Conectare

Select the product you need help with

Este disponibil� o actualizare de securitate care modific� comportamentul implicit din Internet Explorer pentru tratarea informa�iilor de utilizator �n URL-urile HTTP �i HTTPS

ID articol: 834489 - Vizualiza�i produsele pentru care se aplic� acest articol.

Este disponibil� o actualizare de securitate care elimin� suportul de tratare a numelor de utilizator �i a parolelor �n HTTP �i HTTP cu Secure Sockets Layer (SSL) sau URL-uri HTTPS �n Microsoft Internet Explorer. Dup� ce instala�i actualizarea de securitate cumulativ� MS04-004 pentru Internet Explorer (832894), nu mai este acceptat� �n Internet Explorer sau �n Windows Explorer urm�toarea sintax� de URL:

http(s)://numeutilizator:parol�@server/resurs�.ext

Aceast� modificare �n comportamentul implicit se implementeaz�, de asemenea, cu actualiz�rile de securitate �i pachetele de service care s-au lansat dup� lansarea actualiz�rii de securitate 832894. Acest articol este destinat s� informeze referitor la aceast� modificare de comportament implicit din Internet Explorer. Dac� include�i informa�ii de utilizator �n URL-uri HTTP sau HTTPS, Microsoft recomand� s� explora�i modalit��ile de evitare a problemei descrise �n acest articol �nainte de a instala actualizarea de securitate 832894. Pentru informa�ii suplimentare despre actualizarea de securitate 832894, vizita�i urm�torul site Web Microsoft:

http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx

(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)

Pentru informa�ii referitoare la versiunea de Internet Explorer �i Microsoft Windows care sunt acceptate de aceste actualiz�ri de securitate, consulta�i sec�iunile �Security Update Information� �i �Frequently Asked Questions� din buletinul de securitate MS04-004.

�napoi la �nceput | Trimite?i feedback

INFORMA�II SUPLIMENTARE

Informa�ii de baz�

Internet Explorer versiunea 3.0 �i versiunile mai recente accept� urm�toarea sintax� pentru URL-uri HTTP sau HTTPS:

http(s)://numeutilizator:parol�@server/resurs�.ext

Aceast� sintax� URL se poate utiliza pentru a trimite automat informa�iile de utilizator la un site Web care accept� metoda de autentificare simpl�.

Un utilizator r�u inten�ionat poate utiliza aceast� sintax� URL pentru a crea un hyperlink care pare s� deschid� un site Web legitim, dar, de fapt, deschide un site Web �n�el�tor (falsificat). De exemplu, urm�torul URL pare c� deschide http://www.wingtiptoys.com, dar, de fapt, deschide http://example.com:

http://www.wingtiptoys.com@example.com

Not� �n acest caz, Internet Explorer 6 Service Pack 1 (SP1) �i Internet Explorer 6 pentru Microsoft Windows Server 2003 afi�eaz� �n bara de adrese �http://example.com�. Versiunile anterioare de Internet Explorer, �ns�, afi�eaz� �http://www.wingtiptoys.com@example.com� �n bara de adrese.

�n plus, utilizatorii r�u inten�iona�i pot utiliza aceast� sintax� de URL �mpreun� cu alte metode pentru a crea un link la un site Web �n�el�tor (falsificat) care afi�eaz� URL-ul unui site Web legitim �n bara de stare, �n bara de adrese �i �n bara de titlu a tuturor versiunilor de Internet Explorer.

Pentru informa�ii suplimentare privind aceast� problem�, face�i clic pe urm�torul num�r de articol pentru a vedea articolul �n Baza de cuno�tin�e Microsoft:

833786

(http://support.microsoft.com/kb/833786/ )

Pa�i care ajut� la identificarea �i protejarea �mpotriva site-urilor Web �n�el�toare (falsificate) �i a hyperlink-urilor r�u inten�ionate (Aceast� leg�tur� poate s� indice c�tre un con�inut care este par�ial sau �n �ntregime �n limba englez�.)

