Internet Explorer ondersteunt geen gebruikersnamen en wachtwoorden in websiteadressen (HTTP- of HTTPS-URL's)

Artikel ID: 834489 - Bekijk de producten waarop dit artikel van toepassing is.
Alles uitklappen | Alles samenvouwen

Op deze pagina

Dit artikel is bedoeld om beheerders van websites en IT-professionals te informeren over het gedrag van Internet Explorer wanneer gebruikersgegevens zijn opgenomen in een websiteadres (HTTP- of HTTPS-URL).

Als u een thuisgebruiker bent en problemen met wachtwoorden of gebruikersgegevens in Internet Explorer ondervindt, gaat u naar de Internet Explorer Solution Center-website om te zoeken naar informatie over het oplossen van problemen of om contact op te nemen met Microsoft Productondersteuning.
Naar boven | Geef ons feedback

Samenvatting

Standaard bieden versies van Windows Internet Explorer die na beveiligingsupdate 832894 zijn uitgebracht, geen ondersteuning meer voor het verwerken van gebruikersnamen en wachtwoorden in HTTP- en HTTPS-URL's (HTTP met SSL (Secure Sockets Layer)). In Internet Explorer en Windows Verkenner wordt de volgende URL-syntaxis niet ondersteund:
http(s)://gebruikersnaam:wachtwoord@server/bron.ext
Dit artikel is bedoeld om u te informeren over dit standaardgedrag van Internet Explorer. Als u gebruikersgegevens opneemt in HTTP- of HTTPS-URL's, wordt u aangeraden de tijdelijke oplossingen te bekijken die in dit artikel worden beschreven. Bezoek de volgende Microsoft-website voor meer informatie over beveiligingsupdate 832894:
http://www.microsoft.com/netherlands/technet/security/bulletins/ms04-004.aspx
(http://www.microsoft.com/netherlands/technet/security/bulletins/ms04-004.aspx)
Naar boven | Geef ons feedback

Meer informatie

Achtergrondinformatie

In Internet Explorer versie 3.0 tot en met 6.0 wordt de volgende syntaxis voor HTTP- of HTTPS-URL's ondersteund:
http(s)://gebruikersnaam:wachtwoord@server/bron.ext
U kunt deze URL-syntaxis gebruiken om automatisch gebruikersgegevens te verzenden naar een website die de basisverificatiemethode ondersteunt.

Een kwaadwillende gebruiker kan deze URL-syntaxis gebruiken om een hyperlink te maken die een legitieme website lijkt te openen, maar die feitelijk een misleidende website (een site met een vervalst adres) opent. Zo lijkt de volgende URL http://www.wingtiptoys.com te openen, maar wordt in feite http://voorbeeld.com geopend:
http://www.wingtiptoys.com@voorbeeld.com
Opmerking In dit geval wordt in de adresbalk van Internet Explorer 6 Service Pack 1 (SP1) en Internet Explorer 6 voor Microsoft Windows Server 2003 alleen 'http://voorbeeld.com' weergegeven. In eerdere versies van Internet Explorer wordt in de adresbalk echter 'http://www.wingtiptoys.com@voorbeeld.com' weergegeven.

Daarnaast kunnen kwaadwillende gebruikers deze URL-syntaxis in combinatie met andere methoden gebruiken om een koppeling naar een misleidende website (een site met een vervalst adres) te maken, waarbij de URL van een legitieme website wordt weergegeven in de statusbalk, de adresbalk en de titelbalk van alle versies van Internet Explorer.

