Internet Explorer no admite nombres de usuario y contraseñas en direcciones de sitios web (URL HTTP o HTTPS)

Id. de artículo: 834489 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

En esta página

Este artículo trata de notificar a los administradores de sitios web y a los profesionales de IT el comportamiento de Internet Explorer cuando la información de usuario está incluida en una dirección de sitio web (URL de HTTP p HTTPS).
Volver al principio | Enviar comentarios

Resumen

De forma predeterminada, las versiones de Windows Internet Explorer que se lanzaron a partir de la publicación de la actualización de seguridad 832894 no permiten tratar los nombres de usuario y las contraseñas en direcciones URL HTTP y HTTP con Capa de sockets seguros (SSL, Secure Sockets Layer) o HTTPS. La sintaxis siguiente de las direcciones URL no se admite en Internet Explorer ni en el Explorador de Windows:
http(s)://nombredeusuario:contraseña@servidor/recurso.ext
La finalidad de este artículo es informarle acerca de este comportamiento predeterminado de Internet Explorer. Si incluye información sobre el usuario en las direcciones URL HTTP o HTTPS, recomendamos que examine las soluciones que se describen en este artículo. Para obtener más información acerca de la actualización de seguridad 832894, visite el siguiente sitio web de Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
Volver al principio | Enviar comentarios

Más información

Información general

Las versiones 3.0 y 6.0 de Internet Explorer admiten la sintaxis siguiente en las direcciones URL HTTP o HTTPS:
http(s)://nombredeusuario:contraseña@servidor/recurso.ext
Puede utilizar esta sintaxis en las direcciones URL para enviar información de usuario a un sitio web que sea compatible con el método de autenticación básica.

Un usuario malintencionado podría utilizar esta sintaxis de URL para crear un hipervínculo que parezca abrir una página Web legítima, pero que en realidad abra una página Web engañosa (falseada). Por ejemplo, la URL siguiente parece abrir http://www.wingtiptoys.com, aunque en realidad abre http://example.com:
http://www.wingtiptoys.com@ejemplo.com
Nota: en este caso, el Service Pack 1 (SP1) de Internet Explorer 6 e Internet Explorer 6 para Windows Server 2003 solo muestran "http://ejemplo.com" en la barra de direcciones. Sin embargo, las versiones anteriores de Internet Explorer muestran "http://www.wingtiptoys.com@example.com" en la barra de direcciones.

Sin embargo, los usuarios malintencionados podrían usar esta sintaxis de URL, junto con otros métodos, para crear un vínculo a un sitio Web creado como engaño (falseado) que muestra la dirección URL correspondiente a un sitio Web legítimo en la barra de estado, en la barra de direcciones y en la barra de título en todas las versiones de Internet Explorer.

Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
833786
(http://support.microsoft.com/kb/833786/es/ )
Pasos que le ayudarán a identificar sitios web e hipervínculos malintencionados creados como engaño (falseados) y a protegerse contra ellos

Explicación del cambio en el comportamiento predeterminado

Para mitigar los problemas que se analizan en la sección "Información general", ya no se permite utilizar las direcciones URL HTTP y HTTPS con este formato en Internet Explorer ni en el Explorador de Windows. El Explorador de Windows e Internet Explorer no abren sitios HTTP o HTTPS utilizando una dirección URL que incluya información de usuario. De manera predeterminada, si se incluye información de usuario en una dirección URL HTTP o HTTPS, aparece una página web con el título siguiente:
Sintaxis no válida
Nota: este cambio en el comportamiento predeterminado no afecta a otros protocolos. Por ejemplo, puede seguir incluyendo información de usuario en una URL FTP después de instalar la actualización de seguridad 832894.

