On Fri, 14 Jun 2024 14:54:56 +0200, Piotr Gałka wrote:
> W dniu 2024-06-07 o 17:18, io pisze:
>>>> Robię co mogę by się udawało.
>>>
>>> Świat się raczej tak zmienia że wróżę więcej porażek niż sukcesów.
>>
>> Ale, że niby co konkretnie się nie uda?
>>
> Nie jestem pewien o czym było.
> Nie uda Ci się np. mieć samochodu w którego komputer pokładowy wgrasz
> sobie swoje oprogramowanie.

Oj ... jakos dziwnie tunerzy coś zmieniają.
Byc moze powstanie też wersja z pluginami.

>>>> Dekoder można podłączyć, ale to nie dzięki producentowi.
>>> A kto jak nie producent zapewnił złącze HDMI?
>> I co, daje albo chociaż sprzedaje te dekodery?
> A co to ma do rzeczy?
> Chodziło tylko o to, że piszesz nieprawdę, że to nie dzięki producentowi
> możesz podłączyć dekoder. Jakby nie wbudował HDMI to byś nie mógł.

Dopiszmy jednak, ze HDMI w TV to taki standard, że "wszyscy dają", ale
teoretycznie niewymagany. Chociaz ... gdzie podłączyc DVD ? :-)

Tym niemniej HDMI powstało, się rozpowszechniło, od tego czasu
wszystkie TV gniazda mają ... i na tym się "odpowiedzialność
producenta" kończy.

>>>> No nie, producentowi zawsze zależy na marce bo po drugiej stronie
>>>> jest nabywca, który tym się jednak kieruje.
>>>
>>> Mylisz się.
>>> Producentowi może np zależeć tylko na zysku, który zwiększy sprzedając
>>> produkt byle jaki, ale 2 razy taniej niż konkurencja. Jeśli dzięki
>>> temu jego sprzedaż wzrośnie 10x (bo większość klientów zadziała według
>>> zasady - 'tak samo wygląda, a tańszy').
>>
>> A to nic do wiatraka nie ma, że kogoś przechytrzył. Sprzedawcy nie będą
>> tego produktu polecali i już marka ma znaczenie.
>
> Ty: Producentowi _zawsze_ zależy na jego marce.
> Ja: Nie każdemu - czyli nie _zawsze_.
> W tym miejscu albo się ze mną powinieneś zgodzić, albo udowadniać,
> że jednak zawsze i każdemu. A zamiast tego rzucasz.
> Ty: To nie będą sprzedawali i marka ma znaczenie.
>
> Co jest gadaniem dla gadania. Bez jakiejkolwiek potrzeby wrzucanie
> kolejnego kontekstu.

Ba - a bywa, ze to sprzedawca buduje marke. Sobie wymyśli jakies
XYZ, i zamawia u uznanych lub mniej uznanych producentów wyroby
z logo XYZ.

>>> Jak sprzedaje produkt byle jaki to według mojego pojęcia nie zależy mu
>>> na marce.
>> Dobra, bardziej zależy mu na szybkich pieniądzach niż na marce.
>>
> O!
> Tu jest racjonalna wypowiedź.

Tak jest :-)

J.

do góry

W dniu 14.06.2024 o 15:26, J.F pisze:
>> Nie jestem pewien o czym było.
>> Nie uda Ci się np. mieć samochodu w którego komputer pokładowy wgrasz
>> sobie swoje oprogramowanie.
> Oj ... jakos dziwnie tunerzy coś zmieniają.
> Byc moze powstanie też wersja z pluginami.

No są pluginy. Możesz wgrać sobie automatyczną zmianę świateł czy też
inne cuda.
https://www.bmw.pl/pl/shop/ls/cp/connected-drive


Robert

do góry

W dniu 14.06.2024 o 14:54, Piotr Gałka pisze:
> W dniu 2024-06-07 o 17:18, io pisze:
>
>>>> Robię co mogę by się udawało.
>>>
>>> Świat się raczej tak zmienia że wróżę więcej porażek niż sukcesów.
>>
>> Ale, że niby co konkretnie się nie uda?
>>
> Nie jestem pewien o czym było.
> Nie uda Ci się np. mieć samochodu w którego komputer pokładowy wgrasz
> sobie swoje oprogramowanie.

Pokładowy ... to nie wiem co właściwie masz na myśli, czy sterownik
silnika czy to co widzi użytkownik, ale ... ludzie grzebią w tych
samochodach i wgrywają tam, co chcą. Nie są też te samochody zawsze nie
wiadomo jak skomplikowane. Np. nie bardzo widzę ograniczenia bym nie był
w stanie podmienić wszystkiego w moim elektryku. Prosty jest. Kwestia
czy tego akurat chcę w życiu najbardziej.

>
>>> Przyjmuję. Tylko staram Ci się uzmysłowić, że producent nie wszystko
>>> jest w stanie przewidzieć. Jak wprowadzili standard to mógł założyć,
>>> że przez kilkanaście/dziesiąt lat nic już się nie zmieni. W końcu nad
>>> tym cyfrowym tyle się zastanawiali, że mogli podjąć raz a dobrą decyzję.
>>> Chyba żaden producent telefonów stacjonarnych nie przewidział
>>> możliwości włożenia w aparat jakiegoś modułu aby stał się on komórką.
>>
>> No ale to dowodzi właśnie tego, że producent nie odpowiada. Bo
>> odpowiada za wprowadzenie a kiedy wprowadzał można było nadawać w
>> starym standardzie.
>
> Zmieniłeś zdanie, czy sam sobie przeczysz?
> Ten wątek zaczął się od tego, że według Ciebie jak wprowadzał na rynek i
> było wifi 'a' to powinien sprzedać już produkt gotowy na przystosowanie
> do 'g'.

To była odpowiedź na to, że się da robić sprzęt, który nie skończy się
dlatego, że producent sprzęt olał. I sprawą użytkownika jest by nie
akceptował uniemożliwiania wgrania konkurencyjnego oprogramowania do
sprzętu który przecież jest jego własnością.

>
>>>> Dekoder można podłączyć, ale to nie dzięki producentowi.
>>>
>>> A kto jak nie producent zapewnił złącze HDMI?
>>
>> I co, daje albo chociaż sprzedaje te dekodery?
>
> A co to ma do rzeczy?
> Chodziło tylko o to, że piszesz nieprawdę, że to nie dzięki producentowi
> możesz podłączyć dekoder. Jakby nie wbudował HDMI to byś nie mógł.

No to ma do rzeczy, że w istocie żadnej odpowiedzialności nie wziął za
wsparcie nowego standardu nadawania w swoich produktach bo zrobił to
jakiś inny producent wykorzystując interfejs, który z odbieraniem nie ma
za dużo wspólnego.

>
>>>> No nie, producentowi zawsze zależy na marce bo po drugiej stronie
>>>> jest nabywca, który tym się jednak kieruje.
>>>
>>> Mylisz się.
>>> Producentowi może np zależeć tylko na zysku, który zwiększy
>>> sprzedając produkt byle jaki, ale 2 razy taniej niż konkurencja.
>>> Jeśli dzięki temu jego sprzedaż wzrośnie 10x (bo większość klientów
>>> zadziała według zasady - 'tak samo wygląda, a tańszy').
>>
>> A to nic do wiatraka nie ma, że kogoś przechytrzył. Sprzedawcy nie
>> będą tego produktu polecali i już marka ma znaczenie.
>
> Ty: Producentowi _zawsze_ zależy na jego marce.
> Ja: Nie każdemu - czyli nie _zawsze_.
>    W tym miejscu albo się ze mną powinieneś zgodzić, albo udowadniać,
> że jednak zawsze i każdemu. A zamiast tego rzucasz.
> Ty: To nie będą sprzedawali i marka ma znaczenie.
>
> Co jest gadaniem dla gadania. Bez jakiejkolwiek potrzeby wrzucanie
> kolejnego kontekstu.
>
>>> Jak sprzedaje produkt byle jaki to według mojego pojęcia nie zależy
>>> mu na marce.
>>
>> Dobra, bardziej zależy mu na szybkich pieniądzach niż na marce.
>>
>
> O!
> Tu jest racjonalna wypowiedź.

Czyli "zawsze zależy na swojej marce" tylko nie zawsze bardziej niż na
szybkich pieniądzach.

