Internet Explorer støtter ikke brukernavn og passord i webområdeadresser (URL-adresser for HTTP eller HTTPS)

Artikkeloversettelser Artikkeloversettelser
Artikkel-ID: 834489 - Vis produkter som denne artikkelen gjelder for.
Vis alt | Skjul alt

På denne siden

Hensikten med denne artikkelen er å varsle webområdeadministratorer og IT-teknikere om virkemåten til Internet Explorer når brukerinformasjon tas med i en webområdeadresse (URL-adresser for HTTP eller HTTPS).

Hvis du er en hjemmebruker og har problemer med passord eller brukerinformasjon i Internet Explorer, kan du gå til webområdet Internet Explorer Solution Center for å søke etter feilsøkingsinformasjon eller kontakte kundestøtte:

Sammendrag

Som standard støtter ikke versjoner av Windows Internet Explorer som ble utgitt sammen med utgivelsen av sikkerhetsoppdatering 832894, håndtering av brukernavn og passord i HTTP og HTTP med Secure Sockets Layer (SSL) eller URL-adresser for HTTPS. Følgende URL-syntaks støttes ikke i Internet Explorer eller i Windows Explorer:
http(s)://username:password@server/resource.ext
Hensikten med denne artikkelen er å informere om standardvirkemåten til Internet Explorer. Hvis du inkluderer brukerinformasjon i URL-adresser for HTTP eller HTTPS, anbefaler vi at du undersøker løsningene som beskrives i denne artikkelen. Hvis du vil ha mer informasjon om sikkerhetsoppdateringen 832894, kan du gå til følgende Microsoft-webområde:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx

Mer informasjon

Bakgrunnsinformasjon

Internet Explorer versjon 3.0 til 6.0 støtter følgende syntaks for URL-adresser for HTTP eller HTTPS:
http(s)://username:password@server/resource.ext
Du kan bruke denne URL-syntaksen til å sende brukerinformasjonen automatisk til et webområde som støtter den grunnleggende godkjenningsmetoden.

En bruker med onde hensikter kan også bruke denne URL-syntaksen til å opprette en hyperkobling som ser ut som den åpner et lovlig webområde, men i stedet åpner et falskt område. For eksempel, følgende URL-adresse ser ut til å åpne http://www.wingtiptoys.com, men åpner i stedet http://example.com:
http://www.wingtiptoys.com@example.com
Obs!  I dette tilfellet vises bare "http://example.com" på adresselinjen i Internet Explorer 6 Service Pack 1 (SP1) og Internet Explorer 6 for Microsoft Windows Server 2003. I tidligere versjoner av Internet Explorer vises imidlertid "http://www.wingtiptoys.com@example.com" på adresselinjen.

Brukere med onde hensikter kan i tillegg bruke denne URL-syntaksen sammen med andre måter for å opprette en kobling til et falskt webområde som viser URL-adressen til et lovlig webområde på statuslinjen, tittellinjen og på adresselinjen i alle versjoner av Internet Explorer.

Hvis du vil ha mer informasjon om dette problemet, kan du klikke følgende artikkelnummer for å vise artikkelen i Microsoft Knowledge Base:
833786 Forholdsregler du kan ta for å hjelpe å identifisere og beskytte deg mot falske webområder og skadelige hyperkoblinger

Forklaring på endringen i standardvirkemåten

For å løse problemet som behandles i delen Bakgrunnsinformasjon, støtter ikke Internet Explorer og Windows Utforsker lenger håndtering av URL-adresser for HTTP og HTTPS i dette formatet. HTTP- og HTTPS-webområder åpnes ikke i Windows Utforsker og Internet Explorer ved hjelp av en URL-adresse som inneholder brukerinformasjon. Hvis brukerinformasjon er inkludert i en URL-adresse for HTTP eller HTTPS, vises som standard en webside som har følgende tittel:
Ugyldig syntaksfeil
Obs!  Denne endringen i standardvirkemåten påvirker ikke andre protokoller. Du kan for eksempel fremdeles inkludere brukerinformasjon i en FTP-URL-adresse etter at du har installert sikkerhetsoppdateringen 832894.

Denne endringen i standardvirkemåten implementeres også av sikkerhetsoppdateringer, oppdateringspakker og versjoner av Internet Explorer som er utgitt etter at sikkerhetsoppdateringen 832894 ble utgitt.

Løsninger for brukere

URL-adresser som åpnes av brukere som skriver inn URL-adressen på adresselinjen eller klikker en kobling

Hvis brukere som regel skriver inn URL-adresser for HTTP eller HTTPS som inneholder brukerinformasjon, på adresselinjen, eller klikker koblinger som inneholder brukerinformasjon i URL-adresser for HTTP eller HTTPS, kan du omgå den nye funksjonaliteten i Internet Explorer på to måter:
  • Ikke inkluder brukerinformasjon i URL-adresser for HTTP eller HTTPS.
  • Be brukere om ikke å inkludere brukerinformasjon når de skriver inn URL-adresser for HTTP eller HTTPS.
Hvis webområdet bruker den grunnleggende godkjenningsmetoden, får brukerne automatisk beskjed om å skrive inn brukernavn og passord. I noen tilfeller kan brukeren merke av for Husk passord i dialogboksen slik at påloggingsinformasjonen lagres til neste gang brukeren går til det webområdet.

