Iniciar Sess�o

Select the product you need help with

O Internet Explorer n�o oferece suporte para nomes de usu�rios e senhas em endere�os de sites (URLs HTTP ou HTTPS)

ID do artigo: 834489 - Exibir os produtos aos quais esse artigo se aplica.

Nesta p�gina

Esse artigo � destinado a notificar os administradores de sites e profissionais de TI sobre o comportamento do Internet Explorer, quando informa��es de usu�rios forem inclu�das em um endere�o de site (URL HTTP ou HTTPS).

Se voc� for um usu�rio dom�stico e tiver problemas com senhas ou informa��es de usu�rio no Internet Explorer, visite o site do Centro de solu��es do Internet Explorer para pesquisar por informa��es para solu��o de problemas ou contatar o suporte:

Internet Explorer 7
http://support.microsoft.com/ph/8722
(http://support.microsoft.com/ph/8722)
Internet Explorer 6 (em ingl�s)
http://support.microsoft.com/ph/2073
(http://support.microsoft.com/ph/2073)

Voltar para o in�cio | Submeter coment�rios

Sum�rio

Por padr�o, as vers�es do Windows Internet Explorer que foram lan�adas inicialmente com a vers�o da atualiza��o de seguran�a 832894 n�o oferecem suporte ao tratamento de nomes de usu�rio e senhas em HTTP e HTTP com protocolo SSL ou URLs HTTPS. A seguinte sintaxe da URL n�o oferece suporte no Internet Explorer ou no Windows Explorer:

http(s)://nome_de_usu�rio:senha@servidor/recurso.ext

Este artigo tem como objetivo notific�-los desse comportamento padr�o do Internet Explorer. Se voc� incluiu informa��es do usu�rio em HTTP ou URLs HTTPS, � aconselh�vel explorar a solu��o alternativa descrita neste artigo. Para obter mais informa��es sobre as atualiza��es de seguran�a 832894 , visite o seguinte site da Microsoft (em ingl�s):

http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx

(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)

Voltar para o in�cio | Submeter coment�rios

Mais Informa��es

Informa��es gerais

O Internet Explorer em vers�es 3.0 at� 6.0 oferecem suporte � seguinte sintaxe para URLs HTTP ou HTTPS:

http(s)://nome_de_usu�rio:senha@servidor/recurso.ext

� poss�vel usar a sintaxe da URL para enviar automaticamente as informa��es do usu�rio para um site que oferece suporte ao m�todo de autentica��o b�sico.

Um usu�rio mal-intencionado pode usar a sintaxe da URL para criar um hyperlink que parece abrir um site leg�timo, por�m abre um site enganoso (falsificado). Por exemplo, a seguinte URL parece abrir o site http://www.wingtiptoys.com mas abre http://example.com:

http://www.wingtiptoys.com@example.com

Observa��o Nesse caso, o Internet Explorer 6 Service Pack 1 (SP1) e o Internet Explorer 6 para Microsoft Windows Server 2003 exibem apenas "http://example.com" na Barra de endere�os. Por�m, vers�es anteriores do Internet Explorer exibem "http://www.wingtiptoys.com@example.com" na Barra de endere�os.

Al�m disso, usu�rios mal-intencionados podem usar essa sintaxe da URL junto com outros m�todos para criar um link para um site enganoso (falsificado) que exibe na Barra de status, Barra de endere�os e de t�tulo de todas as vers�es do Internet Explorer, a URL para um site leg�timo.