>
>> No jasne, ale jak sam swoim przykładem dowodzisz, producent nawet nie
>> dopuszcza, że jakaś podatność istnieje. A istnieje na pewno :-)
>
> Nie wiem dokładnie do czego zmierzamy.
> Ogólnie jak jest powszechny system operacyjny to mnóstwo ludzi szuka w
> nim podatności. Jak ktoś znajdzie to zazwyczaj pewnie się okazuje, że
> wszystkie urządzenia, które bazują na tym systemie są podatne i
> wszystkie takie urządzenia - mają problem.
> Jak jest niszowe urządzenie, które nie bazuje na żadnym, popularnym
> systemie to ilość ludzi szukających podatności jest zbliżona do 0.
> Prawdopodobieństwo znalezienia podatności jest na pewno jakoś związane
> (pewnie nieliniowo) z ilością ludzi jej szukających.
> Nawet jak system jest słbszy i podatność łatwiejsza do znalezienia to
> przy liczbie szukających równej 0+ prawdopodobieństwo znalezienia -
> śladowe.

Prawdopodobieństwo to jest miara zdarzeń losowych a to o czym mowa nie
jest losowe tylko zależne od tego czy ktoś zechce się włamać. Nie da się
określić tego 'chcenia' bo motywacje ludzi są przeróżne. Można tylko
straty przybliżyć. Banot chodzi po gzymsach i faktycznie nie ma za dużo
banotów, ale blok w którym teraz jestem ma podatność na numerach
nieparzystych polegająca na tym, że można się do nich dostać kominem.
Mogę nie trzymać w tych mieszkaniach drogich rzeczy. Albo trzymać i
przenieść się do mieszkania o numerach parzystych. Jest też podatność
drzwi wejściowych, że zwykły zamek można otworzyć w 5 sekund, więc jak
chcę by ktoś tego nie mógł zrobić to muszę zorganizować mniej podatny
zamek. Akurat o to mogę zadbać. No ale muszę jednak wiedzieć, że ten
zamek jest podatnością. Podatnością mogą być przecież równie dobrze
zawiasy drzwi. I znowu, muszę wiedzieć. Przekonanie o tym, że nikt się
nie włamie nie ma nic do rzeczy.

do góry

W dniu 14.06.2024 o 13:52, Piotr Gałka pisze:
> W dniu 2024-06-07 o 13:07, io pisze:
>
>>> Dlatego, ja piszę cały czas o zabezpieczeniu przed wgraniem czegoś
>>> przez normalne kanały komunikacyjne.
>>
>> No normalne, a jakie inne mogą być? Nienormalne? :-)
>
> Czyli normalne kanały to:
> - złącza karty SDI, USB, RS485, Ethernet, i inne
> - połączenia radiowe Bluetooth, wifi, ZigBee,...
> Wgranie nie przez normalne kanały to wgranie czegoś przez podłączenie
> się do złącza programowania procka na PCB.
> Do tej pory rozumiałem, że rozmawiamy tylko o wgraniu przez normalne
> kanały.

Tak podejrzewałem, ale to ... zasadniczo normalny kanał :-) Może tylko
nie być kontrolowany przez twój system/oprogramowanie_urządzenia. Jak
dla mnie tylko dlatego go traktujesz inaczej bo nie bardzo masz nad nim
kontrolę poza ewentualnym niewyprowadzeniem pinów albo użyciem jakiegoś
fikuśnego złącza. Ale w sumie możesz takie czy inne ograniczenia
uskuteczniać.

>
>> Chyba jasne, że właściciel sprzętu musi dbać by oprogramowanie było
>> właściwe.
>
> Twoje urządzenie łączy się z Internetem. Jak, jako właściciel, dbasz o
> jego oprogramowanie, jeśli ono (tak jak drukarka z początku rozmowy)
> może łyknąć jakiś podsunięty mu przez któreś z jego połączeń dowolny
> plik jako nową wersję swojego oprogramowania.

Nie wgrywam przypadkowego oprogramowania.

> Mi chodzi o to, że przy takim rozwiązaniu Ty, jako właściciel urządzenia
> nawet nie będziesz widział od kiedy on już nie działa jak myślisz tylko
> inaczej. Np. kamerka cię szpieguje, telefon podłuchuje, kontrola dostępu
> wpuści pewne karty o których nie wiesz, że istnieją.

Jw, jeśli coś mnie szpieguje to dlatego, że nie mam możliwości wgrania
oprogramowania pozbawionego takich niepożądanych przeze mnie
funkcjonalności a nie dlatego, że taką możliwość wgrania mam. Oczywiście
gdybyśmy mówili o tym, by nie dało się przypadkowo wgrać niewłaściwego
oprogramowania to ok, ale później jakoś jednak byłeś za eliminowaniem
oprogramowania konkurencyjnego.

>
>>> Urządzenia (nasze) nie są plombowane. Napisy na scalakach nie są
>>> frezowane. Scalaki nie są jakieś 'na zamówienie' tylko normalnie
>>> dostępne. Jak masz urządzenie w ręku to możesz się podłączyć do pinów
>>> PDI procesora AtXmega, skasować dotychczasową zawartość i wgrać swoją.
>>> Jeśli o takie prawa 'nabywcy = właściciela' Ci chodzi to je masz.
>>
>> Ja o nieblokowaniu konkurencyjnego oprogramowania pisałem.
>
> No to ten akapit był właśnie na ten temat. Nie można dopuścić wgrywania
> czegokolwiek przez normalne kanały (o tym było powyżej), ale wgranie
> czegokolwiek (w tym konkurencyjnego oprogramowania) gdy podłączysz się
> bezpośrednio do procesora nie jest blokowane.

Jw, ja rozumiem, że ktoś może chcieć mieć kontrolę, ale to jest kosztem
właściciela, który ma słuszne prawo wgrać sobie co chce.

>
>>> O jakim wgraniu mówisz? Ja cały czas tylko i wyłącznie o konieczności
>>> zabezpieczenia się przed wgraniem jakichś śmieci normalnymi,
>>> dostępnymi z zewnątrz kanałami.
>>
>> No nie, piszesz o podpisywaniu i jeszcze potwierdzasz, że chodzi o
>> sprawdzanie podpisu. No to nie wiem ... inaczej rozumiemy podpisywanie
>> i weryfikowanie podpisu.
>
> Dokładnie. Przy wgrywaniu przez kanały komunikacyjne urządzenia powinna
> być weryfikacja tego co jest wgrywane (weryfikacja - czyli sprawdzenie
> podpisu).
>
>>> Wydaje mi się, że do tej pory nie rozmawialiśmy o tym jakie masz
>>> możliwości po dostaniu się do wnętrza urządzenia (jak producentowi
>>> zależy to otwarcie obudowy wiąże się ze zniszczeniem plomby).
>>
>> Ja o niczym takim nie pisałem, ale przyjmijmy, że nie odbiegało to
>> sensem.
>
> Jak pisałeś o blokowaniu wgrania konkurencyjnego oprogramowania to
> zrozumiałem, że chodzi Ci o zablokowanie hardware'u - że nie da się na
> nim uruchomić innego programu. Czyli kupiłeś hardware (z naszym
> oprogramowaniem) - jest Twój - uważasz, że powinieneś mieć prawo wgrać w
> niego cokolwiek Ci się podoba, i rozumiałeś, że blokujemy to.
> Aby nie brnąć w dyskusję dlaczego i jakim prawem blokujemy Ci dostęp do
> Twojego (bo kupiłeś) hardware'u napisałem, że nie blokujemy. Otwierasz
> obudowę, zasilasz urządzenie, podłączasz się programatorem odpowiednim
> do zastosowanego procesora i wgrywasz dowolny wsad jaki tam sobie chcesz.

No ja wiem, niemniej jednak blokujesz to gdzie indziej.

>
>>> Już pisałem, że jak urządzenie będzie źródłem jakiegoś dewastującego
>>> okolicę i samo urządzenie problemu to sprawdzenie podpisu może być
>>> niemożliwe i odpowie producent bo nie udowodni, że ktoś wgrał coś
>>> innego.
>>
>> Kiedy tak niby będzie? To urządzenie jest już sprzedane. Ma jakąś
>> gwarancję i to tyle.
>
> Ale może się tak zdarzyć jak napisałem.

Prędzej zdarzy się, że producent nie będzie wspierał urządzenia i
użytkownik będzie sobie musiał radzić sam, od czego dokładnie się w tym
wątku rozpoczęło.

>
> Jest sobie urządzenie w którym program dba aby się nie przegrzewało.
> Ktoś wgrywa lepszy program. Wyłączanie zabezpieczeń zwiększa wydajność
> urządzenia więc się cieszy. Urządzenie się przegrzewa - powoduje pożar.
> Straż stwierdza, że źródłem pożaru było to urządzenie. Używając słów
> (szerszych) z poprzedniej wypowiedzi - zdewastowana została okolica i
> samo urządzenie. Nie da się już w nim sprawdzić, jakie tam było
> oprogramowanie. Kto ma zapłacić za straty wywołane pożarem?

