Posts by mhaeuser

Mieze Vom Linux-Kernel höre ich viel Gutes, habe aber noch nie wirklich damit gearbeitet. In jedem anderen “größeren” Projekt, mit dem ich zu tun hatte (EDK II, GRUB, systemd-boot, iPXE EFI, GNU-EFI, Shim, git, rEFInd, Clover, OpenCore/AUDK(!!), rustc, …) steht Schmerz an der Tagesordnung - gelegentlich auch von mir verursacht. Wenn du das alles unter “heiße Nadel” (ist auch regelmäßig der Fall, so ist es nicht) kategorisierst, kann man machen, ist aber dann nur bedingt aussagekräftig. Vielleicht ist Linux auch der eine heilige Gral, mit dem ich eben noch nicht konfrontiert war. Aber, wie in den meisten anderen Ingenieursfeldern ist offensichtlich auch in der Informatik eine Mischung aus Vorsichtsmaßnahmen und etwas Demut angebracht.

(Ein benutzbares Linux-Userland ist mir auch noch nicht untergekommen, Kernel hin oder her…)

Mieze War die Erklärung nicht einfach ChatGPT?

Wie auch immer, Treiber im Userland sind eine weitgehend objektiv gute Sache. Was du wetterst, stimmt natürlich alles, ist aber auch eine Niche. Die meisten Treiber haben keine derartigen Performanceanforderungen. Je nach Geräteklasse und Design könnten Kontextswitches sogar verringert werden. Für die Netzwerkdomäne ist das natürlich ein eher ungünstiges Model. Ich frage mich aber generell, wie Benchmarks unter Apple Silicon aussähen.

Gut programmierte Treiber brauchen das nicht… jo und gut designte Hardware mit gut programmierter Software brauchen auch kein Segmenting, RELRO oder Stack Canaries. Korrektheit bei realistischer Software, gab’s nicht, gibts nicht und wird es erstmal nicht geben, fertig. Hände hoch, wer unter Windows noch keinen Bluescreen wegen irgendeinem OEM-Treiber hatte. Oder Privilege Escalation…

Wenn du SMB so verteufelst, hast du noch nicht mit WebDAV gearbeitet. Vor ein paar Versionen hat WebDAV auf ARM manchmal das ganze Userland eingerissen. SMB sollte relativ zum Rest(!) relativ OK unterstützt sein, weil es mittlerweile der Standard für Time Machine ist (SMBv4 + Apple-Erweiterungen). AFP ist veraltet und wird bald entfernt.

kaneske Endlich spricht mal jemand dezentrale Backups (und die Kosten eines NAS) an. Ich hab schon auf den Deckel bekommen, dass ich ein Synology C2 Backup Abo habe, aber ein NAS ist weder dezentral (zumindest bei den meisten) noch gratis - das entfällt mehr Leuten, als man denkt. Alleine die Anschaffungskosten für NAS und redundante Platten hätten das Abo auf Jahre bezahlt und dann will das Ding noch extern aufgestellt und gewartet werden. Nein, danke…

Mit den FOSS-Clouds wie NextCloud habe ich auch ausschließlich negative Erfahrungen und E2EE kann man mit denen vergessen. Hätte ich ein NAS, würde ich immer mal wieder nach OpenCloud (ein neuer Fork der neuen Implementierung von OwnCloud) schauen, das sah relativ interessant aus. Ist aber wahrscheinlich immer noch nicht ausgereift.

Es gibt übrigens auch hosted NextCloud-Instanzen von Hetzner (wie gesagt, E2EE effektiv nicht nutzbar!): https://www.hetzner.com/storage/storage-share/

Ich hatte auch zeitweise NAS-Geräte recherchiert und bis auf Synology kam für mich softwaretechnisch nichts in Frage. Bei den anderen Herstellern war entweder nicht viel oder eine Reihe eklatanter Sicherheitslücken bekannt. Für so ein Gerät für mich völlig inakzeptabel. Den Software-Stack selbst aufzusetzen ist m.M.n. sehr mühsam (ich habe an sowas aber auch wirklich 0 Spaß). Wollte man das tun, würde ich schauen, ob man alles davon containern kann - die üblichen Vorteile von Containern und der Stack lässt sich praktisch automatisiert wiederherstellen, das kann auch schnell wichtig werden. Überraschende Downtime mit signifikantem Wartungsaufwand ist für mich inakzeptabel.

Sonst natürlich das übliche - ZFS als FS, Redundanz ist kein Backup, nach Möglichkeit Immutable Backups, usw. usf.

Viel Erfolg!

