Internet Explorer ei tue käyttäjänimiä ja salasanoja verkkosivustojen osoitteissa (HTTP- tai HTTPS-protokollaa käyttävissä URL-osoitteissa)

Artikkelin tunnus: 834489 - Näytä tuotteet, joita tämä artikkeli koskee.
Laajenna kaikki | Kutista kaikki

Tällä sivulla

Tämä artikkeli on ilmoitus verkkosivustojen järjestelmänvalvojille ja IT-asiantuntijoille Internet Explorerin toiminnasta, kun verkkosivuston osoitteeseen (HTTP- tai HTTPS-protokollaa käyttävään osoitteeseen) sisältyy käyttäjätietoja.

Jos olet kotikäyttäjä ja kohtaat ongelmia salasanojen tai käyttäjätietojen kanssa Internet Explorerissa, käy Internet Explorer Solution Center -verkkosivustossa ja etsi vianmääritystietoja tai ota yhteyttä tukeen:
Palaa alkuun | Anna palautetta

Yhteenveto

Oletusarvon mukaan tietoturvapäivityksen 832894 julkaisemisesta lähtien julkaistut Windows Internet Explorerin versiot eivät tue käyttäjänimien ja salasanojen käsittelemistä HTTP- ja HTTPS (HTTP with Secure Sockets Layer (SSL)) -protokollaa käyttävissä URL-osoitteissa. Internet Explorer tai Resurssienhallinta ei tue seuraava URL-syntaksia:
http(s)://käyttäjänimi:salasana@palvelin/resurssi.tun
Tämä artikkeli on tarkoitettu kertomaan tästä Internet Explorerin oletustoiminnasta. Jos sisällytät käyttäjätietoja HTTP- tai HTTPS-protokollaa käyttäviin URL-osoitteisiin, Microsoft suosittelee tässä artikkelissa kuvattuihin kiertotapoihin tutustumista. Lisätietoja tietoturvapäivityksestä 832894 on seuraavassa Microsoftin verkkosivustossa:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
Palaa alkuun | Anna palautetta

Enemmän tietoa

Taustatietoja

Internet Explorerin versiot 3.0?6.0 tukevat seuraavaa syntaksia HTTP- tai HTTPS-protokollaa käyttäville URL-osoitteille:
http(s)://käyttäjänimi:salasana@palvelin/resurssi.tun
Tämän URL-syntaksin avulla voit automaattisesti lähettää käyttäjätiedot verkkosivustoon, joka tukee käyttöoikeuksien perustarkistamismenetelmää.

Pahantahtoinen käyttäjä saattaa myös käyttää tätä URL-syntaksia luodessaan hyperlinkin, joka näyttäisi avaavan kelvollisen verkkosivuston mutta todellisuudessa avaakin tunnistetietojen väärentämistä käyttävän verkkosivuston. Esimerkiksi seuraava URL-osoite näyttäisi avaavan sivuston http://www.wingtiptoys.com mutta avaakin todellisuudessa sivuston http://example.com:
http://www.wingtiptoys.com@example.com
Huomautus Tässä tapauksessa Internet Explorer 6 Service Pack 1 (SP1) ja Microsoft Windows Server 2003:n Internet Explorer 6 näyttävät osoiterivillä ainoastaan osoitteen http://example.com. Internet Explorerin aiemmissa versioissa osoiterivillä kuitenkin näkyy http://www.wingtiptoys.com@example.com.

Lisäksi pahantahtoiset käyttäjät voivat tämän URL-syntaksin ja muiden menetelmien avulla luoda linkin tunnistetietojen väärentämistä käyttävään verkkosivustoon, joka näyttää tilapalkissa, osoiterivillä ja otsikkopalkissa kelvollisen verkkosivuston osoitteen kaikissa Internet Explorerin versioissa.

