Internet Explorer では Web サイト アドレス (HTTP URL および HTTPS URL) に含まれるユーザー名およびパスワードがサポートされない

文書翻訳 文書翻訳
文書番号: 834489 - 対象製品
すべて展開する | すべて折りたたむ

目次

この資料では、Web サイトの管理者および IT プロフェッショナル向けに、Web サイト アドレス (HTTP URL または HTTPS URL) にユーザー情報が含まれる場合の Internet Explorer の動作について説明します。

概要

セキュリティ更新プログラム 832894 のリリース以降にリリースされた Windows Internet Explorer の各バージョンでは、既定で、HTTP URL および HTTPS URL (SSL を使用する HTTP URL) に含まれるユーザー名およびパスワードの処理はサポートされていません。Internet Explorer およびエクスプローラーでは、次の URL 構文はサポートされていません。
http(s)://username:password@server/resource.ext
この資料では、Internet Explorer のこの既定の動作について説明します。HTTP URL または HTTPS URL にユーザー情報を含める場合は、この資料に記載されている回避策について検討することをお勧めします。セキュリティ更新プログラム 832894 の詳細については、次のマイクロソフト Web サイトを参照してください。
http://www.microsoft.com/japan/technet/security/bulletin/MS04-004.mspx

詳細

背景情報

Internet Explorer 3.0 〜 6.0 では HTTP URL および HTTPS URL で次の構文がサポートされています。
http(s)://username:password@server/resource.ext
この URL 構文を使用すると、基本認証方式をサポートする Web サイトにユーザー情報が自動的に送信されます。

悪意のあるユーザーが上記の URL 構文を使用すると、正当な Web サイトを開くように見せかけて実際には成りすました Web サイトを開くハイパーリンクを作成することが可能です。たとえば、次の URL は http://www.wingtiptoys.com を開くように見えますが、実際には http://example.com を開きます。
http://www.wingtiptoys.com@example.com
注: この場合、Internet Explorer 6 Service Pack 1 (SP1) および Microsoft Windows Server 2003 用の Internet Explorer 6 では、アドレス バーに "http://example.com" とのみ表示されます。ただし、以前のバージョンの Internet Explorer では、アドレス バーに "http://www.wingtiptoys.com@example.com" と表示されます。

また、悪意のあるユーザーがこの URL 構文を他の方法と一緒に使用して、Internet Explorer のすべてのバージョンでステータス バー、アドレス バー、およびタイトル バーに正当な Web サイトの URL を表示しながら、"成りすました" Web サイトを開くリンクを作成する可能性もあります。

この問題の詳細については、以下のサポート技術情報番号をクリックしてください。
833786 成りすました Web サイトおよび悪質なハイパーリンクを見分けるための手順

既定の動作の変更に関する説明

この資料の「背景情報」に記載されている問題を抑制するため、Internet Explorer およびエクスプローラーでは、この形式の HTTP URL および HTTPS URL の処理をサポートしないようになりました。エクスプローラーおよび Internet Explorer では、ユーザー情報を含む URL を使用して HTTP サイトまたは HTTPS サイトを開くことはできません。ユーザー情報が HTTP URL または HTTPS URL に含まれている場合、既定で次のタイトルの Web ページが表示されます。
無効な構文エラー
注: この既定の動作の変更は、他のプロトコルには影響を与えません。たとえば、セキュリティ更新プログラム 832894 をインストールした後でも、FTP URL にはユーザー情報を含めることができます。

この既定の動作の変更は、セキュリティ更新プログラム 832894 のリリース以降にリリースされたセキュリティ更新プログラム、Service Pack、および Internet Explorer の各バージョンでも実装されています。

ユーザー向けの回避策

ユーザーがアドレス バーに入力するかリンクをクリックして開く URL

ユーザーがこれまでのようにユーザー情報を含む HTTP URL または HTTPS URL をアドレス バーに入力する場合や、URL にユーザー情報を含むリンクをクリックする場合に、Internet Explorer でこの新しい動作を回避するには、以下の 2 とおりの方法があります。
  • HTTP URL または HTTPS URL にユーザー情報を含めないようにします。
  • HTTP URL または HTTPS URL を入力するときにユーザー情報を含めないようユーザーに指示します。
基本認証方式を使用する Web サイトでは、ユーザー名とパスワードの入力を求めるメッセージが Internet Explorer で自動的に表示されます。ダイアログ ボックスで [このパスワードを保存する] チェック ボックスをオンにすると、後でその Web サイトにアクセスするときにも使用できるようにユーザーの資格情報が保存されます。

アプリケーション開発者および Web サイトの開発者向けの回避策

WinInet 関数や Urlmon 関数を呼び出すオブジェクトによって開かれる URL

WinInet 関数や Urlmon 関数を呼び出すときに、ユーザー情報を含む HTTP URL または HTTPS URL を使用するオブジェクト (InternetOpenUrl など) については、以下のいずれかの方法を使用してユーザー情報を Web サイトに送信するようにオブジェクトを書き換えます。
  • InternetSetOption 関数を使用して、以下のフラグを設定します。
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    注: 上記のフラグを設定する場合、InternetSetOption オプションには、InternetConnect 関数によって返されるハンドルが必要です。このため、アプリケーションで InternetOpenUrl 関数を使用する場合は、WinInet 関数の InternetConnect、HttpOpenRequest、および HttpSendRequest を使用するようにアプリケーションを変更してください。これらの関数の使用方法の詳細については、次のマイクロソフト Web サイトを参照してください。
    http://msdn.microsoft.com/ja-jp/library/Aa384363

    http://msdn.microsoft.com/ja-jp/library/Aa384233

    http://msdn.microsoft.com/ja-jp/library/aa384247.aspx
  • IAuthenticate インターフェイスを使用します。IAuthenticate インターフェイスの使用方法の詳細については、次のマイクロソフト Web サイトを参照してください。
    http://msdn.microsoft.com/ja-jp/library/ms775080.aspx
注: 上記の回避策を使用した場合、URL の成りすまし技術によってリダイレクトされた Web サイトを開く可能性があります。リダイレクトされた場所を含む URL 全体が表示されます。たとえば、以下の URL が表示されます。
http://www.wingtiptoys.com@www.example.com
この場合でも、ユーザーに表示されるのはリダイレクト先の Web サイトです。上記の例の場合は、http://www.example.com が表示されます。

ユーザーの資格情報を状態管理に使用するスクリプトによって開かれる URL

状態情報を管理するために、ユーザー情報を含む HTTP URL または HTTPS URL をスクリプト コードに含める場合は、ユーザー情報の代わりに Cookie を使用するようにスクリプト コードを変更します。Cookie を使用して状態情報を管理する方法の詳細については、次の Internet Engineering Task Force (IETF) の Web サイトを参照してください。
http://www.ietf.org/rfc/rfc2965.txt
Visual Basic を使用して、ASP.NET Web プログラムで HTTP Cookie の読み込みと書き込みを行う方法のサンプルを参照するには、次のマイクロソフト Web サイトを参照してください。
http://msdn.microsoft.com/ja-jp/library/aa289495(VS.71).aspx

新しい動作を無効にする方法、または新しい動作を他のプログラムで使用する方法

レジストリ値を設定することにより、Web ブラウザー コントロールをホストする他のプログラムでこの新しい動作を使用したり、エクスプローラーおよび Internet Explorer でこの新しい動作を無効にすることができます。

Web ブラウザー コントロールをホストするプログラムで、新しい既定の動作を使用して HTTP URL または HTTPS URL のユーザー情報を処理する方法

HTTP URL または HTTPS URL のユーザー情報を処理するこの新しい既定の動作は、既定ではエクスプローラーおよび Internet Explorer にのみ適用されます。Web ブラウザー コントロールをホストする他のプログラムでこの新しい動作を使用するには SampleApp.exe という名前の DWORD 値を作成します。ここで、SampleApp.exe は、プログラムを実行する実行可能ファイルの名前です。次のレジストリ キーのいずれかで DWORD 値のデータを 1 に設定します。
  • すべてのユーザーに適用する場合は、次のレジストリ キーに値を作成します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • 現在のユーザーにのみ適用する場合は、次のレジストリ キーに値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

HTTP URL または HTTPS URL のユーザー情報を処理する新しい既定の動作を無効にする方法

エクスプローラーおよび Internet Explorer で新しい既定の動作を無効にするには、「Fix it で解決する」セクションに進んでください。自分でこの問題を解決するには、「自分で解決する」セクションに進んでください。

Fix it で解決する



この問題を自動的に解決するには、[この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。




この問題を解決する
Microsoft Fix it 50642

注:
  • 自動的な解決によって、プログラムを使用するすべてのユーザーのエクスプローラーおよび Internet Explorer で新しい既定の動作が無効になります。
  • このウィザードは英語版のみである場合があります。しかし、自動的な解決は英語版以外の Windows でも機能します。
  • 問題のあるコンピューターとは別のコンピューターを操作している場合、Fix it ソリューションをフラッシュ ドライブまたは CD に保存することで、問題のあるコンピューターで実行することができます。

次に、「問題が解決されたかどうかの確認」セクションに進んでください。



自分で解決する

エクスプローラーおよび Internet Explorer で新しい既定の動作を無効にするには、以下のレジストリ キーのいずれかで、iexplore.exe および explorer.exe の DWORD 値を作成し、それらのデータを 0 (ゼロ) に設定します。
  • すべてのユーザーに適用する場合は、次のレジストリ キーに値を作成します。
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • 現在のユーザーにのみ適用する場合は、次のレジストリ キーに値を作成します。
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

問題が解決されたかどうかの確認

  • 問題が解決されたかどうかを確認します。問題が解決された場合、このセクションの作業は完了していることになります。問題が解決されていない場合は、サポートに問い合わせることができます。
  • マイクロソフトではフィードバックをお待ちしています。この解決方法に関するフィードバックを提供する、または問題を報告するには、"Fix it for me" ブログ (英語) にコメントを記入するか、電子メール メッセージ (日本語可) を送信してください。

関連情報

HTTP URL または HTTPS URL の標準の URL 構文の説明については、次の IETF (Internet Engineering Task Force) Web サイトを参照してください。
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。

プロパティ

文書番号: 834489 - 最終更新日: 2011年8月16日 - リビジョン: 3.0
この資料は以下の製品について記述したものです。
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
キーワード:?
kbresolve kbfixme kbmsifixme KB834489
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。"

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com