News Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren

mischaef

Kassettenkind
Teammitglied
Registriert
Aug. 2012
Beiträge
6.150
Windows 8 kann Website-Inhalte per Live-Kachel direkt auf dem Desktop anzeigen. Die Inhalte stellen Websites entweder direkt als XML-Datei bereit oder nutzen einen Microsoft-Dienst, der sie aus einem RSS-Feed generiert. Durch einen Fehler Microsofts war es nun möglich, die von dem Dienst ausgelieferten Inhalte zu manipulieren.

Zur News: Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren
 
War noch nie ein Fan dieser Kacheln, von mir aus weg damit :pcangry:
 
  • Gefällt mir
Reaktionen: Schmarall, Fritzler, darkcrawler und 2 andere
Also die News zusammengefasst:
MS hat durch Faulheit eine Lücke geschaffen, die die Kacheln manipulieren lässt. Hr. Böck hat sich die dafür benötigte Domain gesichert und MS informiert. MS hat bisher keine Lust etwas zu Schaffen, die Lücke existiert, und die Windowsnutzer sind der Willkür von Hr. Böck ausgeliefert.

Zum Glück scheint Hr. Böck einer von den "Guten" zu sein.
Blöd nur, dass MS bisher so faul ist.

Solch eine Lücke darf einfach nicht passieren, das ließe sich sicherlich recht einfach via Windowsupdate gerade ziehen (und hätte so bereits vor längerem, nämlich mit Abschalten des Dienstes, passieren müssen). Traurig.
 
  • Gefällt mir
Reaktionen: Ctrl, Ernie75, LuckyMagnum und 5 andere
Shririnovski schrieb:
Also die News zusammengefasst:
MS hat durch Faulheit eine Lücke geschaffen, die die Kacheln manipulieren lässt. Hr. Böck hat sich die dafür benötigte Domain gesichert und MS informiert. MS hat bisher keine Lust etwas zu Schaffen, die Lücke existiert, und die Windowsnutzer sind der Willkür von Hr. Böck ausgeliefert.

Zum Glück scheint Hr. Böck einer von den "Guten" zu sein.
Blöd nur, dass MS bisher so faul ist.

Solch eine Lücke darf einfach nicht passieren, das ließe sich sicherlich recht einfach via Windowsupdate gerade ziehen (und hätte so bereits vor längerem, nämlich mit Abschalten des Dienstes, passieren müssen). Traurig.

Ich habe das so verstanden das nur der ms Webdienst zum Konvertieren (halber) eingestellt wurde. Nicht die Live Kacheln selbst.

@CastorTransport Am Ende des Artikel ist bei Quelle ein Link zum Originalartikel.
 
Schon auf Golem gelesen, wo ist der Link zur Quelle oder zumindest ein Verweis auf die Kollegen von Golem?
 
Hier:
773902
 
  • Gefällt mir
Reaktionen: cM0 und borizb
Chillaholic schrieb:
Schon auf Golem gelesen, wo ist der Link zur Quelle oder zumindest ein Verweis auf die Kollegen von Golem?
roterhund07 schrieb:
@CastorTransport
Der genannte Artikel ist ja nicht als Quelle aufgeführt oder so :freak:

Ja, ganz schmal und klein, weit unter allem anderen. Habe ich übersehen - oder es war eben noch nicht da. Ich finde, sowas sollte kenntlicher gemacht werden - bzw. bei dem "Kopiervorgang" auch direkt im Artikel verlinken.
 
roterhund07 schrieb:

Ah okay, da ganz unten unter der Werbung, den Kommentaren, den Hashtags und unterm Autor hätte ich das jetzt nicht mehr vermutet, danke.
 
Zuletzt bearbeitet:
Da stehen halt immer die Quellen...
Seltsam, dass du hier seit 2008 liest und dir das noch nie aufgefallen ist.

Na gut, zu deiner Verteidigung: Das neue CB-Design gibts noch nicht sooo lange :p
 
  • Gefällt mir
Reaktionen: Bonanca, adretter_Erpel, cM0 und eine weitere Person
@CastorTransport
Man könnte den Beitrag auch einfach nur bis zum zu Ende lesen...
 
