telefon utan grafik. Om du tar patcharna för DRM från Purisms träd kan du köra mainline med grafik också.

Skrivet av Djhg2000:

Ubuntu Touch och PostmarketOS har redan börjat på stödet, så jag ser den kommentaren som ganska dåligt grundad.

Syftar givetvis på distributioner som inte har en stor patchset för att få plattformen att fungera. Enkelt var ordet.

Skrivet av Djhg2000:

Du har dock i din kritik antytt en grov avsaknad av förtroende för deras utvecklingsprocedur. Du har inte ordagrant sagt det, men du kan ju inte påstå att det är en orimlig tolkning av linjen du har kört på.

Det är en orimlig tolkning.

Permalänk
Medlem
Skrivet av Petterk:

Du behöver inte kasta ut spydiga kommentarer, [...]

Ber om ursäkt för övertrampet. Det tar på nerverna att läsa vad jag tolkar som väldigt arga inlägg.

Skrivet av Petterk:

[...] jag vet inte vad du menade när du tar upp demonstrerade säkerhetshål och likställer med påhittade.

Det jag menade var att säkerhetsforskarna som hittade hålen i spekulativ exekvering med högsta sannolikhet började i änden att tänka igenom vad det är som processorn egentligen gör. Efter det är det en kombination av att börja testa idéer på var svagheter kan finnas och analysera varje detalj.

På samma sätt menar jag att Mobilt BankID har ett uppenbart ställe att börja på. Från det är det bara att spåna vidare tills man hittar något. Nu förutsätter jag att de har haft in experter som läser igenom koden och letar hål, men det är lätt att glömma att samtliga missade något så kritiskt som spekulativ exekvering i nästan två decennier. x86 lär ju vara en av de hårdast granskade processorfamiljerna så Mobilt BankID (eller vanliga BankID för den saken) ligger långt efter i bevisad säkerhet.

Skrivet av Petterk:

Dina spekulationer om att folk drabbade av hypotetiska säkerhetshål tystas ner är konspirationer och inget argument.

Jag syftade alltså på de fall där ett intrång upptäcks, kunden informeras, kunden får full ersättning samma dag, och kunden tycker att de arbetade snabbt och effektivt istället för att tala om för alla att hans konto tillfälligt saknade pengar/tappade möjlighet att logga in/etc.

Det är inget utbyte av pengar för att de ska hålla tyst eller så, det är bara i människans lata natur att inte göra en stor sak av problem som löser sig snabbt.

Skrivet av Petterk:

Jag kan bara gå efter vad du säger vilket var (min fetning) –

Mitt svar var att det inte alls litas blint på BankID, ditt svar var –

Nästa stycke.

Det är ju användarna som håller i ryktet och i förlängningen vad alla andra tycker också. Windows skulle kunna användas som exempel här; de flesta tycker att det fungerar bra, vilket leder till att de rekommenderar Windows, vilket leder till att fler kör Windows, vilket leder till att fler tycker att det fungerar bra, etc.

Att Windows innehåller massor av dåliga påhitt såsom automatisk uppdatering av drivrutiner utan förvarning, har reklam i startmenyn, skickar "telemetri" tillbaka till Microsoft, etc. spelar ingen roll, den allmänna bilden av Windows är att det fungerar bra. Det är därför som också så gott som alla företag på ett eller annat sätt behöver köpa in Windows; alla vet ju att det fungerar bra. Ryktet är helt enkelt ett väldigt kraftfullt marknadsföringsverktyg.

Skrivet av Petterk:

Antingen har de egenintresse av att hålla på attackmetoderna eller så har de inte, har de intresse av att hemlighålla kommer inte din andra del här under vara sann.

Nej nu har du missförstått igen. De jag pratar om är de som säljer attacker som i "hyr in min kod för att få ut minst X antal identiteter och/eller Y pengar", inte de som säljer attacker som i "för Z Bitcoins får du en 0-day". Den tidigare vill definitivt inte att attacken sprider sig bortom deras kontroll, den andra hoppas bara på att sälja koden så många gånger som möjligt innan den börjar sprida sig från kunderna.

Skrivet av Petterk:

Ger man inte programmet tillgång till GPS när de som integrerat BankID i sin plattform kräver GPS kan du helt enkelt inte legitimera dig eller signera något.

Konstigt, har hört om minst en som har nekat GPS till appen. Vet att CyanogenMod vid ett tillfälle kunde ge appar dummydata istället, kan det vara något åt det hållet?

typo
Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810

Permalänk
Medlem
Skrivet av Petterk:

Samma inlägg? En uppföljare syftar såklart på en telefon med en annan SoC än iMX8.

