Saadaval on turvavärskendus, mis muudab Internet Exploreri vaikekäitumist kasutajateabe käsitsemisel HTTP ja HTTPS-i URL-ides.

Artiklite tõlked Artiklite tõlked
Artikli ID: 834489 - Vaadake tooteid, millega see artikkel seostub.
Laienda kõik | Ahenda kõik

Sellel veebilehel

KOKKUVÕTE

Saadaval on turvavärskendus, mis eemaldab kasutajanimede ja paroolide käsitsemistoe HTTP-s ja HTTP-s (koos protokolliga SSL) või Microsoft Internet Exploreri HTTPS-i URL-ides. Pärast Internet Exploreri seniste turvavärskenduste 832894 (MS04-004) installimist ei toetata Internet Exploreris enam järgmist URL-i süntaksit:
http(s)://kasutajanimi:parool@server/ressurss.ext
Selle vaikekäitumise muutuse on põhjustanud ka pärast turvavärskendust 832894 välja antud turvavärskendused ja hoolduspaketid. Selle artikli eesmärk on teavitada teid sellest Internet Exploreri vaikekäitumise muutusest. Kui kaasate HTTP või HTTPS-i URL-idesse kasutajateavet, soovitab Microsoft enne turvavärskenduse 832894 installimist tutvuda käesolevas artiklis kirjeldatud võimalike probleemide ja nende lahendustega. Turvavärskenduse 832894 kohta lisateabe saamiseks külastage järgmist Microsofti veebisaiti:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
Nende turvavärskenduste toetatavate Internet Exploreri ja Microsoft Windowsi versioonide kohta saate teavet MS04-004 turvabülletääni alajaotustest "Security Update Information" ("Teave turvavärskenduste kohta") ja "Frequently Asked Questions" ("Korduma kippuvad küsimused").

LISATEAVE

Taustteave

Internet Explorer 3.0 ja uuemad versioonid toetavad järgmist HTTP või HTTPS-i URL-ide süntaksit:
http(s)://kasutajanimi:parool@server/ressurss.ext
Selle URL-i süntaksi abil saate automaatselt saata kasutajateavet veebilehele, mis toetab elementaarset autentimismeetodit.

Pahatahtlik kasutaja võib selle URL-i süntaksi abil luua hüperlingi, mis näib avavat usaldusväärse veebisaidi, kuid avab tegelikult hoopis eksitava tüssamissaidi. Näiteks järgmine URL tundub avavat saidi http://www.wingtiptoys.com, kuid avab tegelikult saidi http://example.com ?
http://www.wingtiptoys.com@example.com
Märkus. Sel juhul kuvavad Internet Explorer 6 SP1 ja Internet Explorer 6 for Microsoft Windows Server 2003 aadressiribal ainult aadressi "http://example.com". Internet Exploreri varasemad versioonid kuvavad aadressiribal aadressi "http://www.wingtiptoys.com@example.com".

Pahatahtlikud kasutajad võivad selle URL-i süntaksi ja muude meetodite abil luua lingi eksitava tüssamissaidiga, mille puhul kuvatakse kõigi Internet Exploreri versioonide olekuribal, aadressiribal ja tiitliribal usaldusväärse veebisaidi URL.

Selle teema kohta lisateabe saamiseks klõpsake Microsofti teabebaasi (Knowledge Base) artikli kuvamiseks järgmist artiklinumbrit:
833786 Juhised eksitavate tüssamissaitide ja pahatahtlike hüperlinkide tuvastamiseks ning oma arvuti kaitsmiseks (see link võib osutada sisule, mis on osaliselt või täielikult ingliskeelne)

Vaikekäitumise muutumise selgitus

Käesoleva artikli jaotises "Taustteave" kirjeldatud probleemide leevendamiseks eemaldab turvavärskendus 832894 Internet Exlorerist ja Windows Explorerist seda tüüpi HTTP ja HTTPS-i URL-ide käsitsemistoe. Pärast turvavärskenduse 832894 installimist ei ava Windows Explorer ega Internet Explorer HTTP- või HTTPS-saite kasutajateavet sisaldavate URL-ide abil. Kui HTTP või HTTPS-i URL sisaldab kasutajateavet vaikimisi, kuvatakse järgmise pealkirjaga veebileht:
Süntaksiviga
Märkus. See vaikekäitumise muutus ei mõjuta muid protokolle. Pärast turvavärskenduse 832894 installimist saate endiselt kaasata kasutajateavet näiteks FTP URL-i.

Selle vaikekäitumise muutuse on põhjustanud ka pärast turvavärskendust 832894 välja antud turvavärskendused ja hoolduspaketid.

