Questo articolo è destinato agli amministratori di siti Web
e ai professionisti IT e contiene informazioni che riguardano il comportamento
di Internet Explorer quando in un indirizzo di sito Web (URL di tipo HTTP o
HTTPS) sono inclusi dati utente.
Se si è un normale utente e si hanno
problemi con password o dati utente in Internet Explorer, visitare il sito Web
dedicato alle soluzioni per Internet Explorer per cercare informazioni per la
risoluzione del problema o per contattare il supporto tecnico:
Per impostazione predefinita, le versioni di Windows
Internet Explorer rilasciate successivamente all'aggiornamento della protezione
832894 non supportano la gestione di nomi utente e di password in URL di tipo
HTTP e HTTP con SSL (Secure Sockets Layer) o HTTPS. La sintassi dell'URL
riportata di seguito non è supportata in Internet Explorer né in Esplora
risorse:
http(s)://nomeutente:password@server/risorsa.ext
Lo scopo del presente articolo è quello di segnalare questo
comportamento predefinito di Internet Explorer. Se si includono informazioni
utente in URL di tipo HTTP e HTTPS, Microsoft consiglia di esaminare le
soluzioni descritte nel presente articolo. Per ulteriori informazioni
sull'aggiornamento della protezione 832894, vedere il seguente Bollettino
Microsoft sulla sicurezza:
Internet Explorer versione da 3.0 a 6.0 supporta la sintassi degli
URL HTTP o HTTPS riportata di seguito:
http(s)://nomeutente:password@server/risorsa.ext
Questo tipo di sintassi può essere utilizzata per inviare
automaticamente informazioni utente a un sito Web che supporta il metodo di
autenticazione di base.
Questa sintassi potrebbe essere utilizzata da
un utente malintenzionato per creare un collegamento ipertestuale che apre un
sito Web apparentemente legittimo, ma in realtà ingannevole (sottoposto a
spoofing). Ad esempio, il seguente URL apre apparentemente il sito
http://www.wingtiptoys.com, mentre in realtà apre http://example.com:
http://www.wingtiptoys.com@example.com
Nota In questo caso, nella barra degli indirizzi di Internet Explorer
6 Service Pack 1 (SP1) e Internet Explorer 6 per Microsoft Windows Server 2003
viene visualizzato solo "http://example.com". Sulla barra degli indirizzi di
versioni precedenti di Internet Explorer viene invece visualizzato
"http://www.wingtiptoys.com@example.com".
Un utente malintenzionato
potrebbe inoltre utilizzare questa sintassi con altri metodi per creare un
collegamento a un sito Web ingannevole (sottoposto a spoofing) per il quale
viene visualizzato l'URL di un sito Web legittimo sulla barra di stato, sulla
barra degli indirizzi e sulla barra del titolo di tutte le versioni di Internet
Explorer.
Per ulteriori informazioni su questo problema, fare clic
sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
Procedura da intraprendere per identificare e proteggersi da siti Web ingannevoli e collegamenti ipertestuali pericolosi
Spiegazione della modifica del comportamento predefinito
Per attenuare i problemi descritti nella sezione "Informazioni di
base", in Internet Explorer e in Esplora risorse non viene più supportata la
gestione di URL di tipo HTTP e HTTPS caratterizzati da questo formato. In
Esplora risorse e in Internet Explorer non sarà possibile aprire siti HTTP o
HTTPS utilizzando un URL che include informazioni utente. Per impostazione
predefinita, se le informazioni utente sono incluse in un URL HTTP o HTTPS,
verrà visualizzata una pagina Web con il seguente titolo:
Errore di sintassi non valida
Nota Questa modifica del comportamento predefinito non influisce sugli
altri protocolli. È possibile ad esempio includere informazioni utente in un
URL di tipo FTP anche dopo l'installazione dell'aggiornamento della protezione
832894.
Questa modifica del comportamento predefinito viene
implementata anche da aggiornamenti della protezione, service pack e versioni
di Internet Explorer rilasciati successivamente all'aggiornamento della
protezione 832894.
URL digitati dagli utenti nella barra degli indirizzi o aperti facendo clic su un collegamento
Se normalmente gli utenti digitano gli URL HTTP o HTTPS che
includono informazioni utente nella barra degli indirizzi o fanno clic sui
collegamenti che includono le informazioni utente negli URL HTTP o HTTPS, è
possibile eludere questa nuova funzionalità di Internet Explorer in due modi:
Escludere informazioni utente negli URL di tipo HTTP o
HTTPS.
Indicare agli utenti di non includere informazioni
personali quando digitano URL di tipo HTTP o HTTPS.
Se nel sito Web viene utilizzato il metodo di autenticazione di
base, in Internet Explorer viene chiesto automaticamente agli utenti di
specificare un nome utente e una password. In alcuni casi, gli utenti possono
selezionare la casella Memorizza password nella finestra di
dialogo per salvare le credenziali e riutilizzarle in seguito per altre visite
a quel sito Web.
