Comportement par défaut d'Internet Explorer pour la gestion des informations utilisateur dans les URL HTTP et HTTPS

Numéro d'article: 834489 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Sommaire

Cet article vise à signaler aux administrateurs de site Web et aux professionnels de l'informatique le comportement d'Internet Explorer en cas d'inclusion d'informations utilisateur dans une adresse de site Web (URL HTTP ou HTTPS).

Si vous êtes un utilisateur grand public et que vous rencontrez des problèmes lors de l'utilisation de mots de passe ou d'informations utilisateur dans Internet Explorer, reportez-vous au site Web du centre de solutions Internet Explorer pour rechercher des informations de dépannage ou contacter le support technique :
Retour au début | Envoyer des commentaires

Résumé

Par défaut, les versions de Windows Internet Explorer qui ont été publiées depuis la version finale de la mise à jour de sécurité 832894 ne prennent pas en charge la gestion des noms d'utilisateur et des mots de passe dans les URL HTTP, HTTP avec SSL (Secure Socket Layer) et HTTPS. La syntaxe d'URL suivante n'est pas prise en charge dans Internet Explorer ou dans l'Explorateur Windows :
http(s)://nom_utilisateur:mot_de_passe@serveur/ressource.ext
Cet article vise à vous signaler ce comportement par défaut d'Internet Explorer. Si vous incluez les informations utilisateur dans les URL HTTP ou HTTPS, nous vous conseillons de lire attentivement les contournements décrits dans cet article. Pour plus d'informations sur la mise à jour de sécurité 832894, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://www.microsoft.com/france/technet/securite/info/info.asp?mar=/france/technet/securite/info/ms04-004.html
(http://www.microsoft.com/france/technet/security/bulletin/MS04-004.mspx)
Retour au début | Envoyer des commentaires

Plus d'informations

Informations générales

Les versions 3.0 à 6.0 d'Internet Explorer prennent en charge la syntaxe d'URL suivante pour HTTP ou HTTPS :
http(s)://nom_utilisateur:mot_de_passe@serveur/ressource.ext
Vous pouvez utiliser cette syntaxe d'URL pour envoyer automatiquement des informations utilisateur à un site Web qui prend en charge la méthode d'authentification de base.

Un utilisateur malveillant pourrait également utiliser cette syntaxe d'URL pour créer un lien hypertexte qui semble ouvrir un site Web légitime, mais ouvre en fait un site Web trompeur (avec une identité usurpée). Par exemple, l'URL suivante semble ouvrir http://www.wingtiptoys.com, mais ouvre en fait http://example.com :
http://www.wingtiptoys.com@example.com
Remarque Dans ce cas, le Service Pack 1 (SP1) Internet Explorer 6 et Internet Explorer 6 pour Microsoft Windows Server 2003 affichent seulement "http://example.com" dans la barre d'adresses. Cependant, les versions antérieures d'Internet Explorer affichent « http://www.wingtiptoys.com@example.com » dans la barre d'adresses.

De plus, des utilisateurs malveillants peuvent utiliser cette syntaxe d'URL avec d'autres méthodes pour créer un lien vers un site Web trompeur (avec une identité usurpée) qui affiche l'URL d'un site Web légitime dans la barre d'état, la barre d'adresses et la barre de titre de toutes les versions d'Internet Explorer.

Pour plus d'informations sur ce problème, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft.
833786
(http://support.microsoft.com/kb/833786/ )
Étapes à suivre pour vous aider à identifier et à vous protéger contre les sites Web trompeurs (identité usurpée) et les liens hypertexte nuisibles

Explication concernant la modification du comportement par défaut

Pour atténuer les problèmes décrits dans la section « Informations générales », Internet Explorer et l'Explorateur Windows ne prennent plus en charge la gestion de cette forme d'URL HTTP et HTTPS. L'Explorateur Windows et Internet Explorer n'ouvrent pas les sites HTTP ou HTTPS à l'aide d'une URL qui comprend des informations utilisateur. Par défaut, si des informations utilisateur sont incluses dans une URL HTTP ou HTTPS, une page Web s'affiche avec le titre suivant :
Erreur de syntaxe
Remarque Cette modification du comportement par défaut n'affecte pas les autres protocoles. Par exemple, vous pouvez toujours inclure des informations utilisateur dans l'URL d'un site FTP après l'installation de la mise à jour de sécurité 832894.

