תיקון זה מבטל פגיעות אבטחה בשרת המידע באינטרנט של מיקרוסופט, שתאפשר למשתמש זדוני לחטוף הפעלת האינטרנט המאובטח של משתמש אחר בקבוצה מאוד מוגבלת של נסיבות.
IIS תומך בשימוש בעוגייה מזהה הפעלה כדי לעקוב אחר זיהוי ההפעלה הנוכחי להפעלת אינטרנט. עם זאת, ASP ב- IIS אינו תומך ביצירה של עוגיות מזהה הפעלה מאובטחת כהגדרתו בRFC 2109. כתוצאה מכך, דפים מאובטחים ולא מאובטחים באותו אתר האינטרנט משתמשים באותו מזהה הפעלה. אם ביוזמת משתמש פגישה עם דף אינטרנט מאובטח, עוגייה מזהה הפעלה תהיה שנוצרה ונשלחה למשתמש, המוגן באמצעות SSL. אבל אם המשתמש לאחר מכן ביקר בדף שאינו מאובטח באותו האתר, באותו הקובץ העוגייה הזמני יהיה החליף, הפעם בטקסט. אם היה לי משתמש זדוני שליטה מלאה על ערוץ התקשורת, הוא יכול לקרוא את העוגייה מזהה הפעלת הטקסט ולהשתמש בו כדי להתחבר למפגש של המשתמש עם הדף המאובטח. בשלב זה, הוא יכול לבצע כל פעולה בדף המאובטח שהמשתמש יכול לקחת.
התנאים שבם הפגיעות עלולות להיות מנוצלות די מרתיעים. המשתמש הזדוני היה צריך שליטה מלאה על התקשורת של המשתמש האחר עם אתר האינטרנט. גם אז, המשתמש הזדוני יכול לא לעשות את החיבור הראשוני לדף המאובטח; המשתמש הלגיטימי רק יכול לעשות את זה. התיקון מבטל את הפגיעות על ידי הוספת תמיכה בקבצי עוגיות זמניות מאובטחים בדפי ASP. (עוגיות Secure כבר נתמכות עבור כל הסוגים האחרים של עוגיות, בכל הטכנולוגיות האחרות ב- IIS). .
ראה שאלות נפוצות לקבלת מידע נוספת
דרישות :
Windows NT 4.0, שרת מידע באינטרנט 4.0
תגובות לא נמצא