Iniciar Sess�o

Select the product you need help with

O Internet Explorer n�o suporta nomes de utilizador e palavras-passe em endere�os de Web sites (URLs de HTTP ou HTTPS)

Artigo: 834489 - Ver produtos para os quais este artigo se aplica.

Nesta p�gina

Este artigo destina-se a notificar os administradores de Web sites e profissionais de TI acerca do comportamento do Internet Explorer quando s�o inclu�das informa��es de utilizador num endere�o de Web site (URL de HTTP ou HTTPS).

Se � um utilizador dom�stico e tem problemas com palavras-passe ou informa��es de utilizador no Internet Explorer, visite o Web site Centro de Solu��es do Internet Explorer para procurar informa��es de resolu��o de problemas ou para contactar o suporte t�cnico:

Internet Explorer 7
http://support.microsoft.com/ph/8722
(http://support.microsoft.com/ph/8722)
Internet Explorer 6
http://support.microsoft.com/ph/2073
(http://support.microsoft.com/ph/2073)

Voltar ao topo | Submeter coment�rios

Sum�rio

Por predefini��o, as vers�es do Windows Internet Explorer disponibilizadas ap�s a actualiza��o de seguran�a 832894 n�o suportam o processamento de nomes de utilizadores e palavras-passe nos URLs de HTTP e HTTP com camada segura de sockets (SSL, Secure Sockets Layer) ou HTTPS. A seguinte sintaxe de URL n�o � suportada no Internet Explorer ou no Explorador do Windows:

http(s)://nome_utilizador:palavra-passe@servidor/recurso.ext

Este artigo destina-se a notificar os utilizadores desta altera��o no comportamento predefinido do Internet Explorer. Se incluir informa��es de utilizador nos URLs de HTTP ou HTTPS, recomendamos que explore as medidas descritas neste artigo. Para obter mais informa��es sobre a actualiza��o de seguran�a 832894, visite o seguinte Web site da Microsoft:

http://www.microsoft.com/portugal/technet/seguranca/boletins/MS04-004.mspx

(http://www.microsoft.com/portugal/technet/seguranca/boletins/MS04-004.mspx)

Voltar ao topo | Submeter coment�rios

Mais Informa��o

Informa��es adicionais

O Internet Explorer vers�o 3.0 a 6.0 suporta a seguinte sintaxe para URLs de HTTP ou HTTPS:

http(s)://nome_utilizador:palavra-passe@servidor/recurso.ext

Pode utilizar esta sintaxe de URL para enviar automaticamente informa��es de utilizador para um Web site que suporte o m�todo de autentica��o base.

Um utilizador malicioso poder� utilizar esta sintaxe de URL para criar uma hiperliga��o que, aparentemente, abra um Web site leg�timo, mas na realidade abra um Web site enganoso (fraudulento). Por exemplo, o URL que se segue parece abrir http://www.wingtiptoys.com, mas na realidade abre http://example.com:

http://www.wingtiptoys.com@example.com

Nota: neste caso, o Internet Explorer 6 Service Pack 1 (SP1) e o Internet Explorer 6 para Microsoft Windows Server 2003 apenas apresentam "http://example.com" na barra Endere�o. No entanto, as vers�es anteriores do Internet Explorer apresentam "http://www.wingtiptoys.com@example.com" na barra Endere�o.

Al�m disso, utilizadores maliciosos podem utilizar esta sintaxe de URL em conjunto com outros m�todos para criar uma liga��o a um Web site enganoso (fraudulento) que apresente o URL de um Web site leg�timo nas barras de estado, de endere�o e de t�tulo de todas as vers�es do Internet Explorer.

