এই প্যাচ দূষিত ব্যবহারকারী পরিস্থিতিতে একটি খুব সীমিত অধীন অন্য ব্যবহারকারীর নিরাপদ ওয়েব সেশন হাইজ্যাক করা সম্ভব হবে যে মাইক্রোসফট ইন্টারনেট ইনফরমেশন সার্ভার একটি নিরাপত্তা দুর্বলতার ঘটিয়েছে.
আইআইএস বর্তমান অধিবেশন শনাক্তকারী ট্র্যাক একটি সেশন আইডি কুকির ব্যবহারের সমর্থন একটি ওয়েব সেশনের জন্য. ফলে, একই ওয়েব সাইটে নিরাপদ এবং অ নিরাপদ পেজ একই সেশন আইডি ব্যবহার করেন একটি RFC 2109. সংজ্ঞায়িত তবে আইআইএস মধ্যে এএসপি নিরাপদ সেশন আইডি কুকি সৃষ্টি সমর্থন করে না. একজন ব্যবহারকারী একটি নিরাপদ ওয়েব পৃষ্ঠার সাথে একটি সেশান শুরু করে থাকেন তাহলে, একটি সেশন আইডি কুকি উত্পন্ন এবং SSL দ্বারা সুরক্ষিত ব্যবহারকারী পাঠানো হবে. ব্যবহারকারী পরবর্তীকালে একই সাইটে একটি অ নিরাপদ পৃষ্ঠা পরিদর্শন কিন্তু যদি একই সেশন আইডি কুকি, প্লেইন এই সময় বিনিময় করা হবে. দূষিত ব্যবহারকারী যোগাযোগের চ্যানেল উপর সম্পূর্ণ নিয়ন্ত্রণ ছিল, তিনি প্লেইন সেশন আইডি কুকি পড়তে এবং নিরাপদ পৃষ্ঠার সাথে ব্যবহারকারীর সেশানের সাথে সংযুক্ত করার জন্য এটি ব্যবহার করতে পারে. এই মুহুর্তে, সে ব্যবহারকারী নিতে পারে যে নিরাপদ পেজে কোন পদক্ষেপ নিতে পারে.
এই সুবিধা ভোগ করা যেতে পারে যার অধীনে শর্ত বরং কঠিন হয়. দূষিত ব্যবহারকারী ওয়েব সাইটের সাথে অন্যান্য ব্যবহারকারীর যোগাযোগ উপর সম্পূর্ণ নিয়ন্ত্রণ আছে করতে হবে. এমনকি, তখন দূষিত ব্যবহারকারী নিরাপদ পাতা প্রাথমিক সংযোগ করতে না পারে; শুধুমাত্র বৈধ ব্যবহারকারীর যে কাজ করতে পারে. প্যাচ এএসপি পাতায় নিরাপদ সেশন আইডি কুকিজ জন্য সমর্থন যোগ করে দুর্বলতার ঘটিয়েছে. (সিকিউর কুকিজ ইতিমধ্যে আইআইএস সব অন্যান্য প্রযুক্তির আওতায়, কুকিজ অন্যান্য সকল ধরনের জন্য সমর্থিত). .
আরো তথ্য দেখুনপ্রশ্নজন্য
আবশ্যক :
উইন্ডোজ এনটি 4.0, ইন্টারনেট ইনফরমেশন সার্ভার 4.0
পাওয়া মন্তব্যসমূহ না