Las actualizaciones de seguridad y los Service Pack publicados después de la actualización de seguridad 832894 también implementan este cambio.
Volver al principio | Enviar comentarios

Soluciones temporales para los usuarios

Direcciones URL que abren los usuarios al escribir en la barra de direcciones o al hacer clic en un vínculo

Si los usuarios suelen escribir direcciones URL HTTP o HTTPS que incluyen información de usuario en la barra de direcciones o hacen clic en vínculos cuyas direcciones URL HTTP o HTTPS contienen información de usuario, dispone de dos mecanismos para evitar esta funcionalidad en Internet Explorer:
  • No incluya información de usuario en las direcciones URL HTTP o HTTPS.
  • Instruya a los usuarios para que no incluyan información de usuario en las direcciones URL HTTP o HTTPS.
Si los sitios Web utilizan el método de autenticación básica, Internet Explorer pide automáticamente a los usuarios un nombre de usuario y una contraseña. En algunos casos, los usuarios pueden hacer clic en la casilla Recordar contraseña del cuadro de diálogo para guardar las credenciales para visitas posteriores a ese sitio web.

Formas de evitar el problema destinadas a desarrolladores de aplicaciones y sitios web

Direcciones URL abiertas por objetos que llaman a las funciones WinInet o Urlmon

En el caso de los objetos que utilizan una dirección URL HTTP o HTTPS que incluya información de usuario cuando llaman a una función WinInet o Urlmon, como InternetOpenURL, reescriba el objeto para que utilice uno de los métodos siguientes para enviar información de usuario al sitio web:
  • Usar la función InternetSetOption e incluir los indicadores de opción siguientes:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Nota Para estos indicadores, la opción InternetSetOption debe tener un controlador devuelto por la función InternetConnect. Por tanto, si la aplicación usa la función InternetOpenUrl, modifique la aplicación para usar las funciones de Winlet InternetConnect, HttpOpenRequest y HttpSendRequest. Para obtener más información acerca de cómo usar estas funciones, visite los siguientes sitios web de Microsoft:
    http://msdn.microsoft.com/es-es/library/Aa384363
    (http://msdn.microsoft.com/es-es/library/Aa384363)


    http://msdn.microsoft.com/es-es/library/Aa384233
    (http://msdn.microsoft.com/es-es/library/Aa384233)


    http://msdn.microsoft.com/es-es/library/aa384247.aspx
    (http://msdn.microsoft.com/es-es/library/aa384247.aspx)
  • Usar la interfaz IAuthenticate. Para obtener más información sobre el uso de la interfaz IAuthenticate, visite el siguiente sitio web de Microsoft:
    http://msdn.microsoft.com/es-es/library/ms775080.aspx
    (http://msdn.microsoft.com/es-es/library/ms775080.aspx)
Nota: con esta solución alternativa, puede abrir los sitios Web a los que redirige la técnica de suplantación de direcciones URL. Aparece la dirección URL completa, incluyendo la ubicación redirigida. Por ejemplo, aparece la siguiente dirección URL:
http://www.wingtiptoys.com@www.ejemplo.com
El usuario sigue llegando al sitio web redirigido. En este ejemplo, el usuario llega a http://www.ejemplo.com.

Direcciones URL que se abren con una secuencia de comandos que usa credenciales para la administración del estado

Si incluye direcciones URL HTTP o HTTPS que contienen información de usuario en el código de scripting, cambie el código de scripting para utilizar cookies en lugar de información de usuario con el objetivo de administrar la información de estado. Para obtener información adicional acerca de cómo utilizar cookies para administrar información de estado, visite el siguiente sitio web de Internet Engineering Task Force (IETF):
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Para ver un ejemplo de cómo se utiliza Visual Basic para leer y escribir cookies HTTP en un programa web ASP.NET, visite el siguiente sitio web de Microsoft:
http://msdn.microsoft.com/es-es/library/aa289495(v=VS.71).aspx
(http://msdn.microsoft.com/es-es/library/aa289495(v=VS.71).aspx)

Cómo deshabilitar el nuevo comportamiento o utilizarlo en otros programas

Puede configurar los valores del Registro para poder utilizar este nuevo comportamiento en otros programas que alojan el control del explorador web o para deshabilitar este nuevo comportamiento en el Explorador de Windows e Internet Explorer.
Volver al principio | Enviar comentarios

Cómo pueden usar este nuevo comportamiento predeterminado los programas que alojan el control del explorador web para controlar la información de usuario en las direcciones URL HTTP o HTTPS

