HTTP és HTTPS típusú URL-címekben lévő felhasználói információk alapértelmezett kezelése az Internet Explorerben

A cikk fordítása A cikk fordítása
Cikk azonosítója: 834489 - A cikkben érintett termékek listájának megtekintése.
Az összes kibontása | Az összes összecsukása

A lap tartalma

A cikk célja a webhelyeket felügyelő rendszergazdák és informatikai szakemberek értesítése a felhasználói adatok kezelési módjáról az Internet Explorer programban HTTP és HTTPS URL-címek esetében.

Összefoglaló

A Windows Internet Explorer böngészőnek a 832894. számú és az azt követő biztonsági frissítésekkel bővített verziói alapértelmezés szerint nem támogatják a felhasználónevek és jelszavak kezelésének támogatását a HTTP, a HTTP with Secure Sockets Layer (SSL), illetve a HTTPS típusú URL-címek használata esetén. Az Internet Explorer, illetve a Windows Intéző nem támogatja a következő URL-szintaxist:
http(s)://felhasználónév:jelszó@kiszolgáló/erőforrás.kiterjesztés
A cikk figyelmeztetni kíván az Internet Explorer ezen alapértelmezett viselkedésére. Amennyiben a HTTP és HTTPS protokollok esetén felhasználói adatokat is tartalmazó URL-címeket kell használnia, ajánlatos tanulmányoznia a jelen cikkben ismertetett kerülő megoldásokat. A 832894. számú biztonsági frissítésre vonatkozó további információkat a Microsoft következő webhelyén találja:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx

További információ

Háttérinformációk

Az Internet Explorer 3.0 és 6.0 közötti verziói támogatják a HTTP és HTTPS URL-címek következő szintaxisát:
http(s)://felhasználó:jelszó@kiszolgáló/erőforrás.kiterjesztés
A fenti szintaxisnak megfelelő URL-cím használatával automatikusan elküldheti a felhasználói adatokat az egyszerű hitelesítést használó webhelyek számára.

A támadó szándékú felhasználók ezzel az URL-szintaxissal olyan hivatkozásokat is létrehozhatnak, melyek látszólag nem támadó célú webhelyeket nyitnak meg, valójában azonban egy megtévesztő szándékkal létrehozott webhelyet. A következő URL például látszólag a http://www.madartoll-jatek.hu webhelyet nyitja meg, valójában azonban a http://example.com webhelyre vezet:
http://www.madartoll-jatek.hu@example.com
Megjegyzés: Ebben az esetben az Internet Explorer 6 Service Pack 1 (SP1) és az Internet Explorer 6 for Microsoft Windows Server 2003 alkalmazás címsorában csak a „http://example.com” cím jelenik meg. Az Internet Explorer korábbi verziói esetén azonban „http://www.madartoll-jatek.hu@example.com” jelenik meg a címsorban.

Emellett a támadó szándékú felhasználók ezt az URL-szintaxist más olyan módszerekkel is használhatják, melyek eredményeképp egy megtévesztő szándékkal létrehozott webhelyre mutató hivatkozás az Internet Explorer összes verziója esetén mind az állapotsorban, mind a címsorban, mind a böngészőablak címsorában egy ártó szándékkal nem gyanúsítható webhelyre mutató hivatkozásként jelenik meg.

A problémáról a Microsoft Tudásbázis alábbi cikkében tájékozódhat:
833786 A szándékosan félrevezető és esetleg hamis, kártékony tartalommal rendelkező webhelyek és hivatkozások azonosítása, valamint az ellenük való védekezés

Az alapértelmezett viselkedésben történt változtatás részletei

A cikk „Háttérinformációk” című szakaszában említett problémák súlyának csökkentése érdekében az Internet Explorer és a Windows Intéző nem támogatják az említett formátumú (HTTP és HTTPS kezdetű) URL-címek kezelésének támogatását. A Windows Intéző és az Internet Explorer nem nyitja meg a HTTP vagy a HTTPS protokollt használó helyeket, ha a megnyitáshoz használt URL-cím felhasználói adatokat tartalmaz. Ha a HTTP vagy HTTPS protokoll esetén egy URL felhasználói adatokat is tartalmaz, alapértelmezés szerint a következő című weblap jelenik meg:
Szintaxishiba
Megjegyzés: Az alapértelmezett viselkedés más protokollok esetén nem változik meg. Az FTP protokoll használata esetén például továbbra is megadhat felhasználói adatokat az URL-címekben a 832894-es biztonsági frissítés telepítését követően.

Az alapértelmezett viselkedés módosítását a 832894-es biztonsági frissítést követően az Internet Explorer verziók és a böngészőhöz kiadott biztonsági frissítések és szervizcsomagok is tartalmazzák.

