Select the product you need help with
Internet Explorer では Web サイト アドレス (HTTP URL および HTTPS URL) に含まれるユーザー名およびパスワードがサポートされない文書番号: 834489 - 対象製品 目次この資料では、Web サイトの管理者および IT プロフェッショナル向けに、Web サイト アドレス (HTTP URL または HTTPS URL) にユーザー情報が含まれる場合の Internet Explorer の動作について説明します。
概要セキュリティ更新プログラム 832894 のリリース以降にリリースされた Windows Internet Explorer の各バージョンでは、既定で、HTTP URL および HTTPS URL (SSL を使用する HTTP URL) に含まれるユーザー名およびパスワードの処理はサポートされていません。Internet Explorer およびエクスプローラーでは、次の URL 構文はサポートされていません。 http(s)://username:password@server/resource.ext この資料では、Internet Explorer のこの既定の動作について説明します。HTTP URL または HTTPS URL にユーザー情報を含める場合は、この資料に記載されている回避策について検討することをお勧めします。セキュリティ更新プログラム 832894 の詳細については、次のマイクロソフト Web サイトを参照してください。http://www.microsoft.com/japan/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/japan/technet/security/bulletin/MS04-004.mspx)
詳細背景情報Internet Explorer 3.0 〜 6.0 では HTTP URL および HTTPS URL で次の構文がサポートされています。http(s)://username:password@server/resource.ext この URL 構文を使用すると、基本認証方式をサポートする Web サイトにユーザー情報が自動的に送信されます。悪意のあるユーザーが上記の URL 構文を使用すると、正当な Web サイトを開くように見せかけて実際には成りすました Web サイトを開くハイパーリンクを作成することが可能です。たとえば、次の URL は http://www.wingtiptoys.com を開くように見えますが、実際には http://example.com を開きます。 http://www.wingtiptoys.com@example.com 注: この場合、Internet Explorer 6 Service Pack 1 (SP1) および Microsoft Windows Server 2003 用の Internet Explorer 6 では、アドレス バーに "http://example.com" とのみ表示されます。ただし、以前のバージョンの Internet Explorer では、アドレス バーに "http://www.wingtiptoys.com@example.com" と表示されます。また、悪意のあるユーザーがこの URL 構文を他の方法と一緒に使用して、Internet Explorer のすべてのバージョンでステータス バー、アドレス バー、およびタイトル バーに正当な Web サイトの URL を表示しながら、"成りすました" Web サイトを開くリンクを作成する可能性もあります。 この問題の詳細については、以下のサポート技術情報番号をクリックしてください。 833786
(http://support.microsoft.com/kb/833786/ja/
)
成りすました Web サイトおよび悪質なハイパーリンクを見分けるための手順
既定の動作の変更に関する説明この資料の「背景情報」に記載されている問題を抑制するため、Internet Explorer およびエクスプローラーでは、この形式の HTTP URL および HTTPS URL の処理をサポートしないようになりました。エクスプローラーおよび Internet Explorer では、ユーザー情報を含む URL を使用して HTTP サイトまたは HTTPS サイトを開くことはできません。ユーザー情報が HTTP URL または HTTPS URL に含まれている場合、既定で次のタイトルの Web ページが表示されます。無効な構文エラー 注: この既定の動作の変更は、他のプロトコルには影響を与えません。たとえば、セキュリティ更新プログラム 832894 をインストールした後でも、FTP URL にはユーザー情報を含めることができます。この既定の動作の変更は、セキュリティ更新プログラム 832894 のリリース以降にリリースされたセキュリティ更新プログラム、Service Pack、および Internet Explorer の各バージョンでも実装されています。 ユーザー向けの回避策ユーザーがアドレス バーに入力するかリンクをクリックして開く URLユーザーがこれまでのようにユーザー情報を含む HTTP URL または HTTPS URL をアドレス バーに入力する場合や、URL にユーザー情報を含むリンクをクリックする場合に、Internet Explorer でこの新しい動作を回避するには、以下の 2 とおりの方法があります。
アプリケーション開発者および Web サイトの開発者向けの回避策WinInet 関数や Urlmon 関数を呼び出すオブジェクトによって開かれる URLWinInet 関数や Urlmon 関数を呼び出すときに、ユーザー情報を含む HTTP URL または HTTPS URL を使用するオブジェクト (InternetOpenUrl など) については、以下のいずれかの方法を使用してユーザー情報を Web サイトに送信するようにオブジェクトを書き換えます。
http://www.wingtiptoys.com@www.example.com この場合でも、ユーザーに表示されるのはリダイレクト先の Web サイトです。上記の例の場合は、http://www.example.com が表示されます。ユーザーの資格情報を状態管理に使用するスクリプトによって開かれる URL状態情報を管理するために、ユーザー情報を含む HTTP URL または HTTPS URL をスクリプト コードに含める場合は、ユーザー情報の代わりに Cookie を使用するようにスクリプト コードを変更します。Cookie を使用して状態情報を管理する方法の詳細については、次の Internet Engineering Task Force (IETF) の Web サイトを参照してください。http://www.ietf.org/rfc/rfc2965.txt Visual Basic を使用して、ASP.NET Web プログラムで HTTP Cookie の読み込みと書き込みを行う方法のサンプルを参照するには、次のマイクロソフト Web サイトを参照してください。
(http://www.ietf.org/rfc/rfc2965.txt)
http://msdn.microsoft.com/ja-jp/library/aa289495(VS.71).aspx
(http://msdn.microsoft.com/ja-jp/library/aa289495(VS.71).aspx)
新しい動作を無効にする方法、または新しい動作を他のプログラムで使用する方法レジストリ値を設定することにより、Web ブラウザー コントロールをホストする他のプログラムでこの新しい動作を使用したり、エクスプローラーおよび Internet Explorer でこの新しい動作を無効にすることができます。Web ブラウザー コントロールをホストするプログラムで、新しい既定の動作を使用して HTTP URL または HTTPS URL のユーザー情報を処理する方法HTTP URL または HTTPS URL のユーザー情報を処理するこの新しい既定の動作は、既定ではエクスプローラーおよび Internet Explorer にのみ適用されます。Web ブラウザー コントロールをホストする他のプログラムでこの新しい動作を使用するには SampleApp.exe という名前の DWORD 値を作成します。ここで、SampleApp.exe は、プログラムを実行する実行可能ファイルの名前です。次のレジストリ キーのいずれかで DWORD 値のデータを 1 に設定します。
HTTP URL または HTTPS URL のユーザー情報を処理する新しい既定の動作を無効にする方法エクスプローラーおよび Internet Explorer で新しい既定の動作を無効にするには、「Fix it で解決する」セクションに進んでください。自分でこの問題を解決するには、「自分で解決する」セクションに進んでください。Fix it で解決するこの問題を自動的に解決するには、[この問題を解決する] ボタンまたはリンクをクリックします。[ファイルのダウンロード] ダイアログ ボックスで [実行] をクリックし、Fix it ウィザードの手順に従います。 注:
次に、「問題が解決されたかどうかの確認」セクションに進んでください。 自分で解決するエクスプローラーおよび Internet Explorer で新しい既定の動作を無効にするには、以下のレジストリ キーのいずれかで、iexplore.exe および explorer.exe の DWORD 値を作成し、それらのデータを 0 (ゼロ) に設定します。
問題が解決されたかどうかの確認
関連情報HTTP URL または HTTPS URL の標準の URL 構文の説明については、次の IETF (Internet Engineering Task Force) Web サイトを参照してください。 RFC 1738: Uniform Resource Locators (URL) 他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、将来予告なしに変更されることがあります。マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)
RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)
RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1 http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
プロパティ文書番号: 834489 - 最終更新日: 2011年8月16日 - リビジョン: 3.0 この資料は以下の製品について記述したものです。
"Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。" | サポート技術情報の翻訳
 |
先頭へ戻る