Para obter mais informa��es sobre este problema, clique no n�mero de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):

833786

(http://support.microsoft.com/kb/833786/ )

Passos que pode efectuar para o ajudar a identificar e proteger contra Web sites enganosos (fraudulentos) e hiperliga��es maliciosas

Explica��o da altera��o no comportamento predefinido

Para atenuar os problemas abordados na sec��o "Informa��es adicionais", o Internet Explorer e o Explorador do Windows deixaram de suportar o processamento de URLs de HTTP e HTTPS deste formato. O Explorador do Windows e o Internet Explorer n�o abrem sites de HTTP ou HTTPS utilizando um URL que inclua informa��es de utilizador. Por predefini��o, se forem inclu�das informa��es de utilizador num URL de HTTP ou HTTPS, ser� apresentada uma p�gina Web com o seguinte t�tulo:

Erro de sintaxe inv�lida

Nota: esta altera��o no comportamento predefinido n�o afecta outros protocolos. Por exemplo, poder� incluir informa��es de utilizador num URL de FTP ap�s a instala��o da actualiza��o de seguran�a 832894.

Esta altera��o no comportamento predefinido � tamb�m implementada por actualiza��es de seguran�a, Service Packs e vers�es do Internet Explorer disponibilizadas ap�s a actualiza��o de seguran�a 832894.

Voltar ao topo | Submeter coment�rios

Medidas para utilizadores

URLs abertos por utilizadores que escrevem o URL na barra 'Endere�o' ou clicam numa hiperliga��o

Se normalmente os utilizadores escreverem URLs de HTTP ou HTTPS que incluam informa��es de utilizador na barra Endere�o ou clicarem em hiperliga��es que incluam informa��es de utilizador em URLs de HTTP ou HTTPS, poder� contornar esta nova funcionalidade no Internet Explorer de duas formas:

N�o inclua informa��es de utilizador em URLs de HTTP ou HTTPS.
D� instru��es aos utilizadores para n�o inclu�rem as respectivas informa��es de utilizador quando escreverem URLs de HTTP ou HTTPS.

Se o Web site utilizar o m�todo de autentica��o base, o Internet Explorer solicitar� automaticamente aos utilizadores um nome de utilizador e uma palavra-passe. Nalguns casos, os utilizadores podem clicar na caixa Memorizar palavra-passe da caixa de di�logo para guardar as respectivas credenciais para visitas futuras a esse Web site.

Medidas para programadores de aplica��es e de Web sites

URLs abertos por objectos que invocam fun��es de WinInet ou Urlmon

Para objectos que utilizem um URL de HTTP ou HTTPS que inclua informa��es de utilizador quando invocam uma fun��o de WinInet ou Urlmon, tal como, InternetOpenURL, rescreva o objecto para que utilize um dos seguintes m�todos para enviar informa��es de utilizador para o Web site:

Utilize a fun��o InternetSetOption e inclua os seguintes sinalizadores opcionais:
- INTERNET_OPTION_USERNAME
- INTERNET_OPTION_PASSWORD
Nota: para estes sinalizadores, a op��o InternetSetOption tem de ter um identificador devolvido pela fun��o InternetConnect. Assim, se a aplica��o utilizar a fun��o InternetOpenUrl, modifique a aplica��o para utilizar as fun��es de WinInet InternetConnect, HttpOpenRequest e HttpSendRequest. Para obter mais informa��es sobre como utilizar estas fun��es, visite os seguintes Web sites da Microsoft:
http://msdn2.microsoft.com/en-us/library/Aa384363
(http://msdn2.microsoft.com/en-us/library/Aa384363)

http://msdn2.microsoft.com/en-us/library/Aa384233
(http://msdn2.microsoft.com/en-us/library/Aa384233)

http://msdn2.microsoft.com/en-us/library/aa384247.aspx
(http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
Utilize a interface IAuthenticate. Para obter mais informa��es sobre como utilizar a interface IAuthenticate, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/ms775080.aspx
(http://msdn2.microsoft.com/en-us/library/ms775080.aspx)

Nota: com esta medida, � poss�vel abrir Web sites redireccionados pela t�cnica de URLs fraudulentos. Aparece o URL completo, incluindo a localiza��o redireccionada. Por exemplo, � apresentado o seguinte URL:

http://www.wingtiptoys.com@www.example.com

No entanto, o utilizador continua a aceder ao Web site redireccionado. Neste exemplo, o utilizador acede a http://www.example.com.

