Internet Explorer no admite contraseñas y nombres de usuario en las direcciones de sitios web (las URL de HTTP or HTTPS)

Este artículo trata de notificar a los administradores de sitios web y a los profesionales de IT el comportamiento de Internet Explorer cuando la información de usuario está incluida en una dirección de sitio web (URL de HTTP p HTTPS).

Si es usuario doméstico y tiene problemas con las contraseñas o la información de usuario en Internet Explorer, visite el sitio web Internet Explorer Solution Center para buscar información para la solución de problemas o para ponerse en contacto con el soporte técnico:

• Internet Explorer 7
  http://support.microsoft.com/ph/8722 (http://support.microsoft.com/ph/8722)
• Internet Explorer 6
  http://support.microsoft.com/ph/2073 (http://support.microsoft.com/ph/2073)

De forma predeterminada, las versiones de Windows Internet Explorer que se lanzaron a partir de la publicación de la actualización de seguridad 832894 no permiten tratar los nombres de usuario y las contraseñas en direcciones URL HTTP y HTTP con Capa de sockets seguros (SSL, Secure Sockets Layer) o HTTPS. La sintaxis siguiente de las direcciones URL no se admite en Internet Explorer ni en el Explorador de Windows: Este artículo pretende notificarle este cambio en el comportamiento predeterminado de Internet Explorer. Si incluye información sobre el usuario en las direcciones URL HTTP o HTTPS, recomendamos que examine las soluciones que se describen en este artículo. Para obtener más información acerca de la actualización de seguridad 832894, visite el siguiente sitio Web de Microsoft:

Información adicional

Las versiones de Internet Explorer 3.0 a 6.0 admiten la sintaxis siguiente para las direcciones URL HTTP o HTTPS:Puede utilizar esta sintaxis de URL para enviar automáticamente información de usuario a un sitio Web que admita el método de autenticación básica.

Un usuario malintencionado podría utilizar esta sintaxis de URL para crear un hipervínculo que parezca abrir una página Web legítima, pero que en realidad abra una página Web engañosa (falseada). Por ejemplo, la URL siguiente parece abrir http://www.wingtiptoys.com, aunque en realidad abre http://example.com: Nota: en este caso, Internet Explorer 6 Service Pack 1 (SP1) e Internet Explorer 6 para Microsoft Windows Server 2003 sólo muestran "http://example.com" en la barra de direcciones. Sin embargo, las versiones anteriores de Internet Explorer muestran "http://www.wingtiptoys.com@example.com" en la barra de direcciones.

Sin embargo, los usuarios malintencionados podrían usar esta sintaxis de URL, junto con otros métodos, para crear un vínculo a un sitio Web creado como engaño (falseado) que muestra la dirección URL correspondiente a un sitio Web legítimo en la barra de estado, en la barra de direcciones y en la barra de título en todas las versiones de Internet Explorer.

Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:

La explicación del cambio en el comportamiento predeterminado

Para mitigar los problemas que se analizan en la sección "Información general" del presente artículo, ya no se permite utilizar las direcciones URL HTTP y HTTPS con este formato en Internet Explorer ni en el Explorador de Windows. El Explorador de Windows e Internet Explorer no abren sitios HTTP o HTTPS utilizando una dirección URL que incluya información de usuario. De forma predeterminada, si se incluye información sobre el usuario en una dirección URL HTTP o HTTPS, aparece una página Web con el título siguiente:Nota: este cambio en el comportamiento predeterminado no afecta a otros protocolos. Por ejemplo, puede seguir incluyendo información de usuario en una URL FTP después de instalar la actualización de seguridad 832894.

Las actualizaciones de seguridad y los Service Pack publicados después de la actualización de seguridad 832894 también implementan este cambio.

Soluciones para los usuarios

Direcciones URL que abren usuarios que escriben la dirección URL en la barra de direcciones o hacen clic en un vínculo

Si los usuarios suelen escribir direcciones URL HTTP o HTTPS que incluyen información de usuario en la barra de direcciones, o hacen clic en vínculos que incluyen información de usuario en las direcciones URL HTTP o HTTPS, tiene dos maneras de evitar esta nueva funcionalidad en Internet Explorer:

• No incluya información de usuario en las direcciones URL HTTP o HTTPS.
• Instruya a los usuarios para que no incluyan información de usuario en las direcciones URL HTTP o HTTPS.

Si los sitios Web utilizan el método de autenticación básica, Internet Explorer pide automáticamente a los usuarios un nombre de usuario y una contraseña. En algunos casos, los usuarios pueden hacer clic en el cuadro Recordar contraseña en el cuadro de diálogo para guardar sus credenciales para las visitas posteriores a ese sitio Web.