Mieze Wieso gleich persönlich werden (gegen Eads)? Wenn, glaube ich eher, dass das eine Entscheidung aus dem mittleren Management war, die eine Richtlinie zur Öffentlichkeitskommunikatiom stumpf delegiert. Verletzt fühlt sich außerhalb der API davon wahrscheinlich auch niemand - das ist aber auch keine Metapher, auf die ich bestehen muss. Bei git fand’ ich die Umbenennung von “master” zu “main” tatsächlich objektiv besser, weil die Metapher hier nichtmal funktioniert hatte. Es ist eine Riesenfirma, wahrscheinlich wird an einem typischen Vormittag von jedem einzelnen Manager mehr Zeit vertrödelt, als das hier gekostet hat. Und manche von denen vertrödeln ihre Zeit damit, sich zu überlegen, wie man am besten Kunden täuschen kann… würde mich mehr stören.

EDIT: So eine Richtlinie gab es übrigens vor Jahren schon bei UEFI, mit nochmal einer viel kleineren Zielgruppe als XNU.

Genderdeutsch ist seine eigene Welt. Da hast du auch klare Probleme mit der Barrierefreiheit (sogar übergreifend, z.B. Intelligenzdefizite und Legasthenie) und Wörter, die du praktisch gar nicht mehr benutzen kannst (zumindest wäre das eine Konsequenz, an die sich aber niemand hält), weil du sie nicht gendern kannst (z.B. “Fachkraft”).

bluebyte Im Schnitt stimmt das alles, aber es gab noch nie “den deutschen Abschluss XY”. Ich war der erste Jahrgang mit Zentralabitur und es hieß aus manchen Bundesländern, die zentralen Aufgaben wären zu schwer gewesen. In meinem Matheabitur war die zentrale Aufgabe mit Abstand die leichteste. In der Mittelstufe hatte ich einen Mathelehrer, der meinte “egal, wo wir hier sind, ich mache nur Leistungskursniveau” und hat in der 7. oder 8. Klasse Induktion eingeführt (sehe in der Uni genug Bacheloranden, die noch damit kämpfen). Alles sehr inkonsistent hier… Würde mich nicht wundern, wenn dein Realschulstoff schon damals schwerer war als so mancher Gymnasialstoff an anderen Orten. Wo dieser Drang herkommt, alles einfacher zu machen (außer die Sprache), weiß ich auch nicht. An der Uni versuchen manche von uns, dagegen zu halten.

Quote from Sascha_77

Ich frag mich obs das unter Steve Jobs auch gegeben hätte.

Ich finde diese “hätte es das unter Steve Jobs gegeben?”-Fragen (oft lautet die Antwort nach alten E-Mails und Aussagen von Kollegen “wahrscheinlich ja”) immer ganz interessant, weil abseits seiner Fähigkeit das Große Ganze zu sehen und zu formen, war er menschlich praktisch allen Quellen nach kompletter Bodensatz. Man könnte fast so weit gehen zu sagen, hätte er das nicht gewollt, ist es wohl das menschlich Richtige.

Nun denn, gerade die Entwickler hier sollten wissen, dass so ein grep kein relevanter Zeitaufwand ist und der gesammelte Zeitaufwand zum Stänkern aller hier übersteigt wahrscheinlich jetzt schon den Aufwand der Implementierung. Glückwunsch dazu.

Apple verbringt auch noch viel mehr Zeit mit anderen Dingen, die niemand braucht, zum Beispiel mit Greenwashing oder mit Virtue Signalling (solange es nicht unbequem in den USA wird). So ist es halt. Manche davon eher aktiv schädlich, aber, dass sich dann hierauf gestürzt wird, spricht mal wieder Bände. Dann macht man eben auch einen find-replace und mit genug Übung ist man in unter zehn Sekunden durch. Dann zwei Minuten aufregen und weiterarbeiten.

Zuverlässig… Produktiv… Linux… ich versuche mal, vorbildlich zu sein zu sein und lasse das so stehen.

Naja, du hältst es sehr schwammig, was genau die “funktionierende” Methode ist (was du mit deinem eigenen Schlüssel machst, taucht nicht auf). Den privaten Schlüssel brauchst du dafür nicht. Da ich nicht den ganzen Prozess verstehe, kann ich nur raten - vielleicht wird der GPU-Treiber nicht geladen, weil die generell mit dem Microsoft 3rd Party CA signiert sind (ebenso wie der Linux-Shim) und dieser Schlüssel nicht hinterlegt ist.

Apple kann das Gerät auch nicht einfach “freischalten”, so funktioniert Verschlüsselung nicht. Sie können Activation Lock entfernen, damit man das Gerät wieder benutzen kann, aber an die Daten kommt man so nicht. Sicherheitslücken (je nach Modell und OS) erlauben idR auch höchstens einen PIN-Bruteforce, weil der Entschlüsselungsschlüssel bei jedem Neustart verworfen wird (deswegen gehen Touch ID und Face ID nicht direkt nach Neustarts). Bruteforce käme dann auch stark darauf an, was für eine PIN das ist (ich benutze eine Passphrase, viel Spaß).

Was Apple machen kann, ist, iCloud-Daten, die nicht E2EE-verschlüsselt sind, herausrücken. Ohne Advanced Data Protection ist das vielleicht ein vollständiges Backup, mit ADP praktisch nichts (Mails, Kalender, Kontakte). So oder so ist das unabhängig vom iPhone selbst. Sollte ADP an oder iCloud ganz aus gewesen sein, gibt es keine offiziellen Wege.

