Internet Explorer אינו תומך בשמות משתמש ובסיסמאות בכתובות של אתרי אינטרנט (כתובות URL מסוג HTTP או HTTPS)

מספר מאמר: 834489 - הצג מוצרים שמאמר זה מתייחס אליהם.
הרחב הכל | כווץ הכל

בעמוד זה

מאמר זה מיועד לעדכן מנהלי אתרי אינטרנט ומומחי IT בנוגע לאופן פעולה של Internet Explorer, כאשר פרטי המשתמש כלולים בכתובת של אתר אינטרנט (כתובת URL מסוג HTTP או HTTPS).

אם אתה משתמש ביתי, ונתקלת בבעיות עם סיסמאות או פרטי משתמש ב- Internet Explorer, בקר באתר האינטרנט Internet Explorer Solution Center כדי לחפש מידע על פתרון בעיות או כדי לפנות למחלקת התמיכה.
לראש הדף | ספק משוב

תקציר

כברירת מחדל, הגירסאות של Windows Internet Explorer שפורסמו החל מהפרסום של עדכון אבטחה 832894 אינן תומכות בטיפול בשמות משתמש ובסיסמאות בכתובות HTTP ובכתובות HTTP עם Secure Sockets Layer? (SSL), או כתובות URL מסוג HTTPS. התחביר הבא של כתובת URL אינו נתמך ב-Internet Explorer או בסייר Windows:
סיומת.משאב/שרת@סיסמה:שםמשתמשhttp(s)://?
מאמר זה נועד ליידע אותך לגבי ברירת מחדל זו של אופן הפעולה של Internet Explorer. אם אתה כולל את פרטי המשתמש בכתובות URL מסוג HTTP או מסוג HTTPS, אנו ממליצים ללמוד את הדרכים לעקיפת הבעיה המתוארות במאמר זה. לקבלת מידע נוסף על עדכון אבטחה מס' 832894, בקר באתר האינטרנט של Microsoft בכתובת:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
לראש הדף | ספק משוב

מידע נוסף

רקע כללי

Internet Explorer בגירסאות 3.0 עד 6.0 תומך בתחביר הבא לכתובות URL מסוג HTTP או HTTPS?:
http(s)://username:password@server/resource.ext
באפשרותך להשתמש בתחביר URL זה כדי לשלוח באופן אוטומטי את נתוני המשתמש לאתר אינטרנט שתומך בשיטת האימות הבסיסית.

משתמש זדוני עלול להשתמש בתחביר URL זה כדי ליצור היפר-קישור שנראה כאילו הוא פותח אתר אינטרנט חוקי כשלמעשה הוא פותח אתר אינטרנט מתחזה (spoofed). למשל, כתובת ה-URL הבאה נראית כאילו היא פותחת את האתר http://www.wingtiptoys.com, אך למעשה היא פותחת את http://example.com:
http://www.wingtiptoys.com@example.com
הערה במקרה זה, Internet Explorer 6 Service Pack 1 ?(SP1) ו-Internet Explorer 6 עבור Microsoft Windows Server 2003 מציגים בשורת הכתובת רק את 'http://example.com'. עם זאת, גירסאות מוקדמות יותר של Internet Explorer מציגות בשורת הכתובת את 'http://www.wingtiptoys.com@example.com'.

כמו כן, עלולים משתמשים זדוניים להשתמש בתחביר URL זה יחד עם שיטות נוספות, וליצור קישור לאתר אינטרנט מתחזה (spoofed) אשר יציג את ה-URL לאתר האינטרנט החוקי הן בשורת המצב, הן בשורת הכתובת והן בשורת הכותרת בכל הגירסאות של Internet Explorer.

לקבלת מידע נוסף בנושא זה, לחץ על מספר המאמר להלן כדי להציגו מתוך מאגר הידע Microsoft Knowledge Base:
833786
(http://support.microsoft.com/kb/833786/ )
צעדים שניתן לנקוט כדי לזהות אתרי אינטרנט מתחזים (spoofed) והיפר-קישורים זדוניים ולהתגונן מפניהם (ייתכן שקישור זה מפנה לתוכן שחלק ממנו או כולו מופיע באנגלית)