Soluciones para los programadores de sitios Web y aplicaciones

Las direcciones URL que abren objetos que llaman a las funciones de WinInet o Urlmon

En los objetos que utilizan una dirección URL HTTP o HTTPS que incluye información del usuario cuando llaman a una función de WinInet o de Urlmon como InternetOpenURL, vuelva a escribir el objeto para que use uno de los métodos siguientes para enviar la información del usuario al sitio Web:

• Usar la función InternetSetOption e incluir los indicadores de opción siguientes:
  • INTERNET_OPTION_USERNAME
  • INTERNET_OPTION_PASSWORD
  Nota Para estos indicadores, la opción InternetSetOption debe tener un controlador devuelto por la función InternetConnect. Por tanto, si la aplicación usa la función InternetOpenUrl, modifique la aplicación para usar las funciones de Winlet InternetConnect, HttpOpenRequest y HttpSendRequest. Para obtener más información acerca de cómo usar estas funciones, visite los siguientes sitios Web de Microsoft:
  http://msdn2.microsoft.com/en-us/library/Aa384363 (http://msdn2.microsoft.com/en-us/library/Aa384363)
  
  http://msdn2.microsoft.com/en-us/library/Aa384233 (http://msdn2.microsoft.com/en-us/library/Aa384233)
  
  http://msdn2.microsoft.com/en-us/library/aa384247.aspx (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
• Usar la interfaz IAuthenticate. Para obtener más información acerca de cómo usar la interfaz IAuthenticate, visite el siguiente sitio Web de Microsoft:
  http://msdn2.microsoft.com/en-us/library/ms775080.aspx (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)

Nota: con esta solución alternativa, puede abrir los sitios Web a los que redirige la técnica de suplantación de direcciones URL. Aparece la dirección URL completa, incluyendo la ubicación redirigida. Por ejemplo, la dirección URL siguiente aparece: El usuario todavía llega al sitio Web redirigido. En este ejemplo, el usuario llega a http://www.example.com.

Las direcciones URL que se abren con una secuencia de comandos que utiliza credenciales para la administración de estado

Si incluye direcciones URL HTTP o HTTPS que contienen información sobre el usuario en el código de la secuencia de comandos, para administrar la información del estado cambie el código de la secuencia de comandos de modo que use cookies en lugar de información del usuario. Para obtener más información sobre cómo utilizar cookies para administrar la información de estado, visite el sitio Web del Grupo de trabajo de ingeniería de Internet (IETF) siguiente:Para ver un ejemplo de cómo utilizar Visual Basic para leer y escribir cookies HTTP en un programa Web ASP.NET, visite el sitio Web de Microsoft siguiente:

Cómo deshabilitar el nuevo comportamiento o utilizarlo en otros sistemas

Puede establecer valores del Registro de modo que se use este nuevo comportamiento en otros programas que hospeden el control del explorador Web o para deshabilitarlo en el Explorador de Windows e Internet Explorer.

Cómo pueden usar este nuevo comportamiento predeterminado los programas que hospedan el control del explorador Web para controlar la información sobre el usuario en direcciones URL HTTP o HTTPS

De forma predeterminada, este nuevo comportamiento predeterminado para controlar la información del usuario en las direcciones URL HTTP o HTTPS sólo se aplica al Explorador de Windows y a Internet Explorer. Para utilizar este nuevo comportamiento en otros programas que alojan el control del explorador Web, cree un valor DWORD con el nombre aplicaciónDeEjemplo.exe, donde aplicaciónDeEjemplo.exe es el nombre del archivo ejecutable que ejecuta el programa. Configure el valor de DWORD en 1 en una de las siguientes claves del Registro.

• Para todos los usuarios del programa, configure el valor en la siguiente clave del Registro:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
• Sólo para el usuario actual del programa, configure el valor en la siguiente clave del Registro:
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Cómo deshabilitar el nuevo comportamiento predeterminado para controlar la información del usuario en direcciones URL HTTP o HTTPS

Para deshabilitar el nuevo comportamiento predeterminado en el Explorador de Windows e Internet Explorer, cree los valores DWORD iexplore.exe y explorer.exe en una de las claves del Registro siguientes y establezca su valor en 0.

• Para todos los usuarios del programa, configure el valor en la siguiente clave del Registro:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
• Sólo para el usuario actual del programa, configure el valor en la siguiente clave del Registro:
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Para obtener una explicación de la sintaxis de las direcciones URL para las direcciones URL HTTP o HTTPS, visite los siguientes sitios Web del Grupo de trabajo de ingeniería de Internet (IETF): Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.