Cette modification du comportement par défaut est également implémentée par les mises à jour de sécurité, les Service Packs et les versions d'Internet Explorer publiés depuis la version finale de la mise à jour de sécurité 832894.
Retour au début | Envoyer des commentaires

Solutions de contournement pour les utilisateurs

URL qui sont ouvertes par des utilisateurs qui tapent l'URL dans la barre d'adresses ou cliquent sur un lien

Si les utilisateurs ont l'habitude de taper dans la barre d'adresses des URL HTTP ou HTTPS comprenant des informations utilisateur ou de cliquer sur des liens dont les URL HTTP ou HTTPS contiennent des informations utilisateur, vous pouvez contourner cette nouvelle fonctionnalité d'Internet Explorer de deux façons :
  • N'incluez pas d'informations utilisateur dans les URL HTTP ou HTTPS.
  • Avertissez les utilisateurs de ne pas inclure leurs informations utilisateur lorsqu'ils tapent des URL HTTP ou HTTPS.
Si le site Web utilise la méthode d'authentification de base, Internet Explorer invite automatiquement les utilisateurs à entrer leur nom d'utilisateur et leur mot de passe. Dans certains cas, les utilisateurs peuvent cliquer sur la case Mémoriser mon mot de passe dans la boîte de dialogue pour enregistrer leurs informations d'authentification pour des visites ultérieures sur ce site Web.

Solutions de contournement pour les développeurs d'applications et de sites Web

URL ouvertes par des objets qui appellent les fonctions WinInet ou Urlmon

Pour les objets qui utilisent une URL HTTP ou HTTPS comprenant des informations utilisateur lorsqu'ils appellent une fonction WinInet ou Urlmon comme InternetOpenURL, réécrivez l'objet afin d'utiliser l'une des méthodes suivantes pour envoyer les informations utilisateur au site Web :
  • Utilisez la fonction InternetSetOption et incluez les indicateurs d'option suivants :
    • INTERNET_OPTION_NOM_UTILISATEUR
    • INTERNET_OPTION_MOT_DE_PASSE
    Remarque Pour ces indicateurs, la fonction InternetConnect doit retourner un handle à l'option InternetSetOption. Par conséquent, si l'application utilise la fonction InternetOpenUrl, modifiez-la pour qu'elle utilise les fonctions InternetConnect, HttpOpenRequest et HttpSendRequest WinInet. Pour plus d'informations sur la façon d'utiliser ces fonctions, reportez-vous aux sites Web de Microsoft aux adresses suivantes (en anglais) :
    http://msdn2.microsoft.com/en-us/library/Aa384363
    (http://msdn2.microsoft.com/en-us/library/Aa384363)


    http://msdn2.microsoft.com/en-us/library/Aa384233
    (http://msdn2.microsoft.com/en-us/library/Aa384233)


    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Utilisez l'interface IAuthenticate. Pour plus d'informations sur l'utilisation de l'interface IAuthenticate, reportez-vous au site Web de Microsoft à l'adresse suivante (en anglais) :
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
    (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Remarque Cette solution de contournement vous permet d'ouvrir les sites Web redirigés par la technique d'usurpation d'adresse d'URL. L'ensemble de l'URL s'affiche, y compris l'emplacement redirigé. Par exemple, l'URL suivante s'affiche :
http://www.wingtiptoys.com@www.example.com
L'utilisateur accède tout de même au site Web redirigé. Dans cet exemple, l'utilisateur ouvre la page http://www.example.com.