Właściciel urządzenia. I tak to zasadniczo jest. Jak mieszkanie komuś
zalejesz w bloku to odpowiadasz i tyle. Może sobie tam kiedyś producenta
czegoś co zawiodło pociągniesz, ale wobec sąsiada tylko Ty jesteś
odpowiedzialny. Źle zainstalowana antena do nadawania, twój problem a
nie producenta. Podawałeś nawet taki przykład. Itp itd

>
> W takiej sytuacji tak będzie. To jest w wątku, gdy zapytałeś, czy
> producent może mieć jakiś powód, aby blokować a ja napisałem że da się
> znaleźć takie powody.
>
> Osobna informacja jest - że my nie blokujemy bezpośredniego wgrania
> sobie co tam chcesz.
> Zwracam na to uwagę, bo zaraz napiszesz, że raz piszę, że wgranie jest
> be, a zaraz, że nie blokujemy.
> My nie blokujemy, ale jak pytasz, czy ktoś może mieć jakiś powód aby
> blokować to Ci podaję argumenty, że może mieć powody.

To jest tylko fikcyjny powód a nie realny bo jw.

>
>>>>> Teraz Ty te znalezione przeze mnie specjalnie na Twoje pytanie
>>>>> argumenty dlaczego producent może mieć powód, aby zabezpieczać się
>>>>> przed podmianą oprogramowania przypisujesz, że o to mi chodziło od
>>>>> samego początku.
>>>>
>>>> No bo na początku o to zapytałem i Ty to w końcu potwierdziłeś. A ja
>>>> sobie myślę, że chcesz po prostu eliminować konkurencyjne
>>>> oprogramowanie.
>>>
>>> A ja zupełnie nie rozumiem jakiego rodzaju działania masz na myśli.
>>> Ktoś kupuje nasze kontrolery po to aby sobie wgrywać swoje
>>> oprogramowanie. No to znacznie rozsądniej będzie mu zamówić też sobie
>>> hardware za drobną część ceny naszego kontrolera. Nie będzie też
>>> musiał rozszyfrowywać co i jak połączyliśmy albo jak współpracować z
>>> akurat tą szeregową pamięcią flash, którą zastosowaliśmy. Wstawi
>>> sobie takie kostki jakie mu będą bardziej pasowały.
>>
>> Czyli nie ma sensu blokować mu możliwości wgrania czegoś innego. O to
>> Ci chodzi?
>
> Cały czas twierdzę, że wgranie przez normalne kanały czegoś dowolnego
> powinno być blokowane, ale w pewnym momencie zrozumiałem, że Ty
> rozmawiasz chyba o blokowaniu w ogóle zmiany oprogramowania no to
> napisałem, że tego nie blokujemy.
> Czy jest sens blokowania, czy nie

Pytanie było proste, 'czy blokujecie bo niepodpisane'. W ogóle nie do
Ciebie jako producenta pisałem, bo wyobrażam sobie, że każdy robi co
chce najwyżej go ktoś do sądu poda, że nie może wgrać oprogramowania
swojego. Ale ogólnie tak to powinno funkcjonować, że właściciel
urządzenia powinien mieć nad nim pełną kontrolę chyba, że sobie kupi
użytkowanie (np na minuty) zamiast produktu. Na tym polega
'właścicielstwo'. Pełnia praw.

>
>> Ja o wgrywaniu firmware cokolwiek to obejmuje. Ale możemy rozważyć czy
>> wgrywanie bardziej bezpośrednie czyni zadość mojemu postulatowi by nie
>> > blokować konkurencyjnego oprogramowania. Raczej jednak nie czyni bo
>> niekoniecznie chodzi o konkurencyjne. Może chodzić o poprawkę
>> oprogramowaniu, które się od Ciebie kupiło ze sprzętem.
>
> Poprawkę sobie wgrasz normalnymi kanałami, bo jest podpisana.

A jak się skończy wsparcie to wgram sobie guzik z pętelką i będę
szczęśliwy że hoho. Od tego się w tym wątku rozpoczęło.

>
>> Załóżmy umierasz już, nie ma chętnych do utrzymywania, albo nie
>> umierasz, ale po prostu nie chcesz jakieś kluczowej dla nabywcy
>> funkcjonalności, więc on musi to sobie zrobić sam.
>
> No to wtedy musi otworzyć obudowę i się podłączyć bezpośrednio do
> procesora i ma 100% panowania nad sprzętem. Żadne podpisy czy działanie
> zgodnie z jakimś przez nas wymyślonym protokołem go nie obchodzi bo
> stosuje standardową metodę wsadzania wsadu do procesora. Co i jak musi
> pytać Microchipa (wykupili Atmela) a nie nas.

Ale rozumiesz, że ja nie piszę do Ciebie jako do producenta? Mówię o
pewnych praktykach. Jest oczywiście ciężko te praktyki eliminować bo np
kupujemy latarkę jako latarkę a nie, że ma w środku procesor, który
można zaprogramować inaczej niż na początku było. No ale ja właśnie
kupuję latarkę by sobie ją dopasowywać do swoich potrzeb. Jak mam
codziennie przechodzić te 3 poziomy jasności świecenia to mnie szlag
trafia. Tylko ... latarka to nie tylko procesor w niej, ale np dobre
mocowanie, nieuwieranie, waga, sposób ładowania.

>
>>> Ale w razie 'sprzęt wywołał pożar i spłonął doszczętnie (razem z
>>> domem)' jak to udowodnić.
>>
>> No właśnie jak udowodnić, że twoje oprogramowanie jest winne jak nie
>> ma do niego dostępu?
>
> Sugerujesz, że po spaleniu urządzenia byłoby to do sprawdzenia?

Po spalenia może nie być, ale jakby akurat się urządzenie uchowało to
jak to sprawdzić nie mając do oprogramowania dostępu?

>
>>> P.S.
>>> Będziemy musieli pomyśleć, aby przed sprzedażą rozwiercać złącze PDI :)
>>
>> Ja nic o technikach wgrywania oprogramowania tylko samym fakcie chęci
>> ograniczenia swobody nabywcy.
>
> Jakbyś nie zauważył to właśnie była wypowiedź na ten temat. Jak uznamy,
> że mamy chęć ograniczenia nabywcy możlwiości wgrania jego oprogramowania
> to powinniśmy pomyśleć o rozwierceniu tego złącza, aby ograniczyć mu
> możliwość podłączenia się do procesora i wgrania swojego oprogramowania.

Ale ja ufam, że twoją intencją jest co innego, co nie zmienia, że
'kiedyś przestaniesz wspierać swoje urządzenie' i jego użytkownik i
właściciel w jednym nie będzie mógł z niego dalej korzystać, czyli tak
jakby na minuty sobie kupił i mu się już te minuty skończyły, co jest
absurdalne bo to jego sprzęt i może co najwyżej nie być zorientowany na
robienie tych modyfikacji, ale to sobie wtedy kupuje 'na minuty'.

do góry

W dniu 2024-06-16 o 12:22, io pisze:
> Pokładowy ... to nie wiem co właściwie masz na myśli, czy sterownik
> silnika czy to co widzi użytkownik, ale ... ludzie grzebią w tych
> samochodach i wgrywają tam, co chcą. Nie są też te samochody zawsze nie
> wiadomo jak skomplikowane. Np. nie bardzo widzę ograniczenia bym nie był
> w stanie podmienić wszystkiego w moim elektryku. Prosty jest. Kwestia
> czy tego akurat chcę w życiu najbardziej.

No to muszę w tej kwestii przyznać Ci rację. Nawet mi do głowy nie
przyszło, że ktoś w tym grzebie.

> No to ma do rzeczy, że w istocie żadnej odpowiedzialności nie wziął za
> wsparcie nowego standardu nadawania w swoich produktach bo zrobił to
> jakiś inny producent wykorzystując interfejs, który z odbieraniem nie ma
> za dużo wspólnego.

Wprowadziłem pojęcie 'odpowiedzialność' tłumacząc dlaczego producent
może chcieć blokować. Odpowiedzialność w sensie, że może za coś być ukarany.
Zaraz potem Ty użyłeś tego słowa rozumiejąc pod tym zupełnie co innego.
Już raz to tłumaczyłem.
Jeśli w moich wypowiedziach będziesz pojęcie odpowiedzialność rozumiał
po swojemu to nie mamy żadnej szansy się zrozumieć i szkoda bić dalej
tej piany.


>>> Dobra, bardziej zależy mu na szybkich pieniądzach niż na marce.
>>
>> O!
>> Tu jest racjonalna wypowiedź.
>
> Czyli "zawsze zależy na swojej marce" tylko nie zawsze bardziej niż na
> szybkich pieniądzach.

Nie zwróciłem uwagi, że stwierdzenie, że 'bardziej mu zależy na
pieniądzach' bezpośrednio nie zawiera stwierdzenia, że nie zależy mu na
marce.
Dla mnie zawierało i zawiera.
P.G.

do góry

W dniu 17.06.2024 o 12:17, Piotr Gałka pisze:
> W dniu 2024-06-16 o 12:22, io pisze:
>> Pokładowy ... to nie wiem co właściwie masz na myśli, czy sterownik
>> silnika czy to co widzi użytkownik, ale ... ludzie grzebią w tych
>> samochodach i wgrywają tam, co chcą. Nie są też te samochody zawsze
>> nie wiadomo jak skomplikowane. Np. nie bardzo widzę ograniczenia bym
>> nie był w stanie podmienić wszystkiego w moim elektryku. Prosty jest.
>> Kwestia czy tego akurat chcę w życiu najbardziej.
>
> No to muszę w tej kwestii przyznać Ci rację. Nawet mi do głowy nie
> przyszło, że ktoś w tym grzebie.

Ale, że w elektrykach czy że w ogóle?

>
>> No to ma do rzeczy, że w istocie żadnej odpowiedzialności nie wziął za
>> wsparcie nowego standardu nadawania w swoich produktach bo zrobił to
>> jakiś inny producent wykorzystując interfejs, który z odbieraniem nie
>> ma za dużo wspólnego.
>
> Wprowadziłem pojęcie 'odpowiedzialność' tłumacząc dlaczego producent
> może chcieć blokować. Odpowiedzialność w sensie, że może za coś być
> ukarany.
> Zaraz potem Ty użyłeś tego słowa rozumiejąc pod tym zupełnie co innego.
> Już raz to tłumaczyłem.
> Jeśli w moich wypowiedziach będziesz pojęcie odpowiedzialność rozumiał
> po swojemu to nie mamy żadnej szansy się zrozumieć i szkoda bić dalej
> tej piany.

No to 'zapewnienie obsługi aktualnego standardu nadawania' jest właśnie
tego rodzaju. Zakaz jakiś mamy sprzedaży telewizorów nie odbierających
cyfrowego nadawania. Nie wiem jakie konkretnie sankcje przewidziane i
dla kogo, ale zakładam, że jakieś są i działają. By sprzedawać producent
musi dostosować się. No to nawet grzywny nie trzeba do samego
przymuszenia. A do tych telewizorów produkuje się też jakiś osprzęt
AZART, czyli DVB-C który nawet nadaje i może 'zakłócać okolicę'.

do góry

W dniu 2024-06-16 o 15:25, io pisze:
>>> Chyba jasne, że właściciel sprzętu musi dbać by oprogramowanie było
>>> właściwe.
>>
>> Twoje urządzenie łączy się z Internetem. Jak, jako właściciel, dbasz o
>> jego oprogramowanie, jeśli ono (tak jak drukarka z początku rozmowy)
>> może łyknąć jakiś podsunięty mu przez któreś z jego połączeń dowolny
>> plik jako nową wersję swojego oprogramowania.
>
> Nie wgrywam przypadkowego oprogramowania.

Ja rozumiałem, że ta drukarka, jak tylko zobaczyła jakiś plik to go
sobie sama wgrała. I teraz piszę o zobaczeniu przez urządzenie jakiegoś
pliku gdzieś w necie.
Zakładam, że jeśli protokół wgrywania takich plików jest otwarty to
ktoś, wiedząc o tym może takiemu urządzeniu, które jest podłączone do
sieci podsunąć taki plik bez wiedzy właściciela urządzenia.
Twoje wypowiedzi rozumiem tak, że jako właściciel po prostu, jakoś do
tego nie dopuścisz, mimo, że wgranie nie jest w żaden sposób
zabezpieczone. Pytam jak, bo nie bardzo sobie to wyobrażam.

Było kiedyś głośno o ataku DDOS tysięcy kamerek internetowych na jakąś
tam stronę. Według Ciebie właściciele tych kamerek świadomie
zmodyfikowali oprogramowanie tych kamerek, czy stało się to bez ich wiedzy?

>> Mi chodzi o to, że przy takim rozwiązaniu Ty, jako właściciel
>> urządzenia nawet nie będziesz widział od kiedy on już nie działa jak
>> myślisz tylko inaczej. Np. kamerka cię szpieguje, telefon podłuchuje,
>> kontrola dostępu wpuści pewne karty o których nie wiesz, że istnieją.
>
> Jw, jeśli coś mnie szpieguje to dlatego, że nie mam możliwości wgrania
> oprogramowania pozbawionego takich niepożądanych przeze mnie
> funkcjonalności a nie dlatego, że taką możliwość wgrania mam. Oczywiście
> gdybyśmy mówili o tym, by nie dało się przypadkowo wgrać niewłaściwego
> oprogramowania to ok, ale później jakoś jednak byłeś za eliminowaniem
> oprogramowania konkurencyjnego.

Masz rację - jestem w takich przypadkach za eliminowaniem możliwości
wgrywania jakiegokolwiek nieautoryzowanego przez producenta oprogramowania.
Ale to dlatego, że nie wiem jak można by przy takim blokowaniu rozróżnić
oprogramowanie konkurencyjne od innego, niepożądanego oprogramowania.
Jeśli producent udostępniłby informacje jak wgrywać, aby autorzy
konkurencyjnego oprogramowania mogli to zrobić to jak niby można by
urządzenie zabezpieczyć przed wgraniem nie konkurencyjnego, ale np.
jakiegoś szpiegującego użytkownika oprogramowania.

Głównie myślę o tym tak, bo interface'y zewnętrzne urządzeń bywają
łączone z rzeczami nad którymi ich użytkownik nie panuje. Nie wiem czy
to Urban-legend, ale widziałem kiedyś info o kostkach ładowarek do
telefonów które w międzyczasie zajmowały się wgraniem do telefonu
jakichś wirusów.

Do wewnętrznego złącza programującego nic nie podłączasz dopóki
świadomie nie chcesz wgrywać tam jakiejś swojej wersji oprogramowania.
Dlatego to złącze traktuję inaczej - tędzy możesz sobie wgrać co ci się
podoba. Choć chyba są procesory, które pozwalają i to zablokować.

>> No to ten akapit był właśnie na ten temat. Nie można dopuścić
>> wgrywania czegokolwiek przez normalne kanały (o tym było powyżej), ale
>> wgranie czegokolwiek (w tym konkurencyjnego oprogramowania) gdy
>> podłączysz się bezpośrednio do procesora nie jest blokowane.
>
> Jw, ja rozumiem, że ktoś może chcieć mieć kontrolę, ale to jest kosztem
> właściciela, który ma słuszne prawo wgrać sobie co chce.

No to wymaga od niego jedynie trochę więcej wysiłku - musi wyjąć płytkę
z obudowy. Obudowy na szynę DIN się łatwo rozbiera.

>> Jak pisałeś o blokowaniu wgrania konkurencyjnego oprogramowania to
>> zrozumiałem, że chodzi Ci o zablokowanie hardware'u - że nie da się na
>> nim uruchomić innego programu. Czyli kupiłeś hardware (z naszym
>> oprogramowaniem) - jest Twój - uważasz, że powinieneś mieć prawo wgrać
>> w niego cokolwiek Ci się podoba, i rozumiałeś, że blokujemy to.
>> Aby nie brnąć w dyskusję dlaczego i jakim prawem blokujemy Ci dostęp
>> do Twojego (bo kupiłeś) hardware'u napisałem, że nie blokujemy.
>> Otwierasz obudowę, zasilasz urządzenie, podłączasz się programatorem
>> odpowiednim do zastosowanego procesora i wgrywasz dowolny wsad jaki
>> tam sobie chcesz.
>
> No ja wiem, niemniej jednak blokujesz to gdzie indziej.

Na prawdę chciałbyś mieć kontrolę dostępu o której byś nie wiedział, że
rok temu ktoś dograł do niej bez Twojej wiedzy jakieś kawałki programu i
jak tylko chce to ma kartę, która otwiera mu wszystkie drzwi.
A może w międzyczasie już 20 razy był u Ciebie w firmie i skopiował
wszystko co mu było potrzebne i nawet o tym nie wiesz i nie jesteś w
stanie się dowiedzieć przeglądając historię zdarzeń, bo jego karty nie
dość, że otwierają wszystkie drzwi to jeszcze nie jest to nigdzie
rejestrowane (takie wgrał Ci oprogramowanie).

