Vlákno názorů k článku
Nové notebooky s AMD nabootují ve výchozím nastavení jen Windows od Mmmartan - Nic nového... Kdo chce Linux, tak si se...

Nie v každom to ide...

Na to je jednoduchá rada - kupuj si jenom kvalitní hardware od zavedených výrobců. Většinou tím zabiješ víc much jednou ranou.
Už asi 15 let kupuju jenom Dell - NBD, kvalita, podpora Linuxu, snadná rozebíratelnost, možnost výměny jednotlivých dílů, ... - dost z toho u jiných výrobců možné není.

Dell a kvalita? Jak která řada. Modeli s intelem mají poddimemzované chlazení. Takže jsou hlučné.
NBD = opravíme druhý den hned po tom co dorazí náhradní díly. Takže jsem na výměnu základní desky čekal 10 dní. Jako bylo to za covidu a sehnat cokoliv byl problém. Takže jsem to pochopil. Ale rozhodně NBD není Next Business Day.
Výměna dílů? A co ty pokusy o proprietární GPU a RAM.

Myslím, že jsi nepochopil (nečetl) co služba znamená. Zavazují se, že nejpozději následující pracovní den se někdo bude problémem zajímat (řešit). Což plní a velice často stíhají opravit na místě druhý den, ovšem nejde o garanci. Přirozeně pro opravdu kritické systémy jsou servisní služby jiné priority a protože musí držet nedotknutelné zásoby náhradních dílů i techniky, služby nabízí pouze pro úzkou skupinu produktů a za zcela odlišné ceny.

V minulosti, přítomnosti, ale i v budoucnosti to nebude jinak. Lidé jsou zblblí a nesmysl prostupují do obecného povědomí. Kamarád je u PČR a většinou když někoho seberou, tak dotyčný začne křičet, že má právo na telefon. To není pravda, ale v každém americkém seriálu to tak je a lidé, bez ohledu na zákony, se ono práva na telefon dožadují.

Hlučnost se spíš týká i7, které topí samo o sobě víc.

NBD znám, ale i tak je ten servis mnohem lepší, než u konkurence.

NBD neznamená, že to bude druhý den opravené, ale že to druhý den začnou řešit.

No tak ta snadná rozebíratelnost u Dellu už dlouho neplatí, musí se odvíčkovat celý zadní kryt a to nejde tak snadno. Fakt jsem se u toho zapotil, než jsem to rozebral, abych tam přidal druhý disk. Ale jinak Dell je fajn, jen je kapku dražší.

jafaktnevim
No tak ta snadná rozebíratelnost u Dellu už dlouho neplatí, musí se odvíčkovat celý zadní kryt a to nejde tak snadno. Fakt jsem se u toho zapotil, než jsem to rozebral, abych tam přidal druhý disk. Ale jinak Dell je fajn, jen je kapku dražší.

Co se ti jako zdá těžkého na odšroubování 8 šroubků a nadzvednutí krytky? Nic jednoduššího fakt neznám. Rozdělával jsi někdy levnou řadu Aceru, Asusu či některá Lenova? Spousta pacek, do krytu zasunuté CD, usb, eth, to je šmakuláda. Dell je úplně v pohodě.

Podpora Linuxu, haha... na sklonku roku jsem si pořídil Latitude 7320. Je to zatím notebook, který mi vydržel rekordně krátce - byl v něm totiž takový hezký bug, že při vytížení CPU se ozval powerthrottling a stáhnul frekvenci na 1,8GHz, takže z té i7 byla kalkulačka. Vyjádření supportu: notebook byl dodaný s Windows, takže nás to vůbec nezajímá. Po 2 měsících, co se to nepovedlo vyřešit (respektive nakonec v thermald někdo udělal patch, že to fungovalo, po clean bootu, po hibernaci už stejně zase ne) šel o dům dál.

