微软失去了对关键 Windows Tiles 子域的控制权

微软似乎控制了一个关键的 Windows Tiles 子域，该子域允许网站将数据发送到活动磁贴。 有问题的子域最初由 Microsoft 设置用于 Windows 8，后来也扩展到 Windows 10。

该子域是 Microsoft 在 Windows 8 发布时部署的 buildmypinnedsite.com 服务的一部分。该子域的设置允许网站添加元数据，以便将数据发送回 Microsoft Edge 在用户计算机上的固定网站列表。 但是，该域无法处理请求，因此 Microsoft 设置了一个子域 notifications.buildmypinnedsite.com，它将其 RSS 提要转换为 Windows Tiles 服务将解析并创建动画动态磁贴的特殊 XML 格式。

不幸的是，今天服务中断了。 汉诺·伯克 （通过 网易科技) 是一位研究人员，他注意到子域未在 Azure 中注册。 见状，他进去，在自己的Azure账号上注册了子域。

应该提供 XML 文件的主机——notifications.buildmypinnedsite.com——只显示 错误信息 来自微软的云服务 Azure。 主机被重定向到 Azure 的子域。 但是，此子域未在 Azure 中注册。

他已经通知了微软，但尚未收到该公司的任何回复。 他说他不能拖延太久，因为主机上的巨大流量正在增加他的维护成本。

我们不会永久注册主机。 有相当数量的流量到达此主机并运行成本。 一旦我们取消子域，不良行为者就可以注册它并滥用它进行恶意攻击。

如果他取消子域，任何黑客都可以注册它并逆向工程方法来制作格式错误的 XML 文件，这些文件可能会滥用 Windows Live Tiles 服务在其起始页中仍然具有基于网站的 Live Tiles 的用户的计算机上运行代码/菜单。 Hanno Böck 目前建议网站删除元标记或使用直接方式传递信息，跳过通知.buildmypinnedsite.com。