The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

В U-boot добавлена поддержка загрузки с использованием протокола HTTP

26.01.2023 13:02

В загрузчик U-boot, применяемый преимущественно на встраиваемых устройствах, интегрирован TCP-стек и реализована возможность удалённой загрузки с доставкой загрузочных образов, используя протокол HTTP. Ранее для удалённой загрузки по сети могли использоваться только протоколы на базе UDP, такие как TFTP и NFS. Предполагается, что поддержка загрузки по HTTP существенно упростит разработку встраиваемых систем, так как HTTP-серверы более распространены и привычны разработчикам.

Для загрузки образа по HTTP в U-boot добавлена новая команда wget. Для активации TCP-стека и команды wget в файле конфигурации предложены параметры CONFIG_PROT_TCP, CONFIG_PROT_TCP_SACK и CONFIG_CMD_WGET. Из планов на будущее называется реализация поддержки HTTPS и интеграция с UEFI HTTP boot.



  1. Главная ссылка к новости (https://www.linaro.org/blog/ht...)
  2. OpenNews: Две уязвимости в GRUB2, позволяющие обойти защиту UEFI Secure Boot
  3. OpenNews: Уязвимости в GRUB2, позволяющие обойти UEFI Secure Boot
  4. OpenNews: Релиз загрузочного менеджера GNU GRUB 2.06
  5. OpenNews: Леннарт Поттеринг предложил новую архитектуру верифицированной загрузки Linux
  6. OpenNews: Выпуск Ventoy 1.0.88, инструментария для загрузки произвольных систем с USB-носителей
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/58554-u-boot
Ключевые слова: u-boot, boot
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (66) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.1, Аноним (1), 13:11, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Переименовать из μ-boot в M-boot не хотят?
     
     
  • 2.6, omfgnuts (ok), 13:21, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    Нормально конечно смотрю у тебя все со зрением
     
  • 2.11, Аноним (11), 13:27, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    > из μ-boot в M-boot

    Скорее, в Bakemono-boot тогда.

     
  • 2.23, Аноним (-), 16:04, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Переименовать из μ-boot в M-boot не хотят?

    Вообзе-то он именно u-boot, изначально в честь подводных лодок, которые тоже не видно так сразу.

     
     
  • 3.27, Страдивариус (?), 16:23, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Причем это на немецкое слово аллюзия
     
     
  • 4.71, Аноним (71), 15:56, 20/03/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Наши славные, героические submarines. Их коварные и преступные u-boots.
     
  • 2.26, Страдивариус (?), 16:21, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    А подводная лодка на лого проекта вообще никаких мыслей не наводит о связи с названием?
     
     
  • 3.50, Аноним (50), 23:22, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Понятие "игра слов" небе не очень знакомо, видимо.
     
     
  • 4.52, Страдивариус (?), 16:04, 27/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Понятие "игра слов" небе не очень знакомо, видимо.

    И ребе, и небе, наверное, не очень. А кто это, кстати?

     

  • 1.2, Аноним (1), 13:12, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    >Предполагается, что поддержка загрузки по HTTP существенно упростит разработку встраиваемых систем, так как HTTP-серверы более распространены и привычны разработчикам.

    В чём проблема поднять tftp?

     
     
  • 2.3, Аноним (1), 13:14, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Лично моё мнение - в загрузчик HTTP добавили потому, что он обычно при перепрошивке не переписывается, и поэтому зонды в нём будут жить дольше. Соответственно зондопихателям будет готовая инфраструктура. Можно будет при каждой загрузке на свой HTTP-сервер в инете телеметрию слать, а не UDP-сервер подымать.
     
     
  • 3.8, Аноним (11), 13:24, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    > при каждой загрузке на свой HTTP-сервер ...

    Вот это точно, других адекватных причин - нету.

     
  • 3.64, rvs2016 (ok), 10:58, 04/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > в загрузчик HTTP добавили потому,
    > что он обычно при перепрошивке не переписывается

    А там разве не руками указывается хттп-адрес источника системы?
    В обычных же биосах руками указываешь источник загрузки (винчестер, cd, usb и т.п.)
    В этом u-boot хттп-адрес наверно ж тоже пишется своими руками, а не кем-то неизвестным?

     
  • 2.4, Деанон (?), 13:20, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Чтобы сразу Chromium 365 OS грузить
     
     
  • 3.7, Деанон (?), 13:21, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Azure Thread X Electron Cloud For Your Security
     
     
  • 4.16, Бывалый смузихлёб (?), 13:49, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну азуровскся ртос, ранее тред-икс, штука очень неплохая. Как минимум, лучше фри-ртоси
     
     
  • 5.28, Деанон (?), 16:42, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    А чем, кстати?
     
     
  • 6.58, Бывалый смузихлёб (?), 15:46, 28/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > А чем, кстати?

