Comportamento predefinito di Internet Explorer per la gestione delle informazioni utente negli URL di tipo HTTP e HTTPS

Traduzione articoli Traduzione articoli
Identificativo articolo: 834489 - Visualizza i prodotti a cui si riferisce l?articolo.
-

Per continuare a ricevere gli aggiornamenti della protezione per Windows, assicurarsi di eseguire Windows Vista con Service Pack 2 (SP2). Per ulteriori informazioni, fare riferimento a questa pagina Web Microsoft: Per alcune versioni di Windows il servizio di supporto non ? pi? disponibile

Espandi tutto | Chiudi tutto

In questa pagina

Questo articolo è destinato agli amministratori di siti Web e ai professionisti IT e contiene informazioni che riguardano il comportamento di Internet Explorer quando in un indirizzo di sito Web (URL di tipo HTTP o HTTPS) sono inclusi dati utente.

Se si è un normale utente e si hanno problemi con password o dati utente in Internet Explorer, visitare il sito Web dedicato alle soluzioni per Internet Explorer per cercare informazioni per la risoluzione del problema o per contattare il supporto tecnico:

Sommario

Per impostazione predefinita, le versioni di Windows Internet Explorer rilasciate successivamente all'aggiornamento della protezione 832894 non supportano la gestione di nomi utente e di password in URL di tipo HTTP e HTTP con SSL (Secure Sockets Layer) o HTTPS. La sintassi dell'URL riportata di seguito non è supportata in Internet Explorer né in Esplora risorse:
http(s)://nomeutente:password@server/risorsa.ext
Lo scopo del presente articolo è quello di segnalare questo comportamento predefinito di Internet Explorer. Se si includono informazioni utente in URL di tipo HTTP e HTTPS, Microsoft consiglia di esaminare le soluzioni descritte nel presente articolo. Per ulteriori informazioni sull'aggiornamento della protezione 832894, vedere il seguente Bollettino Microsoft sulla sicurezza:
http://www.microsoft.com/italy/technet/security/bulletin/MS04-004.mspx

Informazioni

Informazioni di base

Internet Explorer versione da 3.0 a 6.0 supporta la sintassi degli URL HTTP o HTTPS riportata di seguito:
http(s)://nomeutente:password@server/risorsa.ext
Questo tipo di sintassi può essere utilizzata per inviare automaticamente informazioni utente a un sito Web che supporta il metodo di autenticazione di base.

Questa sintassi potrebbe essere utilizzata da un utente malintenzionato per creare un collegamento ipertestuale che apre un sito Web apparentemente legittimo, ma in realtà ingannevole (sottoposto a spoofing). Ad esempio, il seguente URL apre apparentemente il sito http://www.wingtiptoys.com, mentre in realtà apre http://example.com:
http://www.wingtiptoys.com@example.com
Nota In questo caso, nella barra degli indirizzi di Internet Explorer 6 Service Pack 1 (SP1) e Internet Explorer 6 per Microsoft Windows Server 2003 viene visualizzato solo "http://example.com". Sulla barra degli indirizzi di versioni precedenti di Internet Explorer viene invece visualizzato "http://www.wingtiptoys.com@example.com".

Un utente malintenzionato potrebbe inoltre utilizzare questa sintassi con altri metodi per creare un collegamento a un sito Web ingannevole (sottoposto a spoofing) per il quale viene visualizzato l'URL di un sito Web legittimo sulla barra di stato, sulla barra degli indirizzi e sulla barra del titolo di tutte le versioni di Internet Explorer.

Per ulteriori informazioni su questo problema, fare clic sul numero dell'articolo della Microsoft Knowledge Base riportato di seguito:
833786 Procedura da intraprendere per identificare e proteggersi da siti Web ingannevoli e collegamenti ipertestuali pericolosi

Spiegazione della modifica del comportamento predefinito

Per attenuare i problemi descritti nella sezione "Informazioni di base", in Internet Explorer e in Esplora risorse non viene più supportata la gestione di URL di tipo HTTP e HTTPS caratterizzati da questo formato. In Esplora risorse e in Internet Explorer non sarà possibile aprire siti HTTP o HTTPS utilizzando un URL che include informazioni utente. Per impostazione predefinita, se le informazioni utente sono incluse in un URL HTTP o HTTPS, verrà visualizzata una pagina Web con il seguente titolo:
Errore di sintassi non valida
Nota Questa modifica del comportamento predefinito non influisce sugli altri protocolli. È possibile ad esempio includere informazioni utente in un URL di tipo FTP anche dopo l'installazione dell'aggiornamento della protezione 832894.

