Die Reihenfolge lässt sich nicht explizit ändern, weil das viel Aufwand und ein komisches Design für einen fraglichen Mehrwert wäre. Das fängt schon an mit Sortierung nach Typen oder Einträgen? Wenn nach Einträgen, wie ordnet man die eindeutig zu? Was ist mit nicht konfigurierten Einträgen? Da gibt es sehr viele Fragen dafür, dass man in einem selten genutzten Bootmenü woanders hin klicken kann…
Beiträge von mhaeuser
-
-
mhaeuser Diese Aluhüte sind halt ferngesteuerte Zombies.
Ja klar, aber für die, die keine Aluhüte aber eher unbewandert sind, will ich so einen geistigen Abfall auch nicht unkommentiert lassen. Jeder, dem Reverse Engineering nichts sagt, sollte beim Thema Backdoors einfach mal in Betracht ziehen, leise zu sein - es wird jedes Mal peinlich für alle Beteiligten.
-
OC hat ziemlich sicher keinen “dicken Bug”, wahrscheinlich vergrößert etwas Dateien auf der ESP und korrumpiert sie damit, z.B. Target Bit 0x80. Aber ohne Logs und alles ist meine Glaskugel eher ruhig.
-
Meiner Information nach muss seit dem 11.09.2001 jedes internetfähige Gerät eine Hintertür für die NSA haben. Und klar sollte demnach sein, dass jeder zweitklassige Hacker diese Tür auch nutzen kann. Somit kann man eigentlich auch feststellen, dass das Wort "Datenschutz" seitdem aus dem Wortschatz genommen wurde. Dafür möchte ich die Schuld nicht direkt bei M$ suchen, sondern eher allgemein beim Ami. Diese Regierung ist, seit ich das Land kenne, alles, nur nicht tragbar. Und diese Entscheidung war klar das Tor zum Datenklau. Und ich bin mir sicher, das irgendein Fuzzi in Amilandien meine Zugangsdaten zum Bankkonto kennt.
Was ist das schon wieder für ein Geschwurbel…
1) NSA-Backdoors überall würden irgendwann auffallen
2) Selbst gäbe es diese Backdoors, würde das selbstverständlich nicht heißen, dass jeder sie ausnutzen kann (asymmetrische Kryptographie und Co.???)
3) Diese Entscheidung ist technisch bedingt, um die eigene Infrastruktur für die Web-App zu nutzen (gehört trotzdem verboten)
4) Wie soll denn “der Ami” an der 2FA vorbei (und wenn Banken und Co. sowieso kooperieren, wofür müssen sie dann die Daten überhaupt ausspähen)?
So langsam hätte ich gerne einen IT-Führerschein, damit man solche Sachen überhaupt kommentieren darf. (Bevor jemand fragt, sarkastisch überspitzt…) -
Gut, SSD-Kram und Co bekommt man noch hin. Aktuelle x86er sind auch SoCs, im Vergleich zu Apple fehlt da nur der RAM und das macht keinen technischen Unterschied. Dann aber GPU-Treiber portieren und gegen eine proprietäre, instabile Schnittstelle zu warten - Prost Mahlzeit. Gibt immer viel Tagträumerei, aber niemanden, der wirklich was umsetzt…
-
griven Mit OC braucht es auch kein OS, die Tabellen werden mit SysReport ausgelesen. Für Clover und OC sei aber gesagt, dass Schreibzugriffe auf die ESP auf Plattformen mit Aptio IV zu Datenverlust führen kann. In der Regel betrifft das nur das Vergrößern von bestehenden Dateien und deswegen wird das von OC auch gänzlich vermieden, aber man sollte so oder so Backups machen.
-
anonymous_writer Viele Helfer sind weg, weil ihrem Dogma widersprochen wird und nicht, weil sie weggejagt wurden. Beide Seiten der Situation sehen die jeweils andere Interpretation, aber aus der eigenen Ansicht wirklich alle(!) Schlussfolgerungen zu ziehen, statt sich nur die genehmen Sachen zusammenzuschwurbeln, das macht natürlich niemand gerne.