Løsninger for programutviklere og webområdeutviklere

URL-adresser som åpnes av objekter som kaller opp WinInet- eller Urlmon-funksjoner

For objekter som bruker en URL-adresse for HTTP eller HTTPS som inneholder brukerinformasjon når de kaller opp en WinInet- eller Urlmon-funksjon, for eksempel InternetOpenURL, må du skrive om objektet slik at det bruker én av følgende metoder til å sende brukerinformasjon til webområdet:
  • Bruk funksjonen InternetSetOption og ta med følgende alternativflagg:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Obs!  For disse flaggene må InternetSetOption-alternativet ha et håndtak som returneres av funksjonen InternetConnect. Hvis programmet bruker funksjonen InternetOpenUrl, endrer du programmet slik at det bruker WinInet-funksjonene InternetConnect, HttpOpenRequest og HttpSendRequest. Hvis du vil ha mer informasjon om hvordan du bruker disse funksjonene, kan du gå til følgende Microsoft-webområde:
    http://msdn2.microsoft.com/en-us/library/Aa384363

    http://msdn2.microsoft.com/en-us/library/Aa384233

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
  • Bruk IAuthenticate-grensesnittet. Hvis du vil ha mer informasjon om hvordan du bruker IAuthenticate-grensesnittet, går du til følgende Microsoft-webområde:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
Obs!  Med denne løsningen kan du åpne webområder som URL-forfalskningsteknikken omdirigerer. Hele URL-adressen vises, inkludert det omdirigerte området. For eksempel vises følgende URL-adresse:
http://www.wingtiptoys.com@www.example.com
Brukeren kommer likevel frem til det omdirigerte webområdet. I dette eksemplet kommer brukeren frem til http://www.example.com.

URL-adresser som åpnes av et skript som bruker informasjon for statusstyring

Hvis du inkluderer URL-adresser for HTTP eller HTTPS som inneholder brukerinformasjon i skriptkoden for å styre statusinformasjon, endrer du skriptkoden slik at den bruker informasjonskapsler i stedet for brukerinformasjon. Hvis du vil ha mer informasjon om hvordan du bruker informasjonskapsler til å styre statusinformasjon, går du til følgende webområde for Internet Engineering Task Force (IETF):
http://www.ietf.org/rfc/rfc2965.txt
Hvis du vil se et eksempel på hvordan du bruker Visual Basic til å lese og skrive HTTP-informasjonskapsler i et ASP.NET-webprogram, går du til følgende Microsoft-webområde:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx

Deaktivere den nye virkemåten eller bruke den i andre programmer

Du kan angi at registerverdier skal bruke den nye virkemåten i andre programmer som er vert for webleserkontrollen, eller deaktivere den nye virkemåten for Windows Utforsker og Internet Explorer.

Hvordan programmer som er vert for webleserkontrollen, kan bruke den nye standardvirkemåten til å håndtere brukerinformasjon i URL-adresser for HTTP eller HTTPS

Som standard gjelder standardvirkemåten for håndtering av brukerinformasjon i URL-adresser for HTTP eller HTTPS bare Windows Utforsker og Internet Explorer. Hvis du vil bruke denne nye virkemåten i andre programmer som er vert for webleserkontrollen, oppretter du en DWORD-verdi som kalles SampleApp.exe, der SampleApp.exe er navnet på den kjørbare filen som kjører programmet. Sett DWORD-verdiens verdidata til 1 i én av registernøklene nedenfor.
  • For alle brukere av programmet angir du verdien i følgende registernøkkel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Bare for den gjeldende brukeren av programmet angir du verdien i følgende registernøkkel:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Slik deaktiverer du den nye standardvirkemåten for håndtering av brukerinformasjon i URL-adresser for HTTP eller HTTPS

Hvis du vil deaktivere den nye standardvirkemåten i Windows Utforsker og Internet Explorer, oppretter du DWORD-verdier for iexplore.exe og explorer.exe i én av registernøklene nedenfor, og setter verdidataene til 0.
  • For alle brukere av programmet angir du verdien i følgende registernøkkel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Bare for den gjeldende brukeren av programmet angir du verdien i følgende registernøkkel:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Referanser

Hvis du vil ha en forklaring på standard URL-syntaks for URL-adresser for HTTP eller HTTPS, går du til følgende webområder for Internet Engineering Task Force (IETF):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generell syntaks
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Microsoft tilbyr kontaktopplysninger om tredjeparter, noe som hjelper deg med å finne teknisk kundestøtte. Disse kontaktopplysningene kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til disse kontaktopplysningene om tredjeparter.
Obs! Dette er en "FAST PUBLISH"-artikkel som er opprettet direkte innenfor Microsofts kundestøtteorganisasjon. Informasjonen her leveres "som den er" som svar på problemer som kan oppstå. Som et resultat av den korte tiden det tar å gjøre materialet tilgjengelig, kan det inneholde skrivefeil, og det kan når som helst og uten forvarsel bli revidert. Se Vilkår for bruk for mer informasjon.

Egenskaper

Artikkel-ID: 834489 - Forrige gjennomgang: 30. august 2011 - Gjennomgang: 13.1
Informasjonen i denne artikkelen gjelder:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Nøkkelord: 
kbresolve KB834489

Gi tilbakemelding

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com