Klik voor meer informatie over dit probleem op het volgende artikelnummer in de Microsoft Knowledge Base:
833786
(http://support.microsoft.com/kb/833786/ )
Stappen die u kunt ondernemen om misleidende websites (sites met een vervalst adres) en hyperlinks die verwijzen naar dergelijke websites te herkennen en te voorkomen dat u op dergelijke sites terechtkomt

Beschrijving van de wijziging in het standaardgedrag

Om de problemen te verhelpen die worden besproken in de sectie 'Achtergrondinformatie' van dit artikel, bieden Internet Explorer en Windows Verkenner geen ondersteuning meer voor het verwerken van HTTP- en HTTPS-URL's in deze vorm. HTTP- of HTTPS-sites met een URL die gebruikersgegevens bevat, worden niet meer geopend door Windows Verkenner en Internet Explorer. Als een HTTP- of een HTTPS-URL gebruikersgegevens bevat, wordt standaard een webpagina met de volgende titel weergegeven:
Fout: ongeldige syntaxis
Opmerking Deze wijziging in het standaardgedrag heeft geen invloed op andere protocollen. U kunt bijvoorbeeld nog steeds gebruikersgegevens in een FTP-URL opnemen nadat u beveiligingsupdate 832894 hebt geïnstalleerd.

Deze verandering in het standaardgedrag wordt ook ingevoerd door beveiligingsupdates, servicepacks en versies van Internet Explorer die na beveiligingsupdate 832894 zijn uitgebracht.
Naar boven | Geef ons feedback

Tijdelijke oplossingen voor gebruikers

URL's die gebruikers in de adresbalk typen of openen door op een koppeling te klikken

Als gebruikers meestal HTTP- of HTTPS-URL's met gebruikersgegevens in de adresbalk invoeren, of op koppelingen klikken die gebruikersgegevens in HTTP- of HTTPS-URL's bevatten, kunt u deze nieuwe functie in Internet Explorer op twee manier omzeilen:
  • Geen gebruikersgegevens opnemen in HTTP- of HTTPS-URL's.
  • Gebruikers instrueren om geen gebruikersgegevens op te nemen wanneer ze HTTP- of HTTPS-URL's typen.
Als de website gebruikmaakt van de basisverificatiemethode, vraagt Internet Explorer gebruikers automatisch naar een gebruikersnaam en wachtwoord. In sommige gevallen kunnen gebruikers het selectievakje Dit wachtwoord onthouden in het dialoogvenster inschakelen, zodat hun gegevens worden opgeslagen voor latere bezoeken aan deze website.

Tijdelijke oplossingen voor software- en websiteontwikkelaars

URL's die worden geopend door objecten die WinInet- of Urlmon-functies aanroepen

Bij objecten die gebruikmaken van een HTTP- of een HTTPS-URL die gebruikersgegevens bevat wanneer deze een WinInet- of Urlmon functie, zoals InternetOpenURL, aanroepen, herschrijft u het object zodanig dat dit gebruikersgegevens naar de website verzendt met een van de volgende methoden:
  • Gebruik de functie InternetSetOption en neem de volgende optievlaggen op:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Opmerking Voor deze vlaggen moet voor de optie InternetSetOption een ingang worden geretourneerd door de functie InternetConnect. Als de toepassing de functie InternetOpenUrl gebruikt, moet u om die reden de toepassing wijzigen zodat de WinInet-functies InternetConnect, HttpOpenRequest en HttpSendRequest worden gebruikt. Meer informatie over het gebruik van deze functies kunt u vinden op de volgende Microsoft-websites:
    http://msdn2.microsoft.com/en-us/library/Aa384363
    (http://msdn2.microsoft.com/en-us/library/Aa384363)


    http://msdn2.microsoft.com/en-us/library/Aa384233
    (http://msdn2.microsoft.com/en-us/library/Aa384233)


    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
    (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Gebruik de IAuthenticate-interface. Raadpleeg voor meer informatie over het gebruik van de IAuthenticate-interface de volgende Microsoft-website:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
    (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Opmerking Door het probleem op deze manier te omzeilen, kunt u websites openen die door de URL-vervalsingstechniek worden omgeleid. De gehele URL wordt weergegeven, inclusief de omgeleide locatie. Stel dat de volgende URL wordt weergegeven:
http://www.wingtiptoys.com@www.voorbeeld.com
De gebruiker komt dan nog steeds uit bij de omgeleide website. In dit voorbeeld komt de gebruiker uit bij http://www.voorbeeld.com.

