PRB: Po zainstalowaniu poprawki zabezpieczeń programu Internet Explorer MS01-055 zmienne sesji nie są zachowywane między żądaniami

Symptomy

Po zainstalowaniu poprawki zabezpieczeń MS01-055 do programu Microsoft Internet Explorer 5.5 lub 6.0 mogą wystąpić następujące problemy:

  • Następuje utrata zmiennych sesji.
  • Między żądaniami zmienia się stan sesji.
  • W systemie klienckim nie są ustawiane pliki cookie.
Uwaga: Takie problemy mogą wystąpić również po zainstalowaniu nowszej poprawki zawierającej poprawkę dostarczaną w poprawce zabezpieczeń MS01-055.

Przyczyna

Poprawka zabezpieczeń MS01-055 zapobiega ustawianiu nazw plików cookie przez serwery o niewłaściwej składni nazwy. W nazwach domen i nazwach serwerów korzystających z plików cookie mogą się znajdować tylko znaki alfanumeryczne oraz znaki „-” lub „.”. Jeśli w nazwie serwera znajdują się inne znaki, takie jak znak podkreślenia („_”), pliki cookie z takiego serwera zostaną zablokowane przez program Internet Explorer.

Od działania plików cookie zależy stan sesji protokołu ASP (Active Server Pages) i zmienne sesji, więc jeśli nie można ustawić plików cookie na kliencie, protokół ASP nie może zachować stanu sesji między żądaniami.

Przyczyną tego problemu może być również niepoprawna składnia nazwy w nagłówku hosta.

Rozwiązanie

W celu obejścia tego problemu należy zastosować jedną z następujących metod:

  • Zmiana nazwy domeny i nazwy serwera z użyciem znaków alfanumerycznych.
  • Przejście do serwera przy użyciu adresu IP zamiast nazwy domeny/serwera.
Uwaga: Po zmianie nazwy serwera może się okazać konieczna zmiana konfiguracji programu Microsoft Internet Information Server (IIS). Więcej informacji można znaleźć w sekcji „Materiały referencyjne”.

Stan

Zachowanie takie jest zgodne z projektem programu.

Więcej informacji

W zabezpieczeniach programu Internet Explorer w wersjach 5.5 i 6.0 istnieje potencjalna luka. Złośliwy użytkownik może utworzyć adres URL umożliwiający witrynie sieci Web uzyskanie nieautoryzowanego dostępu do plików cookie, które są przechowywane na komputerze klienckim, a następnie (potencjalnie) zmodyfikowanie wartości znajdujących się w tych plikach cookie. Niektóre witryny sieci Web korzystają z plików cookie przechowywanych na komputerach klienckich do zapisywania informacji poufnych, dlatego ta luka zabezpieczeń może prowadzić do ujawnienia informacji osobistych.

Luka ta jest eliminowana za pomocą poprawki zabezpieczeń MS01-055, dzięki której niemożliwe jest ustawianie nazw plików cookie przez serwery, których nazwa ma niewłaściwą składnię. W poprawce tej wymagane jest, aby nazwy serwerów były zgodne z konwencją nazewnictwa określoną w Dodatku 1 specyfikacji RFC (Request for Comments) 833 „DOMAIN NAMES - IMPLEMENTATION and SPECIFICATION”. Więcej informacji można znaleźć w sekcji „Materiały referencyjne”.

Materiały referencyjne

Aby uzyskać dodatkowe informacje o poprawce zabezpieczeń MS01-055, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
312461 MS01-055: Internet Explorer cookie data can be exposed or altered through script injection

Aby uzyskać dodatkowe informacje o zmianach konfiguracji usług IIS, które mogą okazać się konieczne po zmianie nazwy serwera, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
234142 Updating IIS after you change the computer name

Więcej informacji dotyczących specyfikacji RFC 883 można znaleźć w następującej witrynie organizacji Internet Engineering Task Force w sieci Web:

Właściwości

Identyfikator artykułu: 316112 — ostatni przegląd: 04.12.2007 — zmiana: 1

Opinia