PRB: Po zainstalowaniu poprawki zabezpieczeń programu Internet Explorer MS01-055 zmienne sesji nie są zachowywane między żądaniami

Tłumaczenia artykułów Tłumaczenia artykułów
Numer ID artykułu: 316112 - Zobacz jakich produktów dotyczą zawarte w tym artykule porady.
Rozwiń wszystko | Zwiń wszystko

Symptomy

Po zainstalowaniu poprawki zabezpieczeń MS01-055 do programu Microsoft Internet Explorer 5.5 lub 6.0 mogą wystąpić następujące problemy:
  • Następuje utrata zmiennych sesji.
  • Między żądaniami zmienia się stan sesji.
  • W systemie klienckim nie są ustawiane pliki cookie.
Uwaga: Takie problemy mogą wystąpić również po zainstalowaniu nowszej poprawki zawierającej poprawkę dostarczaną w poprawce zabezpieczeń MS01-055.

Przyczyna

Poprawka zabezpieczeń MS01-055 zapobiega ustawianiu nazw plików cookie przez serwery o niewłaściwej składni nazwy. W nazwach domen i nazwach serwerów korzystających z plików cookie mogą się znajdować tylko znaki alfanumeryczne oraz znaki „-” lub „.”. Jeśli w nazwie serwera znajdują się inne znaki, takie jak znak podkreślenia („_”), pliki cookie z takiego serwera zostaną zablokowane przez program Internet Explorer.

Od działania plików cookie zależy stan sesji protokołu ASP (Active Server Pages) i zmienne sesji, więc jeśli nie można ustawić plików cookie na kliencie, protokół ASP nie może zachować stanu sesji między żądaniami.

Przyczyną tego problemu może być również niepoprawna składnia nazwy w nagłówku hosta.

Rozwiązanie

W celu obejścia tego problemu należy zastosować jedną z następujących metod:
  • Zmiana nazwy domeny i nazwy serwera z użyciem znaków alfanumerycznych.
  • Przejście do serwera przy użyciu adresu IP zamiast nazwy domeny/serwera.
Uwaga: Po zmianie nazwy serwera może się okazać konieczna zmiana konfiguracji programu Microsoft Internet Information Server (IIS). Więcej informacji można znaleźć w sekcji „Materiały referencyjne”.

Stan

Zachowanie takie jest zgodne z projektem programu.

Więcej informacji

W zabezpieczeniach programu Internet Explorer w wersjach 5.5 i 6.0 istnieje potencjalna luka. Złośliwy użytkownik może utworzyć adres URL umożliwiający witrynie sieci Web uzyskanie nieautoryzowanego dostępu do plików cookie, które są przechowywane na komputerze klienckim, a następnie (potencjalnie) zmodyfikowanie wartości znajdujących się w tych plikach cookie. Niektóre witryny sieci Web korzystają z plików cookie przechowywanych na komputerach klienckich do zapisywania informacji poufnych, dlatego ta luka zabezpieczeń może prowadzić do ujawnienia informacji osobistych.

Luka ta jest eliminowana za pomocą poprawki zabezpieczeń MS01-055, dzięki której niemożliwe jest ustawianie nazw plików cookie przez serwery, których nazwa ma niewłaściwą składnię. W poprawce tej wymagane jest, aby nazwy serwerów były zgodne z konwencją nazewnictwa określoną w Dodatku 1 specyfikacji RFC (Request for Comments) 833 „DOMAIN NAMES - IMPLEMENTATION and SPECIFICATION”. Więcej informacji można znaleźć w sekcji „Materiały referencyjne”.

Materiały referencyjne

Aby uzyskać dodatkowe informacje o poprawce zabezpieczeń MS01-055, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
312461 MS01-055: Internet Explorer cookie data can be exposed or altered through script injection
Aby uzyskać dodatkowe informacje o zmianach konfiguracji usług IIS, które mogą okazać się konieczne po zmianie nazwy serwera, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
234142 Updating IIS after you change the computer name
Więcej informacji dotyczących specyfikacji RFC 883 można znaleźć w następującej witrynie organizacji Internet Engineering Task Force w sieci Web:
http://www.ietf.org/rfc/rfc883.txt?number=883

Właściwości

Numer ID artykułu: 316112 - Ostatnia weryfikacja: 4 grudnia 2007 - Weryfikacja: 5.3
Informacje zawarte w tym artykule dotyczą:
  • Microsoft Active Server Pages 4.0
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Internetowe usługi informacyjne Microsoft 6.0
  • Internetowe usługi informacyjne Microsoft 5.1
  • Internetowe usługi informacyjne Microsoft 5.0
Słowa kluczowe: 
kbwebserver kbaspobj kbsecurity kbprb kbsecbulletin kbcookie KB316112

Przekaż opinię

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com