Saat lisätietoja tästä ongelmasta napsauttamalla seuraavaa artikkelin numeroa, jolloin pääset lukemaan artikkelin Microsoft Knowledge Base -tietokannassa:
833786
(http://support.microsoft.com/kb/833786/ )
Tietoja tunnistetietojen väärentämistä käyttävien Web-sivustojen sekä vahingollisiksi suunniteltujen hyperlinkkien havaitsemisesta ja niitä vastaan suojautumisesta

Oletustoiminnan muutoksen selitys

Pienentääkseen ongelmia, joita on käsitelty tämän artikkelin Taustatietoja-osassa, Internet Explorer ja Resurssienhallinta eivät enää tue HTTP- ja HTTPS-protokolla käyttävien URL-osoitteiden käsittelemistä tässä muodossa. Resurssienhallinta ja Internet Explorer eivät avaa HTTP- tai HTTPS-sivustoja käyttäjätietoja sisältävien URL-osoitteiden avulla. Jos käyttäjätietoja sisältyy HTTP- tai HTTPS-protokollaa käyttäviin URL-osoitteisiin, näyttöön tulee oletusarvon mukaan verkkosivu, jonka otsikko on
Virhe: syntaksi ei kelpaa
Huomautus Tämä oletustoiminnan muutos ei vaikuta muihin protokolliin. Voit esimerkiksi edelleen sisällyttää käyttäjätiedot FTP-protokollaa käyttävään URL-osoitteeseen tietoturvapäivityksen 832894 asentamisen jälkeen.

Tämän oletustoiminnan muutoksen ottavat käyttöön myös tietoturvapäivitykset, Service Pack -paketit ja Internet Explorerin versiot, jotka julkaistiin tietoturvapäivityksen 832894 julkaisemisesta alkaen.
Palaa alkuun | Anna palautetta

Kiertotapoja käyttäjille

URL-osoitteet, jotka käyttäjät avaavat kirjoittamalla URL-osoitteen osoiteriville tai napsauttamalla linkkiä

Jos käyttäjät kirjoittavat yleensä osoiteriville HTTP- tai HTTPS-protokollaa käyttävät käyttäjätiedot sisältävät URL-osoitteet osoiteriville tai napsauttavat linkkejä, jotka sisältävät HTTP- tai HTTPS-protokollaa käyttäviä URL-osoitteita, voit kiertää tämän uuden toiminnallisuuden Internet Explorerissa kahdella tavalla:
  • Älä sisällytä käyttäjätietoja HTTP- tai HTTPS-protokollaa käyttäviin URL-osoitteisiin.
  • Neuvo käyttäjiä siitä, etteivät nämä sisällytä käyttäjätietojaan, kun he kirjoittavat HTTP- tai HTTPS-protokollaa käyttäviä URL-osoitteita.
Jos verkkosivusto käyttää käyttöoikeuksien perustarkistusta, Internet Explorer kehottaa käyttäjiä automaattisesti antamaan käyttäjänimen ja salasanan. Joissakin tapauksissa käyttäjät voivat valita valintaikkunassa Muista salasana -valintaruudun, jolloin käyttäjätiedot tallennetaan tulevia kyseisessä verkkosivustossa käyntejä varten.

Kiertotapoja sovellusten ja verkkosivustojen kehittäjille

URL-osoitteet, jotka avataan WinInet- tai Urlmon-funktioita kutsuvilla objekteilla

Jos HTTP- tai HTTPS-protokollaa käyttäviä URL-osoitteita käyttävät objektit sisällyttävät käyttäjätietoja kutsuessaan WinInet- tai Urlmon-funktiota, kuten InternetOpenURL, kirjoita objektit uudelleen käyttämään jotain seuraavista menetelmistä lähettämään käyttäjätiedot verkkosivustoon:
  • Käytä InternetSetOption-funktiota ja sisällytä seuraavat liput:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Huomautus Näiden lippujen kohdalla InternetSetOption-asetuksessa on oltava InternetConnect-funktion palauttama kahva. Jos sovellus käyttää InternetOpenUrl-funktiota, muokkaa sovellusta siis käyttämään InternetConnect-, HttpOpenRequest- ja HttpSendRequest-WinInet-funktioita. Lisätietoja näiden funktioiden käyttämisestä on seuraavissa Microsoftin verkkosivustossa:
    http://msdn2.microsoft.com/en-us/library/Aa384363
    (http://msdn2.microsoft.com/en-us/library/Aa384363)


    http://msdn2.microsoft.com/en-us/library/Aa384233
    (http://msdn2.microsoft.com/en-us/library/Aa384233)


    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Käytä IAuthenticate-liittymää. Lisätietoja IAuthenticate-liittymän käyttämisestä on seuraavassa Microsoftin verkkosivustossa:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
    (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Huomautus Kun käytät tätä kiertotapaa, pystyt avaamaan verkkosivustoja, jotka URL-osoitteiden väärentämistekniikka ohjaa uudelleen. Koko URL-osoite tulee näkyviin ja näyttää myös uudelleenohjatun sijainnin. Näkyviin tulee esimerkiksi seuraava URL-osoite:
http://www.wingtiptoys.com@www.example.com
Käyttäjä avaa edelleen uudelleenohjatun verkkosivuston. Tässä esimerkissä käyttäjä avaa sivuston http://www.example.com.