Paradebeispiel wieder hier. Okay, das ist ein Hackintosh-Forum, hier geht es vorrangig um Hackintosh. Du möchtest jetzt mehr oder weniger kategorisch die Empfehlung von Macs unterbinden, weil man ja für Hackintoshes ins Hackintosh-Forum geht (gewollt oder nicht, so waren die Formulierungen und eine Diskussion der pragmatischen Gründe gab es natürlich auch nicht). Direkte Schlussfolgerung daraus: Man kann sich hier nicht über die Vor- und Nachteile beraten lassen und eine bedarfsgerechte Empfehlung bekommen, wenn man zwischen den beiden unschlüssig ist. Es wird zur direkten Eintrittshürde in das Forum, dass man Macs kategorisch ausgeschlossen hat und sich nur innerhalb der Sparte informieren will.
Ähnlich verhielt es sich mit Clover. Leute, die aus welchen Gründen auch immer sich informiert für Clover entschieden haben, wurden weitgehend (zugegebenermaßen nicht immer) in Ruhe gelassen. Die Kontroversen kamen immer dann erst, wenn Helfer in Richtung Clover gedrängt haben, weil sie es so gewohnt waren, aber es als fundierte Empfehlung verkauft haben. Und dann kam es zu dogmatischen Diskussionen, wobei man weder von dem einen noch dem anderen Projekt wirklich irgendeine Ahnung hatte, aber das eine war halt gewohnt und lief zufällig mit einer leicht angepassten Stock-Config. Ich persönlich habe selten über eine einmalige Empfehlung hinaus von Clover abgeraten, aber die regelrechten Wellen an Falschinformationen habe ich mit Quellen und Referenzen zuhauf widerlegen müssen.
Ich würde den meisten mittlerweile auch zu einem Mac raten. Dann bin ich halt als Entwickler von Hackintosh-Lösungen ein Apple-Jünger. Und rate als gleichzeitiger OpenCore-Jünger von der Nutzung unseres eigenen Projekts ab. Weil ich (vielleicht auch nicht immer perfekt) versuche, Dogmata und festgefahrene Einstellungen beiseite zu schieben und den Leuten das zu empfehlen, was sich langfristig für sie lohnt und nicht für mein Ego. -
guckux Was ist denn “einfaches Management”? Linux-Software ist nicht ordentlich signiert, das hinkt selbst Windows Vista hinterher. SELinux so einzurichten, dass man es nicht einfach mit Admin-Berechtigungen wieder abschalten kann, geht glaube ich auch nur “einfach” mit UKI. Selbst dann ist initrd generell nicht signiert. dm-verity ohne Distro-Unterstützung einzurichten ist auch nicht zielführend. Die Sandbox-Konzepte von Snap und Flatpak sind teils mangelhaft und lassen Lücken zum Ausbruch offen. Die hochgelobten Dateisystemberechtigungen werden, wenn sauber angewandt, von Windows in den Schatten gestellt, gerade im Punkt Bedienbarkeit. Mir ist wirklich nichts an UNIX-Konzepten bekannt, das im Bereich Sicherheit etwas taugt.
-
guckux Bzgl. Verschlüsselung meinte ich nicht “in den meisten Anwendungsfällen nicht spürbar langsamer”, sondern wortwörtlich keine Leistungseinbußen. Das kann eine Softwareverschlüsselung nicht leisten. Die Frage ist, ob das für die eigenen Anwendungsfälle einen Unterschied macht.
SELinux ist auch so eine Sache, da ist nichts mit einfach an und läuft. Bei einigen Standardkonfigurationen kann man einfach mit sudo die Konfigurationsdatei bearbeiten und, wenn nicht, kann man es oft noch einfach mit der GRUB-Konfiguration umgehen. An SIP, das einfach direkt aktiv ist und funktioniert, kommt das bei Weitem nicht ran. Entgegen der endlosen Lobgesänge der FOSS-Armeen kommt Linux im Bereich Endnutzersicherheit im Traum nicht an macOS ran, egal wie viel du da einstellst. -
Ich weiß nicht mehr, ob jemand ein Skript für das Problem geschrieben hat, aber dokumentiert wurde es leider bisher nicht ordentlich, weil es zu wenige und zu seltene Plattformen betrifft: https://github.com/dortania/Ge…d-With-ACPI/pull/26/files
Ich würde auch einfach das neue Board abwarten, wenn auch die Lösung kein Hexenwerk ist. -
Gut, ein bisschen Clickbait muss sein, mit OpenCore direkt hat das nicht viel zu tun. Ich wurde aber gerade in den Anfangstagen oft danach gefragt, wo man uns etwas spenden kann. Dafür wird es wohl nie eine Möglichkeit geben, insb. nicht organisationsweit. Wem aber meine persönlichen Arbeiten an OpenCore, OpenCanopy und Co. bzw. vielleicht sogar meine eigenen Entwicklungen wie Battery Toolkit gefallen haben, kann meinen Obolus gerne für eine der neueren politischen Perlen einsetzen.
