[Spiderman]

Zitat (Rezzer: 23.09.2010, 04:53)

Bitte die Schweizer Sender auch wieder einbauen Danke

Es gibt doch das Schweizer Webradio, das Webradio V2 wird ja schon lange nicht mehr weiter entwickelt.

Auf der Suche nach Sicherheitslücken in Radio Gadgets habe ich folgende Lücke gefunden:

gibt man statt den Sender/Stream -Namen einen Code ein z.B.

<iframe src="http://google.de"></iframe>

wird der Code beim Öffnen des Flyout ausgeführt.



Dadurch kann eine ungewollte Codeausführung weiteren Schadcode auf das System holen, und die Rechte/Möglichkeiten der Sidebar sind nun einmal größer wie die eines Browsers, daher wäre der Schaden auch größer.

Leider funktioniert das selbst bei iRadio 3.5, in der neuen Version 3.6, die ich die nächsten Tage verteile, klappt das aber nicht mehr.


Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 26. September 2010 - 03:04

[Taxidriver05]

Wie lässt sich die Lücke schließen?

Kannst Du mir mal diesbezüglich ne PN zukommen lassen?
Dann kann ich mir mein "Schweizer Webradio Gadget" eventuell selber umschreiben...
Natürlich würde ich das allein schon aus lizenzrechtlichen Gründen nicht weiter verbreiten...

[Spiderman]

Zitat (Taxidriver05: 26.09.2010, 02:25)

Wie lässt sich die Lücke schließen?

Dann kann ich mir mein "Schweizer Webradio Gadget" eventuell selber umschreiben...

Zuerst habe ich nach bestimmten Zeichen(< > = \ /) gesucht, und die entfernt.

Das war mir aber zu amateurhaft, deshalb habe ich nun die sichere Object-Erstellung im Flyout programmiert.
Bei der sicheren Object-Erstellung braucht man nicht zu filtern, eingeschleuster Code wird nur als Text gedeutet.



Wie das gemacht wird steht in der Anleitung für sichere Gadgets von MS:
http://msdn.microsof...y/bb498012.aspx

var oAnchor = document.createElement("A");
oAnchor.href = ValidateUrl(inputUrl);
oAnchor.innerText = "Click Here!";
document.body.appendChild(oAnchor);

Das Problem kam durch .innerHTML das ist genauso gefährlich wie iFrame, am besten setzt man beides nicht ein, im Code oben wird .innerText verwendet, das ist sicher.

Die MS Default Gadgets haben kein iFrame, verwenden aber .innerHTML, MS hat sich wohl für meine erste Methode(das filtern/prüfen) entschieden.

Ob du das beim Webradio hinbekommst ist fraglich, dort befindet sich ja auch html Code für die Flaggen in der Sender.txt, da kannst du ja einfach eine Flagge mit dem iFrame ersetzen.

Gruß
Spiderman

Dieser Beitrag wurde von Spiderman bearbeitet: 26. September 2010 - 03:10

[Taxidriver05]

Vielen Dank für die Infos...

Das werde ich mir wohl mal in Ruhe anschauen...

[Spiderman]

Zitat (Taxidriver05: 26.09.2010, 11:44)

Vielen Dank für die Infos...

Das werde ich mir wohl mal in Ruhe anschauen...

Du kannst auch versuchen den Entwickler(AKP) zu erreichen, vielleicht bekommt der das hin.

Wenn man beim Schweizer Radio im Flyout auf das Google iFrame klickt, wird das Google iFrame auch im Haupt Gadget geöffnet, es gibt also im Haupt Gadget das gleiche Problem.



Ich hatte bei iRadio nur das Problem im Flyout, das Haupt Gadget war schon sicher gemacht.

Gruß
Spiderman

[beneke]

Hallo,
iche habe ein großes Problem mit Webradio Schweiz!

Ich besitze die Version 4.2.0

Seid kurzem werden keine Icons mehr angezeigt.


Ich hab es auch schon mit einer älteren Version des Gadget versucht.

Vielleicht kann mir da ja jemand helfen!

beneke

[Jennyf]

Hallo

Hat die Version 4.2.0 denn anfangs funktioniert? Dann ist es allenfalls ein fehlerhafter Eintrag in der Senderliste. Bei mir klappt es tadellos. Lad doch das Teil nochmals runter und installiere es erneut!

[beneke]

Ich hatte erst eine ältere Version. Die lief ohne Probleme! Dann waren auf einmal die Icons weg!
Dann habe ich das Update auf 4.2.0. gemacht. Bei 4.2.0 --> das gleiche!

[Jennyf]

Also, du hast die Version 4.2.0 heruntergeladen und installiert, diese lief jedoch von Anfang an nicht?
Ist denn der Windows Media Player und der Internet Explorer installiert bei dir?

[beneke]

Ich hatte erst die Version 3.6.7 und die lief ohne Probleme! Dann stellte ich fest das alle Icons auf dem Gadget verschwunden waren. Ich machte das Update auf 4.2.0 und auch da waren keine Symbole. Auf meinem Laptop läuft 4.2.0 ohne Probleme. Auf beiden Rechnern ist Windows 7 PRO. Media Player und Internet Explorer ist auf beiden drauf.

[Spiderman]

Zitat (beneke: 02.12.2010, 20:51)

Auf meinem Laptop läuft 4.2.0 ohne Probleme. Auf beiden Rechnern ist Windows 7 PRO. Media Player und Internet Explorer ist auf beiden drauf.

Hast du auf dem Rechner mit den Problemen die IE 9 Beta installiert ?

Das könnte die Ursache sein, es gibt viele Meldungen von Benutzern die Probleme nach der Installation der IE 9 Beta haben:
http://boards.msn.com/Windows%20Live%20Gal...hreadid=1814027

Die Probleme können auch nach der Deinstallation der Beta bestehen bleiben, denn oft werden die Systemdateien nicht wiederhergestellt, wenn schon Updates eingespielt wurden.

Beta Versionen von Software testet man deshalb besser auf einem Testsystem.

Gruß
Spiderman

[joergm2706]

Ich habe für das Gadget hier eine neue Senderliste. Diese umfasst inzwischen rund 830 Sender alleine aus Deutschland. Viel Spaß damit: http://rapidshare.com/files/438337193/Senderliste_Gadget_v2_20.12.10.txt .

[Hansdampf12345]

Hi zusammen.

Ich würde gerne einen Zusatz im Radiogadget einfügen, bekomme es aber nicht ans Laufen.

Und zwar hätte ich gerne neben den Playbutton noch einen Zusatzbutton, mit dem ich mein CD-Laufwerk auswerfen kann.

Ich hab folgenden Code

<script language="JavaScript" type="text/javascript">
<!--
function EjectAll(){
var col=Player.cdromCollection, c=0;
while(c<col.count)
	col.item(c++).eject();
}

</script>

eingefügt und dann so auf ein Icon gelegt

<IMG STYLE="position:absolute; TOP:8px; LEFT:55px; WIDTH:10px; HEIGHT:8px" SRC="eject.png" OnClick="EjectAll()">

Das Icon ist auch zu sehen, aber wenn ich es anklicke passiert nix

Kann mir da vielleicht jemand nen Tipp geben?

[Spiderman]

Zitat (Hansdampf12345: 05.02.2011, 18:40)

Kann mir da vielleicht jemand nen Tipp geben?

Groß-/Klein- Schreibung beachten, es gibt nur "onclick".

Gruß
Spiderman