URLs abertos por um script que utiliza credenciais para gest�o de estado

Se incluir URLs de HTTP ou HTTPS que contenham informa��es de utilizador no c�digo de script, para gerir informa��es de estado, altere o c�digo de script para que sejam utilizados cookies em vez de informa��es de utilizador. Para obter mais informa��es sobre como utilizar cookies para gerir informa��es de estado, visite o seguinte Web site da IETF (Internet Engineering Task Force):

http://www.ietf.org/rfc/rfc2965.txt

(http://www.ietf.org/rfc/rfc2965.txt)

Para ver um exemplo de como utilizar o Visual Basic para ler e escrever cookies de HTTP num programa da Web de ASP.NET, visite o seguinte Web site da Microsoft:

http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx

(http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

Como desactivar o novo comportamento ou utiliz�-lo noutros programas

Pode definir valores de registo para utilizar este novo comportamento noutros programas que hospedem o controlo do browser ou para desactivar o novo comportamento no Explorador do Windows e no Internet Explorer.

Voltar ao topo | Submeter coment�rios

De que forma os programas que hospedam o controlo do browser podem utilizar este novo comportamento predefinido para processar informa��es de utilizador em URLs de HTTP ou HTTPS

Por predefini��o, este novo comportamento predefinido para processamento de informa��es de utilizador em URLs de HTTP ou HTTPS aplica-se apenas ao Explorador do Windows e ao Internet Explorer. Para utilizar este novo comportamento noutros programas que hospedem o controlo do browser, crie um valor DWORD com o nome SampleApp.exe, em que SampleApp.exe corresponde ao nome do ficheiro execut�vel que executa o programa. Defina os dados do valor DWORD como 1, numa das seguintes chaves do registo.

Para todos os utilizadores do programa, defina o valor na seguinte chave do registo:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Apenas para o utilizador actual do programa, defina o valor na seguinte chave do registo:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Como desactivar o novo comportamento predefinido para processamento de informa��es de utilizador em URLs de HTTP ou HTTPS

Para desactivar o novo comportamento predefinido no Explorador do Windows e no Internet Explorer, crie valores DWORD iexplore.exe e explorer.exe numa das seguintes chaves do registo e defina os respectivos dados de valor como 0.

Para todos os utilizadores do programa, defina o valor na seguinte chave do registo:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Apenas para o utilizador actual do programa, defina o valor na seguinte chave do registo:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Voltar ao topo | Submeter coment�rios

Refer�ncias

Para obter uma explica��o da sintaxe de URL padr�o para URLs de HTTP ou HTTPS , visite os seguintes Web sites da IETF (Internet Engineering Task Force):

RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

(http://www.ietf.org/rfc/rfc1738.txt)

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

(http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt

(http://www.ietf.org/rfc/rfc2616.txt)

A Microsoft fornece informa��es de contacto de outros fabricantes para o ajudar na obten��o de suporte t�cnico. Estas informa��es de contacto poder�o ser alteradas sem aviso pr�vio. A Microsoft n�o garante o rigor das informa��es sobre o contacto destes fabricantes.

Voltar ao topo | Submeter coment�rios

Nota Este � um artigo de ?PUBLICA��O R�PIDA? criado directamente a partir da organiza��o de suporte da Microsoft. As informa��es contidas neste artigo s�o fornecidas ?tal como est�o? em resposta a problemas recentes. Devido � urg�ncia em disponibilizar este artigo, os materiais poder�o incluir erros tipogr�ficos e ser revistos em qualquer altura sem aviso pr�vio. Consulte os Termos de Utiliza��o

(http://go.microsoft.com/fwlink/?LinkId=151500)

para outras considera��es.

Voltar ao topo | Submeter coment�rios