@spm [Latitude 7320]

no nevim, ale na dell strankach u nej pisou ze podporovane je Ubuntu 20.04:
https://www.dell.com/support/home/cs-cz/drivers/supportedos/latitude-13-7320-2-in-1-laptop?ref=oscompatibility

canonical ho vede jako certifikovanej:
https://ubuntu.com/certified/202010-28324

@k3dAR

Avšak výslovně uvádí verzi OEM buildu kernelu, což znamená, že jejich konfigurace bude fungovat, nikoliv že to bude fungovat se vším, co si tam člověk dá. Originál, nebo starej se sám. Tak tomu rozumím já.

Podobně jsou řešené mobilní diagnostické jednotky, rozuměj Panasonic Toughbook s logem dodavatele, na kterém jede SLES12LTSS (3.12.61-52.OEM.77.1) a bez sebemenšího problému rozjedeš satelitní modul i výměnu baterie za chodu. Výslovně uvádí, že ručí pouze za jejich konfiguraci, což je mimochodem pravda, protože s novější verzí jádra odmítá fungovat výměna baterie za chodu. Přirozeně jde vyměnit, ale nerozjedeš diagnostickou jednotku, která odmítá spolupracovat se "slabou baterií".

Ovšem objednat to s ním nejde nebo alespoň ne u nás a postoj supportu je, že oni se starají jenom o to, s čím byl ntb dodaný. Podobně na tom community fóru kde se to řešilo ani ostatním ten ubuntu image neposkytli, protože prostě "supported" je jenom to, s čím to přišlo v krabici. Celkově se tam snad ani neobjevil nikdo, kdo by to s Ubuntu koupil, takže těžko říct, jak se k tomu vůbec jde dostat... (jinak i po nainstalování Ubuntu a toho OEM kernelu se to chovalo úplně stejně).

Sedět na jejich místě, také bys pro pár exotů nehnul prstem, protože se to zkrátka nevyplatí. Oficiálně Dell nabízí své notebooky, stolní počítače i pracovní stanice s Linux přes partnery, jako individuální konfigurace např.: Latitude 5420 s Ubuntu LTS. Snad si nečekal, že na tvůj pokyn zmobilizují celou korporátní mašinérii do nejvyšší pohotovosti.

Zkus někdy provozovat úzce specializovaný HW/SW a vyběhnou s tebou i po běžných aktualizacích, protože logicky nemohou ručit za něco, nad čím nemají kontrolu. Jasně, můžeš přejít ke konkurenci, pokud vůbec existuje a budeš na tom úplně stejně. To se týká i aktualizací operačního systému, protože v rámci boje za hladší ikonu dokáží rozmydlit např.: OpenGL a pak se to lepí přes ovladače grafické karty. I když se to hodně zlepšilo, ani zdaleka nejde o výjimečné události. Například pro RTG vyrobené Kodak-Siemens musím držet W7SP1 (ovladač pro Quadro musí být verze 193) s MSIE 8.0 a Java 5.0, protože jinak MPMODUL nerozběhám a tedy neprohlédnu si kontrolní snímek. I když jde o standard DICOM 3.11, ukládá se jako kontejner a prohlédnout si ho můžeš pouze přes příšerný mpmodul. Prodejce (dodavatel), ale i zákazník (provozovatel) s tím počítají. Bohužel realita není vždy idylická a jakýkoliv upgrade znamená minimálně polovinu ceny nového, kde to lítá nechutně vysoko. Socomec si pravidelně každý rok řekne o 800 Euro za úplně obyčenou SDHC kartu (8G Lexar). Nakoupí ve velkém a namlátí seznam povolených SN a vše ostatní zablokuje. I když těm kartám vůbec nic není, stejně se musí měnit každý rok a když to neuděláš, ztrácíš veškerou podporu. Můžeš zkusit konkurenci ...

Já už nečekám vůbec nic... ale za mě, koupil jsem si x86 hardware, kterej evidentně nefunguje (nebo možná fugnuje s nějakými jejich proprietárními drivery pro jeden jediný OS). Za mě je to stejné, jak kdybych si koupil auto a pak se ukázalo, že jezdí jenom na PHM kupovanou v 4l baleních v autorizované síti a nikde jinde.