    Как минимум, сертификацией по умолчанию для всех стм-овских мк и процов
    Вдобавок тем, что, от события до исполнения прерывания проходит, вроде бы, не более 400 тактов, т.е уже ни в какое сравнение со фриртос'ью, у которой иные прерывания могут идти неожиданно долго. Есть, конечно, сейфртос, которая предназначена для чего-то реально серьёзного, но она стоит денег и, помнится, не распространяется в исходниках.
    Тогда как азуровская ртось ака тред-икс - изначально идёт в т.ч для чего-то серьёзного и распространяется в исходниках. Но там в иной раз всё равно занести придётся примерно столько же сколько и владельцам фриртос-и, только исходники будут на руках, а не на компе правообладателей

     
  • 2.5, 1 (??), 13:21, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Под него недостаточно смузи^W^W нет докера
     
     
  • 3.10, Аноним (10), 13:27, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    т.е. с докером ты тоже не разобрался
     
  • 2.15, пох. (?), 13:33, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > В чём проблема поднять tftp?

    нежным разработчикам непонятно и непривычно (честно-то говоря они вообще не знают, что это), а смузи не ждет, некогда разбираться.

    Проще погуанокодить в загрузчик дырявую и кривую реализацию http.

     
     
  • 3.25, Аноним (1), 16:14, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    С каких это пор "нежные" лезут в загрузчик и ядро?
     
     
  • 4.29, пох. (?), 16:53, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Говорят тебе - нет уже других. Про пиццу - это, если что, была нихрена не шутка.
     
  • 2.21, Owlet (?), 14:34, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • –1 +/
    1) Дохнет при нагрузке на сеть.
    2) Никакой безопасности (https вот это всё).
     
     
  • 3.48, Аноним (48), 22:23, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Погодите, в рамках топика вы в u-boot хотите реализацию SSL добавлять?? А сертификаты где хранить? А обновлять как??? Устареют и не будет ваш https ничего качать...
     
     
  • 4.65, rvs2016 (ok), 11:07, 04/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Погодите, в рамках топика вы в u-boot
    > хотите реализацию SSL добавлять??
    > А сертификаты где хранить?
    > А обновлять как???
    > Устареют и не будет ваш https ничего качать...

    Значит надо хттп внутри впн через свой впн-сервер.
    Ну только тогда в этот u-boot надо будет добавлять впн-клиент.
    Ну и дальше уже нормально: указать адрес впн-сервера, логин да пароль к нему - эти параметры сами не устареют.

     
     
  • 5.68, Аноним (-), 12:34, 04/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Зачем? Просто юзайте его фичи секурбута, заколотите свой ключ в доверяемые в uboot и чекайте образ как обычно. Злыдни будут видеть что качается но подменить это не смогут. По той же причине по которой нельзя подменить это в флехе или на диске.

    Uboot сто лет это все умеет, включили секурбут в настройках да прописали свои ключи. И будете как нормальные люди, сам себе OEM, между прочим.

     
  • 2.32, Аноним (32), 17:56, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Ни в чём, но ещё лучше его не поднимать.
     
  • 2.39, Ananimus (?), 20:11, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    В том, что TFTP тормозит как сучка.
     
     
  • 3.46, Аноним (48), 22:22, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Не без этого, но это решается реализацией RFC 7440 - всяко проще ее поддержку на сервер добавить (или перейти на r-tftpd), чем TCP-стэк в u-boot?
     
  • 2.63, Аноним (63), 13:55, 03/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Tftp шифровать не сможет. А с http следующий шаг https.
     

  • 1.9, АнонимкаРастуимка (?), 13:24, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • –2 +/
    А оно на раст написано?
     
     
  • 2.30, Аноним (30), 17:10, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    U-boot не вдруг вот щаз появился.
     

  • 1.14, kusb (?), 13:30, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Скачивать xml файл по https, проверять подпись, парсить его. В файле указаны зеркала, с которых можно скачивать файлы.
     
  • 1.17, ryoken (ok), 13:56, 26/01/2023 Скрыто ботом-модератором [﹢﹢﹢] [ · · · ]     [к модератору]
  • +4 +/
     

     ....ответы скрыты (7)

  • 1.18, Аноним (18), 14:02, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    > и привычны разработчикам

    Антифраза последних лет

     
     
  • 2.24, пох. (?), 16:06, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +2 +/
    Других разработчиков у меня для вас, последние леты - нет.

    Все либо пиццей торгуют, либо сдохли.

     

  • 1.19, Pew (?), 14:04, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Для этого нужно быть хотя бы админом локалхоста, а с этим у молодых разработчиков напряженка
     
  • 1.20, Аноним (20), 14:21, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +4 +/
    Ждем arm ноутбуки, которые будут при загрузке безальтернативно подтягивать в RAMFS "свежую" версию ОС по HTTP авторизуясь через серийник зашитый в чип. А данные и приложухи? А все в облоках! Ты только платить не забывай. Слоты SATA и M2 тоже уберут, для экономии. И за подачу питание на USB будет отвечать драйвер в системе.
     
     
  • 2.22, Аноним (22), 15:10, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +6 +/
    зогчем ты наши планы раскрываешь

    миморептилоид

     
  • 2.31, Kuromi (ok), 17:26, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Да ты походу в Apple работаешь.
     