URL-osoitteet, jotka avaa käyttäjätietoja tilanhallintaan käyttävä komentosarja

Jos sisällytät komentosarjakoodiin käyttäjätietoja sisältäviä HTTP- tai HTTPS-protokollaa käyttäviä URL-osoitteita tilanhallintaa varten, muuta komentosarjakoodi käyttämään evästeitä käyttäjätietojen sijaan. Lisätietoja evästeiden käyttämisestä tilanhallinnassa saat seuraavasta IETF:n (Internet Engineering Task Force) verkkosivustosta:
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Esimerkki Visual Basicin käyttämisestä HTTP-evästeiden lukemiseen ja kirjoittamiseen ASP.NET-Web-ohjelmassa on seuraavassa Microsoftin verkkosivustossa:
http://msdn2.microsoft.com/fi-fi/library/aa289495(en-us,VS.71).aspx
(http://msdn2.microsoft.com/fi-fi/library/aa289495(en-us,VS.71).aspx)

Uuden toiminnan poistaminen käytöstä tai sen käyttäminen muissa ohjelmissa

Voit määrittää tämän uuden toiminnan käyttämisen muissa Web-selainohjausobjektia isännöivässä ohjelmissa tai poistaa tämän uuden toiminnan käytöstä Resurssienhallinnassa ja Internet Explorerissa rekisteriarvojen määrittämisen avulla.
Palaa alkuun | Anna palautetta

Web-selainohjausobjektia isännöivien ohjelmien määrittäminen käyttämään tätä oletustoimintaa HTTP- tai HTTPS-protokollaa käyttävien URL-osoitteiden sisältämien käyttäjätietojen käsittelemisessä

Oletusarvoisesti tämä uusi HTTP- tai HTTPS-protokollaa käyttävien URL-osoitteiden käsittelytoiminta koskee vain Resurssienhallintaa ja Internet Exploreria. Jos haluat käyttää tätä toimintaa muissa Web-selainohjausobjektia isännöivissä ohjelmissa, luo DWORD-arvo nimeltä Esimerkkisovellus.exe, jossa Esimerkkisovellus.exe on ohjelman suorittavan suoritustiedoston nimi. Määritä DWORD-arvon dataksi 1 jossakin seuraavista rekisteriavaimista.
  • Määritä arvo kaikille ohjelman käyttäjille seuraavassa rekisteriavaimessa:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Määritä arvo vain nykyiselle ohjelman käyttäjälle seuraavassa rekisteriavaimessa:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Uuden oletusarvoisen HTTP- tai HTTPS-protokollaa käyttävien URL-osoitteiden käsittelytoiminnan käytöstä

Voit poistaa uuden oletustoiminnan käytöstä Resurssienhallinnassa ja Internet Explorerissa luomalla iexplore.exe- ja explorer.exe-DWORD-arvot johonkin seuraavista rekisteriavaimista ja määrittämällä niiden arvon dataksi 0.
  • Määritä arvo kaikille ohjelman käyttäjille seuraavassa rekisteriavaimessa:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Määritä arvo vain nykyiselle ohjelman käyttäjälle seuraavassa rekisteriavaimessa:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Palaa alkuun | Anna palautetta

Suositukset

HTTP- tai HTTPS-protokollaa käyttävien URL-osoitteiden vakiosyntaksin kuvaus on seuraavissa IETF:n (Internet Engineering Task Force) -sivustoissa:
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft antaa kolmannen osapuolen yhteystiedot, jotta asiakas voi hankkia teknistä tukea. Nämä yhteystiedot voivat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa kolmannen osapuolen yhteystietojen paikkansapitävyyttä.
Palaa alkuun | Anna palautetta

Ominaisuudet

Artikkelin tunnus: 834489 - Viimeisin tarkistus: 23. heinäkuuta 2011 - Versio: 11.3
Artikkelin tiedot koskevat seuraavia tuotteita:
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Hakusanat: 
kbresolve KB834489
Palaa alkuun | Anna palautetta

Anna palautetta

 
Palaa alkuunPalaa alkuun