News Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren

mischaef

Kassettenkind
Teammitglied
Dabei seit
Aug. 2012
Beiträge
3.979
Windows 8 kann Website-Inhalte per Live-Kachel direkt auf dem Desktop anzeigen. Die Inhalte stellen Websites entweder direkt als XML-Datei bereit oder nutzen einen Microsoft-Dienst, der sie aus einem RSS-Feed generiert. Durch einen Fehler Microsofts war es nun möglich, die von dem Dienst ausgelieferten Inhalte zu manipulieren.

Zur News: Live Tiles: Inhalt von Windows-Kacheln lässt sich manipulieren
 

R4ID

Commander
Dabei seit
Jan. 2008
Beiträge
2.860
War noch nie ein Fan dieser Kacheln, von mir aus weg damit :pcangry:
 

Shririnovski

Commander
Dabei seit
Sep. 2012
Beiträge
2.544
Also die News zusammengefasst:
MS hat durch Faulheit eine Lücke geschaffen, die die Kacheln manipulieren lässt. Hr. Böck hat sich die dafür benötigte Domain gesichert und MS informiert. MS hat bisher keine Lust etwas zu Schaffen, die Lücke existiert, und die Windowsnutzer sind der Willkür von Hr. Böck ausgeliefert.

Zum Glück scheint Hr. Böck einer von den "Guten" zu sein.
Blöd nur, dass MS bisher so faul ist.

Solch eine Lücke darf einfach nicht passieren, das ließe sich sicherlich recht einfach via Windowsupdate gerade ziehen (und hätte so bereits vor längerem, nämlich mit Abschalten des Dienstes, passieren müssen). Traurig.
 

naniii

Cadet 4th Year
Dabei seit
Juli 2018
Beiträge
98
Also die News zusammengefasst:
MS hat durch Faulheit eine Lücke geschaffen, die die Kacheln manipulieren lässt. Hr. Böck hat sich die dafür benötigte Domain gesichert und MS informiert. MS hat bisher keine Lust etwas zu Schaffen, die Lücke existiert, und die Windowsnutzer sind der Willkür von Hr. Böck ausgeliefert.

Zum Glück scheint Hr. Böck einer von den "Guten" zu sein.
Blöd nur, dass MS bisher so faul ist.

Solch eine Lücke darf einfach nicht passieren, das ließe sich sicherlich recht einfach via Windowsupdate gerade ziehen (und hätte so bereits vor längerem, nämlich mit Abschalten des Dienstes, passieren müssen). Traurig.
Ich habe das so verstanden das nur der ms Webdienst zum Konvertieren (halber) eingestellt wurde. Nicht die Live Kacheln selbst.

@CastorTransport Am Ende des Artikel ist bei Quelle ein Link zum Originalartikel.
 

roterhund07

Vice Admiral
Dabei seit
Okt. 2015
Beiträge
6.654
@CastorTransport
Der genannte Artikel ist ja nicht als Quelle aufgeführt oder so :freak:
 

Chillaholic

Fleet Admiral
Dabei seit
Jan. 2008
Beiträge
11.590
Schon auf Golem gelesen, wo ist der Link zur Quelle oder zumindest ein Verweis auf die Kollegen von Golem?
 

roterhund07

Vice Admiral
Dabei seit
Okt. 2015
Beiträge
6.654
Hier:
773902
 

CastorTransport

Lt. Commander
Dabei seit
Apr. 2017
Beiträge
1.749
Schon auf Golem gelesen, wo ist der Link zur Quelle oder zumindest ein Verweis auf die Kollegen von Golem?
@CastorTransport
Der genannte Artikel ist ja nicht als Quelle aufgeführt oder so :freak:
Ja, ganz schmal und klein, weit unter allem anderen. Habe ich übersehen - oder es war eben noch nicht da. Ich finde, sowas sollte kenntlicher gemacht werden - bzw. bei dem "Kopiervorgang" auch direkt im Artikel verlinken.
 