Kerülő megoldások felhasználók számára

A címsorba írva vagy hivatkozásra kattintva megnyitott URL-címek

Ha a felhasználók gyakran írnak be a címsorba felhasználói adatokat is az URL-címek részeként a HTTP vagy HTTPS protokoll használatakor, illetve gyakran kattintanak ilyen hivatkozásokra, az Internet Explorer e cikkben tárgyalt új viselkedése megkerülhető. Erre két módszer is kínálkozik:
  • Ne helyezzen felhasználói adatokat az URL-címekbe a HTTP és a HTTPS protokoll használata esetén.
  • Kérje meg a felhasználókat, hogy a HTTP és HTTPS protokollokat használó URL-címekbe ne írják be felhasználói adataikat.
Az egyszerű hitelesítést használó webhelyek esetén az Internet Explorer automatikusan kéri a felhasználótól a felhasználónevet és a jelszót. Bizonyos esetekben a felhasználók bejelölhetik a Jelszó megjegyzése jelölőnégyzetet is ezen a párbeszédpanelen, így hitelesítő adataikat menthetik az adott webhelyen történő későbbi látogatások alkalmára.

Kerülő megoldások alkalmazás- és webhelyfejlesztők számára

A WinInet- vagy Urlmon-függvényeket meghívó objektumok által megnyitott URL-ek

A WinInet- vagy az Urlmon-függvényeket – ilyen például az InternetOpenURL függvény – meghívó, felhasználói adatokat tartalmazó HTTP vagy HTTPS típusú URL-címeket átadó objektumokat úgy kell átírni, hogy az alábbi módszerek valamelyikével küldjék a felhasználó adatait a webhelyre:
  • Az InternetSetOption függvény használata a következő jelzőbitek beállításával:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Megjegyzés: E jelzőbitek esetében az InternetSetOption függvénynek egy InternetConnect függvény által visszaadott leíróval kell rendelkeznie. Ezért ha az alkalmazás az InternetOpenUrl függvényt használja, módosítsa az alkalmazást úgy, hogy az az InternetConnect, a HttpOpenRequest és a HttpSendRequest WinInet-függvényeket használja. A függvények használatával kapcsolatos további információért látogassa meg a Microsoft következő webhelyeit:
    http://msdn2.microsoft.com/en-us/library/Aa384363

    http://msdn2.microsoft.com/en-us/library/Aa384233

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
  • Az IAuthenticate felület használata. Ha az IAuthenticate felülettel kapcsolatban további információra van szüksége, látogassa meg a Microsoft következő webhelyét:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
Megjegyzés: E kerülő megoldás segítségével megnyithatja az URL-címek azonosító adatainak cseréjével átirányított webhelyeket. A teljes URL-cím megjelenik, beleértve az átirányított helyet is. Például:
http://www.madartoll-jatek.hu@www.example.com
A felhasználó mégis az átirányított webhelyre érkezik. Ebben a példában a felhasználó a http://www.example.com webhelyre érkezik.

Az állapotkezelést felhasználói hitelesítő adatokkal megvalósító parancsfájlokból megnyitott URL-címek

Ha az állapotinformációk kezelésére a parancsfájlkód felhasználói adatokat tartalmazó URL-címeket használ HTTP vagy a HTTPS protokoll esetén, a parancsfájlkódot úgy kell módosítani, hogy az az állapotkezelést cookie-k segítségével oldja meg a felhasználói adatok helyett. Az állapotinformációk cookie-alapú kezeléséről az Internet Engineering Task Force (IETF) alábbi webhelyén talál további tudnivalókat:
http://www.ietf.org/rfc/rfc2965.txt
A Microsoft alábbi webhelyén egy olyan példát talál, mely bemutatja, hogyan lehetséges Visual Basic nyelven HTTP-cookie-kat írni és olvasni egy ASP.NET-alapú webalkalmazásban:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx

Az új viselkedés letiltásának és engedélyezésének módja más alkalmazásokban

A beállításazonosítók értékének beállításával lehetséges a webböngésző vezérlőt használó más programokban engedélyezni az új viselkedést, illetve letiltani azt a Windows Intéző és az Internet Explorer számára.

Hogyan használhatják a webböngésző vezérlőjét tartalmazó alkalmazások ezt az új viselkedést a felhasználói adatok URL-címbeli kezelésére HTTP és HTTPS protokoll esetén?

