PRB: Variabili di sessione non vengono mantenute tra le richieste dopo l'installazione di Internet Explorer Security Patch MS01-055

Sintomi

Dopo aver installato la patch di protezione MS01-055 per Microsoft Internet Explorer 5.5 o 6.0, è possibile incontrare i seguenti problemi:

  • Le variabili di sessione vengono perse.
  • Lo stato della sessione non viene mantenuto tra le richieste.
  • I cookie non vengono impostati sul sistema client.
Nota: Questi problemi possono verificarsi anche dopo aver installato una patch più recente che include la correzione fornita nella patch di protezione MS01-055.

Causa

Patch di protezione MS01-055 impedisce ai server con sintassi non corretta del nome di impostazione dei nomi dei cookie. Domini che utilizzano i cookie è necessario utilizzare solo caratteri alfanumerici ("-"o".") il nome di dominio e il nome del server. Internet Explorer blocca i cookie provenienti da un server se il nome del server contiene altri caratteri, ad esempio un carattere di sottolineatura ("_").

Poiché le variabili di sessione e lo stato sessione ASP si basano sui cookie a funzionare, ASP non mantengono lo stato di sessione tra le richieste se non è possibile impostare i cookie sul client.

Questo problema può essere causato anche da una sintassi del nome non corretto in un'intestazione host.

Risoluzione

Per risolvere questo problema, utilizzare uno dei seguenti metodi:

  • Rinominare il nome di dominio e il nome del server e utilizzare solo caratteri alfanumerici.
  • Individuare il server utilizzando l'indirizzo IP (Internet Protocol) anziché il nome di dominio/server.
Nota: Potrebbe essere necessario modificare la configurazione di Microsoft Internet Information Server (IIS) dopo la ridenominazione di un server. Per ulteriori informazioni, consultare la sezione "Riferimenti".

Stato

Questo è il comportamento previsto.

Ulteriori informazioni

Una potenziale vulnerabilità della protezione in Internet Explorer versioni 5.5 e 6.0 in cui un utente malintenzionato potrebbe creare un URL che consente a un sito Web di accesso non autorizzato ai cookie memorizzati in un computer client e quindi (potenzialmente) modificare i valori contenuti in tali cookie. Poiché alcuni siti Web utilizzano i cookie memorizzati sul computer client per memorizzare informazioni riservate, questa vulnerabilità potrebbe esporre informazioni personali.

Patch di protezione MS01-055 corregge la vulnerabilità di protezione impedendo a server con sintassi non corretta del nome di impostazione dei nomi dei cookie. Questa patch richiede che i nomi dei server convenzioni di denominazione specificati nell'appendice 1 di Request for Comments (RFC) 833 "nomi di dominio – implementazione e specifiche." Per ulteriori informazioni, consultare la sezione "Riferimenti".

Riferimenti

Per ulteriori informazioni sulla patch di protezione MS01-055, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base riportato di seguito:

312461 MS01-055: possibile esporre i dati dei cookie di Internet Explorer o modificati tramite l'inserimento di script

Per ulteriori informazioni sulle modifiche di configurazione di IIS che potrebbero essere necessari dopo aver rinominato il server, fare clic sul numero riportato di seguito per visualizzare l'articolo della Microsoft Knowledge Base:

234142 aggiornamento IIS dopo aver modificato il nome del computer

Per ulteriori informazioni sulle specifiche RFC 883, vedere il seguente sito Web Internet Engineering Task Force:

Proprietà

ID articolo: 316112 - Ultima revisione: 30 gen 2017 - Revisione: 1

Feedback