Ja, es läuft "zufällig", weil andere Nodes schon immer von solchen Verkürzungen betroffen waren. Bei gewissen Pfaden wird auch die alte Shell nicht funktionieren.

bluebyte Das ist kein Bug: https://github.com/tianocore/e…9d793ee21e9c2f2e7ddbb2176

Das selbe "Problem" gibt es auch für andere Node-Typen, u.a. PciRoot, PcieRoot, Ata, usw. Es gibt leider auch keinen Konfigurationsparameter innerhalb der Shell, um den Modus umzustellen. Deshalb immer die DPs aus der OC-Log verwenden.

karacho Würde niemals in der UEFI-Umgebung auf Dateisysteme schreiben, gerade der Standard-FAT32-Treiber von AMI-Firmware hat teils schwerwiegende Bugs.

Arkturus Ich finde nichts dazu, dass das BSI VeraCrypt als bedingt vertrauenswürdig einstuft. Schon gar nicht wegen der KEXT, da FSKit erst seit Sequoia überhaupt für solche Anwendungszwecke in Frage kommt. Im Bericht vom Fraunhofer wurde auch nur der Windows-Treiber analysiert. Es wurden Sicherheitsprobleme aber keine kritischen Lücken gefunden.

Faust Ja, das BSI ist vertrauenswürdig, trotz willkürlichem “irgendwas mit Sicherheitsbehörde muss bestimmt irgendwas mit Spionage oder so”.

Quote from ST3R30

AppleHDA muss in die System Partition installiert werden und läuft im Kernel-Space, nicht im User-Space. Das sind also gleich 2 Bedingungen, die OpenCore nicht erfüllen kann.

Alle KEXTs laufen im Kernel-Space. Mit AppleALC würde auch eine von Lilu übernommene SysKC-Injection reichen, müsste nur jemand implementieren.

Ergänzungen zum Artikel:

- 7 Jahre sind nicht “schnell”, Rosetta 1 war auch +/- in diesem Rahmen.

- Spiele sind ein Sonderfall, weil sie viele GUI-Bibliotheken nicht brauchen, die aktuell in ARM und x86 bereitgestellt werden - diese werden dann entfernt.

- Die Kerntechnologie bleibt wahrscheinlich noch länger für Game Porting Toolkit und Linux-VMs vorhanden.

Quote from Arkturus

Die apfs_aligned.efi habe ich in /usr/Standalone/i386/ intergriert

Jetzt bin ich verwirrt - die Datei kommt daher, wie integrierst du sie dort? Der Treiber muss wie jeder andere auch mit OC geladen werden.

Quote from Arkturus

mhaeuser

mit Apfs Jumstart meintest Du hier den Haken rausnehmen?

Ja

Scheint so, als hätte macOS 26s apfs.efi einen Bug. Lädt man den macOS 15 Treiber (in /usr/standalone/i386/apfs_aligned.efi; APFS JumpStart natürlich aus), funktioniert FileVault 2 wohl wieder.

Quote from Mieze

Ich vermute, dass Apple genau das nicht wollte, sondern durch den Wegfall der Unterstützung für zahlreiche Intel-Macs den Umstieg auf Apple Silicon zu forcieren versucht. Schließlich spült das zusätzliches Geld in die Kassen. Bei den 2018er Mac minis, die bis vor 2,5 Jahren noch verkauft wurden, ist der Wegfall der Unterstützung schon eine Unverschämtheit. Bin mal gespannt, ob es in den USA Sammelklagen geben wird?

Bin etwas verwirrt - seit Apple vor Längerem schon die Zügel bei den Supportzeiten etwas angezogen hat, passen m.W. noch alle Intel-Supportzeiten ins Bild. Ich sehe nicht, wo irgendwas wegen Apple Silicon Geld aus der Unterstützung gefallen sein soll. Nach Verkaufszeiten ging es bei Apple noch nie, auch nicht zu PowerPC-Zeiten, immer nur nach Veröffentlichung.

Sowieso seltsam, direkt mit Sammelklage anzufangen - Apple muss Hardware unterstützen, nicht mit neuen Emojis versorgen. In alter Android-Manier hätten sie dem Mac wahrscheinlich auch gar keine großen Updates spendieren können und alles wäre legal.

Seit heute Morgen gibt es einen “finalen” Fix für die Kext-Inject-Problematik - bitte nur den aktuellen Commit verbreiten und nicht auf alte Artifacts verweisen, danke!

karacho UEFI, FAT32 und die üblichen Treiber sind case-insensitive.

Doch, natürlich sind das Nightlies. Es gibt einen Versionsbump, dann werden Änderungen für diese Version eingepflegt (sodass alle neuen Änderungen immer die Versionsnummer der Zielversion tragen) und irgendwann gibt es einen Release. Kein Release -> Nightly.