URL's die worden geopend door een script dat referenties gebruikt voor statusbeheer

Als u HTTP- of HTTPS-URL's met gebruikersgegevens in uw scriptcode opneemt om statusinformatie te beheren, wijzigt u uw scriptcode zodat er cookies worden gebruikt in plaats van gebruikersgegevens. Raadpleeg voor meer informatie over het gebruik van cookies om statusinformatie te beheren de volgende website van IETF (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Op de volgende Microsoft-website kunt u een voorbeeld bekijken van het gebruik van Visual Basic voor het lezen en schrijven van HTTP-cookies in een ASP.NET-webprogramma:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx
(http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

Het nieuwe gedrag uitschakelen of in andere programma's gebruiken

U kunt registerwaarden instellen om dit nieuwe gedrag te gebruiken in andere programma's die als host fungeren voor het webbrowserbesturingselement of om dit nieuwe gedrag uit te schakelen voor Windows Verkenner en Internet Explorer.
Naar boven | Geef ons feedback

De manier waarop programma's die als host fungeren voor het webbrowserbesturingselement, dit standaardgedrag kunnen gebruiken om gebruikersgegevens in HTTP- of HTTPS-URL's te verwerken

Dit nieuwe standaardgedrag voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL's is standaard alleen van toepassing op Windows Verkenner en Internet Explorer. Als u dit nieuwe gedrag wilt gebruiken in andere programma's die als host fungeren voor het webbrowserbesturingselement, maakt u een DWORD-waarde met de naam SampleApp.exe, waarbij SampleApp.exe de naam is van het bestand dat het programma uitvoert. Stel de waardegegevens van de DWORD-waarde in op 1 in een van de volgende registersleutels.
  • Stel de waarde voor alle gebruikers van het programma in de volgende registersleutel in:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Stel de waarde alleen voor de huidige gebruiker van het programma in de volgende registersleutel in:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Het nieuwe standaardgedrag voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL's uitschakelen

Als u het nieuwe standaardgedrag in Windows Verkenner en Internet Explorer wilt uitschakelen, maakt u de DWORD-waarden iexplore.exe en explorer.exe in een van de volgende registersleutels en stelt u de bijbehorende waardegegevens in op 0.
  • Stel de waarde voor alle gebruikers van het programma in de volgende registersleutel in:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Stel de waarde alleen voor de huidige gebruiker van het programma in de volgende registersleutel in:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Naar boven | Geef ons feedback

Referenties

Raadpleeg voor een beschrijving van de standaardsyntaxis voor HTTP- of HTTPS-URL's de volgende websites van IETF (Internet Engineering Task Force):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft verstrekt deze contactinformatie om u te helpen bij het aanvragen van technische ondersteuning. Deze contactinformatie kan zonder aankondiging worden gewijzigd. Microsoft kan derhalve niet instaan voor de juistheid van deze contactinformatie.
Naar boven | Geef ons feedback
Opmerking Dit is een artikel voor snelle publicatie dat rechtstreeks is gemaakt vanuit de ondersteuningsorganisatie van Microsoft. De informatie in dit artikel wordt in de huidige vorm aangeboden in reactie op nieuw geconstateerde problemen. Aangezien artikelen van dit type zeer snel moeten worden gepubliceerd, kan de inhoud typografische fouten bevatten en kan de inhoud zonder voorafgaande kennisgeving worden gewijzigd. Raadpleeg de Gebruiksrechtovereenkomst
(http://go.microsoft.com/fwlink/?LinkId=151500)
voor overige aandachtspunten.
Naar boven | Geef ons feedback

Eigenschappen

Artikel ID: 834489 - Laatste beoordeling: dinsdag 30 augustus 2011 - Wijziging: 12.1
De informatie in dit artikel is van toepassing op:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Trefwoorden: 
kbresolve KB834489
Naar boven | Geef ons feedback

Geef ons feedback

 
Naar bovenNaar boven