הסבר לשינוי שחל באופן הפעולה המהווה ברירת מחדל

כדי לצמצם את חומרת הבעיות המתוארות בסעיף 'רקע כללי', Internet Explorer וגם סייר Windows אינם תומכים עוד בטיפול בכתובות URL מסוג HTTP ומסוג HTTPS בתבנית זו. סייר Windows ו-Internet Explorer אינם פותחים אתרי HTTP או אתרי HTTPS באמצעות כתובת שכוללת את פרטי המשתמש. אם כתובת ה-URL מסוג HTTP או HTTPS כוללת פרטי משתמש, אזי כברירת מחדל יופיע דף אינטרנט שכותרתו:
שגיאה של תחביר לא חוקי
הערה שינוי זה באופן הפעולה המהווה ברירת מחדל לא ישפיע על פרוטוקולים אחרים. למשל, גם לאחר התקנת עדכון אבטחה 832894 ניתן יהיה לכלול פרטי משתמש בכתובת URL של פרוטוקול FTP.

שינוי זה באופן הפעולה המהווה ברירת מחדל מיושם גם באמצעות עדכוני אבטחה, חבילות service pack וגירסאות של Internet Explorer שפורסמו החל מהפרסום של עדכון אבטחה מס' 832894.
לראש הדף | ספק משוב

דרכים לעקיפת הבעיה עבור משתמשים

כתובות URL שנפתחות לאחר שהמשתמש הקליד את ה-URL בשורת הכתובת או לחץ על קישור

אם המשתמשים נוהגים להקליד בשורת הכתובת כתובות URL מסוג HTTP או HTTPS שכוללות פרטי משתמש או ללחוץ על קישורים שכוללים פרטי משתמש בכתובות URL מסוג HTTP או HTTPS,? ניתן לעקוף פונקציונליות חדשה זו ב-Internet Explorer בשני אופנים:
  • לא לכלול פרטי משתמש בכתובות URL מסוג HTTP או HTTPS.
  • להנחות את המשתמשים לא לכלול את פרטי המשתמש שלהם כאשר הם מקלידים כתובות URL מסוג HTTP או HTTPS.
אם אתר האינטרנט משתמש בשיטת האימות הבסיסית, Internet Explorer מבקש אוטומטית להזין שם משתמש וסיסמה. בחלק מהמקרים, יכולים המשתמשים לסמן בתיבת הדו-שיח את התיבה ??זכור את הסיסמה שלי כדי לשמור את האישורים שלהם לפעמים הבאות שיכנסו לאותו אתר אינטרנט.

דרכים לעקיפת הבעיה עבור מפתחי יישומים ואתרי אינטרנט

כתובות URL שנפתחות באמצעות אובייקטים שקוראים לפונקציות WinInet או Urlmon

עבור אובייקטים שמשתמשים בכתובת URL מסוג HTTP או HTTPS הכוללת פרטי משתמש כאשר הם קוראים לפונקציה WinInet או Urlmon, כגון InternetOpenURL, יש לכתוב מחדש את האובייקט כך שישתמש באחת משתי השיטות הבאות לשליחת פרטי משתמש לאתר אינטרנט:
  • השתמש בפונקציה InternetSetOption וכלול את דגלי האפשרויות הבאים:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    הערה עבור דגלים אלה, האפשרות InternetSetOption חייבת לקבל מזהה ייחודי (handle) שיוחזר מהפונקציה InternetConnect. לכן אם היישום משתמש בפונקציה InternetOpenUrl, שנה את היישום כך שישתמש בפונקציות InternetConnect?, HttpOpenRequest ו-HttpSendRequest של WinInet. לקבלת מידע נוסף על אופן השימוש בפונקציות אלה, בקר באתרי האינטרנט הבאים של Microsoft?:
    http://msdn2.microsoft.com/en-us/library/Aa384363
    (http://msdn2.microsoft.com/en-us/library/Aa384363)


    http://msdn2.microsoft.com/en-us/library/Aa384233
    (http://msdn2.microsoft.com/en-us/library/Aa384233)


    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • השתמש בממשק IAuthenticate. לקבלת מידע נוסף על אופן השימוש בממשק IAuthenticate, בקר באתר האינטרנט הבא של Microsoft?:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
    (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
הערה בדרך זו של עקיפת הבעיה אתה יכול לפתוח אתרי אינטרנט שהטכניקה להתחזות כתובות URL מנתבת אליהם. כתובת ה-URL מופיעה במלואה, כולל כתובת הניתוב מחדש. לדוגמה, מופיעה כתובת ה-URL הבאה:
http://www.wingtiptoys.com@www.example.com
המשתמש עדיין מגיע לאתר האינטרנט שאליו נותב מחדש. בדוגמה זו המשתמש מגיע לכתובת http://www.example.com.