Questa modifica del comportamento predefinito viene implementata anche da aggiornamenti della protezione, service pack e versioni di Internet Explorer rilasciati successivamente all'aggiornamento della protezione 832894.

Soluzioni alternative per gli utenti

URL digitati dagli utenti nella barra degli indirizzi o aperti facendo clic su un collegamento

Se normalmente gli utenti digitano gli URL HTTP o HTTPS che includono informazioni utente nella barra degli indirizzi o fanno clic sui collegamenti che includono le informazioni utente negli URL HTTP o HTTPS, è possibile eludere questa nuova funzionalità di Internet Explorer in due modi:
  • Escludere informazioni utente negli URL di tipo HTTP o HTTPS.
  • Indicare agli utenti di non includere informazioni personali quando digitano URL di tipo HTTP o HTTPS.
Se nel sito Web viene utilizzato il metodo di autenticazione di base, in Internet Explorer viene chiesto automaticamente agli utenti di specificare un nome utente e una password. In alcuni casi, gli utenti possono selezionare la casella Memorizza password nella finestra di dialogo per salvare le credenziali e riutilizzarle in seguito per altre visite a quel sito Web.

Soluzioni alternative per sviluppatori di applicazioni e siti Web

URL aperti da oggetti che richiamano le funzioni WinInet o Urlmon

Per gli oggetti che utilizzano URL HTTP o HTTPS che includono informazioni utente quando richiamano una funzione WinInet o Urlmon, ad esempio InternetOpenURL, riscrivere l'oggetto affinché utilizzi uno dei seguenti metodi per inviare le informazioni utente al sito Web:
  • Utilizzare la funzione InternetSetOption e includere i seguenti flag dell'opzione:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Nota Per questi flag l'opzione InternetSetOption richiede la restituzione di un handle dalla funzione InternetConnect. Se pertanto nell'applicazione viene utilizzata la funzione InternetOpenUrl, modificare l'applicazione in modo che utilizzi le funzioni WinInet InternetConnect, HttpOpenRequest e HttpSendRequest. Per ulteriori informazioni su come utilizzare queste funzioni, visitare i seguenti siti Web Microsoft (informazioni in lingua inglese):
    http://msdn2.microsoft.com/en-us/library/Aa384363

    http://msdn2.microsoft.com/en-us/library/Aa384233

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
  • Utilizzare l'interfaccia IAuthenticate. Per ulteriori informazioni sull'utilizzo dell'interfaccia IAuthenticate, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
Nota Questa soluzione alternativa consente di aprire i siti Web che vengono reindirizzati dalla tecnica di spoofing dell'URL. Viene visualizzato l'intero URL, compreso il percorso reindirizzato. L'URL potrebbe avere ad esempio l'aspetto seguente:
http://www.wingtiptoys.com@www.example.com
L'utente giunge comunque al sito Web reindirizzato. In questo esempio, l'utente giunge a http://www.example.com.

URL aperti da uno script che utilizza credenziali per la gestione dello stato

Se si includono URL HTTP o HTTPS che contengono informazioni utente nel codice di script per gestire le informazioni sullo stato, modificare il codice di script per utilizzare i cookie anziché le informazioni utente. Per ulteriori informazioni sull'utilizzo dei cookie per gestire le informazioni sullo stato, visitare il seguente sito Web Internet Engineering Task Force (IETF) (informazioni in lingua inglese):
http://www.ietf.org/rfc/rfc2965.txt
Per vedere un esempio dell'utilizzo di Visual Basic per leggere e scrivere cookie HTTP in un'applicazione Web ASP.NET, visitare il seguente sito Web Microsoft (informazioni in lingua inglese):
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx

Come disattivare il nuovo comportamento o come utilizzarlo in altri programmi

È possibile impostare valori del Registro di sistema per utilizzare il nuovo comportamento in altri programmi che ospitano il controllo browser oppure disattivare il nuovo comportamento in Esplora risorse e Internet Explorer.