De manera predeterminada, este nuevo comportamiento predeterminado para controlar la información de usuario en las direcciones URL HTTP o HTTPS solo se aplica al Explorador de Windows y a Internet Explorer. Para utilizar este nuevo comportamiento en otros programas que alojan el control del explorador Web, cree un valor DWORD con el nombre aplicaciónDeEjemplo.exe, donde aplicaciónDeEjemplo.exe es el nombre del archivo ejecutable que ejecuta el programa. Configure el valor de DWORD en 1 en una de las siguientes claves del Registro.
  • Para todos los usuarios del programa, configure el valor en la siguiente clave del Registro:
  • Sólo para el usuario actual del programa, configure el valor en la siguiente clave del Registro:

Cómo deshabilitar el nuevo comportamiento predeterminado para controlar la información del usuario en direcciones URL HTTP o HTTPS

Para que podamos deshabilitar el nuevo comportamiento predeterminado en el Explorador de Windows y en Internet Explorer en su lugar, vaya a la sección "Solucionarlo en mi lugar". Si prefiere solucionar este problema usted mismo, vaya a la sección "Solucionarlo por mí mismo".

Solucionarlo en mi lugar



Para solucionar el problema de forma automática, haga clic en el vínculo Fix it o en el botón gráfico. En el cuadro de diálogo Descarga de archivos, haga clic en Ejecutar y, a continuación, siga los pasos del Asistente Fix it.




Solucionar este problema
Microsoft Fix it 50642

Notas
  • La solución automática deshabilitará el nuevo comportamiento predeterminado en el Explorador de Windows y en Internet Explorer para todos los usuarios del programa.
  • Este asistente podría estar sólo en inglés. Sin embargo, la solución automática también funciona con las otras versiones de idioma de Windows. 
  • Si no está utilizando el equipo que tiene el problema, puede guardar la solución de reparación en una unidad flash o en un CD para posteriormente ejecutarla en el equipo con el problema.

A continuación, vaya a la sección "¿Esta información le ha ayudado a solucionar el problema?".



Solucionarlo por mí mismo

Para deshabilitar el nuevo comportamiento predeterminado en el Explorador de Windows e Internet Explorer, cree los valores DWORD iexplore.exe y explorer.exe en una de las claves del Registro siguientes y establezca su valor en 0.
  • Para todos los usuarios del programa, configure el valor en la siguiente clave del Registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Solo para el usuario actual del programa, configure el valor en la siguiente clave del Registro:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

¿Esta información le ayudó a resolver su problema?

  • Compruebe si se ha solucionado el problema. Si se ha solucionado, ya ha terminado con esta sección. En caso contrario, puede ponerse en contacto con el soporte técnico
    (http://support.microsoft.com/contactus?ln=es#tab0)
    .
  • Valoramos sus comentarios. Para realizar comentarios o informar de cualquier problema con esta solución, deje su comentario en el blog "Solucionarlo en mi lugar
    (http://blogs.technet.com/fixit4me/)
    " o envíenos un mensaje de correo electrónico
    (mailto:fixit4me@microsoft.com?Subject=KB)
    .
Volver al principio | Enviar comentarios

Referencias

Para obtener una explicación de la sintaxis de la dirección URL estándar para las direcciones URL HTTP o HTTPS, visite los siguientes sitios web de Internet Engineering Task Force (IETF):
RFC 1738: Localizadores de recursos universales (URL)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396: Identificadores de recursos universales (URI): sintaxis genérica
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616: Protocolo de transferencia de hipertexto -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft proporciona información de contacto con otros proveedores para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no ofrece ninguna garantía con respecto a la exactitud de esta información de contacto con otros proveedores.
Volver al principio | Enviar comentarios

Propiedades

Id. de artículo: 834489 - Última revisión: miércoles, 28 de septiembre de 2011 - Versión: 13.0
La información de este artículo se refiere a:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Palabras clave: 
kbresolve kbfixme kbmsifixme KB834489
Volver al principio | Enviar comentarios

Enviar comentarios

 
Volver al principioVolver al principio