Další ponaučení pro mě z toho prostě je, že už si Dell nikdy nekoupím. A ikdyž se té mašinérii nedivím, tak když někdo vytáhne, jak Dell úžasně podporuje Linux - tak to prostě naprosto zjevně není pravda.

Nejhorší je, že Dell má problémy i na Windows. Po prvním updatu už je to jiný OS a celej ten jejich bloatware začne na některých notebookách bugovat. Já musel stáhnout utilitu z GitHubu, abych vyřešil, že gesta na touchpadu a ovládání jasu displeje klávesnicí fungují až několik minut po spuštění nebo probuzení notebooku. Bráchově manželce po automatickém updatu BIOS zapomněl klíč, kterým byl od výrobce zašifrovaný disk a přišla tak o data (nežádala o to - bylo již od výrobce; většinu fotek z druhého porodu naštěstí měla u sebe fotografka). I z tohohle důvodu čím dál víc lidí odchází k Apple (ten se nevymlouvá na hardware, OS či drivery třetích stran): https://www.letemsvetemapplem.eu/2022/07/08/novy-macbook-air-m2-bude-hit-strachuji-se-vyrobci-notebooku-s-windows/

11. 7. 2022, 13:57 editováno autorem komentáře

To se mi nezdá, protože šifrování se musí aktivovat manuálně a přiznávám, že s DDPE jsem nikdy nezažil sebemenší problém. Právě míra zabezpečení a nenáročnost uživatele společně s ADDS z toho dělá výborný nástroj. HP Protect Tools jakbysmet. Vzorek 14x PC + 10x NTB není vypovídající, přesto s DDPE problém nikdy nebyl. Asi je to dáno i generací, ale HP Protect Tools mi přijde lepší a rychlejší, než DDPE.

S každou pořízenou E7440 jsem měl minimálně 4 reklamace, pryžové těsnění lezlo z lícování a nejhorší problémy nastávali s převodníky sériového rozhraní, které na E7440 nikdo nepřinutil k činnosti. E6440 bez problémů, E7440 ani za zlaté prase a velice rychle se začali rozpadat. Na podzim jsem měnil kompletně celé s nabídkou Latitude 5320, Elitebook 830 G8 a opět stejný problém.

P.S.: Ty stejné převodníky fungovali a fungují dodnes a právě proto jsem začal brát už jen HP Elitebook, plus speciál Panasonic Toughbook. Nebudu kupovat pro kluky 10 sad od každého převodníku jen proto, že si to Dell neumí ošetřit. Mají je v brašně, když je potřeba něco nastavit na řídící jednotce, připojit měření a v rukavičkách se s nimi nezachází.

No zrovna u tohohle zabezpečení typu, že je to jakoženějak šifrovaný, aniž by o tom uživatel vědět, mi přijde míra zvýšení bezpečnosti dosti diskutovatelná. Jako ano, když to člověk dává lopatám, co si nezapamatují heslo (napíší si ho na papírek na ten ntb) a ještě u toho budou nadávat, že ho musí psát (zvláště, když se jim tam dá OS, který se min. 5x týdně restartuje), tak to vyřeší alespoň ty případy, kdy jim ten notebook někdo lohne z auta, odnese to zastavárny a zastavárník bude natolik erudovaný, že umí z notebooku vyndat disk a dát ho do USB rámečku. Ano, 90% uživatelů jsou takové lopaty a 90% úniků dat je asi takovýchto, takže to možná nějaký efekt má. Ale za sebe mi šifrování disku, kdy to bez jediného faktoru nabootuje vesele do login promptu OS, teda moc bezpečné nepřijde.

Nechce se mi znovu vysvětlovat a popisovat, jak to mám vyřešené u sebe, ale pokud máš zájem o bližší informace, včetně kolik celá sranda stála:

https://www.root.cz/zpravicky/den-hesel-kazdy-desaty-uzivatel-je-ochoten-sve-heslo-prozradit/

Mně se to naopak osvědčilo jako ideální řešení a nevadí to ani klukům a to už je co říci, protože pro ně je notebook jako drát pod nehtem. Otisk prstů použít nelze, protože nejde o bíle límečky, ale o manuálně pracující elektrikáře, kteří se hrabou v drátech, řežou, ... a lezou po všech čertech. Nefunguje to ani na telefonech, rýpne se a čtečka je v koncích.

