Aplikace Internet Explorer nepodporuje uživatelská jména ani hesla v adresách webů (adresách URL protokolu HTTP nebo HTTPS)

ID článku: 834489 - Produkty, které se vztahují k tomuto článku.
Rozbalit všechny záložky | Minimalizovat všechny záložky

Na této stránce

Tento článek má upozornit správce webů a odborníky v oblasti informačních technologií na chování aplikace Internet Explorer, pokud jsou do adresy webu zahrnuty uživatelské údaje (do adresy URL protokolu HTTP nebo HTTPS).

Pokud jste domácími uživateli a máte problémy s hesly nebo uživatelskými údaji v aplikaci Internet Explorer, navštivte web Středisko řešení aplikace Internet Explorer, kde naleznete informace pro řešení potíží nebo kontaktování podpory:
Zpět nahoru | Dejte nám zpětnou vazbu

Souhrn

Ve výchozím nastavení nepodporují verze aplikace Windows Internet Explorer počínaje vydáním aktualizace zabezpečení 832894 zpracování uživatelských jmen a hesel v adresách URL protokolu HTTP a HTTP s protokolem SSL (Secure Sockets Layer) nebo HTTPS. Následující syntaxe adresy URL není podporována v aplikaci Internet Explorer ani v programu Průzkumník Windows:
http(s)://uživatelské_jméno:heslo@server/prostředek.ext
Účelem tohoto článku je upozornit vás na toto výchozí chování aplikace Internet Explorer. Pokud zahrnete informace o uživateli do adres URL protokolu HTTP nebo HTTPS, doporučujeme, abyste se seznámili s řešeními popsanými v tomto článku. Další informace o aktualizaci zabezpečení 832894 naleznete na následujícím webu společnosti Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
Zpět nahoru | Dejte nám zpětnou vazbu

Další informace

Základní informace

Aplikace Internet Explorer verze 3.0 až 6.0 podporuje následující syntaxi pro adresy URL protokolů HTTP nebo HTTPS:
http(s)://uživatelské_jméno:heslo@server/prostředek.ext
Tuto syntaxi adresy URL lze použít k automatickému odesílání informací o uživateli na web, který podporuje základní metodu ověření.

Uživatel se zlými úmysly by mohl použít tuto syntaxi adresy URL k vytvoření hypertextového odkazu, který zdánlivě otevře legitimní web, ale ve skutečnosti otevře podvodný web (s falešnou identitou). Například následující adresa URL zdánlivě otevře web http://www.wingtiptoys.com, avšak ve skutečnosti otevře web http://example.com:
http://www.wingtiptoys.com@example.com
Poznámka: V takovém případě zobrazí aplikace Internet Explorer 6 s aktualizací Service Pack 1 (SP1) a aplikace Internet Explorer 6 pro systém Microsoft Windows Server 2003 v poli Adresa pouze adresu http://example.com. V předchozích verzích aplikace Internet Explorer se však v poli Adresa zobrazí adresa http://www.wingtiptoys.com@example.com.

Uživatel se zlými úmysly může navíc použít tuto syntaxi adresy URL společně s dalšími metodami k vytvoření odkazu na podvodný web (s falešnou identitou), který ve stavovém řádku, poli Adresa a v záhlaví zobrazí adresu URL legitimního webu ve všech verzích aplikace Internet Explorer.

Další informace o tomto problému naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:
833786
(http://support.microsoft.com/kb/833786/ )
Postupy, které vám mohou pomoci identifikovat podvodné weby (s falešnou identitou) a nebezpečné hypertextové odkazy a chránit se před nimi

Vysvětlení změny výchozího chování

Aplikace Internet Explorer ani program Průzkumník Windows již nepodporují zpracování adresy URL protokolů HTTP a HTTPS v tomto formátu za účelem zmírnění problémů popsaných v části Základní informace. Program Průzkumník Windows ani aplikace Internet Explorer neotevře weby protokolu HTTP nebo HTTPS pomocí adresy URL obsahující informace o uživateli. Pokud jsou informace o uživateli zahrnuty do adresy URL protokolu HTTP nebo HTTPS, zobrazí se ve výchozím nastavení webová stránka s následujícím názvem:
Neplatná syntaxe
Poznámka: Tato změna ve výchozím chování neovlivní další protokoly. Po instalaci aktualizace zabezpečení 832894 můžete například i nadále zahrnout informace o uživateli do adresy URL protokolu FTP.

Tato změna ve výchozím chování je také implementována aktualizacemi zabezpečení, aktualizacemi Service Pack a verzemi aplikace Internet Explorer, které byly vydány počínaje vydáním aktualizace zabezpečení 832894.
Zpět nahoru | Dejte nám zpětnou vazbu

Řešení pro uživatele

Adresy URL, které se otevírají tak, že je uživatelé zadají do pole Adresa, nebo které se otevřou po klepnutí na odkaz

Pokud uživatelé obvykle zadávají adresy URL protokolu HTTP nebo HTTPS obsahující informace o uživateli do pole Adresa nebo klepou na odkazy obsahující informace o uživateli v adresách URL protokolu HTTP nebo HTTPS, můžete tuto novou funkci aplikace Internet Explorer obejít dvěma způsoby:
  • Nezahrnujte informace o uživateli do adres URL protokolu HTTP nebo HTTPS.
  • Požádejte uživatele, aby při zadávání adres URL protokolu HTTP nebo HTTPS nezahrnovali informace o uživateli.
Jestliže web používá metodu základního ověření, zobrazí aplikace Internet Explorer automaticky výzvu k zadání uživatelského jména a hesla. V některých případech mohou uživatelé zaškrtnutím políčka Zapamatovat heslo v dialogovém okně uložit svá pověření pro pozdější návštěvy tohoto webu.