Para obter mais informa��es sobre esse problema, clique no n�mero abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a p�gina pode estar em ingl�s):

833786

(http://support.microsoft.com/kb/833786/ )

Etapas a serem executadas para ajudar na identifica��o e prote��o contra sites enganosos (falsificados) e hiperlinks mal-intencionados

Explica��o da altera��o no comportamento padr�o

Para atenuar os problemas descritos na se��o "Informa��es gerais", o Internet Explorer e o Windows Explorer n�o recebe mais suporte para tratamento em HTTP e URLs HTTPS desse formul�rio. O Windows Explorer e o Internet Explorer n�o abrem sites em HTTP ou HTTPS usando uma URL que inclui informa��es do usu�rio. Por padr�o, se as informa��es do usu�rio forem inclu�das em HTTP ou uma URL HTTPS, uma p�gina da Web com o seguinte t�tulo ser� exibida:

Erro de sintaxe inv�lida

Observa��o Essa altera��o no comportamento padr�o n�o afeta outros protocolos. Por exemplo, ainda � poss�vel incluir informa��es do usu�rio em uma URL FTP ap�s instalar a atualiza��o de seguran�a 832894.

A altera��o desse comportamento tamb�m � implementada pelas atualiza��es de seguran�a, service packs e vers�es do Internet Explorer que foram lan�adas inicialmente com a vers�o da atualiza��o de seguran�a 832894.

Voltar para o in�cio | Submeter coment�rios

Solu��es alternativas para usu�rios

As URLs abertas pelos usu�rios que digitam a URL na Barra de endere�os ou clicam em um link

Se os usu�rios normalmente digitam URLs HTTP ou HTTPS que incluam informa��es do usu�rios na Barra de endere�os ou clicam em links que incluem informa��es dos usu�rios em URLs HTTP ou HTTPS, h� duas solu��es alternativas para essa nova funcionalidade no Internet Explorer:

N�o incluir informa��es do usu�rio em URLs HTTP ou HTTPS.
Instruir os usu�rios a n�o incluir as informa��es ao digitarem URLs HTTP ou HTTPS.

Se o site usa o m�todo b�sico de autentica��o, o Internet Explorer ir� solicitar automaticamente aos usu�rios o nome de usu�rio e uma senha. Em alguns casos, os usu�rios podem clicar na caixa Lembrar senha da caixa de di�logo para salvar as credenciais para futuras visitas �quele site.

Solu��es alternativas para desenvolvedores de aplicativos e sites

As URLs abertas por objetos que requerem fun��es WinInet ou Urlmon

Para objetos que usam um URL HTTP ou um URL HTTPS que incluem informa��es dos usu�rios quando eles requerem uma fun��o WinInet ou Urlmon como InternetOpenURL, reescreva o objeto executando um dos seguintes m�todos para enviar informa��es ao site:

Use a fun��o InternetSetOption e inclua os seguintes sinalizadores de op��o:
- INTERNET_OPTION_USERNAME
- INTERNET_OPTION_PASSWORD
Observa��o Para esses sinalizadores, a op��o InternetSetOption deve ter um identificador retornado pela fun��o InternetConnect. Portanto, se o aplicativo usar a fun��o InternetOpenUrl, modifique-o para usar as fun��es WinInet InternetConnect, HttpOpenRequest e HttpSendRequest. Para obter mais informa��es sobre como usar essa fun��es, visite os seguintes sites da Microsoft (em ingl�s):
http://msdn2.microsoft.com/en-us/library/Aa384363
(http://msdn2.microsoft.com/en-us/library/Aa384363)

http://msdn2.microsoft.com/en-us/library/Aa384233
(http://msdn2.microsoft.com/en-us/library/Aa384233)

http://msdn2.microsoft.com/en-us/library/aa384247.aspx
(http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
Use a interface IAuthenticate. Para obter mais informa��es sobre como usar a interface IAuthenticate, visite o seguinte site da Microsoft (em ingl�s):
http://msdn2.microsoft.com/en-us/library/ms775080.aspx
(http://msdn2.microsoft.com/en-us/library/ms775080.aspx)

Observa��o Com essa solu��o alternativa, � poss�vel abrir sites redirecionados pela t�cnica de falsifica��o da URL. Toda a URL � exibida, incluindo o local redirecionado. Por exemplo, a seguinte URL � exibida:

http://www.wingtiptoys.com@www.example.com

O usu�rio ainda chega ao site redirecionado. Nesse exemplo, o usu�rio chega em http://www.example.com.