Dnes už pouze Yubikey, které mají na klíčích v kapse montérek, které jim budeš těžko krást. Jestli máš zájem, přečti si diskuzi v linku.

Je mi jedno, co se ti zdá nebo nezdá. Neříkám, že je to většina uživatelů. Ale když se to někomu stane (třeba v mém blízkém okolí), tak je to velký špatný. Klíčová je tahle hláška*: "I called Dell and Microsoft; each of them is blaming the other. Dell is saying it's windows, while Microsoft is saying it's the dell bios." - Ano, Dell po prvním update Windows ztratí kontrolu a už je to jen na hvězdách, jestli (resp. kdy) se to pokazí. Oba mají vlastně pravdu: MS nemůže za to, že tam Dell zprasí nějaké automatické šifrování v pozadí (holt nechce zůstat pozadu za Applem). A Dell zase nemá vliv na Windows, který se mění pod rukama. V tomhle je právě síla Apple, že obojí je od stejné firmy a updaty komponent se vůči sobě kontrolují.

*) https://docs.microsoft.com/en-us/answers/questions/522352/bitlocker-enter-recovery-key-message-suddenly-appe.html

... tak se vůbec nic nestalo, protože klíče jsou zálohované. V opačném případě prostě na disku a datech nezáleží a zbytek už jsou povídačky o ťuťuňu.

Ať jde o ATA PASSWORD (SED/FDE disk), nebo Bitlocker, pořád jde jen o klíč a TPM. Život s ADDS je jednodušší a automatizovaný, protože s klíči pracuje centrálně (TPM) a zvládá mj. i DDV. Pro jednotlivce to také není překážkou a sám Microsoft přímo vybízí a ukládá klíče přímo na účet a jsou tak po ruce kdekoliv např.: přes telefon v kapse. Kromě toho si můžeš klíče exportovat do souboru, nebo vytisknout.

Vymazat klíče v TPM čipu může aktualizace, bios, uživatel, nebo třeba jen výměna desky a co? Neděje se vůbec nic, stačí zadat klíč.

Samo se, ale opravdu samo, no věřte mi úplně samo ... se nic nezapne. Netvrdím, že jde o ideální stav, nebo by se to mělo prohlásit za standard, ale primární selhání jde za správcem/uživa­telem.

Uživatelka nevěděla, že si má vyexportovat klíč, protože nevěděla, že je to šifrované. Windows k ničemu nevybízel. A účet Windows/Microsoft zadat nešlo (a myslím, že stejně používala lokální účet).

Dokážu pochopit, že si nedokázala interpretovat souvislosti při pohledu na diskové jednotky (Tento počítač) s velkou ikonou odemčeného zámku a tedy problém přehlížela, protože prostě nevěděla. Dokážu dokonce pochopit i slepé klikání při prvotní instalaci, respektive inicializačního průvodce předinstalovaného operačního systému, který se ptá na výběr klávesnice, až po nastavení DDPE, včetně DDV, které jsou předinstalované v podporovaných zařízeních.

Zásadně odmítám "ono samo". To prostě není pravda a nezáleží, jestli se sama metodou "cihla na enter", nebo jí s tím pomáhal někdo jiný, případně to od někoho koupila už nainstalované. Samo se to prostě neudělalo a Dell s předinstalovaným buildem je v tomto aspektu nevinný.

Ale ono samo - kolik lidí dokáže zabránit Windows 10 neaktualizovat ovladače, zde BIOS? Ten BIOS je od Dellu, takže viníka známe.