> Prędzej zdarzy się, że producent nie będzie wspierał urządzenia i
> użytkownik będzie sobie musiał radzić sam, od czego dokładnie się w tym
> wątku rozpoczęło.

Kupujesz urządzenie takie jakie ono jest. Ma wady - producent ma
obowiązek je usunąć.
Ale jak się zmienia świat to producent nie ma obowiązku wiecznie
dopasowywać tego urządzenia do zmieniającego się świata.

Producent TV miał 2 wyjścia:
- zrobić tańszy TV ale bez możlwiości przyszłej rozbudowy,
- zrobić droższy z możliwością rozbudowy.

Być może nawet zrobił obie wersje.
Ty przedstawiasz problem tak - klient kupił tę pierwszą wersję ale
należy mu się funkcjonalność tej drugiej wersji.
A ja uważam, że skoro potrzebuje takiej funkcjonalności to powinien był
kupić tę drugą wersję.

> Pytanie było proste, 'czy blokujecie bo niepodpisane'. W ogóle nie do
> Ciebie jako producenta pisałem, bo wyobrażam sobie, że każdy robi co
> chce najwyżej go ktoś do sądu poda, że nie może wgrać oprogramowania
> swojego. Ale ogólnie tak to powinno funkcjonować, że właściciel
> urządzenia powinien mieć nad nim pełną kontrolę chyba, że sobie kupi
> użytkowanie (np na minuty) zamiast produktu. Na tym polega
> 'właścicielstwo'. Pełnia praw.

Według mnie zawsze masz pełnię takich praw. Czasem tylko jak chcesz coś
zmienić musisz się trochę więcej narobić - na przykład zastępując chip z
niemodyfikowalnym oprogramowaniem nowym chipem.

Wersje OTP procesorów nie były po to, aby klientowi zabrać jego prawa
tylko po to aby dało się to samo osiągnąć taniej.

> A jak się skończy wsparcie to wgram sobie guzik z pętelką i będę
> szczęśliwy że hoho. Od tego się w tym wątku rozpoczęło.

Jak się skończy wsparcie to masz urządzenie działające tak, jak miało
działać - czyli masz to, za co zapłaciłeś.

> Ale rozumiesz, że ja nie piszę do Ciebie jako do producenta? Mówię o
> pewnych praktykach. Jest oczywiście ciężko te praktyki eliminować bo np
> kupujemy latarkę jako latarkę a nie, że ma w środku procesor, który
> można zaprogramować inaczej niż na początku było. No ale ja właśnie
> kupuję latarkę by sobie ją dopasowywać do swoich potrzeb. Jak mam
> codziennie przechodzić te 3 poziomy jasności świecenia to mnie szlag
> trafia. Tylko ... latarka to nie tylko procesor w niej, ale np dobre
> mocowanie, nieuwieranie, waga, sposób ładowania.

Dobry przykład, bo też mnie wpienia przechodzenie przez jakieś durne
stany inne niż świecenie.

Ale podejście 'widziały gały co brały' też ma jakieś uzasadnienie.
Trzeba sprawdzić w sklepie wszystkie latarki i wybrać taką co będzie
normalna. Obecnie pewnie nie da się znaleźć.

W zeszłym tygodniu skorzystałem z pełni praw właścicielskich i kupiony
za 10zł nieregulowany zasilacz 12V do taśm LED przerobiłem na 10,65V :)

> Po spalenia może nie być, ale jakby akurat się urządzenie uchowało to
> jak to sprawdzić nie mając do oprogramowania dostępu?

To, że oprogramowanie nie pozwala przez dostępny kanał komunikacyjny
wgrać nowej, nie podpisanej wersji nie oznacza, że ono się w tym kanale
nie przedstawia podając wszystkie istotne dane o sobie.

> Ale ja ufam, że twoją intencją jest co innego, co nie zmienia, że
> 'kiedyś przestaniesz wspierać swoje urządzenie' i jego użytkownik i
> właściciel w jednym nie będzie mógł z niego dalej korzystać.

Dlaczego miałby nie móc korzystać? Oczywiście, że będzie mógł korzystać
nadal (dopóki się urządzenie nie zepsuje).

Nasze wsparcie polega na tym, że użytkownicy sobie wymyślają coraz
bardziej złożone funkcjonalności a my je realizujemy.

Żeby dać Ci obraz jakiego rodzaju są to zmiany wspomnę tylko temat śluz.
Oryginalnie nasz kontroler 2 przejść potrafił obsłużyć je jako śluzę
(jak jedne drzwi otwarte to drugich nie da się otworzyć) bo tylko tak
wyobrażaliśmy sobie śluzę.
Się okazało, że są śluzy składające się z większej ilości drzwi. W
jakichś zakładach produkcyjnych osobne szatnie męskie i damskie łączyły
się z jedną śluzą prowadzącą dalej na halę.
No to tak zmodyfikowaliśmy kontrolery, że kontroler 8 przejść mógł
obsługiwać do 4 śluz. Do każdego przejścia przypisywało się do której
śluzy należy - można było wszystkie 8 przypisać do jednej.
Wydawało się, że temat śluz mamy załatwiony.
Ale gdzie tam - się okazało, że potrzebne jest przejście ze śluzy do
drugiej śluzy. No to każdemu przejściu daliśmy możliwość przypisania go
do dwu śluz.
Pomyślisz - już chyba wszystko jest.
Nic z tych rzeczy :)

Się okazało, że nie przewidzieliśmy śluzy z 9 drzwiami i pomieszczenia
centralnego z promieniście rozchodzącymi się śluzami z których każda ma
też drzwi do obu sąsiednich śluz.

Czy to już koniec? Wydaje nam się, że tak. Ale dotychczas ile razy tak
nam się wydawało to się okazywało, że jesteśmy w błędzie.
P.G.

do góry

W dniu 2024-06-17 o 13:18, io pisze:

>> No to muszę w tej kwestii przyznać Ci rację. Nawet mi do głowy nie
>> przyszło, że ktoś w tym grzebie.
>
> Ale, że w elektrykach czy że w ogóle?
>

Że w ogóle.
Nigdy się po prostu nad tym nie zastanawiałem.
P.G.

do góry

W dniu 17.06.2024 o 14:28, Piotr Gałka pisze:
> W dniu 2024-06-16 o 15:25, io pisze:
>>>> Chyba jasne, że właściciel sprzętu musi dbać by oprogramowanie było
>>>> właściwe.
>>>
>>> Twoje urządzenie łączy się z Internetem. Jak, jako właściciel, dbasz
>>> o jego oprogramowanie, jeśli ono (tak jak drukarka z początku
>>> rozmowy) może łyknąć jakiś podsunięty mu przez któreś z jego połączeń
>>> dowolny plik jako nową wersję swojego oprogramowania.
>>
>> Nie wgrywam przypadkowego oprogramowania.
>
> Ja rozumiałem, że ta drukarka, jak tylko zobaczyła jakiś plik to go
> sobie sama wgrała. I teraz piszę o zobaczeniu przez urządzenie jakiegoś
> pliku gdzieś w necie.

No ale czemu piszesz o 'zobaczeniu pliku w necie' jak tak to nie zadziałało?

> Zakładam, że jeśli protokół wgrywania takich plików jest otwarty to
> ktoś, wiedząc o tym może takiemu urządzeniu, które jest podłączone do
> sieci podsunąć taki plik bez wiedzy właściciela urządzenia.
> Twoje wypowiedzi rozumiem tak, że jako właściciel po prostu, jakoś do
> tego nie dopuścisz, mimo, że wgranie nie jest w żaden sposób
> zabezpieczone. Pytam jak, bo nie bardzo sobie to wyobrażam.

Nie chodziło o włożenie pendrajwa z jakimś plikiem? Da się zrobić
ukradkiem, więc należy jakoś autoryzować. Ale autoryzować to nie znaczy,
że producent autoryzuje.

>
> Było kiedyś głośno o ataku DDOS tysięcy kamerek internetowych na jakąś
> tam stronę.

Nie kojarzę, ale możliwe. Wiadomo, że do większości kamerek da się łatwo
włamać.

> Według Ciebie właściciele tych kamerek świadomie
> zmodyfikowali oprogramowanie tych kamerek, czy stało się to bez ich wiedzy?

Logiczne, że bez wiedzy, ale raczej nie dlatego, że kamerki pobrały
sobie jakiś plik z neta. A jeśli nawet to nie chodziło o 'dowolny plik z
neta'.