Chillaholic

Fleet Admiral
Dabei seit
Jan. 2008
Beiträge
11.590
Zuletzt bearbeitet:

mischaef

Kassettenkind
Ersteller dieses Themas
Teammitglied
Dabei seit
Aug. 2012
Beiträge
3.979
@CastorTransport
Man könnte den Beitrag auch einfach nur bis zum zu Ende lesen...
 

Chillaholic

Fleet Admiral
Dabei seit
Jan. 2008
Beiträge
11.590

FranzvonAssisi

Vice Admiral
Dabei seit
Dez. 2013
Beiträge
6.549
Naja, lässt sich drüber streiten - ich komme mit dem Layout so gut zurecht und bin auch der Meinung, dass es normal ist die Quelle erst nach dem Beitrag anzugeben, wenn die Quelle die Grundlage gebildet hat.

Ich fänds auf jeden Fall sinnvoll die Quelle noch vorm Autor etc. anzugeben, aber ist bisschen Gewöhnungssache ;)

Lg
 

fdsonne

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
301
Irgendwie erschließt sich mir hier die Panik nicht - ganz ehrlich, das was hier beschrieben wird ist doch ganz logische Konsequenz. Weder ist da was besonderes dran noch gibts da groß ein technisches Problem.

Technisch gesehen könnte man so ne News bei jedem eingestellten Service mit INet Hosting-Anteilen schreiben - und es wäre immer die selbe Geschichte. Der, der nach Beendigung des Dienstes an die Domain kommt - bekommt Möglichkeiten die zu einem Problem werden können. Verhinderbar ist das nicht. Das sollte den Nutzern aber eigentlich klar sein - wenn man sich nur ein wenig mit dem Thema beschäftigt.
Das ist hier kein "Microsoft-hat-mal-wieder-geschlafen" Thema, sondern by design eine nicht zu Ende gedachte Abhängigkeit zu externen Services. Vor allem ist sie technisch in vielen Fällen nichtmal direkt verhinderbar - wenn der Nutzer hier so ne Livekachel auf externe Website xyz setzt, sollte er auch wissen was da passieren kann (mMn).

Wenn er das nicht weis, bleibt ihm immer noch die Option sich entsprechende Hilfe zu holen. Hier aber Microsoft nun nen Schwarzen Peter zuzuschieben, weil es dort mal wieder aufgefallen ist und irgendwer die Sau nun durchs Dorf treibt, bringt den Nutzer am Ende aber nicht weiter... Denn es betrifft eben im Endeffekt alle Services mit Zugriffen ins Netz - und nicht ausschließlich die über den MS RSS to Tile Kachel Service sich Infos holenden Kacheln. Früher oder später werden die meisten Services ziemlich sicher ihren Dienst einstellen und/oder gegen andere ersetzt. Oder es geht mal eine Firma pleite, welche irgend einen Service anbietet. News von eingestellten Services finden sich ja alle Nase lang. Hier muss man normal auch hellhörig werden vor allem wenn dann noch Software auf der Clientseite verbleibt und "munter" versucht die hard coded URLs weiter anzufragen...
Das betrifft technisch sogar jede Anwendung mit ner Updatefunktion. Und sei der Spaß noch so alt.
 

Sebbi

Rear Admiral
Dabei seit
März 2002
Beiträge
5.479
Das ist hier kein "Microsoft-hat-mal-wieder-geschlafen" Thema,
Doch ist es, in dem die verpennt haben, nach Beendigung des Dienstes dies Kacheln aus Windows zu entfernen bzw den automatischen Start zu verhindern oder diese so abzuändern, das nicht mehr auf diese Domains zugegriffen werden kann bzw man manuell Domains hinterlegen muss

Wenn die noch mit Systemrechten ausgeführt werden, dann kann jeder dann wenn die Domain wieder frei verfügbar ist, schadcode hinterlegen und dann ab dafür
 

fdsonne

Lt. Junior Grade
Dabei seit
Feb. 2007
Beiträge
301
Doch ist es, in dem die verpennt haben, nach Beendigung des Dienstes dies Kacheln aus Windows zu entfernen bzw den automatischen Start zu verhindern oder diese so abzuändern, das nicht mehr auf diese Domains zugegriffen werden kann bzw man manuell Domains hinterlegen muss
Bitte ließ nochmal um was es hier genau geht - es geht hier nicht um seitens irgendwelcher seitens Microsoft Apps erzeugten Kacheln, sondern es geht hier um seitens der User aktiv in das Startmenü eingebettete Webseiten-Links, die durch einen Dritten Service (in dem Fall Microsoft - aber es gibt bestimmt auch andere Anbieter) aus RSS Feed Daten die Texte/das Bild dieser Kacheln updaten.