As URLs abertas por um script que usa credenciais para gerenciamento de estado

Se voc� incluir URLs HTTP ou HTTPS que contenham informa��es do usu�rio no c�digo de script, para gerenciar informa��es de estado, altere o c�digo de script para usar cookies em vez de informa��es do usu�rio. Para obter mais informa��es sobre como usar cookies para gerenciar informa��es de estado, visite o seguinte site da IETF (Internet Engineering Task Force) (em ingl�s):

http://www.ietf.org/rfc/rfc2965.txt

(http://www.ietf.org/rfc/rfc2965.txt)

Para visualizar um exemplo de como usar o Visual Basic para ler e gravar cookies HTTP em um programa da Web ASP.NET, visite o seguinte site da Microsoft (em ingl�s):

http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp

(http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp)

Como desabilitar o novo comportamento ou us�-lo em outros programas

� poss�vel definir os valores do Registro para usar esse novo comportamento em outros programas que hospedam o controle do navegador da Web ou para desabilitar esse novo comportamento do Windows Explorer e do Internet Explorer.

Voltar para o in�cio | Submeter coment�rios

Como os programas que hospedam o controle de navega��o da Web podem usar esse novo comportamento padr�o para identificar informa��es do usu�rio em URLs HTTP ou HTTPS

Por padr�o, esse novo comportamento padr�o para identificar as informa��es do usu�rio em URLs HTTP ou HTTPS aplica-se apenas ao Windows Explorer e Internet Explorer. Para usar esse novo comportamento em outros programas que hospedem o controle de navega��o da Web, crie um valor DWORD nomeado SampleApp.exe, em que SampleApp.exe � o nome do arquivo execut�vel que executa o programa. Defina os dados do valor DWORD como 1 em uma das seguintes chaves do Registro:

Para todos os usu�rios do programa, defina o valor na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Apenas para o usu�rio atual do programa, defina o valor na seguinte chave do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Como desabilitar o novo comportamento padr�o para identificar as informa��es de usu�rio em URLs HTTP ou HTTPS

Para desabilitar o novo comportamento padr�o no Windows Explorer e no Internet Explorer, crie valores DWORD iexplore.exe e explorer.exe em uma das seguintes chaves do Registro e defina os dados dos valores para 0.

Para todos os usu�rios do programa, defina o valor na seguinte chave do Registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Apenas para o usu�rio atual do programa, defina o valor na seguinte chave do Registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Voltar para o in�cio | Submeter coment�rios

Refer�ncias

Para uma explica��o sobre a sintaxe da URL padr�o para URLs HTTP ou HTTPS, visite os seguints sites da IETF (em ingl�s):

RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

(http://www.ietf.org/rfc/rfc1738.txt)

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

(http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt

(http://www.ietf.org/rfc/rfc2616.txt)

A Microsoft fornece informa��es para contato com terceiros para ajud�-lo a encontrar suporte t�cnico. Estas informa��es podem ser alteradas sem aviso pr�vio. A Microsoft n�o garante a precis�o destas informa��es.

Voltar para o in�cio | Submeter coment�rios

Observa��o: este � um artigo de ?PUBLICA��O R�PIDA? criado diretamente pela organiza��o de suporte da Microsoft. As informa��es aqui contidas s�o fornecidas no presente estado, em resposta a quest�es emergentes. Como resultado da velocidade de disponibiliza��o, os materiais podem incluir erros tipogr�ficos e poder�o ser revisados a qualquer momento, sem aviso pr�vio. Consulte os Termos de Uso

(http://go.microsoft.com/fwlink/?LinkId=151500)

para ver outras informa��es.

Voltar para o in�cio | Submeter coment�rios