I też mnie nie o to chodzi, że 'ma wszystko wpadać' tylko wyobrażam
sobie, że jakaś możliwość wgrania oprogramowania systemowego powinna
zawsze zostać. Jak np piszesz o tym, że w twoim sprzęcie wewnątrz
pozostają piny to może więcej faktycznie nie jest potrzebne i nawet
zabezpieczenia podpisem aktualizacji jest ok. No ale na wstępie o tym
nie pisałeś. Wiele urządzeń możliwości podłączenia do pinów nie ma i się
oczekuje by umożliwiały to tym, co mają np. kartą czy interfejsem
komunikacyjnym.

>
>>> Mi chodzi o to, że przy takim rozwiązaniu Ty, jako właściciel
>>> urządzenia nawet nie będziesz widział od kiedy on już nie działa jak
>>> myślisz tylko inaczej. Np. kamerka cię szpieguje, telefon podłuchuje,
>>> kontrola dostępu wpuści pewne karty o których nie wiesz, że istnieją.
>>
>> Jw, jeśli coś mnie szpieguje to dlatego, że nie mam możliwości wgrania
>> oprogramowania pozbawionego takich niepożądanych przeze mnie
>> funkcjonalności a nie dlatego, że taką możliwość wgrania mam.
>> Oczywiście gdybyśmy mówili o tym, by nie dało się przypadkowo wgrać
>> niewłaściwego oprogramowania to ok, ale później jakoś jednak byłeś za
>> eliminowaniem oprogramowania konkurencyjnego.
>
> Masz rację - jestem w takich przypadkach za eliminowaniem możliwości
> wgrywania jakiegokolwiek nieautoryzowanego przez producenta oprogramowania.
> Ale to dlatego, że nie wiem jak można by przy takim blokowaniu rozróżnić
> oprogramowanie konkurencyjne od innego, niepożądanego oprogramowania.

Zapytam, czy Ty to sprzedajesz na minuty, że chcesz mieć nad tym taką
kontrolę? Właściciel chce mieć nad urządzeniem kontrolę, że sobie wgra
co chce i tak to zasadniczo powinno być. A nie, że się samo wgra, wtedy
by tej kontroli nie miał.

> Jeśli producent udostępniłby informacje jak wgrywać, aby autorzy
> konkurencyjnego oprogramowania mogli to zrobić to jak niby można by
> urządzenie zabezpieczyć przed wgraniem nie konkurencyjnego, ale np.
> jakiegoś szpiegującego użytkownika oprogramowania.

Jw. To się da zrobić względnie prostą autoryzacją.

>
> Głównie myślę o tym tak, bo interface'y zewnętrzne urządzeń bywają
> łączone z rzeczami nad którymi ich użytkownik nie panuje. Nie wiem czy
> to Urban-legend, ale widziałem kiedyś info o kostkach ładowarek do
> telefonów które w międzyczasie zajmowały się wgraniem do telefonu
> jakichś wirusów.

Jak smartfon obsługuje dowolną klawiaturę to tak będzie, że będzie mógł
być sterowany tą klawiaturą. Może trzeba by tę klawiaturę jakoś
autoryzować, by nie każda działała. Ot choćby wpisać za jej pomocą
sekretny klucz.

>
> Do wewnętrznego złącza programującego nic nie podłączasz dopóki
> świadomie nie chcesz wgrywać tam jakiejś swojej wersji oprogramowania.
> Dlatego to złącze traktuję inaczej - tędzy możesz sobie wgrać co ci się
> podoba. Choć chyba są procesory, które pozwalają i to zablokować.

Więc właśnie, mógłbyś tak robić i mówić o odpowiedzialności. A to jednak
inaczej jest.

>
>>> No to ten akapit był właśnie na ten temat. Nie można dopuścić
>>> wgrywania czegokolwiek przez normalne kanały (o tym było powyżej),
>>> ale wgranie czegokolwiek (w tym konkurencyjnego oprogramowania) gdy
>>> podłączysz się bezpośrednio do procesora nie jest blokowane.
>>
>> Jw, ja rozumiem, że ktoś może chcieć mieć kontrolę, ale to jest
>> kosztem właściciela, który ma słuszne prawo wgrać sobie co chce.
>
> No to wymaga od niego jedynie trochę więcej wysiłku - musi wyjąć płytkę
> z obudowy. Obudowy na szynę DIN się łatwo rozbiera.

Reasumując, dajesz jednak możliwość wgrywania bez sprawdzania podpisu o
co pytałem na samym początku.

>
>>> Jak pisałeś o blokowaniu wgrania konkurencyjnego oprogramowania to
>>> zrozumiałem, że chodzi Ci o zablokowanie hardware'u - że nie da się
>>> na nim uruchomić innego programu. Czyli kupiłeś hardware (z naszym
>>> oprogramowaniem) - jest Twój - uważasz, że powinieneś mieć prawo
>>> wgrać w niego cokolwiek Ci się podoba, i rozumiałeś, że blokujemy to.
>>> Aby nie brnąć w dyskusję dlaczego i jakim prawem blokujemy Ci dostęp
>>> do Twojego (bo kupiłeś) hardware'u napisałem, że nie blokujemy.
>>> Otwierasz obudowę, zasilasz urządzenie, podłączasz się programatorem
>>> odpowiednim do zastosowanego procesora i wgrywasz dowolny wsad jaki
>>> tam sobie chcesz.
>>
>> No ja wiem, niemniej jednak blokujesz to gdzie indziej.
>
> Na prawdę chciałbyś mieć kontrolę dostępu o której byś nie wiedział, że
> rok temu ktoś dograł do niej bez Twojej wiedzy jakieś kawałki programu i
> jak tylko chce to ma kartę, która otwiera mu wszystkie drzwi.
> A może w międzyczasie już 20 razy był u Ciebie w firmie i skopiował
> wszystko co mu było potrzebne i nawet o tym nie wiesz i nie jesteś w
> stanie się dowiedzieć przeglądając historię zdarzeń, bo jego karty nie
> dość, że otwierają wszystkie drzwi to jeszcze nie jest to nigdzie
> rejestrowane (takie wgrał Ci oprogramowanie).

No i teraz jaka pewność, że producent nie wgrał mi takiego
oprogramowania. Dlatego systemy otwarte z dobrze zaimplementowaną
autoryzacją.

>
>> Prędzej zdarzy się, że producent nie będzie wspierał urządzenia i
>> użytkownik będzie sobie musiał radzić sam, od czego dokładnie się w
>> tym wątku rozpoczęło.
>
> Kupujesz urządzenie takie jakie ono jest. Ma wady - producent ma
> obowiązek je usunąć.
> Ale jak się zmienia świat to producent nie ma obowiązku wiecznie
> dopasowywać tego urządzenia do zmieniającego się świata.

Dlatego właśnie należy mieć możliwość wgrania oprogramowania
konkurencyjnego by nie zostać z palcem w d..e tylko dlatego, że
producent ma inną wizję korzystania z urządzenia niż nabywca urządzenia.

>
> Producent TV miał 2 wyjścia:
> - zrobić tańszy TV ale bez możlwiości przyszłej rozbudowy,
> - zrobić droższy z możliwością rozbudowy.
>
> Być może nawet zrobił obie wersje.
> Ty przedstawiasz problem tak - klient kupił tę pierwszą wersję ale
> należy mu się funkcjonalność tej drugiej wersji.
> A ja uważam, że skoro potrzebuje takiej funkcjonalności to powinien był
> kupić tę drugą wersję.

One nie są tańsze w produkcji tylko 'zabezpieczone przed konkurencją'
:-) A w ogóle to chodzi o to, że z powodu tego 'zabezpieczania' mamy
tony elektrośmieci. Także z powodu sposobu wprowadzenia nowych
standardów kodowania. No ale gdyby tv były bardziej otwarte to by może
nie były elektrośmieciami mimo tych zmian. Nie przesądzam, ale jakiś
przykład na zamkniętość to jest.

>
>> Pytanie było proste, 'czy blokujecie bo niepodpisane'. W ogóle nie do
>> Ciebie jako producenta pisałem, bo wyobrażam sobie, że każdy robi co
>> chce najwyżej go ktoś do sądu poda, że nie może wgrać oprogramowania
>> swojego. Ale ogólnie tak to powinno funkcjonować, że właściciel
>> urządzenia powinien mieć nad nim pełną kontrolę chyba, że sobie kupi
>> użytkowanie (np na minuty) zamiast produktu. Na tym polega
>> 'właścicielstwo'. Pełnia praw.
>
> Według mnie zawsze masz pełnię takich praw. Czasem tylko jak chcesz coś
> zmienić musisz się trochę więcej narobić - na przykład zastępując chip z
> niemodyfikowalnym oprogramowaniem nowym chipem.

