Názory k článku
U-Boot podporuje HTTP
-
Co si to takhle najít sám, případně si někde rozjet u-boot a pohrát si s ním?
https://github.com/u-boot/u-boot/blob/master/cmd/md5sum.c
https://github.com/u-boot/u-boot/blob/master/cmd/aes.c
https://github.com/u-boot/u-boot/blob/master/cmd/hash.c -
U JTAG a RS232 by to byla evidentní blbost, u protokolu, který servíruje operační systém na nastartování je to to nejmenší, co by člověk měl předpokládat. Když kdokoli může spoofovat TFTP server a neexistuje žádná ochrana proti změnám přenášených dat, tak to prostě nemá co dělat v produkčním prostředí. Na bootování diskless SunOS stanicí na univerzitách v polovině 80 delat to bylo možná postačující, vzhledem k možnostem i hrozbám v roce 2023 absolutně nepřijatelné.
-
Jak si to docasne povoleni predstavujete, Kefaline? Zazil jsem firmu kde uvazovali podobne, meli to omezeno jenom na jeden subnet, dokonce v dokumentaci to meli omezeno jenom na dobu potrebnou. Realita byla takova, ze se adminum s tim nechtelo porad drbat tak to bylo povoleny furt a po 5tem incidentu ze to nekomu nekde v baraku nefunguje to bylo povoleno vsude. A jelikoz v tom meli treba heslo k wifi a nekoho to napadlo odchytit tak si lidi uplne normalne to heslo sdileli a pripojovali od telefonu pres domaci raspberry download machine naprosto cokoliv. Nekdy securitak ma jiz zkusenosti na rozdil od teoretiku pro ktere je to jenom pro servisni pristup…
-
A prečo si myslíte, že zariadenie, ktoré vie bootovať cez http zvládne aj https?
tls so sebou prináša ďalšie požiadavky, ktoré firmware nemusí vedieť splniť - podpora CA certifikátov (a aj tie expirujú a objavujú sa nové), potreba provisioningu vlastného CA certifikátu, podpora správnych verzií tls -- zariadenie sa vyrobilo v nejakom čase a firmware nie je updatovaný takým tempom ako browsery.
Koniec koncov aj ipxe zvláda http boot, ale https je už iná plechovica s červami; kvôli certifikátom treba vlastný build a potom veľa šťastia so secure bootom.
