von Martin Brinkmann am 17. April 2019 in Sicherheit, Windows – 13 Kommentare
Microsoft eingeführt Kacheln im Windows-Start-Menü und Start-Seite, wenn es gestartet Windows-8-Betriebssystem. Entwickelt, um eine dynamische Hinweis auf die zuvor statische Programm -, service-und Webseiten-links durch die Unterstützung von Optionen, um laden Sie die neue Kachel-Inhalte regelmäßig, es war ein feature, das sah nie Breite Akzeptanz durch die Benutzer der Windows.
Viele wurden ausgesetzt, um die Standard-Liste der Kacheln, die Microsoft zum Start profile; dies nicht verhindern, dass Microsoft die Unterstützung für Live-Kacheln für Windows 10 als gut. Websites und services können die Funktion unterstützen, so dass Benutzer, die angeheftete diese zu Starten, würden erhalten, aktualisiert Fliesen, sobald neue Inhalte verfügbar wurde. Während Fliesen sind auf Ihrem Weg, Sie sind immer noch unterstützt alle aktuellen Versionen von Windows.
Eine Geschichte, die auf deutscher computer-Website Golem (in Englisch) beschrieben, wie Golem bekam seine Hände auf einem Domäne verantwortlich für die Fliesen, die Lieferung von Inhalten auf Windows-Systeme, weil Microsoft nicht geschützt richtig gegen was man eine subdomain übernahme Angriff.
Die übernahme gab der Golem die volle Kontrolle über die Inhalte, die es geliefert, um Benutzer-System; Windows 8-und 10-Benutzer kann die pin-Unterstützung von websites zu Starten, um updates zu erhalten, wenn neue Inhalte veröffentlicht.
Golem darauf hingewiesen, dass Seiten wie Engadget, Mail.ru oder die großen deutschen news-Seiten, Heise oder Giga, unterstützt, die Fliesen, genau wie viele andere.
Wie der Angriff durchgeführt wurde
Der Gastgeber verantwortlich für die übermittlung von Daten an Windows-Geräten war notifications.buildmypinnedsite.com; Microsoft zu haben scheint, verlassen die domain, und während es umgeleitet auf eine subdomain von Azure, nie registriert es mit Azure. Golem geschafft, sich zu registrieren die subdomain mit einem normalen Azure-Konto Hinzugefügt und die entsprechenden host-Namen, um die volle Kontrolle über die Fliesen service verwendet, um Ihnen Inhalte zu liefern, um Benutzer-Geräte.
Das Magazin kontaktiert Microsoft zu dem Problem, aber nicht erhalten eine Antwort nach dem Artikel. Er merkte, dass der Gastgeber erhielt eine “anständige Menge an Verkehr” und dass Golem nicht halten würde, der host registriert hat dauerhaft, weil die Laufenden Kosten.
Golem stoppte die web-app in der Zwischenzeit gibt es eine 403 dieser web-app ist beendet Fehler jetzt so, dass manipulierte Inhalte nicht geliefert werden können, um die Nutzer-Geräte an der Zeit.
Windows-Benutzer können deaktivieren möchten website live-Kacheln (siehe dieses tutorial für Windows 8 Live-Kacheln), wenn Sie alle als Folge, und website-Besitzer kann wollen, um die drop-Unterstützung für die Funktion zum Schutz gegen möglichen Missbrauch.
Schlusswort
Ich hätte nie gedacht, viel von den Live-Kacheln auf desktop-Versionen von Windows. Während einige Funktionalität geschätzt wurde, z.B. bekommen ein up-to-date Wetter-Bericht von der Eröffnung Starten, die meisten von der Funktionalität nicht viel Sinn, auf dem desktop meiner Meinung nach.
Ein Szenario wie dieses sollte nie passieren, meiner Meinung nach, vor allem nicht, wenn es das Potenzial hat, um Auswirkungen auf die Kunden negativ.
Jetzt Sie: Was ist Ihr nehmen auf Live-Kacheln oder dynamische Kacheln im Allgemeinen?