Některé systémy se dodávají v konfiguraci, kdy se po prvním loginu pomocí MS účtu (na úrovni desktop loginu, nikoliv třeba webové aplikace) zapne BitLocker, a klíč se uloží do MS cloudu. Za mě dobrá bezpečnostní feature. Když vám ukradnou notebook, tak je šifrovaný. Když ztratíte heslo, je v cloudu. Komu se to nelíbí, ať si ten BitLocker spravuje jak uzná za vhodné.
https://support.microsoft.com/en-us/windows/finding-your-bitlocker-recovery-key-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6

Problém je v tom, že při aktualizaci BIOSu dojde ke změně firmwaru, a BitLocker pak vyžaduje recovery key. Posledních pár let se to řeší tak, že BIOS flash utility vypne BitLocker do příštího rebootu, a pak ihned rebootuje. Po zapnutí BitLockeru je vše zase OK.

Pokud bráchova manželka před lety narazila na tenhle problém, tak stačilo se přihlásit k MS účtu, a vyžádat si BitLocker recovery key.
https://support.microsoft.com/en-us/windows/finding-your-bitlocker-recovery-key-in-windows-6b71ad27-0b89-ea08-f143-056f5ab347d6
https://support.microsoft.com/en-us/windows/device-encryption-in-windows-ad5dcf4b-dbe0-2331-228f-7925c2a3012d

Tohle dělala i 7420 (a i na Windows). Ale opravil to další BIOS, nebo možná další za dalším nevím, každopádně už to nedělá.

Jeste sem nenarazil na notebook, kterej ma SSD a neslo by vymenit. Mluvim o notebookach, ne o netbookach s MMC misto SSD nebo tech mobilech s klavesnici od Applu.

No zalezi cemu rikas "vymenit". Pokud "vymenit" znamena i prepajet svaba jako u dva roky stareho MBP(x86) tak vymenit se skutecne da vsechno.

Jenomze pajeci stanici a sikovne ruce nema kazdy doma.

"No zalezi cemu rikas "vymenit". Pokud "vymenit" znamena i prepajet svaba jako u dva roky stareho MBP(x86) tak vymenit se skutecne da vsechno.

Jenomze pajeci stanici a sikovne ruce nema kazdy doma."

Proto sem psal ze mluvim o noteookach, ne o mobilech s klavesnici od Applu...

Po půl roce několikanásobně, pak se to ustálí. Na zařízeních s 32 GB diskem neuděláš update, ani když nemáš nainstalované žádné aplikace a nemáš žádná data. Proto Microsoft pak zvedl požadavky na 64 GB.

EDIT: "Update" se na nich dělá čistou instalací z flashky.

9. 7. 2022, 21:18 editováno autorem komentáře

Zjevně je řeč o situaci, kdy koupím nový notebook, do Windowsů ani nevlezu a rovnou tam hodím nějaký Linux.

Update Windows 10 s netbookem s 32GB MMC sem delal nekolikrat. Sice clovek musi vedet co dela, ale jde to. Staci promazat vsechny ty cache driveru a instalatoru, vypnout hibernaci a zmensit swap a hned je misto.

"Stačí" ;-) I já bych si musel vygooglit, jak některý věci udělat. Jakou má šanci BFU?

Ja som raz v Alze takýto 32 GB netbook kúpil (tuším nejaké Lenovo), skúsil som to a ďalší deň som ho vrátil, lebo som si povedal, že takéto cvičenia (a potenciálnu nespokojnosť manželky s nedostatkom miesta na fotky a videá) nemám za potreby.

I keď ako sa na to pozerám, možno som ho mal nechať, rozdiel ceny voči 64 GB "HP 14" bol dosť veľký a prispením deciek je už beztak za necelé dva roky skoro rozmlátený.

Nope, primarni duvod je cena a spotreba. Pokud je nekdo tak paraboidni, ze se boji vysosani RAM s pomoci dusiku, tak nebude spolehat na pripajene chipy.

Myslím si, že konektor spotřebu ani cenu moc neovlivní. Pokud jde o chlazení RAM modulu, tak stačí sprej se "stlačeným vzduchem" otočený vzhůru nohama, nebo mrazicí sprej na bradavice. Obojí je běžně dostupné za pár korun. Připájení paměti tenhle typ útoku velmi komplikuje.

