Este disponibilă o actualizare de securitate care modifică comportamentul implicit din Internet Explorer pentru tratarea informațiilor de utilizator în URL-urile HTTP și HTTPS

Traduceri articole Traduceri articole
ID articol: 834489 - View products that this article applies to.
Măriți totul | Reduceți totul

În această pagină

REZUMAT

Este disponibilă o actualizare de securitate care elimină suportul de tratare a numelor de utilizator și a parolelor în HTTP și HTTP cu Secure Sockets Layer (SSL) sau URL-uri HTTPS în Microsoft Internet Explorer. După ce instalați actualizarea de securitate cumulativă MS04-004 pentru Internet Explorer (832894), nu mai este acceptată în Internet Explorer sau în Windows Explorer următoarea sintaxă de URL:
http(s)://numeutilizator:parolă@server/resursă.ext
Această modificare în comportamentul implicit se implementează, de asemenea, cu actualizările de securitate și pachetele de service care s-au lansat după lansarea actualizării de securitate 832894. Acest articol este destinat să informeze referitor la această modificare de comportament implicit din Internet Explorer. Dacă includeți informații de utilizator în URL-uri HTTP sau HTTPS, Microsoft recomandă să explorați modalitățile de evitare a problemei descrise în acest articol înainte de a instala actualizarea de securitate 832894. Pentru informații suplimentare despre actualizarea de securitate 832894, vizitați următorul site Web Microsoft:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
Pentru informații referitoare la versiunea de Internet Explorer și Microsoft Windows care sunt acceptate de aceste actualizări de securitate, consultați secțiunile „Security Update Information” și „Frequently Asked Questions” din buletinul de securitate MS04-004.

INFORMAȚII SUPLIMENTARE

Informații de bază

Internet Explorer versiunea 3.0 și versiunile mai recente acceptă următoarea sintaxă pentru URL-uri HTTP sau HTTPS:
http(s)://numeutilizator:parolă@server/resursă.ext
Această sintaxă URL se poate utiliza pentru a trimite automat informațiile de utilizator la un site Web care acceptă metoda de autentificare simplă.

Un utilizator rău intenționat poate utiliza această sintaxă URL pentru a crea un hyperlink care pare să deschidă un site Web legitim, dar, de fapt, deschide un site Web înșelător (falsificat). De exemplu, următorul URL pare că deschide http://www.wingtiptoys.com, dar, de fapt, deschide http://example.com:
http://www.wingtiptoys.com@example.com
Notă În acest caz, Internet Explorer 6 Service Pack 1 (SP1) și Internet Explorer 6 pentru Microsoft Windows Server 2003 afișează în bara de adrese „http://example.com”. Versiunile anterioare de Internet Explorer, însă, afișeaz㠄http://www.wingtiptoys.com@example.com” în bara de adrese.

În plus, utilizatorii rău intenționați pot utiliza această sintaxă de URL împreună cu alte metode pentru a crea un link la un site Web înșelător (falsificat) care afișează URL-ul unui site Web legitim în bara de stare, în bara de adrese și în bara de titlu a tuturor versiunilor de Internet Explorer.

Pentru informații suplimentare privind această problemă, faceți clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoștințe Microsoft:
833786 Pași care ajută la identificarea și protejarea împotriva site-urilor Web înșelătoare (falsificate) și a hyperlink-urilor rău intenționate (Această legătură poate să indice către un conținut care este parțial sau în întregime în limba engleză.)

Explicația modificării comportamentului implicit

Pentru a diminua problemele discutate în secțiunea „Informații de baz㔠a acestui articol, actualizarea de securitate 832894 elimină suportul pentru tratarea URL-urilor HTTP și HTTPS în acest format în Internet Explorer și Windows Explorer. După ce instalați actualizarea de securitate 832894, Windows Explorer și Internet Explorer nu deschid site-urile HTTP sau HTTPS utilizând un URL care conține informații de utilizator. În mod implicit, dacă informațiile de utilizator sunt conținute într-un URL HTTP sau HTTPS, apare o pagină Web cu următorul titlu:
Eroare de sintaxă
Notă Această modificare în comportamentul implicit nu afectează alte protocoale. De exemplu, aveți posibilitatea să includeți informații de utilizator într-un URL FTP după ce instalați actualizarea de securitate 832894.

Această modificare în comportamentul implicit se implementează, de asemenea, prin actualizări de securitate și pachete de service care au fost lansate după lansarea actualizării de securitate 832894.