Ez a felhasználói adatokat tartalmazó, HTTP vagy HTTPS protokollt használó URL-címek kezelésére vonatkozó új viselkedés alapértelmezés szerint csak a Windows Intéző és az Internet Explorer alkalmazásban érvényesül. Ha a webböngésző vezérlőt tartalmazó más programban is szeretné ezt az új viselkedésmódot alkalmazni, létre kell hoznia egy PéldaAlkalmazás.exe nevű duplaszó típusú azonosítót, ahol PéldaAlkalmazás.exe a programot futtató parancsfájl neve. A duplaszó típusú azonosító értékét 1-re kell állítani az alábbi beállításkulcsok (korábbi nevén rendszerleíró kulcs) valamelyikében:
  • Ha a program összes felhasználójára vonatkozóan szeretné megadni ezt a beállítást, az alábbi beállításkulcsban hozza létre az azonosítót:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Ha csak a program aktuális felhasználójára vonatkozóan szeretné megadni ezt a beállítást, az alábbi beállításkulcsban hozza létre az azonosítót:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Hogyan tiltható le az új, a HTTP és HTTPS URL-címekben a felhasználói adatok kezelésével kapcsolatos alapértelmezett viselkedés?

A Windows Intéző és az Internet Explorer új alapértelmezett működésmódjának automatikus letiltásához folytassa a cikket az Automatikus javítás szakasszal. A probléma saját kezű javításáról a Kézi javítás című szakaszban tájékozódhat.

Automatikus javítás



A probléma automatikus javításához kattintson A probléma javítása hivatkozásra vagy a fölötte látható gombra. Ezután kattintson a Futtatás gombra a Fájl letöltése párbeszédpanelen, és kövesse az automatikus javítási varázsló lépéseit.




A probléma javítása
Microsoft Fix it 50642

Megjegyzések
  • Az automatikus javítás letiltja az új alapértelmezett működésmódot a Windows Intéző és az Internet Explorer alkalmazásban minden felhasználó számára.
  • Előfordulhat, hogy a varázsló csak angol nyelven érhető el, az automatikus javítás ugyanakkor a Windows többi nyelvi változatában is működik.
  • Ha a jelen cikket nem azon a számítógépen tekinti meg, amelyen a problémát tapasztalja, mentse az automatikus javítást egy USB-meghajtóra vagy CD lemezre, és azon a számítógépen futtassa, amelyen a hiba jelentkezik.

A cikket folytassa a Megoldódott a probléma? című szakasszal.



Kézi javítás

Az új alapértelmezett működésmód Windows Intéző és Internet Explorer alkalmazásban való letiltásához hozzon létre egy iexplore.exe és egy explorer.exe nevű, DWORD típusú azonosítót a megfelelő alábbi beállításkulcsban, és állítsa értéküket 0-ra.
  • Ha a program összes felhasználójára vonatkozóan szeretné megadni ezt a beállítást, az alábbi beállításkulcsban hozza létre az azonosítót:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Ha csak a program aktuális felhasználójára vonatkozóan szeretné megadni ezt a beállítást, az alábbi beállításkulcsban hozza létre az azonosítót:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Megoldódott a probléma?

  • Ellenőrizze, hogy megoldódott-e a probléma. Ha igen, nincs más teendője. Ha a probléma nem szűnt meg, lépjen kapcsolatba a támogatási szolgálattal.
  • Örömmel várjuk visszajelzését. Ha az itt ismertetett megoldással kapcsolatban visszajelzést küldene, illetve problémát szeretne bejelenteni, szóljon hozzá az automatikus javítással foglalkozó bloghoz, vagy küldjön egy e-mailt.

Hivatkozások

Ha többet szeretne megtudni a HTTP és a HTTPS URL-címek szabványos szintaxisáról, látogassa meg az Internet Engineering Task Force (IETF) alábbi webhelyeit:
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
A Microsoft a külső gyártók elérhetőségi adatait a műszaki támogatás eléréséhez szánt segítségnyújtásként teszi közzé. Az elérhetőségi adatok értesítés nélkül változhatnak, pontosságukat a Microsoft nem garantálja.

Tulajdonságok

Cikk azonosítója: 834489 - Utolsó ellenőrzés: 2011. szeptember 28. - Verziószám: 13.0
A cikkben található információ a következő(k)re vonatkozik:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Kulcsszavak: 
kbresolve kbfixme kbmsifixme KB834489
A Microsoft tudásbázisban szolgáltatott információkat "az adott állapotban", bárminemű szavatosság vagy garancia nélkül biztosítjuk. A Microsoft kizár mindennemű, akár kifejezett, akár vélelmezett szavatosságot vagy garanciát, ideértve a forgalomképességre és az adott célra való alkalmasságra vonatkozó szavatosságot is. A Microsoft Corporation és annak beszállítói semmilyen körülmények között nem felelősek semminemű kárért, így a közvetlen, a közvetett, az üzleti haszon elmaradásából származó vagy speciális károkért, illetve a kár következményeként felmerülő költségek megtérítéséért, még abban az esetben sem, ha a Microsoft Corporationt vagy beszállítóit az ilyen károk bekövetkeztének lehetőségére figyelmeztették. Egyes államok joga nem teszi lehetővé bizonyos károkért a felelősség kizárását vagy korlátozását, ezért a fenti korlátozások az ön esetében esetleg nem alkalmazhatók.

Visszajelzés küldése

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com