Ovlivni, protoze s konektorem nejdou pouzit LPDDR pameti. Krome ceny a spotreby hraje dneska velkou roli i zabrany prostor.

Proc bych vyndaval slozite pameti, kdyz si muzu odnest cely notebook a mit skoro neomezeny cas na ziskani dat?

To si imho myslíte špatně. Konektory a hlavně jejich osazení je na desce to nejdražší. Zatímco povrchově pájené součástky osadí robot prakticky okamžitě, tak spousta typů konektorů, obzvláště těch, které nejsou pájené povrchově, ale skrz desku, se dokonce v některých případech osazuje ručně. To sice asi nebude případ slotů pro RAM, nicméně jsou to velké součástky pájené skrz desku a to je vždycky problém.

U notebooků bude hrát nemalou roli i to, že RAM připájená na desce je součástí M/B a tudíž ji nikdo nemusí vsazovat do slotu.

Mimochodem, mám-li fyzický přístup k počítači, tak je většinou mnohem jednodušší, než nějaké laborování se sprejem, prostě k čipu připojit kontakty, přes které to vyčtu přímo. Např. pro flash paměti existují i takové speciální kleštičky, kterými se chytne čip zapájený v desce, používá se to často prakticky k flashnutí firmware v mikroprocesorech.

Ta věc se zamražením RAM je podobná akademická hříčka bez reálného/prak­tického uplatnění, jako když Izraelci vykrádali obsah počítače tak, že ho zavirovali a pak dronem snímali speciálně upravené blikání kontrolky harddisku přes okno. Ano, jde to, ale těžko najít případ, kdy by se nedala požadovaná data získat mnohem jednodušeji.

prostě k čipu připojit kontakty, přes které to vyčtu přímo.
Co když bude RAM v BGA pouzdře?

Jinak soulasím, že bez konektoru je to levnější na výrobu. Tipnul bych si, že eliminací konektoru lze dosáhnout i vyšší rychlost přenosu dat.

Kolik stojí konektor a jeho osazení na desku? Na te.com jsem našel DDR4 SODIMM sockety za cca dolar a půl, řekněme že na desce budou hned dva. Osazení další dolar? U notebooku s cenovkou v řádu tisíců dolarů mi to nepřijde jako argument.

Pokud jde o připojení kontaktů, tak to asi moc nepůjde. Většina RAM modulů je připevněná pomocí BGA.
https://en.wikipedia.org/wiki/Ball_grid_array

Zamražení RAM mi osobně přijde jako naprostá trivialita. Koupím za dva dolary sprej se stlačeným "vzduchem", nebo v lékárně sprej na mražení bradavic. Podchladím modul, vyjmu ho, dám ho do jiného stroje se stejným RAM slotem, nabootuju z flashky servisní tool, a za chvíli mám plný memory dump. Není to o moc složitější, než řekněme nabootovat z flashky, přimountovat disk a vykopírovat z něj data. Namountování disku z externího OS se také běžně brání pomocí šifrování disku, a nikdo neříká, že je to akademická hříčka bez praktického uplatnění.

Srovnání se snímáním kontrolky HDD mi přijde mimo. I když i to je zajímavá technika pro airgapped systémy. Například v případě Stuxnetu nebyl problém dostat malware do cílového objektu. Stačilo ruským kontraktorům na nějaké akci rozdat klíčenky výměnou za vizitky, oni si ochotně infikovali počítače, ty přinesly do cílového objektu, a nakazili co mohli. Problém je vynést data ven. Tak i ta kontrolka HDD může mít opodstatnění. U vás nebo u mě doma to ale fakt smysl nemá :)

Kolik stojí konektor a jeho osazení na desku? Na te.com jsem našel DDR4 SODIMM sockety za cca dolar a půl, řekněme že na desce budou hned dva. Osazení další dolar? U notebooku s cenovkou v řádu tisíců dolarů mi to nepřijde jako argument.