Med samma inlägg avses alltså hur du påstår att du inte kritiserar "Librem 5 och dess programvara", samtidigt som du går in på hur du har tvivel på hur mjukvaran kommer att underhållas. Hur är det inte kritik av mjukvaran?

Uppföljare är det svårt att kommentera om innan den första ens är släppt.

Skrivet av Petterk:

Du har bokstavligen sagt att man kommer kunna köra mainline. Skrivet av @Djhg2000: "Alltså kommer du kunna köra senaste git-versionen av Linux fram tills i.MX8 blir en för gammal plattform för att vara relevant längre." (#17860167)

Det har varit deras plan mer eller mindre hela tiden. Vad jag kan se är de väldigt nära att redan nu innan lanseringen ha en användbar enhet med mainline, det saknas ju som sagt bara pusselbiten DRM för i.MX8 där och den drivaren är redan i fungerande skick i deras träd. Saknas bara att David Arlie godkänner patcharna när de kommer.

Senast en stor drivrutin försvann ur Linux var det ju XGI för att den hade levt i staging i flera år utan att någon tog ansvar att hålla den uppdaterad. Även om DRM för i.MX8 skulle hamna i samma situation så håller koden ändå längre än vad medianexemplaret av telefonen sannolikt klarar.

Skrivet av Petterk:

Frågan var ju om de gör något annorlunda där enheter som Neo 1973/Freerunner misslyckades. En plattform som leder till fler enheter borde vara intressantare än en som inte gör det.

En sak de gör annorlunda från tidigare försök är att du idag kan hämta en fungerande image och köra i en VM, alternativt kompilera en egen med deras egna händiga verktyg. Om de kommer så långt att Librem 5 hittar ut på marknaden kommer proprietär mjukvara inte att vara en av problemen.

Skrivet av Petterk:

Jag har inte påstått att bara deras OS fungerar.

Spekulerades om att iMX8 skulle få stöd av mainline för ett år sedan, men har ännu inte fått det. Libdrm är del av kerneln givetvis.

NXP har försökt skickat in drivers/soc/imx/soc-imx8.c några gånger, och den finns fortfarande inte i utvecklingsgrenen av kerneln så den har inte accepterats. Den finns givetvis i deras egna kernel och hos de som försöker stödja iMX8. När något blir mainline och i vilken omfattning är omöjligt att säga.

Så ditt tvivel på den punkten baseras på att NXP inte har fått ihop tillräckligt bra kod för att Torvalds ska acceptera den än? Låter som du har lite bättre grund för kritiken då i alla fall. Jag är hyfsat säker på att Purism kommer att lösa problemet åt dem om de tar för lång tid på sig. Inte nödvändigtvis genom att Purisms egna utvecklare reder ut det heller, utan även möjligheten att produkten får med några tillräckligt engagerade utvecklare för att städa upp drivaren någon tråkig helg.

Skrivet av Petterk:

Purism har inte utvecklat Coreboot eller Libreboot, inte heller har de listat ut hur man avaktiverar Intel ME.

Fast koden som de har skickat in har de utvecklat, och det är vad som räknas. Förstår inte riktigt hur Libreboot och hur man avaktiverar Intel ME kom in i bilden där.

Skrivet av Petterk:

Syftar givetvis på distributioner som inte har en stor patchset för att få plattformen att fungera. Enkelt var ordet.

Ubuntu Touch har ett installationsverktyg som vandrar dig genom stegen för att installera operativsystemet på en ny enhet. Tyvärr dog min testlur för Ubuntu Touch för ett år sedan så har inte testat den senaste versionen, men det var väldigt smidigt senaste gången.

Skrivet av Petterk:

Det är en orimlig tolkning.

Från ditt perspektiv ja, men du måste väl medge att med allt du har sagt omkring hur i.MX8 inte har stöd i mainline är det lätt att få det intrycket. Även om jag är mer optimistisk tror jag att jag förstår hur du ser på det nu.

Känner dock att jag måste fråga; du verkar mer påläst om Librem 5 än jag fick intrycket av tidigare, är det Google-fu eller har du också haft koll på den sedan tidigare?

Visa signatur

Mjölnir: Ryzen 9 3900X | X570-I | Ballistix Sport 32GB | Powercolor RX 5500XT 4GB ITX | Kolink Sattelite
Server: Ryzen 5 1400 | X470-F | Ballistix Sport 24GB | ASUS HD 7790 2GB | Sapphire RX 470 8GB ME | NZXT Switch 810