Řešení pro vývojáře aplikací a webů

Adresy URL otevřené objekty, které volají funkce WinInet nebo Urlmon

U objektů používajících adresy URL protokolu HTTP nebo HTTPS, které při volání funkcí WinInet nebo Urlmon zahrnují informace o uživateli, například InternetOpenURL, přepište objekt tak, aby pro odesílání informací o uživateli na web používal jednu z následujících metod:
  • Použijte funkci InternetSetOption a zahrňte následující příznaky příkazu:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Poznámka: Pro tyto příznaky musí mít příkaz InternetSetOption popisovač vrácený funkcí InternetConnect. Pokud tedy aplikace používá funkci InternetOpenUrl, změňte aplikaci tak, aby používala tyto funkce rozhraní WinInet: InternetConnect, HttpOpenRequest a HttpSendRequest. Další informace o použití těchto funkcí naleznete na následujících webech společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/library/Aa384363
    (http://msdn2.microsoft.com/en-us/library/Aa384363)


    http://msdn2.microsoft.com/en-us/library/Aa384233
    (http://msdn2.microsoft.com/en-us/library/Aa384233)


    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Použijte rozhraní IAuthenticate. Další informace o použití rozhraní IAuthenticate naleznete na následujícím webu společnosti Microsoft:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
    (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Poznámka: Pomocí tohoto řešení můžete otevřít weby přesměrované pomocí adresy URL s falešnou identitou. Zobrazí se celá adresa URL, včetně přesměrovaného umístění. Zobrazí se například následující adresa URL:
http://www.wingtiptoys.com@www.example.com
Uživateli se zobrazí přesměrovaný web. V tomto případě se uživateli zobrazí web s adresou http://www.example.com.

Adresy otevřené skriptem používajícím pověření pro správu stavů

Pokud do kódu skriptu zahrnete adresy URL protokolu HTTP nebo HTTPS obsahující informace o uživateli za účelem správy stavů, změňte kód skriptu tak, aby místo informací o uživateli obsahoval soubory cookie. Další informace o použití souborů cookie ke správě informací o stavu naleznete na následujícím webu IETF (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Chcete-li zobrazit příklady použití jazyka Visual Basic ke čtení a zápisu souborů cookie protokolu HTTP ve webové aplikaci ASP.NET, navštivte následující web společnosti Microsoft:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx
(http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

Zakázání nového chování nebo jeho použití v jiných programech

Můžete nastavit hodnoty registru na použití tohoto nového chování v jiných programech, které jsou hostiteli ovládacího prvku webového prohlížeče, nebo na zakázání tohoto nového chování v programu Průzkumník Windows a v aplikaci Internet Explorer.
Zpět nahoru | Dejte nám zpětnou vazbu

Použití tohoto nového chování v programech, které jsou hostiteli ovládacího prvku webového prohlížeče, pro zpracování informací o uživateli v adresách URL protokolu HTTP nebo HTTPS

Ve výchozím nastavení se toto nové chování pro zpracování informací o uživateli v adresách URL protokolu HTTP nebo HTTPS vztahuje pouze na program Průzkumník Windows a aplikaci Internet Explorer. Chcete-li toto nové chování používat v jiných programech, které jsou hostiteli ovládacího prvku webového prohlížeče, vytvořte hodnotu DWORD s názvem SampleApp.exe, kde SampleApp.exe je název spustitelného souboru spouštějícího program. V některém z následujících klíčů registru nastavte hodnotu DWORD na hodnotu 1.
  • Pro všechny uživatele aplikace nastavte tuto hodnotu v následujícím klíči registru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Pro aktuálního uživatele aplikace nastavte tuto hodnotu v následujícím klíči registru:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Zakázání tohoto nové chování pro zpracování informací o uživateli v adresách URL protokolu HTTP nebo HTTPS

Chcete-li zakázat toto nové chování v programu Průzkumník Windows a v aplikaci Internet Explorer, vytvořte hodnoty DWORD iexplore.exe a explorer.exe v jednom z následujících klíčů registru a nastavte jejich údaj hodnoty na možnost 0.
  • Pro všechny uživatele aplikace nastavte tuto hodnotu v následujícím klíči registru:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Pro aktuálního uživatele aplikace nastavte tuto hodnotu v následujícím klíči registru:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Zpět nahoru | Dejte nám zpětnou vazbu

Odkazy

Vysvětlení standardní syntaxe adresy URL pro protokoly HTTP nebo HTTPS najdete na následujících webech IETF (Internet Engineering Task Force):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Společnost Microsoft se vám snaží usnadnit získání technické podpory poskytnutím informací o kontaktech na jiné výrobce. Tyto kontaktní informace se mohou bez upozornění změnit. Společnost Microsoft neručí za správnost kontaktních informací jiných výrobců.
Zpět nahoru | Dejte nám zpětnou vazbu

Vlastnosti

ID článku: 834489 - Poslední aktualizace: 28. září 2011 - Revize: 13.0
Informace v tomto článku jsou určeny pro produkt:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Klíčová slova: 
kbresolve KB834489
Zpět nahoru | Dejte nám zpětnou vazbu

Dejte nám zpětnou vazbu

 
Zpět nahoruZpět nahoru