Každý dolar se počítá, zejména v nákladové ceně, který bývá zlomkem té koncové prodejní, neboť rozdíl živí spoustu lidí, někdy i mimozemšťana :-). Osazení další součástky dále znamená nutnost podavače těch konektorů, další místo ve skladu, zdržení výrobního procesu jak osazením konektoru, tak jeho testováním a finálním osazením modulu, který také stojí víc než samotné součástky. Zkrátka pokud není dobrý důvod mít paměť jako modul, je lepší ji osadit na desku.

Se Secure Memory Encryption [1] [2] takový argument padá. A Ryzeny SME podporují.

Nechci to psát znovu...
https://www.root.cz/zpravicky/nove-notebooky-s-amd-nabootuji-ve-vychozim-nastaveni-jen-windows/1098793/

Proč by to útočník dělal tak složitě?
https://xkcd.com/538/
Pájená paměť má jeden důvod: zbavíte se konektoru, který něco stojí, má nižší spolehlivost a zabírá víc místa.
Pro uživatele to má jediné mínus: musí se při koupi definitivně rozhodnout, jak velkou paměť potřebuje.

Argument "nemá to smysl, útočník může použít rubber-hose cryptanalysis" byste ad absurdum mohl použít i u hesla pro lokální přihlášení. Proč nějaké mít, když ho z vás stejně můžou vymlátit? Nemyslím si, že je to dobrý argument.

Ten argument je spíš o tom, jaký druh útoku je pravděpodobnější. Lokální heslo chrání před nižší úrovní útoků, než je ten pendrek.
A nedokážu si představit moc potenciálních útočníků, kteří by měli chuť a prostředky na mražení pamětí a zároveň by mě nemohli prostě nechat zmizet i s těma ramkama.

Tak chuť mrazit někomu paměti nemám, ale sprej se stlačeným "vzduchem", případně mrazicí sprej na bradavice, je finančně dostupný i pro bezdomovce, který si může dovolit láhev tuzemáku. I když můžeme argumentovat, že ten bezdomovec může vzít tu flašku rumu, a mlátit vás s ní do hlavy tak dlouho, dokud mu ještě rád nepodáte notebook přihlášený :)

:D Ta náročkost útoku opravdu není v nákupu mrazícího spreje. Musíte dostat kvalifikovaného člověka s vybavením (hlavně něco, kam se dají ty paměti vrazit, sprej je to poslední) k osamocenému běžícímu počítači a zajistit mu dost času na práci.
Ten sprej je asi tak jediná část tohohle útoku, kterou zvládne nejen bezdomovec ale i většina normálních lidí.

Ty paměti vrazíte do jakékoliv základní desky, použijete adaptér SODIMM na DIMM, za cca 150 Kč kus. Zabootujete, nástroj vám udělá RAM dump. Samozřejmě to musí na začátku připravit někdo kvalifikovaný. Dá se použít třeba WinPmem nebo LiMe.
https://github.com/Velocidex/WinPmem
https://github.com/504ensicslabs/lime

Realizaci určitě zvládne script kiddie, nejspíš power user, dost možná i vyškolená uklízečka. Vlastní analýzu memory dumpu zvládnou ti s lepší kvalifikací než má uklízečka třeba pomocí Fireeye Redline nebo Volatility.

Vy mi tak úporně tvrdíte, jak je to hrozně těžké, že mám fakt chuť to jít vyzkoušet :)

Už jenom rozebrat některé notebooky, aby se člověk k těm ramkám dostal, není bez přípravy úplně jednoduché. Jasně, asi se dá vyškolit uklízečka a dát jí potřebné vybavení atd. Pokud bude moct třénovat na přesném typu, tak to asi zvládne. Improvizaci bych raději nerizkoval. Ale už je to úplně o něčem jiném, než to dělat doma v laboratorních podmínkách.
Opravdu máte v plánu zkusit připravit nástroje a poslat ke konkurenci uklízečku hrabat se jim v běžících počítačích? A nebo chcete zkusit jen tu jednoduchou část - doma se v klídku a bez rizika chycení šťourat ve vlastních počítačích? Schválně si stopněte, jak dlouho vám to bude trvat. A to jsou ideální podmínky.

