Eigentlich sollte man

zwingend voraussetzen, dass geräte komplett ohne SecureBoot Schlüssel ausgeliefert werden. Allein schon um des fairen wettbewerbs willen. Die kundenfreundlichste(!=benutzerfreundlich) Art und weise wäre es, wenn der kunde beim erstmaligen inbetriebnehmen des Geräts den Schlüssel eingeben müsste, ähnlich eines Product Keys.

Allerdings würde microsoft dann ganz schnell abstand von secureboot nehmen, immerhin hätte der kunde ja dann die wahl, ein anderes OS zu installieren.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das ist aber alles andere als Benutzerfreundlich. Und meist Betrifft es eh OEM Geräte die mit einem OS von Haus aus ausgeliefert werden.

Benutzer wird von Ihnen ignoriert. Anzeigen

richtig, aber genau die tatsache dass der nutzer beim kauf keine wahl hat, ist der grund für das monopol das microsoft inne hat. Würde man den benutzer zwingen, den key vor inbetriebnahme des geräts selbst einzugeben(und 25-stellige product keys ist der nutzer von microsoft ja sowieso gewöhnt) würde das das feld wenigstens ein bisschen glätten.

Nur als beispiel: Der PC wird ausgeliefert, mit leerer platte. Der nutzer erhält 2 DVDs zum System. Eine beinhaltet ein Ubuntu, eine beinhaltet ein windows. Ob die hersteller da nur ein disk-image aufspielen, oder eine automatische (unattended installation) einrichtung durchführen, ist dabei irrelevant. Beim ersten einschalten des computers wird der benutzer aufgefordert, die Disk in sein Laufwerk einzulegen(von mir aus lieber einen usb stick, aber davon sind wir noch ein jahrzehnt entfernt). Die Installationsdisk, ob ubuntu(oder viel lieber auch eine sammlung von netinst images verschiedener distributionen, für debian nutzer wie mich) oder Windows bittet den benutzer, sein SecureBoot einzurichten, und dafür den key auf der verpackung einzugeben. Der Rest der installation geschieht dann automatisch, ausser der benutzer wählt eine manuelle installation.

überzeugte windows-Nutzer würden dabei nichts verlieren, es wäre nicht wirklich weniger benutzerfreundlich(ob ich den key jetzt beim ersten boot eingebe oder davor ist ja eigentlich egal), aber der nutzer hätte die wahl was er installieren will. Und ImHO ist genau das fehlen dieser Wahlmöglichkeit der grund für die mangelnde verbreitung von linux auf dem desktop.

Fazit: bei dieser oder einer ähnlichen art von einrichtung würde dem benutzer der schrecken der missbrauchsmöglichkeit von secureboot weitgehend genommen, es würde kaum ein mehraufwand geschaffen, es wäre wettbewerbsfreundlich, und es würde die sicherheitsfunktion von secureboot so gut wie gar nicht beinträchtigen(ausser beim hersteller des PCs schleust jemand installationsmedien mit gefälschten keys ein, dann ist aber sowieso alles verloren). Für microsoft hätte das darüber hinaus den vorteil, dass man windows-lizenzen endlich an hardware binden könnte, um den unliebsamen weiterverkauf gebrauchter oem-lizenzen zu unterbinden.

Benutzer wird von Ihnen ignoriert. Anzeigen

Seh ich ganz genauso und hatte es in ähnlicher Form auch schon mehrfach aufgeführt.

Das größte Problem an einem PC aus dem Flächenmarkt ist doch das vorinstallierte mit zigtausenden "Mehrwertapplikationen" verseuchte OS. Wobei das OS nicht schlimm ist, sondern die Mehrwertapps und die "Alternativlosigkeit mangels besseren Wissens.

Ähnlich wie bei der Browserinstallation sollte das OS vom Nutzer bei Inbetriebnahme des PCs ausgewählt werden dürfen.
Eine Tabelle zur Auswahl mit folgenden Kritikpunkten wäre dabei hilfreich.

Applikationsvielfalt
Sicherheit
Dokumentation und Support
Stabilität
Benutzerfreundlichkeit
Optik
Geschwindigkeit
"Footprint"

und schwupps darf der User eines von 5 OS (bei Bedarf nach mehr über den "Mehr Auswahl..."-Button) einspielen.

Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Benutzer wird von Ihnen ignoriert. Anzeigen

Das Problem ist die aktuelle Situation: wer die meisten vor Installationen hat beherrscht den Markt, Secure Boot verschlimmert das ganze noch.

Benutzer wird von Ihnen ignoriert. Anzeigen

So sieht's aus.

Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Benutzer wird von Ihnen ignoriert. Anzeigen

wrt schrieb:
--------------------------------------------------------------------------------
> zwingend voraussetzen, dass geräte komplett ohne SecureBoot Schlüssel
> ausgeliefert werden. Allein schon um des fairen wettbewerbs willen. Die
> kundenfreundlichste(!=benutzerfreundlich) Art und weise wäre es, wenn der
> kunde beim erstmaligen inbetriebnehmen des Geräts den Schlüssel eingeben
> müsste, ähnlich eines Product Keys.
>
> Allerdings würde microsoft dann ganz schnell abstand von secureboot nehmen,
> immerhin hätte der kunde ja dann die wahl, ein anderes OS zu installieren.
So müsste es laufen. Aus Gründen der Benutzerfreundlichkeit würde ich aber empfehlen, dass das BIOS den Key von einem USB-Stick liest und den Benutzer fragt: 'Schlüssel für einen Distributor namens "Fedora Community Management" auf USB-Stick 1 gefunden. Fingerprint: XYZ. Soll dieser Schlüssel für Secure-Boot aktiviert werden? (Ja/Nein)'
Auch selbstgemachte Hausdistros könnte man auf diesem Wege gut installieren.

Benutzer wird von Ihnen ignoriert. Anzeigen

sehr schöne idee

Es ist Zeit für ein Stück weißes Papier, um Probleme ganz neu und unvoreingenommen erneut zu lösen. Es ist Zeit sich von seinem Wissen zu verabschieden und sich auf seinen Verstand zu berufen.

Benutzer wird von Ihnen ignoriert. Anzeigen

wrt schrieb:
--------------------------------------------------------------------------------
> zwingend voraussetzen, dass geräte komplett ohne SecureBoot Schlüssel
> ausgeliefert werden. Allein schon um des fairen wettbewerbs willen. Die
> kundenfreundlichste(!=benutzerfreundlich) Art und weise wäre es, wenn der
> kunde beim erstmaligen inbetriebnehmen des Geräts den Schlüssel eingeben
> müsste, ähnlich eines Product Keys.
>
> Allerdings würde microsoft dann ganz schnell abstand von secureboot nehmen,
> immerhin hätte der kunde ja dann die wahl, ein anderes OS zu installieren.
Dass kein UEFI-Key vorinstalliert sein soll, ist schon mal eine gute Idee.
Aber es sollte sich eigentlich auch so einrichten lassen, dass der Kunde den Key nicht selbst eingeben muss.

Mehrere Varianten:
1.) Das UEFI wird beim ersten Einschalten mit einem Passwort gesichert oder es ist schon vorab mit einem Passwort gesichert, das der Benutzer erfährt. Dann könnte das Passwort vll. auch einfach auf der Unterseite des Laptop oder so aufgedruckt sein (da sollte es unter normalen Umständen nicht bekannt werden). Und wer das Passwort kennt, kann UEFI-Keys setzen.
2.) Das UEFI bietet eine eigene Abfrage, bei der nur der Benutzer, der wirklich physikalisch davor sitzt, die Abfrage, ob der Key XYZ hinzugefügt werden soll, beantworten kann.
3.) Es gibt einfach einen Knopf oder Schalter, der UEFI ausschaltet. In diesem Betrieb können dann nach Belieben UEFI-Keys gesetzt werden und danach wird UEFI wieder eingeschaltet.

Müsste eigentlich alles technisch möglich sein.
Ich würde (3) bevorzugen. Dann ist auch gewährleistet, dass UEFI dauerhaft ausgeschaltet werden kann, wenn gewünscht =)

Benutzer wird von Ihnen ignoriert. Anzeigen