Soluții pentru utilizatori

URL-urile care se deschid de către utilizatorii care tastează URL-ul în bara Adresă sau fac clic pe un link

Dacă utilizatorii tastează de regulă, în bara de adrese, URL-uri HTTP sau HTTPS care includ informații de utilizator sau dacă fac clic pe linkuri care includ informații de utilizator în URL-uri HTTP sau HTTPS, această nouă funcționalitate se poate evita în Internet Explorer, în două feluri:
  • Nu includeți informațiile de utilizator în URL-uri HTTP sau HTTPS.
  • Instruiți utilizatorii să nu includă informațiile lor de utilizator când tastează URL-uri HTTP sau HTTPS.
Dacă site-ul Web utilizează metoda de autentificare simplă, Internet Explorer cere automat utilizatorilor numele de utilizator și parola. În unele cazuri utilizatorii pot face clic pe caseta Memorare parolă din caseta de dialog pentru a salva acreditările pentru vizitele ulterioare la acel site Web.

Soluții pentru dezvoltatorii de aplicații și de site-uri Web

URL-urile care se deschid de către obiecte care apelează funcții WinInet sau Urlmon

Pentru obiecte care utilizează un URL HTTP sau HTTPS care include informații de utilizator atunci când apelează o funcție WinInet sau Urlmon cum ar fi InternetOpenURL, rescrieți obiectul pentru a utiliza una dintre metodele următoare de trimitere a informațiilor de utilizator la site-ul Web: Notă Cu această soluție, se pot deschide site-urile Web pe care tehnica de falsificare a URL-urilor le redirecționează. Apare întreaga adresă URL, inclusiv amplasarea redirectată. De exemplu, următorul URL apare:
http://www.wingtiptoys.com@www.example.com
Utilizatorul ajunge, totuși, la site-ul Web redirectat. În acest exemplu, utilizatorul ajunge la http://www.example.com.

URL-urile care se deschid printr-un script care utilizează acreditările pentru gestionarea stării

Dacă includeți URL-uri HTTP sau HTTPS care conțin informații de utilizator în codul scriptului, pentru a gestiona informații de stare, modificați codul scriptului pentru a utiliza module cookie în loc de informații de utilizator. Pentru informații suplimentare despre modalitatea de utilizare a modulelor cookie la gestionarea informațiilor de stare, vizitați următorul site Web IETF (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt
Pentru a vedea un exemplu de utilizare a Visual Basic pentru a citi și scrie module cookie HTTP într-un program Web ASP.NET, vizitați următorul site Web Microsoft:
http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp

Cum se dezactivează noul comportament sau cum se utilizează în alte programe

După ce instalați actualizarea de securitate 832894, setați valorile de registry pentru a utiliza acest comportament nou în alte programe care găzduiesc controlul browser Web sau pentru a dezactiva acest nou comportament pentru Windows Explorer și Internet Explorer.

Cum pot utiliza acest nou comportament implicit programele care găzduiesc controlul browser Web pentru a trata informațiile de utilizator în URL-uri HTTP sau HTTPS

În mod implicit, acest nou comportament implicit pentru tratarea informațiilor de utilizator în URL-uri HTTP sau HTTPS se aplică numai la Windows Explorer și la Internet Explorer. Pentru a utiliza acest nou comportament în alte programe care găzduiesc controlul browser Web, creați o valoare DWORD numită exemplu_apl.exe, unde exemplu_apl.exe este numele fișierului executabil care execută programul. Setați datele valorii DWORD la 1 într-una din următoarele chei registry.
  • Pentru toți utilizatorii programului, setați valoarea în următoarea cheie registry:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Doar pentru utilizatorul curent al programului, setați valoarea în următoarea cheie registry:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Cum se dezactivează noul comportament implicit pentru tratarea informațiilor de utilizator în URL-uri HTTP sau HTTPS

Pentru a dezactiva noul comportament implicit în Windows Explorer și Internet Explorer, creați valori DWORD iexplore.exe și explorer.exe într-una dintre următoarele chei de registry și setați valoarea lor la 0.
  • Pentru toți utilizatorii programului, setați valoarea în următoarea cheie registry:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Doar pentru utilizatorul curent al programului, setați valoarea în următoarea cheie registry:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

REFERINȚE

Pentru o explicație a sintaxei standard URL pentru URL-uri HTTP sau HTTPS, vizitați site-urile Web IETF (Internet Engineering Task Force):
RFC 1738: URL (Uniform Resource Locators)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: URI (Uniform Resource Identifiers): Sintaxă generală
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: HTTP (Hypertext Transfer Protocol) -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Microsoft vă oferă informațiile de contact ale terților pentru a vă ajuta să găsiți suport tehnic. Aceste informați de contact se pot schimba fără notificare prealabilă. Microsoft nu garantează acuratețea acestor informații de contact ale terților.

Proprietă?i

ID articol: 834489 - Ultima examinare: 2 februarie 2007 - Revizie: 9.6
SE APLICĂ LA:
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 6.0 SP1
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 5.01 Service Pack 3
  • Microsoft Internet Explorer 5.01 Service Pack 2
Cuvinte cheie: 
KB834489

Trimite?i feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com