Soluzioni alternative per sviluppatori di applicazioni e siti Web
URL aperti da oggetti che richiamano le funzioni WinInet o Urlmon
Per gli oggetti che utilizzano URL HTTP o HTTPS che includono
informazioni utente quando richiamano una funzione WinInet o Urlmon, ad esempio
InternetOpenURL, riscrivere l'oggetto affinché utilizzi uno dei seguenti metodi
per inviare le informazioni utente al sito Web:
Utilizzare la funzione InternetSetOption e includere i seguenti flag dell'opzione:
INTERNET_OPTION_USERNAME
INTERNET_OPTION_PASSWORD
Nota Per questi flag l'opzione InternetSetOption richiede la
restituzione di un handle dalla funzione InternetConnect. Se pertanto nell'applicazione viene utilizzata la funzione InternetOpenUrl, modificare l'applicazione in modo che utilizzi le funzioni
WinInet InternetConnect, HttpOpenRequest e HttpSendRequest. Per ulteriori informazioni su come utilizzare queste funzioni,
visitare i seguenti siti Web Microsoft (informazioni in lingua inglese):
Utilizzare l'interfaccia IAuthenticate. Per ulteriori
informazioni sull'utilizzo dell'interfaccia IAuthenticate, visitare il seguente
sito Web Microsoft (informazioni in lingua inglese):
Nota Questa soluzione alternativa consente di aprire i siti Web che
vengono reindirizzati dalla tecnica di spoofing dell'URL. Viene visualizzato
l'intero URL, compreso il percorso reindirizzato. L'URL potrebbe avere ad
esempio l'aspetto seguente:
http://www.wingtiptoys.com@www.example.com
L'utente giunge comunque al sito Web reindirizzato. In questo
esempio, l'utente giunge a http://www.example.com.
URL aperti da uno script che utilizza credenziali per la gestione dello stato
Se si includono URL HTTP o HTTPS che contengono informazioni
utente nel codice di script per gestire le informazioni sullo stato, modificare
il codice di script per utilizzare i cookie anziché le informazioni utente. Per
ulteriori informazioni sull'utilizzo dei cookie per gestire le informazioni
sullo stato, visitare il seguente sito Web Internet Engineering Task Force
(IETF) (informazioni in lingua inglese):
Per vedere un esempio dell'utilizzo di Visual Basic per leggere e
scrivere cookie HTTP in un'applicazione Web ASP.NET, visitare il seguente sito
Web Microsoft (informazioni in lingua inglese):
Come disattivare il nuovo comportamento o come utilizzarlo in altri programmi
È possibile impostare valori del Registro di sistema per
utilizzare il nuovo comportamento in altri programmi che ospitano il controllo
browser oppure disattivare il nuovo comportamento in Esplora risorse e Internet
Explorer.
In che modo i programmi che ospitano il controllo browser possono utilizzare questo nuovo comportamento predefinito per gestire le informazioni utente negli URL HTTP o HTTPS
Per impostazione predefinita, questo nuovo comportamento per
gestire le informazioni utente negli URL HTTP o HTTPS si applica soltanto a
Esplora risorse e a Internet Explorer. Per utilizzare il nuovo comportamento in
altri programmi che ospitano il controllo browser, creare un valore DWORD
denominato NomeApp.exe, dove
NomeApp.exe è il nome del file eseguibile del
programma. Impostare il valore di DWORD su 1 in una delle seguenti chiavi del Registro di sistema:
Per tutti gli utenti del programma, impostare il valore
della seguente chiave del Registro di sistema:
Come disattivare il nuovo comportamento predefinito per la gestione delle informazioni utente negli URL HTTP o HTTPS
Per disattivare il nuovo comportamento predefinito in Esplora
risorse e in Internet Explorer, creare i valori DWORD iexplore.exe e explorer.exe in una delle seguenti chiavi del Registro di sistema e impostarne
il valore su 0.
Per tutti gli utenti del programma, impostare il valore
della seguente chiave del Registro di sistema:
Per una spiegazione della sintassi standard degli URL HTTP o
HTTPS, visitare i seguenti siti Web Internet Engineering Task Force (IETF)
(informazioni in lingua inglese):
Microsoft
fornisce informazioni per contattare altri produttori allo scopo di facilitare
l'individuazione del supporto tecnico. Queste informazioni sono soggette a
modifica senza preavviso. Microsoft non si assume alcuna responsabilità
sull'accuratezza delle informazioni per contattare altri produttori.
Nota: questo è un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "così come sono" in risposta alle problematiche riscontrate. A causa della rapidità con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo
Identificativo articolo: 834489 - Ultima modifica: giovedì 12 maggio 2011 - Revisione: 12.0
Le informazioni in questo articolo si applicano a:
Windows Internet Explorer 8
Windows Internet Explorer 7
Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 5.5
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 Service Pack 2
Windows Vista Business
Windows Vista Enterprise
Windows Vista Home Basic
Windows Vista Home Premium
Windows Vista Starter
Windows Vista Ultimate
Chiavi:
kbresolve KB834489
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.
Quanto impegno ti ha richiesto il corretto utilizzo di questo articolo?
Molto basso
Basso
Medio
Elevato
Molto elevato
Inviare commenti e suggerimenti
Grazie. I commenti e suggerimenti forniti verranno utilizzati per migliorare la qualità dei contenuti di supporto tecnico. Per ulteriori opzioni di assistenza, visitare la home page del Supporto Tecnico Microsoft.
Torna all'inizio