Was hat das mit Microsoft zu tun?? Nichts... Ganz ehrlich, die haben aus der Konfiguration des Startmenüs die Finger zu lassen. Es ist schlimm genug, dass da per default Apps einfach nachgezogen werden, wenn man dem default Userprofil nicht entsprechend die Verweise entfernt.
Wie groß wäre der Shitstorm denn bitte, wenn Microsoft dann noch meint einfach Einträge im Startmenü zu löschen, die der User explizit und in vollem Bewustsein da händisch reingedrückt hat?
 

Shririnovski

Commander
Dabei seit
Sep. 2012
Beiträge
2.544
Ich habe das so verstanden das nur der ms Webdienst zum Konvertieren (halber) eingestellt wurde. Nicht die Live Kacheln selbst.
Das ändert aber doch nichts an der Tatsache, dass MS nicht mehr hätte tun müssen als via Windowsupdate die entsprechende Domain clientseitig raus zu nehmen. Die Lücke basiert ja genau darauf, dass der Dienst in Windows noch da ist und glaubt das die Gegenstelle noch existiert.

@Shririnovski: Herr Hanno Böck ist einer von den Guten und arbeitet für Golem.
Ich kannte den Mann bisher nicht, da ich nicht auf Golem unterwegs bin. Meine Einschätzung sollte jedenfalls in keiner Weise herabwürdigend sein, Tatsache ist jedenfalls, dass er bisher genau das Richtige macht.

Den Einzigen, den ich hart kritisiere ist Microsoft. Dieser Laden hat die Möglichkeit sauberer zu Arbeiten, tut es aber nicht. Und das geht eben wie so oft zu Lasten der Nutzer.

Bitte ließ nochmal um was es hier genau geht - es geht hier nicht um seitens irgendwelcher seitens Microsoft Apps erzeugten Kacheln, sondern es geht hier um seitens der User aktiv in das Startmenü eingebettete Webseiten-Links, die durch einen Dritten Service (in dem Fall Microsoft - aber es gibt bestimmt auch andere Anbieter) aus RSS Feed Daten die Texte/das Bild dieser Kacheln updaten.
Du widersprichst Dir doch selbst. Dienstanbieter für das Enfügen der RSS-Kacheln ins Startmenü ist MS. Dienstanbieter für den webbasierten Konverter um das zu tun war auch MS. Jetzt hinterlässt MS eine offene Tür und der User ist Schuld? Der User, der diesen eingestellten externen Dienst garnicht mehr nutzen kann?

Sorry, aber die einzige Logik, die hier greift ist: Sicherheitslücke im Betriebssystem ist vorhanden und bekannt, der aktiv für die Aktualität dieses Systems Verantwortliche ist also in der Bringschuld. Er sollte diese Lücke zeitnah schließen.
Das Betriebssystem ist hier Windows, daher ist Microsoft in der Bringschuld und sollte zeitnah patchen. Dass der Verursacher dieser Lücke nun auch Microsoft heißt, das spielt eigentlich garkeine Rolle. Das ist blos ein gefundenes Fressen für Kritiker.

Übrigens: dieser eingestellte Dienst hat den Code generiert, den es braucht um diese RSS-Kacheln zu nutzen. Ohne den Dienst, aber mit der Lücke, kann nun der Besitzer der Domain über diese offene Schnittstelle seinen Code ins Startmenü pflanzen. Oder auch: Du hast evtl. ohne Vorwarnung zig neue Kacheln im Startmenü, die alle fiese Malware Links enthalten.
 
Zuletzt bearbeitet:
Top