Bu yama, kötü niyetli bir kullanıcı koşullar çok kısıtlı kümesi altında başka bir kullanıcının güvenli Web oturumu kaçırmak için izin verecek, Microsoft Internet Information sunucusu bir güvenlik açığını ortadan kaldırır.
IIS geçerli oturum tanımlayıcısı izlemek için oturum kimliği çerezinin kullanılmasını desteklemektedir Web oturumu için. Sonuç olarak, aynı Web sitesinde güvenli ve güvenli olmayan sayfalar aynı oturum kimliği kullanmak gibi RFC 2109. tanımlanan Ancak, IIS ASP güvenli oturum kimliği çerezleri oluşturulmasını desteklemez. Bir kullanıcı güvenli bir Web sayfası ile bir oturum başlattı, bir oturum kimliği tanımlama üretilir ve SSL ile korunan kullanıcı gönderilecek. Kullanıcı daha sonra aynı sitede güvenli olmayan bir sayfayı ziyaret Ama eğer, aynı oturum kimliği tanımlama, düz metin olarak bu sefer alışverişinde olacaktır. Kötü niyetli bir kullanıcının iletişim kanalı üzerinde tam kontrol olsaydı, o düz metin oturum kimliği çerezi okuyabilir ve güvenli sayfa kullanıcının oturumuna bağlanmak için kullanabilirsiniz. Bu noktada, o kullanıcı sürebilir güvenli sayfadaki herhangi bir eylem sürebilir.
Bu güvenlik açığından yararlanılabilir hangi şartlar altında oldukça zor bulunmaktadır. Kötü niyetli bir kullanıcı Web sitesi ile diğer kullanıcıların iletişim üzerinde tam kontrole sahip olmak gerekir. Hatta daha sonra, kötü niyetli bir kullanıcı güvenli sayfaya ilk bağlantıyı gelemedi; sadece meşru kullanıcı bunu yapabilir. Yama ASP sayfalarında güvenli bir oturum kimliği tanımlama bilgileri için destek ekleyerek güvenlik açığını ortadan kaldırır. (Güvenli çerezler zaten IIS diğer tüm teknolojilerin altında, kurabiye, tüm diğer türleri için desteklenir). .
Daha fazla bilgi için SSS bölümüne bakın
Gereksinimleri
Windows NT 4.0, Internet Information Server 4.0
Yorum Bulunamadı