Kasutajatele mõeldud lahendused

Kasutajate avatavad URL-id, mis tipitakse aadressiribale või avatakse vastavat linki klõpsates

Kui kasutajad tipivad kasutajateavet sisaldava HTTP või HTTPS-i URL-i tavaliselt aadressiribale või klõpsavad linki, mis sisaldab kasutajateabega HTTP või HTTPS-i URL-i, siis nüüd on võimalik sellest Internet Exploreri uuest funktsioonist kahel viisil hoiduda.
  • Ärge kaasake HTTP või HTTPS-i URL-idesse kasutajateavet.
  • Paluge kasutajatel mitte tippida HTTP või HTTPS-i URL-idesse oma kasutajateavet.
Kui veebisait kasutab elementaarset autentimismeetodit, küsib Internet Explorer kasutajatelt automaatselt kasutajanime ja parooli. Mõnel juhul saavad kasutajad märkida vastavas dialoogiboksis ruudu Pea mu parool meeles, et salvestada selle veebisaidi edasiste külastuste tarvis oma andmed.

Rakenduste ja veebisaitide arendajatele mõeldud lahendused

Funktsioone WinInet või Urlmon kasutavate objektide avatavad URL-id

Kirjutage ümber objektid, mis kasutavad funktsioonide Winlnet või Urlmon (nt InternetOpenURL) käivitamisel kasutajateavet kaasavaid HTTP või HTTPS-i URL-e. Nii toimides saate järgmiste meetodite abil saata veebisaidile kasutajateavet. Märkus. Selle lahenduse abil saate avada veebisaite, mille URL-i tüssamismeetod ümber suunab. Kuvatakse kogu URL (sh ümbersuunatud asukoht). Näiteks kuvatakse järgmine URL:
http://www.wingtiptoys.com@www.example.com
Kasutajale avaneb ümbersuunatud veebisait. Selles näites avaneb kasutajale veebisait http://www.example.com.

URL-id, mille avab oleku haldamise mandaadi abil skript

Kui kaasate olekuteabe haldamisse HTTP või HTTPS-i URL-id, mis sisaldavad teie skriptimiskoodis kasutajateavet, muutke skriptimiskoodi nii, et kasutajateabe asemel kasutataks küpsiseid. Olekuteabe haldamisel küpsiste kasutamise kohta lisateabe saamiseks külastage järgmist IETF-i (Internet Engineering Task Force) veebisaiti:
http://www.ietf.org/rfc/rfc2965.txt
Kui soovite vaadata näidet, kuidas kasutada ASP.NET-i veebiprogrammis HTTP küpsiste lugemiseks ja kirjutamiseks Visual Basicut, külastage järgmist Microsofti veebisaiti:
http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp

Uue käitumise keelamine või selle kasutamine muudes programmides

Pärast turvavärskenduse 832894 installimist saate seada registriväärtused uue käitumise kasutamiseks muudes veebibrauseri juhtelementi majutavates programmides või selle käitumise keelamiseks Windows Exploreris ja Internet Exploreris.

Kuidas veebibrauseri juhtelementi majutavad programmid saavad kasutada uut vaikekäitumist HTTP või HTTPS-i URL-ides sisalduva kasutajateabe käsitsemiseks

Vaikimisi rakendub see uus HTTP või HTTPS-i URL-ide kasutajateabe käsitsemise vaikekäitumine ainult Windows Exploreris ja Internet Exploreris. Uue käitumise kasutamiseks muudes veebibrauseri juhtelementi majutavates programmides looge DWORD-väärtus nimega SampleApp.exe. SampleApp on programmi käitava täitmisfaili nimi. Seadke ühes järgmistest registrivõtmetest DWORD-i väärtuseks 1.
  • Seadke kõigi programmi kasutajate jaoks järgmise registrivõtme väärtus:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Seadke ainult praeguse programmi kasutaja jaoks järgmise registrivõtme väärtus:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Kuidas keelata HTTP või HTTPS-i URL-ides kasutajateabe käsitsemise uus vaikekäitumine

Windows Exploreris ja Internet Exploreris uue vaikekäitumise keelamiseks looge ühes järgmistest registrivõtmetest DWORD-i väärtused iexplore.exe ja explorer.exe ja seadke nende väärtusandmeks 0.
  • Seadke kõigi programmi kasutajate jaoks järgmise registrivõtme väärtus:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Seadke ainult praeguse programmi kasutaja jaoks järgmise registrivõtme väärtus:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

VIITED

HTTP või HTTPS-i URL-ide standardse URL-i süntaksi kohta lähema teabe saamiseks külastage järgmisi IETF-i (Internet Engineering Task Force) veebisaite:
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Locators (URL) Generic Syntax
http://www.ietf.org/rfc/rfc1738.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc1738.txt
Microsoft pakub tehnilise toe saamiseks teiste tootjate kontaktteavet. Seda teavet võidakse ette teatamata muuta. Microsoft ei garanteeri teiste tootjate kontaktteabe täpsust.

Atribuudid

Artikli ID: 834489 - Viimati läbi vaadatud: 28. september 2011 - Redaktsioon: 11.0
KEHTIB JÄRGMISE LÕIGU KOHTA:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Märksõnad: 
KB834489

Andke tagasisidet

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com