כתובות URL שנפתחות על-ידי script שמשתמש באישורים לניהול מצב

אם קוד ה-scripting שלך כולל כתובות URL מסוג HTTP או HTTPS המכילות פרטי משתמש, אזי כדי לנהל את מידע המצב, שנה את קוד ה-scripting שלך כך שישתמש בקבצי cookies במקום בפרטי משתמש. לקבלת מידע נוסף על אופן השימוש בקבצי cookie לניהול נתוני מצב, בקר באתר האינטרנט הבא של 'כוח המשימה להנדסת אינטרנט' (IETF?):
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
להצגת דוגמה של אופן השימוש ב-Visual Basic כדי לקרוא ולכתוב קבצי cookie של פרוטוקול HTTP בתוכנית אינטרנט מסוג ASP.NET, בקר באתר האינטרנט הבא של Microsoft:?
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx
(http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

כיצד להשבית את ההתנהגות החדשה או להשתמש בה בתוכניות אחרות

באפשרותך להגדיר את ערכי הרישום כך שייעשה שימוש באופן הפעולה החדש בתוכניות אחרות שמארחות את פקד דפדפן האינטרנט או שאופן הפעולה החדש יהפוך ללא זמין בסייר Windows וב-Internet Explorer.
לראש הדף | ספק משוב

כיצד יכולות תוכניות שמארחות פקד של דפדפן אינטרנט להשתמש בהתנהגות ברירת מחדל חדשה זו כדי לטפל בפרטי משתמש הכלולים בכתובות URL מסוג HTTP או HTTPS

כברירת מחדל, התנהגות ברירת המחדל החדשה לטיפול בפרטי משתמש הכלולים בכתובות URL מסוג HTTP או HTTPS חלה רק על סייר Windows ו-Internet Explorer. כדי להשתמש בהתנהגות חדשה זו בתוכניות אחרות שמארחות את פקד דפדפן האינטרנט, צור ערך מסוג DWORD בשם ?SampleApp.exe, כאשר ?SampleApp.exe הוא שמו של קובץ ההפעלה של תוכנית זו. הגדר את ערך ה-DWORD ל-1 באחד ממפתחות הרישום הבאים.
  • עבור כל משתמשי התוכנית, הגדר את הערך במפתח הרישום הבא:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • עבור המשתמש הנוכחי של התוכנית בלבד, הגדר את הערך במפתח הרישום הבא:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

כיצד להשבית את התנהגות ברירת המחדל החדשה, המטפלת בפרטי משתמש הכלולים בכתובות URL מסוג HTTP או HTTPS

כדי להשבית את התנהגות ברירת המחדל החדשה בסייר Windows וב-Internet Explorer, צור ערכי DWORD של iexplore.exe ו-explorer.exe באחד ממפתחות הרישום הבאים, והגדר אותם 0.
  • עבור כל משתמשי התוכנית, הגדר את הערך במפתח הרישום הבא:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • עבור המשתמש הנוכחי של התוכנית בלבד, הגדר את הערך במפתח הרישום הבא:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
לראש הדף | ספק משוב

מידע נוסף

לקבלת הסבר על התחביר התקני של כתובת URL מסוג HTTP או HTTPS, בקר באתרי האינטרנט הבאים של 'כוח המשימה להנדסה באינטרנט' (IETF):?
RFC 1738:? Uniform Resource Locators ?(URL)?
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396:?? Uniform Resource Identifiers ?(URI): תחביר כללי
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616:? Hypertext Transfer Protocol -?- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft מספקת פרטי קשר של ספק חיצוני כדי לסייע לך באיתור תמיכה טכנית. פרטי התקשרות אלה עשויים להשתנות ללא הודעה מוקדמת. Microsoft אינה ערבה לדיוקם של פרטי הקשר של ספק חיצוני זה.
לראש הדף | ספק משוב

מאפיינים

מספר מאמר: 834489 - סקירה אחרונה: יום שלישי 26 יולי 2011 - עדכון: 11.3
המידע במאמר זה חל על:
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
מילות מפתח 
kbresolve KB834489
לראש הדף | ספק משוב

ספק משוב

 
לראש הדףלראש הדף