A nie urządzenie innym urządzeniem? :-)

>
> Wersje OTP procesorów nie były po to, aby klientowi zabrać jego prawa
> tylko po to aby dało się to samo osiągnąć taniej.

Że niby jak?

>
>> A jak się skończy wsparcie to wgram sobie guzik z pętelką i będę
>> szczęśliwy że hoho. Od tego się w tym wątku rozpoczęło.
>
> Jak się skończy wsparcie to masz urządzenie działające tak, jak miało
> działać - czyli masz to, za co zapłaciłeś.

No nie, mam urządzenie w którym nie można wgrać oprogramowania bo
producent wciska kit, że przez zablokowanie wgrywania było ono tańsze.

>
>> Ale rozumiesz, że ja nie piszę do Ciebie jako do producenta? Mówię o
>> pewnych praktykach. Jest oczywiście ciężko te praktyki eliminować bo
>> np kupujemy latarkę jako latarkę a nie, że ma w środku procesor, który
>> można zaprogramować inaczej niż na początku było. No ale ja właśnie
>> kupuję latarkę by sobie ją dopasowywać do swoich potrzeb. Jak mam
>> codziennie przechodzić te 3 poziomy jasności świecenia to mnie szlag
>> trafia. Tylko ... latarka to nie tylko procesor w niej, ale np dobre
>> mocowanie, nieuwieranie, waga, sposób ładowania.
>
> Dobry przykład, bo też mnie wpienia przechodzenie przez jakieś durne
> stany inne niż świecenie.
>
> Ale podejście 'widziały gały co brały' też ma jakieś uzasadnienie.
> Trzeba sprawdzić w sklepie wszystkie latarki i wybrać taką co będzie
> normalna. Obecnie pewnie nie da się znaleźć.

Sam widzisz, nie wystarczy teoretyczny wybór, trzeba praktycznych
wymogów dotyczących sprzętu.

>
> W zeszłym tygodniu skorzystałem z pełni praw właścicielskich i kupiony
> za 10zł nieregulowany zasilacz 12V do taśm LED przerobiłem na 10,65V :)

I pewnie nawet zrobiłeś to sprzętowo a jakby chodziło o oprogramowanie
to byłbyś w d..e. :-)

>
>> Po spalenia może nie być, ale jakby akurat się urządzenie uchowało to
>> jak to sprawdzić nie mając do oprogramowania dostępu?
>
> To, że oprogramowanie nie pozwala przez dostępny kanał komunikacyjny
> wgrać nowej, nie podpisanej wersji nie oznacza, że ono się w tym kanale
> nie przedstawia podając wszystkie istotne dane o sobie.

Czyli jednak da się sprawdzić, że jest twoje więc gdyby nie było twoje
to by się dało to stwierdzić. Tak więc .. nie widzę potrzeby blokowania
możliwości wgrywania czegokolwiek.

>
>> Ale ja ufam, że twoją intencją jest co innego, co nie zmienia, że
>> 'kiedyś przestaniesz wspierać swoje urządzenie' i jego użytkownik i
>> właściciel w jednym nie będzie mógł z niego dalej korzystać.
>
> Dlaczego miałby nie móc korzystać? Oczywiście, że będzie mógł korzystać
> nadal (dopóki się urządzenie nie zepsuje).
>
> Nasze wsparcie polega na tym, że użytkownicy sobie wymyślają coraz
> bardziej złożone funkcjonalności a my je realizujemy.
>
> Żeby dać Ci obraz jakiego rodzaju są to zmiany wspomnę tylko temat śluz.
> Oryginalnie nasz kontroler 2 przejść potrafił obsłużyć je jako śluzę
> (jak jedne drzwi otwarte to drugich nie da się otworzyć) bo tylko tak
> wyobrażaliśmy sobie śluzę.
> Się okazało, że są śluzy składające się z większej ilości drzwi. W
> jakichś zakładach produkcyjnych osobne szatnie męskie i damskie łączyły
> się z jedną śluzą prowadzącą dalej na halę.
> No to tak zmodyfikowaliśmy kontrolery, że kontroler 8 przejść mógł
> obsługiwać do 4 śluz. Do każdego przejścia przypisywało się do której
> śluzy należy - można było wszystkie 8 przypisać do jednej.
> Wydawało się, że temat śluz mamy załatwiony.
> Ale gdzie tam - się okazało, że potrzebne jest przejście ze śluzy do
> drugiej śluzy. No to każdemu przejściu daliśmy możliwość przypisania go
> do dwu śluz.
> Pomyślisz - już chyba wszystko jest.
> Nic z tych rzeczy :)
>
> Się okazało, że nie przewidzieliśmy śluzy z 9 drzwiami i pomieszczenia
> centralnego z promieniście rozchodzącymi się śluzami z których każda ma
> też drzwi do obu sąsiednich śluz.
>
> Czy to już koniec? Wydaje nam się, że tak. Ale dotychczas ile razy tak
> nam się wydawało to się okazywało, że jesteśmy w błędzie.

Dlatego trzeba ograniczyć możliwość pisania oprogramowania, OTP i będzie
tańsze :-)

do góry

W dniu 2024-06-18 o 13:03, io pisze:

Byłem mocno zajęty. Właściwie nadal nie powinienem marnować czasu na
prawie jałowe dyskusje, bo pilne rzeczy doprowadziłem dopiero do półmetka.

>> Ja rozumiałem, że ta drukarka, jak tylko zobaczyła jakiś plik to go
>> sobie sama wgrała. I teraz piszę o zobaczeniu przez urządzenie
>> jakiegoś pliku gdzieś w necie.
>
> No ale czemu piszesz o 'zobaczeniu pliku w necie' jak tak to nie
> zadziałało?

Ironicznie.
Czym innym jest włamanie się przez net do urządzenia jak nie odpowiednim
'pokazaniem' mu jakiegoś pliku tak, aby jakoś ten plik na to urządzenie
wpłynął.

> Nie chodziło o włożenie pendrajwa z jakimś plikiem? Da się zrobić
> ukradkiem, więc należy jakoś autoryzować. Ale autoryzować to nie znaczy,
> że producent autoryzuje.

Jak chcesz dać użytkownikowi metodę autoryzacji tak, aby mieć pewność,
że haker jej nie wykorzysta.

>> Było kiedyś głośno o ataku DDOS tysięcy kamerek internetowych na jakąś
>> tam stronę.
>
> Nie kojarzę, ale możliwe. Wiadomo, że do większości kamerek da się łatwo
> włamać.

Tu piszą o ataku 25 tysięcy kamerek:
https://cyberdefence24.pl/kamery-przemyslowe-wykorzy
stane-do-ataku-ddos
To nie to co kojarzyłem, ale wtedy było chyba tylko 10 tysięcy kamerek.
Widać, że to powoli nie wyjątek, a reguła.

> Jak np piszesz o tym, że w twoim sprzęcie wewnątrz
> pozostają piny to może więcej faktycznie nie jest potrzebne i nawet
> zabezpieczenia podpisem aktualizacji jest ok. No ale na wstępie o tym
> nie pisałeś.

Bo uważałem, że mówimy jedynie o kanałach standardowo dostępnych (bez
rozbierania urządzenia).

> Wiele urządzeń możliwości podłączenia do pinów nie ma i się
> oczekuje by umożliwiały to tym, co mają np. kartą czy interfejsem
> komunikacyjnym.

Zasugeruj jak dać właścicielowi możliwość wgrania czegokolwiek, tak aby
mieć pewność, że tylko on ma tę możliwość i nikt inny nie uzyska takiego
dostępu. Wtedy dyskusja będzie miała jakiś konstruktywny kierunek.

>> Masz rację - jestem w takich przypadkach za eliminowaniem możliwości
>> wgrywania jakiegokolwiek nieautoryzowanego przez producenta
>> oprogramowania.
>> Ale to dlatego, że nie wiem jak można by przy takim blokowaniu
>> rozróżnić oprogramowanie konkurencyjne od innego, niepożądanego
>> oprogramowania.
>
> Zapytam, czy Ty to sprzedajesz na minuty, że chcesz mieć nad tym taką
> kontrolę? Właściciel chce mieć nad urządzeniem kontrolę, że sobie wgra
> co chce i tak to zasadniczo powinno być. A nie, że się samo wgra, wtedy
> by tej kontroli nie miał.