Denn der liebe Vater Staat dachte sich, erst groß Werbung für die Aufstockung von Kinder- und Jugendausgaben machen zu müssen (Kindergrundsicherung, BAföG-Novelle, usw. usf.) und den Spaß dann entgegen Inflation und gestiegenem Bedarf dann doch lieber zusammenzukürzen - beim Kinder- und Jugendplan um ganze 19 %. Vereine wie der Deutsche Kinderschutzbund hatten ohnehin historisch noch nie ein hohes Spendenaufkommen und durch die Inflation ist auch das zusammengeschrumpft. Durch die KJP-Kürzungen könnte das Chaos perfekt werden, wenn das durchgeht. Beim BAföG ist es ja schon de facto beschlossen.
Spendet also gerne etwas an Geförderte des KJP, z.B. euren DKSB-Ortsverband oder eben meinen: https://www.kinderschutzbund-k…e/helfen-sie-mit/spenden/
Damit darf hier auch gerne geprahlt werden, denn das ist keine persönliche Tat, sondern eine aktive Korrektur von irrsinnigen politischen Fehlentscheidungen.
-
Ganz ehrlich, hol’ dir ein Apple Silicon MacBook und gut ist. Die Idee mit “natürlich ist selber gemacht besser” ist Tagträumerei. Die Arbeit, die es braucht, ein Linux so sicher zu machen wie macOS, will sich niemand antun. Das fängt bei den simpelsten Sachen an wie Dateiauthentifizierung (das Linux-Userland hat nicht mal wirklich ein Konzept davon) und hört bei so etwas wie SIP auf. Aufgrund einer Doppelfunktion als Pseudorandomisierung für’s write levelling ist die SSD-Verschlüsselung auch komplett ohne Leistungseinbußen und hat allgemein keine Nachteile. Die SSD ist natürlich auch kryptographisch a den SoC gebunden, daher nach Ausbau wertlos. Bis du mit Linux, dm-verity, fs-verity und TPM da rankommst, ist das Ding wieder Altmetall. Und mit Hackintosh hast du alle üblichen Nachteile, wie fummliges Secure Boot, oft kein ordentliches Boot Guard, usw.
Alte Geräte verwenden ist immer so eine Sache. Die neuen Sicherheitskonzepte sind alle sehr speziell und kein Normalsterblicher braucht sie unbedingt, aber du willst doch keine 3(!!)-Faktor-Authentifizierung und dann ist dir egal, dass die Firmware von Schadsoftware befallen sein könnte. Da hilft kein OpenCore und kein selbst machen der Welt, da braucht es Boot Guard oder eben alles ab Apple T2. Zur 3-Faktor-Authentifizierung fallen mir nicht mal Lösungen ein, weil das so eine Niche ist. -
G.com Nein, tun wir nicht. Manche UEFI-Implementierungen haben bereits einen NTFS-Treiber, aber von NTFS wird in Standardkonfigurationen sowieso nie gestartet, das läuft über die ESP.
-
G.com UEFI-Treiber haben mit der OS-Funktionalität nichts zu tun. OpenNTFS braucht man, wenn man NTFS-Partitionen direkt starten will, statt über eine ESP zu gehen (z.B. Installer-Stick).
-
“Normale Menschen”, “Feinde”, ein Doppelpunkt bringt “die Vernünftigen” ja mal wieder richtig in Fahrt… Outlook gendert, dass Windows nicht gendert, ist wahrscheinlich eher eine Budgetfrage. Linux mal so mal so, als ob irgendetwas an Linux konsistent wäre.
