Bu patch bir zərərli istifadəçi hallar çox məhdud dəsti altında başqa bir istifadəçi təhlükəsiz Web iclası aparmaq üçün imkan verir ki, Microsoft Internet Information Server bir təhlükəsizlik zəifliyi aradan qaldırır.
IIS cari sessiya identifikatoru izlemek üçün bir sessiya ID cookie istifadə dəstəkləyir Web sessiya üçün. Nəticədə, eyni Web site təhlükəsiz və qeyri-təhlükəsiz pages eyni sessiya ID istifadə kimi RFC 2109. müəyyən Lakin, IIS ASP təhlükəsiz sessiya ID cookies yaradılması bilmir. Bir istifadəçi bir təhlükəsiz Web-səhifə ilə bir sessiya təşəbbüsü, bir sessiya ID cookie yaradılan və SSL ilə qorunan istifadəçi göndərilə bilər. Istifadəçi sonradan həmin saytda bir qeyri-təhlükəsiz səhifəsini ziyarət Lakin, eyni sessiya ID cookie, düz metin bu dəfə mübadilə edilə bilər. Bir zərərli istifadəçi rabitə kanalı üzərində tam nəzarət var idi, o, düz metin sessiya ID cookie oxumaq və təhlükəsiz səhifə ilə istifadəçi sessiya qoşulmaq üçün istifadə edə bilər. Bu noktada, o user bilər təhlükəsiz səhifə hər hansı bir işlem bilər.
Bu açığı istismar edilə bilər altında şərait olduqca zor var. zərərli istifadəçi Web site digər istifadəçi rabitə üzərində tam nəzarət etmək lazımdır. Hətta sonra, zərərli istifadəçi təhlükəsiz səhifə ilkin keçid edə bilməz; yalnız qanuni istifadəçi bunu edə bilər. patch ASP pages təhlükəsiz sessiya ID cookies üçün dəstək əlavə açığı aradan qaldırır. (Secure cookies artıq IIS bütün digər texnologiyaları altında cookies bütün digər növləri üçün dəstəklənir). .
Daha ətraflı məlumat üçün FAQ baxın
tələblər
Windows NT 4.0, Internet Information Server 4.0
Şərhlər tapılmadı