In che modo i programmi che ospitano il controllo browser possono utilizzare questo nuovo comportamento predefinito per gestire le informazioni utente negli URL HTTP o HTTPS

Per impostazione predefinita, questo nuovo comportamento per gestire le informazioni utente negli URL HTTP o HTTPS si applica soltanto a Esplora risorse e a Internet Explorer. Per utilizzare il nuovo comportamento in altri programmi che ospitano il controllo browser, creare un valore DWORD denominato NomeApp.exe, dove NomeApp.exe è il nome del file eseguibile del programma. Impostare il valore di DWORD su 1 in una delle seguenti chiavi del Registro di sistema:
  • Per tutti gli utenti del programma, impostare il valore della seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Per l'utente corrente del programma soltanto, impostare il valore della seguente chiave del Registro di sistema:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Come disattivare il nuovo comportamento predefinito per la gestione delle informazioni utente negli URL HTTP o HTTPS

Per disattivare il nuovo comportamento predefinito in Esplora risorse e in Internet Explorer, creare i valori DWORD iexplore.exe e explorer.exe in una delle seguenti chiavi del Registro di sistema e impostarne il valore su 0.
  • Per tutti gli utenti del programma, impostare il valore della seguente chiave del Registro di sistema:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Per l'utente corrente del programma soltanto, impostare il valore della seguente chiave del Registro di sistema:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Riferimenti

Per una spiegazione della sintassi standard degli URL HTTP o HTTPS, visitare i seguenti siti Web Internet Engineering Task Force (IETF) (informazioni in lingua inglese):
RFC 1738: Uniform Resource Locator (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifier (URI): sintassi generica
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Microsoft fornisce informazioni per contattare altri produttori allo scopo di facilitare l'individuazione del supporto tecnico. Queste informazioni sono soggette a modifica senza preavviso. Microsoft non si assume alcuna responsabilità sull'accuratezza delle informazioni per contattare altri produttori.
Nota: questo è un articolo a "PUBBLICAZIONE RAPIDA", creato direttamente all'interno dell'organizzazione di supporto Microsoft. Le informazioni contenute nel presente documento vengono fornite "così come sono" in risposta alle problematiche riscontrate. A causa della rapidità con cui vengono resi disponibili, i materiali possono contenere errori di battitura e sono soggetti a modifica senza preavviso, in qualsiasi momento. Per altre considerazioni, vedere le Condizioni per l'utilizzo.

Proprietà

Identificativo articolo: 834489 - Ultima modifica: giovedì 12 maggio 2011 - Revisione: 12.0
Le informazioni in questo articolo si applicano a:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Chiavi: 
kbresolve KB834489
LE INFORMAZIONI CONTENUTE NELLA MICROSOFT KNOWLEDGE BASE SONO FORNITE SENZA GARANZIA DI ALCUN TIPO, IMPLICITA OD ESPLICITA, COMPRESA QUELLA RIGUARDO ALLA COMMERCIALIZZAZIONE E/O COMPATIBILITA' IN IMPIEGHI PARTICOLARI. L'UTENTE SI ASSUME L'INTERA RESPONSABILITA' PER L'UTILIZZO DI QUESTE INFORMAZIONI. IN NESSUN CASO MICROSOFT CORPORATION E I SUOI FORNITORI SI RENDONO RESPONSABILI PER DANNI DIRETTI, INDIRETTI O ACCIDENTALI CHE POSSANO PROVOCARE PERDITA DI DENARO O DI DATI, ANCHE SE MICROSOFT O I SUOI FORNITORI FOSSERO STATI AVVISATI. IL DOCUMENTO PUO' ESSERE COPIATO E DISTRIBUITO ALLE SEGUENTI CONDIZIONI: 1) IL TESTO DEVE ESSERE COPIATO INTEGRALMENTE E TUTTE LE PAGINE DEVONO ESSERE INCLUSE. 2) I PROGRAMMI SE PRESENTI, DEVONO ESSERE COPIATI SENZA MODIFICHE, 3) IL DOCUMENTO DEVE ESSERE DISTRIBUITO INTERAMENTE IN OGNI SUA PARTE. 4) IL DOCUMENTO NON PUO' ESSERE DISTRIBUITO A SCOPO DI LUCRO.

Invia suggerimenti

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com