Mir blutet eher das Herz, dass die Volumesignierung abgeschaltet wird - mit einer der besten und wichtigsten Sicherheitsfunktionen von macOS.
Eine Option sollte es trotzdem mal geben. Ich arbeite gerade mit Kindern, die mit dem langen-i, sch-Lauten und der willkürlichen Verteilung von Artikeln überfordert sind, wie soll ich denen Doppelpunkte und Sterne erklären… -
I'm doing Hackintoshes since Tiger and I frankly don't need any history lessons
I still remember very clearly that people around OC advertised the boot loader at some time as being cleaner than Clover and pointed out that there never would be any need to lower security.You can google several quotes back from that era. But please take no offense. I was merely joking.Yes, if you make false claims, apparently you do. I’m not interested in “emotional debates”, I’m interested in not being misquoted. Said quotes refer to OC’s functionality and scope. SIP extends way past OC’s scope and library downgrades are completely unrelated. How are we supposed to guarantee you don’t need to downgrade security for unrelated use cases the tool has no influence on? This is not the first “gotcha!” from a clear lack of technical understanding across forums and I’m reasonably tired of them.
-
It is just funny that one of the major selling points of OC was, that we never will have to alter SIP. The irony.
No clue what this rubbish is about, but maybe another history lesson is in order. SIP was never a major concern during the development of OC, because it just works, even with Clover. It is a feature enabled by efiboot and XNU that does not require any level of support or such. It is important to note that, by default, Clover disables SIP for no particular reason, but you can configure it to enable it. It also is important to note that without Secure Boot and something like OC Vault, write access to the ESP is enough to disable SIP, which can be achieved from auto-booting a malicious EFI app from an arbitrary FAT32 volume. What *was* a major selling point of OC is the prelinking-based kext injection, which became mandatory as of 11+ and has thus been integrated into Clover as well.
Regarding unsigned kexts and injection: Unsigned kexts are a problem if and only if they are installed within macOS. All kexts are prelinked nowadays and this process invalidates the digital signature. As such, there is no signature verification of third-party kexts at runtime, but only at build-time, no matter the boot solution. Injected kexts are prelinked at runtime by OpenCore or Clover and they are not subject to signature verification under any circumstances (OC may manually verify them as part of OC Vault). Most kexts can be injected, but especially with downgrades things are not always as easy. If you downgrade kexts that other kexts depend on, this would require relinking all of their prelinked symbols, which is not supported as of now. This pretty much is the only known case where you have to reduce SIP, as done by OCLP for some machines.
Regarding frameworks and such: This is out of the scope for *any* bootloader. No, team Clover cannot save you, because frameworks are loaded way past the exit-time of both OpenCore and Clover. I'm frankly not firm with the exact issues of AMFI (but unlike the kext injection scenario, there *is* signature verification of dynamic libraries at runtime), but I know that the people working on it are. So while any mitigation of the SIP downgrade situation by either OC or Clover is categorically infeasible (and both have nothing to do with frameworks to begin with), I assume AMFIPass is as good as it gets with it right now.
If SIP is your only concern, no clue what keeps you from using Clover right now. But if your goal is to get rid of OC's implementation details or Acidanthera software in general, I am afraid you are all out of luck.
-
Die Frage habe ich schon beantwortet und der Rest gehört ehrlich gesagt nicht in diesen Thread.
-
Die Option bezieht sich explizit auf die abgeschaltete Stromversorgung. Das hat den Hintergrund, dass der Clamshell Mode ohne Stromversorgung nicht aktiviert wird. Des weiteren wird der Ruhezustand abgeschaltet, wenn gerade geladen wird, damit die Maximum-Logik den Ladevorgang zuverlässig rechtzeitig kappen kann. Danach wird der er wieder aktiviert.
Wenn du den Ruhezustand permanent deaktivieren willst, kannst du das manuell tun. Das Tool wird das (hoffentlich) nicht beeinflussen, sprich es wird ihn nicht wieder von selbst einschalten. -
Nichts, was du beschreibst, soll im Limitier-Modus der Fall sein. Klingt doch, als liefe alles.