  • Gefällt mir
Reaktionen: dideldei und adretter_Erpel
FranzvonAssisi schrieb:
Da stehen halt immer die Quellen...
Nein, häufig wird diese schon im Artikel genannt und verlinkt.
Weshalb ich eigentlich gar nicht erst so weit runter scrollen muss.
 
  • Gefällt mir
Reaktionen: ReignInBlo0d und coasterblog
Naja, lässt sich drüber streiten - ich komme mit dem Layout so gut zurecht und bin auch der Meinung, dass es normal ist die Quelle erst nach dem Beitrag anzugeben, wenn die Quelle die Grundlage gebildet hat.

Ich fänds auf jeden Fall sinnvoll die Quelle noch vorm Autor etc. anzugeben, aber ist bisschen Gewöhnungssache ;)

Lg
 
@Shririnovski: Herr Hanno Böck ist einer von den Guten und arbeitet für Golem. Und ja, CB hat im Text nicht verlinkt, wäre besser gewesen.
 
  • Gefällt mir
Reaktionen: coasterblog
Irgendwie erschließt sich mir hier die Panik nicht - ganz ehrlich, das was hier beschrieben wird ist doch ganz logische Konsequenz. Weder ist da was besonderes dran noch gibts da groß ein technisches Problem.

Technisch gesehen könnte man so ne News bei jedem eingestellten Service mit INet Hosting-Anteilen schreiben - und es wäre immer die selbe Geschichte. Der, der nach Beendigung des Dienstes an die Domain kommt - bekommt Möglichkeiten die zu einem Problem werden können. Verhinderbar ist das nicht. Das sollte den Nutzern aber eigentlich klar sein - wenn man sich nur ein wenig mit dem Thema beschäftigt.
Das ist hier kein "Microsoft-hat-mal-wieder-geschlafen" Thema, sondern by design eine nicht zu Ende gedachte Abhängigkeit zu externen Services. Vor allem ist sie technisch in vielen Fällen nichtmal direkt verhinderbar - wenn der Nutzer hier so ne Livekachel auf externe Website xyz setzt, sollte er auch wissen was da passieren kann (mMn).

Wenn er das nicht weis, bleibt ihm immer noch die Option sich entsprechende Hilfe zu holen. Hier aber Microsoft nun nen Schwarzen Peter zuzuschieben, weil es dort mal wieder aufgefallen ist und irgendwer die Sau nun durchs Dorf treibt, bringt den Nutzer am Ende aber nicht weiter... Denn es betrifft eben im Endeffekt alle Services mit Zugriffen ins Netz - und nicht ausschließlich die über den MS RSS to Tile Kachel Service sich Infos holenden Kacheln. Früher oder später werden die meisten Services ziemlich sicher ihren Dienst einstellen und/oder gegen andere ersetzt. Oder es geht mal eine Firma pleite, welche irgend einen Service anbietet. News von eingestellten Services finden sich ja alle Nase lang. Hier muss man normal auch hellhörig werden vor allem wenn dann noch Software auf der Clientseite verbleibt und "munter" versucht die hard coded URLs weiter anzufragen...
Das betrifft technisch sogar jede Anwendung mit ner Updatefunktion. Und sei der Spaß noch so alt.
 
  • Gefällt mir
Reaktionen: areiland, icetom und adretter_Erpel
fdsonne schrieb:
Das ist hier kein "Microsoft-hat-mal-wieder-geschlafen" Thema,

Doch ist es, in dem die verpennt haben, nach Beendigung des Dienstes dies Kacheln aus Windows zu entfernen bzw den automatischen Start zu verhindern oder diese so abzuändern, das nicht mehr auf diese Domains zugegriffen werden kann bzw man manuell Domains hinterlegen muss

Wenn die noch mit Systemrechten ausgeführt werden, dann kann jeder dann wenn die Domain wieder frei verfügbar ist, schadcode hinterlegen und dann ab dafür
 
  • Gefällt mir
Reaktionen: Schmarall, Zero_Point, Carrera124 und eine weitere Person
Sebbi schrieb:
Doch ist es, in dem die verpennt haben, nach Beendigung des Dienstes dies Kacheln aus Windows zu entfernen bzw den automatischen Start zu verhindern oder diese so abzuändern, das nicht mehr auf diese Domains zugegriffen werden kann bzw man manuell Domains hinterlegen muss

Bitte ließ nochmal um was es hier genau geht - es geht hier nicht um seitens irgendwelcher seitens Microsoft Apps erzeugten Kacheln, sondern es geht hier um seitens der User aktiv in das Startmenü eingebettete Webseiten-Links, die durch einen Dritten Service (in dem Fall Microsoft - aber es gibt bestimmt auch andere Anbieter) aus RSS Feed Daten die Texte/das Bild dieser Kacheln updaten.

