แพทช์นี้จะช่วยลดช่องโหว่ความปลอดภัยในเซิร์ฟเวอร์ข้อมูลทางอินเทอร์เน็ตของ Microsoft ที่จะช่วยให้ผู้ใช้ที่เป็นอันตรายจี้เซสชั่นเว็บที่มีความปลอดภัยของผู้ใช้อื่นภายใต้ชุดที่ จำกัด มากของสถานการณ์.
IIS สนับสนุนการใช้คุกกี้ ID เซสชั่นในการติดตามตัวระบุเซสชันปัจจุบัน สำหรับเซสชั่นเว็บ อย่างไรก็ตาม ASP ใน IIS ไม่สนับสนุนการสร้างเซสชั่นที่เชื่อถือคุกกี้ ID ตามที่กำหนดไว้ใน RFC 2109. เป็นผลให้หน้ามีความปลอดภัยและไม่ปลอดภัยบนเว็บไซต์เดียวกันใช้รหัสเซสชั่นเดียวกัน หากผู้ใช้เริ่มต้นเซสชั่นกับหน้าเว็บที่เชื่อถือได้คุกกี้ ID เซสชั่นจะได้รับการสร้างขึ้นและส่งไปยังผู้ที่ได้รับการป้องกันด้วย SSL แต่ถ้าผู้ใช้ภายหลังเข้าเยี่ยมชมหน้าเว็บที่ไม่ปลอดภัยในเว็บไซต์เดียวกันเซสชั่นเดียวกันคุกกี้ ID จะมีการแลกเปลี่ยนในครั้งนี้ธรรมดา หากผู้ใช้ที่เป็นอันตรายมีการควบคุมที่สมบูรณ์มากกว่าช่องทางสื่อสารที่เขาจะได้อ่านในเซสชั่นเท็กซ์คุกกี้ ID และใช้ในการเชื่อมต่อกับเซสชั่นของผู้ใช้ที่มีการรักษาความปลอดภัยหน้า ณ จุดที่เขาจะดำเนินการใด ๆ ในหน้ารักษาความปลอดภัยที่ผู้ใช้สามารถใช้.
เงื่อนไขตามที่ช่องโหว่นี้สามารถใช้ประโยชน์เป็นที่น่ากลัวค่อนข้าง ผู้ใช้ที่เป็นอันตรายจะต้องมีการควบคุมที่สมบูรณ์มากกว่าการสื่อสารของผู้อื่นกับเว็บไซต์ แล้วถึงแม้ผู้ใช้ที่เป็นอันตรายไม่สามารถทำให้การเชื่อมต่อครั้งแรกไปที่หน้าเชื่อถือได้ เฉพาะผู้ใช้ถูกต้องตามกฎหมายสามารถดำเนินการได้ แพทช์จะช่วยลดช่องโหว่โดยการเพิ่มการสนับสนุนสำหรับเซสชั่นที่เชื่อถือคุกกี้ ID ในหน้า ASP (Secure คุกกี้แล้วได้รับการสนับสนุนประเภทอื่น ๆ ทั้งหมดของคุกกี้ภายใต้เทคโนโลยีอื่น ๆ ทั้งหมดใน IIS) .
ดูคำถามที่พบบ่อยสำหรับข้อมูลเพิ่มเติม
ต้องการ
Windows NT 4.0 ข้อมูลทางอินเทอร์เน็ตเซิร์ฟเวอร์ 4.0
ความคิดเห็นที่ไม่พบ