Jasně, že to jde. Ale už to vyžaduje nezanedbatelnou přípravu a motivaci. A musí to stát za to riziko.

A hlavně si zkuste představit jiné možnosti, jak se k těm datům dostat, a porovnejte si náročnost. Nikdo rozumný nebude školit uklízečky v mražení ramek, pokud bude stačit třeba rozdávat "reklamní" flashky, nebo se najde vhodný nasraný/podpla­cený/vydíraný zamestnanec. V jaké situaci to hrozí jako pravděpodobný útok?

Rozumím vašemu argumentu. Jenže když existuje zranitelnost, tak se má řešit, a ne to shodit ze stolu s tím, že data může vynést i správně motivovaný zaměstnanec. Už jsem psal, že s vaším uvažováním byste mohl odpískat heslo pro lokální přihlášení, protože ho stejně někdo může ze zaměstnance vymlátit, nebo vyrvat disk a přečíst ho jinde, nebo zabootovat jiný OS z USB zařízení a data z disku přečíst. Proč se tedy vůbec obtěžovat s lokálním přihlašováním, když existuje tolik jiných způsobů, jak mohou data utéct? A jak je pravděpodobné, že útočník bude mít fyzický přístup ke stoji? Takže za mě opakuji: pokud existuje známá zranitelnost, má se bez výmluv řešit.

To neni v 99% duvod, ale jenom drobna pozitivni externalita.

Prioritou je přinutit zákazníka koupit si vyšší model s vyšší cenou i marží a také si zajistit, že si zákazník půjde velice brzy koupit nový výrobek. Sekundárně takové řešení snižuje náklady a motivuje s každou poruchou navštívit "originální" servis, kde se oprava prodraží natolik, že si zákazník půjde koupit raději nový.

K dokonalosti to dotáhli u Apple.

Cokoliv navíc je bonus, který mohou použít marketingové armády k nalákání a svázání zákazníků. O bezpečnost se opravdu příliš nezajímají.

Každý výrobce na otázku "Proč jsou paměti připájené a nemůžu je upgradovat" odpoví že je to v prví řadě kvůli nárokům na tloušťku laptopu, jednoduchost výroby a náklady. Nikde jsem to ještě neviděla nikoho propagovat pro odolnost proti mražení. To je sice pravdivá vlastnost, ale spíš side-effect. Navíc, spousta laptopů má jeden modul připájený a jeden slot, v takovou chvíli by se to snadno mohlo změnit ruskou ruletu na téma "ve kterém modulu mám klíče"

Jak jsem psal výše, úspora na výrobních nákladech je v nižších jednotkách dolarů. Ohledně tloušťky mi ten 4mm SODIMM docket nepřipadá jako větší problém. Souhlas že pokud má laptop připájenou RAM, a k tomu slot, tak to celé poněkud ztrácí smysl. I když na druhé straně si uživatel může vybrat, jestli rozšíří paměť, nebo bude mít o kus lepší bezpečnost. Na domácím notebooku bych osobně spíš rozšířil RAM. Jenže z něj mi nikdo neukradne řekněme výrobní dokumentaci, ani z memory dumpu nezíská heslo pro přístup do žádné citlivé instituce.

Které notebooky obsah RAM transparentně šifrují? Já nemám úplně přehled. Ale při minulém nákupu notebooku bylo prakticky nemožné sehnat i model s ECC pamětí. Protože jsem nechtěl mobilní workstation se Xeonem, tak jsem to nakonec vzdal. Proto se tvářím poněkud skepticky.

Naopak. Vyvíjet vlastní OS stojí miliardy*. Windows OEM je za pakatel.

*) Nepomůže ani svůj OS postavit na existujícím OS, např. Linux nebo Android. I tak jsou to šílené peníze (už jenom hodit všechny updaty za vlastní bránu a všechny je kontrolovat, případně něco patchovat sám).