Nie sprzedaję na minuty.
Ty to traktujesz tak: Użytkownik zapłacił za trochę elementów
elektronicznych, płytkę i obudowę i chce sobie z tego korzystać do woli.
Ja to traktuję inaczej: Jak chce elementy i płytkę to może sobie kupić
elementy i zrobić płytkę. Według mnie użytkownik zapłacił za jakąś
funkcjonalność i chce wiedzieć, że mu ktoś tej funkcjonalności nie
naruszy bez jego wiedzy.
Jak kupujesz wkładkę do zamka do drzwi to oczekujesz, że dostaniesz w
komplecie możliwość przestawiania jej na wszystkie kombinacje kluczy?
Jakby jakieś takie narzędzie do danej wkładki istniało to złodziej też
by je miał i po prostu dopasowywałby wkładkę do klucza który ma.
Kupując wkładkę chcesz, aby takiej możliwości nie było, a nie aby była.
Nie płacisz tylko za te trochę metalu, ale też za to, że np. producent
nie wypisuje na froncie wkładki numeru klucza i nie daje możliwości
zamówienia klucza do numeru wkładki.

Gdyby producenci samochodów mieli choć trochę pomyślunku to kradzież,
'na walizkę' byłaby niemożliwa.
Chyba, że to jest wynik pomyślunku, tylko innego:
- klienci chcą mieć wygodnie to dostają samootwierające się samochody,
- złodzieje chcą mieć łatwo,
- jak samochód zginie to ubezpieczyciel zapłaci i klient kupi następny.

Ubezpieczyciel sobie odbije w stawkach ubezpieczenia czyli klienci płacą
(ostatecznie producentowi) więcej po to, aby złodziejowi było łatwiej
ukraść im samochód. Ciekawe ilu klientów zdaje sobie z tego sprawę.

>> Jeśli producent udostępniłby informacje jak wgrywać, aby autorzy
>> konkurencyjnego oprogramowania mogli to zrobić to jak niby można by
>> urządzenie zabezpieczyć przed wgraniem nie konkurencyjnego, ale np.
>> jakiegoś szpiegującego użytkownika oprogramowania.
>
> Jw. To się da zrobić względnie prostą autoryzacją.

A jak zablokować tę autoryzację, przed niepowołanymi osobami.
Skojarzył mi się fragment książki "Pan raczy żartować panie Feynman." o
tym jak Feynman nauczył się otwierać wszystkie sejfy w które ich tam
(Projekt Manhattan) wyposażyli.
Potem jak była taka potrzeba to powiedział, że spróbuje. Otworzył od
razu, 2h zapoznawał się z dokumentami a potem wyszedł "Uff, udało się."

> Jak smartfon obsługuje dowolną klawiaturę to tak będzie, że będzie mógł
> być sterowany tą klawiaturą. Może trzeba by tę klawiaturę jakoś
> autoryzować, by nie każda działała. Ot choćby wpisać za jej pomocą
> sekretny klucz.

Skąd sekretny klucz?
Jak użytkownik będzie miał go na początku ustalić to będzie 12345.
Jak ktoś to zrobi za użytkownika, to wszystkie serwisy będą potrzebowały
odpowiednią tabelkę. Się okaże, że więcej kłopotów się robi uprawnionym
użytkownikom niż utrudnień stwarza temu, kto chce to jakoś niecnie
wykorzystać.

> Reasumując, dajesz jednak możliwość wgrywania bez sprawdzania podpisu o
> co pytałem na samym początku.

Tak, ale wymaga to fizycznego dostępu do urządzenia. Jak masz fizyczny
dostęp i chcesz coś namieszać to i tak to możesz zrobić - możesz
podmienić całe wnętrze na przygotowane przez siebie.

Na początku rozumiałem, że rozmawiamy o kanałach komunikacyjnych nad
którymi bywa, że nie przez 100% czasu użytkownik ma kontrolę.

>> Na prawdę chciałbyś mieć kontrolę dostępu o której byś nie wiedział,
>> że rok temu ktoś dograł do niej bez Twojej wiedzy jakieś kawałki
>> programu i jak tylko chce to ma kartę, która otwiera mu wszystkie drzwi.
>> A może w międzyczasie już 20 razy był u Ciebie w firmie i skopiował
>> wszystko co mu było potrzebne i nawet o tym nie wiesz i nie jesteś w
>> stanie się dowiedzieć przeglądając historię zdarzeń, bo jego karty nie
>> dość, że otwierają wszystkie drzwi to jeszcze nie jest to nigdzie
>> rejestrowane (takie wgrał Ci oprogramowanie).
>
> No i teraz jaka pewność, że producent nie wgrał mi takiego
> oprogramowania. Dlatego systemy otwarte z dobrze zaimplementowaną
> autoryzacją.

Chyba w 1989 dorabialiśmy z bratem system zbierania danych o
przeprowadzonych rozmowach z central Siemensa. Chodziło o to, że centrum
obliczeniowe Deutsche Bahn zapowiedziało, że przestaje akceptować dane
na taśmie perforowanej i trzeba je dostarczyć na dyskietkach.
Czyli chodzący ciągle IBM-XT podłączony do centrali i zapisujący na
dyskietce dane o rozmowach. Zrobiliśmy tym komputerom watch-doga aby nie
dało się na nich puszczać gier. Chodzić mógł tylko mój program (gry nie
umiały odświeżać watch-doga, a watch-dog resetował komputer i startował
mój program).
Oczywiście skojarzyliśmy sobie, że nasze oprogramowanie mogłoby nie
zapisywać rozmów wykonanych na wybrane 'nasze' numery w Polsce.

Rok później dowiedzieliśmy się, że oni tam co roku robią plebiscyt wśród
pracowników central telefonicznych gdzie mają oni ocenić, która
inwestycja zarządu była najlepsza. I w tamtym roku wygrał nasz system.
A chyba 5 lat później się okazało, że awaryjność naszego rozwiązania
jest najniższa z jaką się tam kiedykolwiek spotkali. Na kilkadziesiąt
instalacji były 2 awarie - raz wysiadł monitor i raz twardy dysk.

> Dlatego właśnie należy mieć możliwość wgrania oprogramowania
> konkurencyjnego by nie zostać z palcem w d..e tylko dlatego, że
> producent ma inną wizję korzystania z urządzenia niż nabywca urządzenia.

Jaki świat był prosty, jakby urządzenia (jak jeszcze za mojego
dzieciństwa) były po prostu urządzeniami i nie miały żadnego
oprogramowania :)

> One nie są tańsze w produkcji tylko 'zabezpieczone przed konkurencją'
> :-) A w ogóle to chodzi o to, że z powodu tego 'zabezpieczania' mamy
> tony elektrośmieci.

Ja uważam, że tony elektrośmieci mamy z innych powodów.
Np. u mojego syna po pół roku telefon przestaje się nadawać do użytku,
bo złącze USB-C przestaje kontaktować. Nie umie się obchodzić z tym
delikatnie.

A przedwczoraj wyczytałem, że Unia wprowadza obowiązek, aby wszystkie
laptopy były ładowane przez takie złącze. Obecnie laptop (nawet u niego)
wytrzymuje 5 lat i więcej. Dla kogoś to było za długo.
Pod szczytnym hasłem, że będzie trzeba mniej zasilaczy zwiększy się
ilość wyrzucanych laptopów.

To złącze ma 24 piny na kilku mm. Ono nie może być tak trwałe jak
normalna okrągła wtyczka.

>> Według mnie zawsze masz pełnię takich praw. Czasem tylko jak chcesz
>> coś zmienić musisz się trochę więcej narobić - na przykład zastępując
>> chip z niemodyfikowalnym oprogramowaniem nowym chipem.
>
> A nie urządzenie innym urządzeniem? :-)

Jak to będzie prostsze rozwiązanie... :)


>> Wersje OTP procesorów nie były po to, aby klientowi zabrać jego prawa
>> tylko po to aby dało się to samo osiągnąć taniej.
>
> Że niby jak?

Dokładnych danych nie pamiętam, ale wydaje mi się, że procesory 8748 z
okienkiem do kasowania były ze 3 razy droższe od OTP (bez okienka).
W naszym programatorze EPROMów 'Piccolo' procesor 8748 z okienkiem
stanowił około połowy kosztów wytworzenia całego programatora (chyba
nawet wliczając w to obudowę). Więc jak tę ceną dało się podzielić przez
3 to miało to istotny wpływ na cenę urządzenia.

>> W zeszłym tygodniu skorzystałem z pełni praw właścicielskich i kupiony
>> za 10zł nieregulowany zasilacz 12V do taśm LED przerobiłem na 10,65V :)
>
> I pewnie nawet zrobiłeś to sprzętowo a jakby chodziło o oprogramowanie
> to byłbyś w d..e. :-)

Ale czy kupiłbym go wtedy za 10zł?
P.G.

do góry