Was hat das mit Microsoft zu tun?? Nichts... Ganz ehrlich, die haben aus der Konfiguration des Startmenüs die Finger zu lassen. Es ist schlimm genug, dass da per default Apps einfach nachgezogen werden, wenn man dem default Userprofil nicht entsprechend die Verweise entfernt.
Wie groß wäre der Shitstorm denn bitte, wenn Microsoft dann noch meint einfach Einträge im Startmenü zu löschen, die der User explizit und in vollem Bewustsein da händisch reingedrückt hat?
 
  • Gefällt mir
Reaktionen: adretter_Erpel und Micha45
naniii schrieb:
Ich habe das so verstanden das nur der ms Webdienst zum Konvertieren (halber) eingestellt wurde. Nicht die Live Kacheln selbst.
Das ändert aber doch nichts an der Tatsache, dass MS nicht mehr hätte tun müssen als via Windowsupdate die entsprechende Domain clientseitig raus zu nehmen. Die Lücke basiert ja genau darauf, dass der Dienst in Windows noch da ist und glaubt das die Gegenstelle noch existiert.

der Unzensierte schrieb:
@Shririnovski: Herr Hanno Böck ist einer von den Guten und arbeitet für Golem.
Ich kannte den Mann bisher nicht, da ich nicht auf Golem unterwegs bin. Meine Einschätzung sollte jedenfalls in keiner Weise herabwürdigend sein, Tatsache ist jedenfalls, dass er bisher genau das Richtige macht.

Den Einzigen, den ich hart kritisiere ist Microsoft. Dieser Laden hat die Möglichkeit sauberer zu Arbeiten, tut es aber nicht. Und das geht eben wie so oft zu Lasten der Nutzer.

fdsonne schrieb:
Bitte ließ nochmal um was es hier genau geht - es geht hier nicht um seitens irgendwelcher seitens Microsoft Apps erzeugten Kacheln, sondern es geht hier um seitens der User aktiv in das Startmenü eingebettete Webseiten-Links, die durch einen Dritten Service (in dem Fall Microsoft - aber es gibt bestimmt auch andere Anbieter) aus RSS Feed Daten die Texte/das Bild dieser Kacheln updaten.

Du widersprichst Dir doch selbst. Dienstanbieter für das Enfügen der RSS-Kacheln ins Startmenü ist MS. Dienstanbieter für den webbasierten Konverter um das zu tun war auch MS. Jetzt hinterlässt MS eine offene Tür und der User ist Schuld? Der User, der diesen eingestellten externen Dienst garnicht mehr nutzen kann?

Sorry, aber die einzige Logik, die hier greift ist: Sicherheitslücke im Betriebssystem ist vorhanden und bekannt, der aktiv für die Aktualität dieses Systems Verantwortliche ist also in der Bringschuld. Er sollte diese Lücke zeitnah schließen.
Das Betriebssystem ist hier Windows, daher ist Microsoft in der Bringschuld und sollte zeitnah patchen. Dass der Verursacher dieser Lücke nun auch Microsoft heißt, das spielt eigentlich garkeine Rolle. Das ist blos ein gefundenes Fressen für Kritiker.

Übrigens: dieser eingestellte Dienst hat den Code generiert, den es braucht um diese RSS-Kacheln zu nutzen. Ohne den Dienst, aber mit der Lücke, kann nun der Besitzer der Domain über diese offene Schnittstelle seinen Code ins Startmenü pflanzen. Oder auch: Du hast evtl. ohne Vorwarnung zig neue Kacheln im Startmenü, die alle fiese Malware Links enthalten.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Carrera124
Zurück
Oben