PRB: Variables de sesión no se conservan entre solicitudes después de instalar la revisión de seguridad de Internet Explorer MS01-055

Síntomas

Después de instalar la revisión de seguridad MS01-055 para Microsoft Internet Explorer 5.5 ó 6.0, pueden producirse los problemas siguientes:

  • Las variables de sesión se pierden.
  • No se mantiene el estado de sesión entre solicitudes.
  • Las cookies no están establecidas en el sistema cliente.
Nota: Estos problemas también se pueden producir después de instalar una revisión más reciente que incluye la revisión que se proporciona en la revisión de seguridad MS01-055.

Causa

Revisión de seguridad MS01-055 impide que los servidores con sintaxis incorrecta del nombre establecer nombres de cookies. Dominios que utilizan cookies deben utilizar sólo caracteres alfanuméricos ("-"o".") en el nombre de dominio y el nombre del servidor. Internet Explorer bloquea las cookies de un servidor si el nombre del servidor contiene otros caracteres, como un carácter de subrayado ("_").

Debido a variables de sesión y de estado de sesión ASP se basan en cookies para funcionar, ASP no puede mantener el estado entre solicitudes de sesión si no se puede establecer cookies en el cliente.

Este problema también puede deberse a una sintaxis de nombre incorrecto en un encabezado de host.

Solución

Para evitar este problema, utilice uno de los métodos siguientes:

  • Cambie el nombre de dominio y el nombre del servidor y utilice únicamente caracteres alfanuméricos.
  • Busque el servidor con la dirección de protocolo Internet (IP) en lugar del nombre de dominio/servidor.
Nota: Puede que necesite cambiar la configuración de Microsoft Internet Information Server (IIS) después de cambiar el nombre de un servidor. Para obtener más información, consulte la sección "Referencias".

Estado

Este comportamiento es por diseño.

Más información

Existe una vulnerabilidad de seguridad en las versiones de Internet Explorer 5.5 y 6.0 en el que un usuario malintencionado podría crear una dirección URL que permite que un sitio Web obtener acceso no autorizado a las cookies que se almacenan en un equipo cliente y, a continuación, modificar (posiblemente) los valores contenidos en estas cookies. Dado que algunos sitios Web utilizan las cookies almacenadas en los equipos cliente para almacenar información confidencial, esta vulnerabilidad de seguridad podría exponer información personal.

Revisión de seguridad MS01-055 corrige esta vulnerabilidad de seguridad al impedir que los servidores con sintaxis incorrecta del nombre establecer nombres de cookies. Esta revisión requiere que los nombres de los servidores siguen las convenciones de nomenclatura se especifican en el apéndice 1 de la solicitud de comentarios (RFC) 833 "nombres de dominio - implementación y especificación." Para obtener más información, consulte la sección "Referencias".

Referencias

Para obtener información adicional acerca de la revisión de seguridad MS01-055, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

312461 MS01-055: datos de cookies de Internet Explorer se pueden exponer o modificar mediante la inyección de script

Para obtener información adicional acerca de los cambios de configuración de IIS que pueden ser necesarios después de cambiar el nombre del servidor, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

234142 actualización de IIS después de cambiar el nombre del equipo

Para obtener más información acerca de las especificaciones de RFC 883, consulte el siguiente sitio Web de Internet Engineering Task Force:

Propiedades

Id. de artículo: 316112 - Última revisión: 17 ene. 2017 - Revisión: 1

Comentarios