URL ouvertes par un script qui utilise les informations d'authentification pour la gestion des états

Si vous incluez les URL HTTP ou HTTPS contenant des informations utilisateur dans le code de votre script, pour gérer les informations d'état, modifiez le code de votre script afin d'utiliser des cookies au lieu des informations utilisateur. Pour plus d'informations sur la façon d'utiliser des cookies pour gérer les informations d'état, visitez le site Web de l'IETF (Internet Engineering Task Force) à l'adresse suivante (en anglais) :
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Pour afficher un exemple d'utilisation de Visual Basic pour lire et écrire des cookies HTTP dans un programme Web ASP.NET, reportez-vous au site Web de Microsoft à l'adresse suivante :
http://msdn2.microsoft.com/fr-fr/library/aa289495(VS.71).aspx
(http://msdn2.microsoft.com/fr-fr/library/aa289495(VS.71).aspx)

Désactivation du nouveau comportement ou utilisation de ce dernier dans d'autres programmes

Vous pouvez définir des valeurs de Registre pour l'utilisation de ce nouveau comportement dans d'autres programmes qui hébergent le contrôle de navigateur Web ou pour désactiver ce nouveau comportement pour l'Explorateur Windows et Internet Explorer.
Retour au début | Envoyer des commentaires

Comment les programmes qui hébergent le contrôle de navigateur Web peuvent utiliser ce nouveau comportement par défaut pour gérer les informations utilisateur dans les URL HTTP ou HTTPS

Par défaut, ce nouveau comportement par défaut pour le traitement des informations utilisateur dans les URL HTTP et HTTPS s'applique uniquement à l'Explorateur Windows et à Internet Explorer. Pour l'utiliser dans d'autres programmes qui hébergent le contrôle de navigateur Web, créez une valeur DWORD appelée exemple_app.exe, où exemple_app.exe est le nom du fichier exécutable qui exécute le programme. Définissez les données de la valeur DWORD sur 1 dans l'une des clés de Registre suivantes :
  • Pour tous les utilisateurs du programme, définissez la valeur dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Pour l'utilisateur actuel du programme uniquement, définissez la valeur dans la clé de Registre suivante :
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Désactivation du nouveau comportement par défaut pour la gestion des informations utilisateur dans les URL HTTP ou HTTPS

Pour désactiver le nouveau comportement par défaut dans l'Explorateur Windows et Internet Explorer, créez les valeurs DWORD iexplore.exe et explorer.exe dans l'une des clés de Registre suivantes et définissez leurs données de valeur sur 0.
  • Pour tous les utilisateurs du programme, définissez la valeur dans la clé de Registre suivante :
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Pour l'utilisateur actuel du programme uniquement, définissez la valeur dans la clé de Registre suivante :
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Retour au début | Envoyer des commentaires

Références

Pour obtenir une explication de la syntaxe d'URL standard pour les URL HTTP ou HTTPS, reportez-vous aux sites Web de l'IETF (Internet Engineering Task Force) aux adresses suivantes (en anglais) :
RFC 1738 : URL (Uniform Resource Locators)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396 : URI (Uniform Resource Identifiers) : Syntaxe générique
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616 : HTTP (Hypertext Transfer Protocol) -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft fournit les coordonnées de sociétés tierces afin de vous aider à trouver un support technique. Ces informations peuvent être modifiées sans préavis. Microsoft ne garantit en aucun cas l'exactitude des informations concernant les sociétés tierces.
Retour au début | Envoyer des commentaires

Propriétés

Numéro d'article: 834489 - Dernière mise à jour: mercredi 28 septembre 2011 - Version: 13.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Professionnel
  • Windows Vista Entreprise
  • Windows Vista Édition Familiale Basique
  • Windows Vista Édition Familiale Premium
  • Windows Vista Starter
  • Windows Vista Édition Intégrale
Mots-clés : 
kbresolve KB834489
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retour au début | Envoyer des commentaires

Envoyer des commentaires

 
Retour au débutRetour au début