  • 1.34, Chromium (ok), 19:06, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Ждëм U-boot на Electron. Прогрев пошëл!
     
     
  • 2.45, Аноним (45), 22:21, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +4 +/
    > Ждëм U-boot на Electron. Прогрев пошëл!

    И назовем его разумеется E-boot :)). Примерно это боты с ним и будут делать, как тут и предсказывают.

     
     
  • 3.47, Chromium (ok), 22:23, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    >> Ждëм U-boot на Electron. Прогрев пошëл!
    > И назовем его разумеется E-boot :)). Примерно это боты с ним и
    > будут делать, как тут и предсказывают.

    У нас уже есть идея и название. Осталось только написать эту программу и совместить с каким-нибудь Alpine Linux

     
     
  • 4.56, Аноним (56), 01:26, 28/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    в это все дело - опеннет-иксперты дальше слов ничего не могут
     
     
  • 5.57, Chromium (ok), 03:00, 28/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > в это все дело - опеннет-иксперты дальше слов ничего не могут

    Т.е. чтобы не разрабатывать, не нужно читать opennet?

     

  • 1.40, Иван_Лох (?), 20:12, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Это чтобы ботам было легче кофеваркам перепрошивать?
     
  • 1.41, ИмяХ (?), 20:20, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +3 +/
    Новое непаханое поле для уязвимостей. Безопасники без работы не останутся, создавая новые дыры и их же латая.
     
     
  • 2.51, Аноним (50), 23:23, 26/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    И каким образом это менее безопасно, чем TFTP, которому сто лет в обед?
     

  • 1.42, Аноним (43), 20:48, 26/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +1 +/
    Отличная новость, поддерживаю.
     
  • 1.53, Аноним (53), 17:35, 27/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Все это не лишено MITM, как проверить подлинность безопасной загрузки?
     
     
  • 2.59, Омномним (?), 10:28, 29/01/2023 [^] [^^] [^^^] [ответить]  
  • +1 +/
    Ну вообще это для инфраструктур с изолированной сетью загрузки, так-то, где MITM исключён (от инсайда ясен фиг не страхует, но от инсайда тебя вообще ничего не застрахует). За пределами таковых можно поверх IPSec гонять.
     
     
  • 3.67, rvs2016 (ok), 12:28, 04/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Ну вообще это для инфраструктур
    > с изолированной сетью загрузки,
    > так-то, где MITM исключён

    Во-во. В своей сети запускаем веб-сервер какой попало (хоть через netcat руками написанный, лишь бы файлы нужные отдал) и станции загружают себе нужные системы с этого веб-сервера. А народ-то настрадался с безопасностями этими тут. :-)

     
  • 2.62, Аноним (62), 13:13, 30/01/2023 [^] [^^] [^^^] [ответить]  
  • +/
    Пожнимаешь на роутере vpn до своего сервера и скачиваешь с него файл используя vpn сеть.
     
  • 2.70, Аноним (-), 13:23, 04/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    > Все это не лишено MITM, как проверить подлинность безопасной загрузки?

    Секурбут включить, какая ему разница - с флешки файло или с http? Подписи проверит что так что эдак, чей ключ в загрузчик вколочен тот и system owner.

     

  • 1.61, Аноним (62), 13:11, 30/01/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    Не нужная хрень для arm мусора, которую чтобы обуздать нужно быть сверхразумом либо алкашем. Пока не будет нормального uefi и стандартизации всех загрузочных этапов и избавления костылей в виде dtb - не видать арму десктопа. Это только попреетарные макбуки и прочее от аппле может себе позволить существовать. Для линуксов нужен нормальный "биос". Зачем? Затем чтобы материнская плата не сгорала из-за того что мамкин кулхацкер в ubuntu gaming edition увеличил напряжения везде где можно в конфигурации драйверов этого арм барахла.
     
  • 1.66, rvs2016 (ok), 11:29, 04/02/2023 [ответить] [﹢﹢﹢] [ · · · ]  
  • +/
    У сообщения 3.35 (находящегося внутри ветви, начинаемой сообщением 1.17) не нашёл кнопку ответа, поэтому пишу ответ отдельно.

    > Громозкость его кода, по сравнению с UDP для маленького загрузчика

    А зачем нынче пишут маленькие загрузчики?
    Ну раньше (лет 40 назад, когда 640 кб должно было хватать всем) понятно - микросхема занимает многие квадратные сантиметры площади, а памяти в ней - кот наплакал. Но нынче-то на паре квадратных сантиметров умещаются многие десятки гигабайт памяти! Да туда теперь можно давно десятки операционных систем закатывать, а не только маленького загрузчика. Не так ли? :-)

     
     
  • 2.69, Аноним (-), 12:50, 04/02/2023 [^] [^^] [^^^] [ответить]  
  • +/
    1 Иногда у SoC бывают технические лимиты - скажем до инициализации основной DRA... большой текст свёрнут, показать
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:



    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2024 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру