Internet Explorer biedt geen ondersteuning voor gebruikersnamen en wachtwoorden in websiteadressen (HTTP- of HTTPS-URL's)
Waarschuwing
De buiten gebruik gestelde, niet meer ondersteunde Internet Explorer 11-desktoptoepassing is permanent uitgeschakeld via een Microsoft Edge-update op bepaalde versies van Windows 10. Raadpleeg Veelgestelde vragen over de beëindiging van de desktoptoepassing voor Internet Explorer 11 voor meer informatie.
Dit artikel is bedoeld om websitebeheerders en IT-professionals op de hoogte te stellen van het gedrag van Internet Explorer wanneer gebruikersgegevens worden opgenomen in het adres van een website (HTTP of HTTPS-URL).
Oorspronkelijke productversie: Internet Explorer
Origineel KB-nummer: 834489
Samenvatting
Standaard bieden versies van Internet Explorer die zijn uitgebracht vanaf de release van de beveiligingsupdate 832894 geen ondersteuning voor het verwerken van gebruikersnamen en wachtwoorden in HTTP en HTTP met SSL- (Secure Sockets Layer) of HTTPS-URL's. De volgende URL-syntaxis wordt niet ondersteund in Internet Explorer of in Windows Verkenner:
http(s)://username:password@server/resource.ext
Dit artikel is bedoeld om u op de hoogte te stellen van dit standaardgedrag van Internet Explorer. Als u gebruikersgegevens opneemt in HTTP- of HTTPS-URL's, raden we u aan de tijdelijke oplossingen te verkennen die in dit artikel worden beschreven.
Achtergrondinformatie
Internet Explorer-versies 3.0 tot en met 6.0 ondersteunen de volgende syntaxis voor HTTP- of HTTPS-URL's:
http(s)://username:password@server/resource.ext
U kunt deze URL-syntaxis gebruiken om gebruikersgegevens automatisch te verzenden naar een website die ondersteuning biedt voor de basisverificatiemethode.
Een kwaadwillende gebruiker kan deze URL-syntaxis gebruiken om een hyperlink te maken die een legitieme website lijkt te openen, maar daadwerkelijk een misleidende (vervalste) website opent. De volgende URL lijkt bijvoorbeeld te worden geopend http://www.wingtiptoys.com , maar wordt daadwerkelijk geopend http://example.com:
http://www.wingtiptoys.com@example.com
Opmerking
In dit geval worden Internet Explorer 6 Service Pack 1 (SP1) en Internet Explorer 6 voor Microsoft Windows Server 2003 alleen weergegeven http://example.com in de adresbalk. Eerdere versies van Internet Explorer worden echter weergegeven http://www.wingtiptoys.com@example.com in de adresbalk.
Bovendien kunnen kwaadwillende gebruikers deze URL-syntaxis samen met andere methoden gebruiken om een koppeling te maken naar een misleidende (vervalste) website waarop de URL naar een legitieme website wordt weergegeven in de statusbalk, adresbalk en titelbalk van alle versies van Internet Explorer. Klik voor meer informatie over dit probleem op het artikelnummer 833786 om uzelf te beschermen tegen misleidende (vervalste) websites en schadelijke hyperlinks.
Uitleg van de wijziging in het standaardgedrag
Internet Explorer en Windows Explorer bieden geen ondersteuning meer voor het verwerken van HTTP- en HTTPS-URL's van dit formulier om de problemen op te lossen die in de sectie Achtergrondinformatie worden besproken. Windows Explorer en Internet Explorer openen geen HTTP- of HTTPS-sites met behulp van een URL die gebruikersgegevens bevat. Als gebruikersgegevens zijn opgenomen in een HTTP- of HTTPS-URL, wordt standaard een webpagina met de volgende titel weergegeven:
Ongeldige syntaxisfout.
Opmerking
Deze wijziging in het standaardgedrag is niet van invloed op andere protocollen.
Deze wijziging in het standaardgedrag wordt ook geïmplementeerd door beveiligingsupdates, servicepacks en versies van Internet Explorer die zijn uitgebracht vanaf de release van de beveiligingsupdate 832894.
Tijdelijke oplossingen voor gebruikers
URL's die worden geopend door gebruikers die de URL in de adresbalk typen of op een koppeling klikken
Als gebruikers doorgaans HTTP- of HTTPS-URL's typen die gebruikersgegevens bevatten in de adresbalk, of op koppelingen klikken die gebruikersgegevens bevatten in HTTP- of HTTPS-URL's, kunt u deze nieuwe functionaliteit in Internet Explorer op twee manieren omzeilen:
- Neem geen gebruikersgegevens op in HTTP- of HTTPS-URL's.
- Instrueer gebruikers om hun gebruikersgegevens niet op te nemen wanneer ze HTTP- of HTTPS-URL's typen.
Als de website gebruikmaakt van de basisverificatiemethode, vraagt Internet Explorer gebruikers automatisch om een gebruikersnaam en een wachtwoord. In sommige gevallen kunnen gebruikers op het vak Mijn wachtwoord onthouden klikken in het dialoogvenster om hun referenties op te slaan voor latere bezoeken aan die website.
Tijdelijke oplossingen voor ontwikkelaars van toepassingen en websites
URL's die worden geopend door objecten die WinInet- of Urlmon-functies aanroepen
Voor objecten die gebruikmaken van een HTTP- of HTTPS-URL die gebruikersgegevens bevat wanneer ze een WinInet- of Urlmon-functie aanroepen, zoals InternetOpenURL, herschrijft u het object om een van de volgende methoden te gebruiken om gebruikersgegevens naar de website te verzenden:
- Gebruik de functie InternetSetOption en voeg de volgende optievlagken toe:
INTERNET_OPTION_USERNAMEINTERNET_OPTION_PASSWORD
Opmerking
Voor deze vlaggen moet de optie InternetSetOption een ingang hebben die wordt geretourneerd door de functie InternetConnect. Als de toepassing de functie InternetOpenUrl gebruikt, wijzigt u de toepassing om de functies InternetConnect, HttpOpenRequest en HttpSendRequest WinInet te gebruiken.
Ga naar de volgende Microsoft-websites voor meer informatie over het gebruik van deze functies:
Ga naar de volgende Microsoft-website voor meer informatie over het gebruik van de IAuthenticate-interface :
Opmerking
Met deze tijdelijke oplossing kunt u websites openen die door de URL-spoofing-techniek worden omgeleid. De hele URL wordt weergegeven, inclusief de omgeleide locatie.
De volgende URL wordt bijvoorbeeld weergegeven:
http://www.wingtiptoys.com@www.example.comDe gebruiker komt nog steeds aan op de omgeleide website. In dit voorbeeld komt de gebruiker aan op
http://www.example.com.- Gebruik de functie InternetSetOption en voeg de volgende optievlagken toe:
URL's die worden geopend door een script dat referenties gebruikt voor statusbeheer
Als u HTTP- of HTTPS-URL's opneemt die gebruikersgegevens bevatten in uw scriptcode, wijzigt u uw scriptcode om statusgegevens te beheren, zodat cookies worden gebruikt in plaats van gebruikersgegevens. Zie HTTP State Management Mechanism (HTTP State Management Mechanism) voor meer informatie over het gebruik van cookies voor het beheren van statusgegevens.
Zie HttpCookie-klasse voor een voorbeeld van het gebruik van Visual Basic voor het lezen en schrijven van HTTP-cookies in een ASP.NET-webprogramma.
Het nieuwe gedrag uitschakelen of gebruiken in andere programma's
U kunt registerwaarden instellen om dit nieuwe gedrag te gebruiken in andere programma's die als host fungeren voor het webbrowserbesturingselement of om dit nieuwe gedrag uit te schakelen voor Windows Explorer en Internet Explorer.
Hoe programma's die het webbrowserbesturingselement hosten, dit nieuwe standaardgedrag kunnen gebruiken om gebruikersgegevens in HTTP of in HTTPS-URL's te verwerken
Dit nieuwe standaardgedrag voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL's is standaard alleen van toepassing op Windows Explorer en Internet Explorer. Als u dit nieuwe gedrag wilt gebruiken in andere programma's die het webbrowserbesturingselement hosten, maakt u een DWORD-waarde met de naam SampleApp.exe, waarbij SampleApp.exe de naam is van het uitvoerbare bestand waarop het programma wordt uitgevoerd. Stel de waardegegevens van de DWORD-waarde in op 1 in een van de volgende registersleutels.
Stel voor alle gebruikers van het programma de waarde in de volgende registersleutel in:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLEStel voor de huidige gebruiker van het programma de waarde in de volgende registersleutel in:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Het nieuwe standaardgedrag uitschakelen voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL's
Als u het nieuwe standaardgedrag in Windows Explorer en Internet Explorer wilt uitschakelen, maakt uiexplore.exe en explorer.exe DWORD-waarden in een van de volgende registersleutels en stelt u de waardegegevens in op 0.
Stel voor alle gebruikers van het programma de waarde in de volgende registersleutel in:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLEStel voor de huidige gebruiker van het programma de waarde in de volgende registersleutel in:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Verwijzingen
Ga naar de volgende IETF-websites (Internet Engineering Task Force) voor een uitleg van de standaard-URL-syntaxis voor HTTP- of HTTPS-URL's:
- RFC 1738: Uniform Resource Locators (URL)
- RFC 2396: Uniform Resource Identifiers (URI): Algemene syntaxis
- RFC 2616: Hypertext Transfer Protocol--HTTP/1.1
Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder voorafgaande kennisgeving worden gewijzigd. Microsoft kan niet instaan voor de juistheid van deze contactinformatie.
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor