<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Mon, Apr 18, 2016 at 8:48 AM, Trammell Hudson <span dir="ltr"><<a href="mailto:hudson@trmm.net" target="_blank">hudson@trmm.net</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">I'm curious why this is an option, especially since it seems almost tailor<br>
made to re-create the Snorlax or Prince Harming vulnerabilities (VU#577140):<br>
<br>
Flash ROM locking on S3 resume<br>
> 1. Don't lock ROM sections on S3 resume (LOCK_SPI_ON_RESUME_NONE) (NEW)<br>
  2. Lock all flash ROM sections on S3 resume (LOCK_SPI_ON_RESUME_RO) (NEW)<br>
  3. Lock and disable reads all flash ROM sections on S3 resume (LOCK_SPI_ON_RESUME_NO_ACCESS) (NEW)<br></blockquote><div><br></div><div>Maybe the default just needs to be changed to LOCK_SPI_ON_RESUME_RO?</div><div><br></div><div>LOCK_SPI_ON_RESUME_NONE is probably intended for developers who need to re-flash their systems a lot and might not want to rely on external programmers (especially for laptop development).</div></div></div></div>