Explica�ia modific�rii comportamentului implicit

Pentru a diminua problemele discutate �n sec�iunea �Informa�ii de baz� a acestui articol, actualizarea de securitate 832894 elimin� suportul pentru tratarea URL-urilor HTTP �i HTTPS �n acest format �n Internet Explorer �i Windows Explorer. Dup� ce instala�i actualizarea de securitate 832894, Windows Explorer �i Internet Explorer nu deschid site-urile HTTP sau HTTPS utiliz�nd un URL care con�ine informa�ii de utilizator. �n mod implicit, dac� informa�iile de utilizator sunt con�inute �ntr-un URL HTTP sau HTTPS, apare o pagin� Web cu urm�torul titlu:

Eroare de sintax�

Not� Aceast� modificare �n comportamentul implicit nu afecteaz� alte protocoale. De exemplu, ave�i posibilitatea s� include�i informa�ii de utilizator �ntr-un URL FTP dup� ce instala�i actualizarea de securitate 832894.

Aceast� modificare �n comportamentul implicit se implementeaz�, de asemenea, prin actualiz�ri de securitate �i pachete de service care au fost lansate dup� lansarea actualiz�rii de securitate 832894.

�napoi la �nceput | Trimite?i feedback

Solu�ii pentru utilizatori

URL-urile care se deschid de c�tre utilizatorii care tasteaz� URL-ul �n bara Adres� sau fac clic pe un link

Dac� utilizatorii tasteaz� de regul�, �n bara de adrese, URL-uri HTTP sau HTTPS care includ informa�ii de utilizator sau dac� fac clic pe linkuri care includ informa�ii de utilizator �n URL-uri HTTP sau HTTPS, aceast� nou� func�ionalitate se poate evita �n Internet Explorer, �n dou� feluri:

Nu include�i informa�iile de utilizator �n URL-uri HTTP sau HTTPS.
Instrui�i utilizatorii s� nu includ� informa�iile lor de utilizator c�nd tasteaz� URL-uri HTTP sau HTTPS.

Dac� site-ul Web utilizeaz� metoda de autentificare simpl�, Internet Explorer cere automat utilizatorilor numele de utilizator �i parola. �n unele cazuri utilizatorii pot face clic pe caseta Memorare parol� din caseta de dialog pentru a salva acredit�rile pentru vizitele ulterioare la acel site Web.

Solu�ii pentru dezvoltatorii de aplica�ii �i de site-uri Web

URL-urile care se deschid de c�tre obiecte care apeleaz� func�ii WinInet sau Urlmon

Pentru obiecte care utilizeaz� un URL HTTP sau HTTPS care include informa�ii de utilizator atunci c�nd apeleaz� o func�ie WinInet sau Urlmon cum ar fi InternetOpenURL, rescrie�i obiectul pentru a utiliza una dintre metodele urm�toare de trimitere a informa�iilor de utilizator la site-ul Web:

Utiliza�i func�ia InternetSetOption �i include�i urm�toarele semnaliz�ri de op�iune:
- INTERNET_OPTION_USERNAME
- INTERNET_OPTION_PASSWORD
Not� Pentru aceste semnaliz�ri, op�iunea InternetSetOption trebuie s� aib� o rutin� de tratare returnat� de func�ia InternetConnect. De aceea, dac� aplica�ia utilizeaz� func�ia InternetOpenUrl, modifica�i aplica�ia pentru a utiliza func�iile WinInet InternetConnect, HttpOpenRequest �i HttpSendRequest. Pentru informa�ii suplimentare despre modalitatea de utilizare a acestor func�ii, vizita�i site-urile Web Microsoft:
http://msdn2.microsoft.com/en-us/library/aa384247.aspx
(http://msdn2.microsoft.com/en-us/library/aa384247.aspx)

http://msdn2.microsoft.com/en-us/library/aa384233.aspx
(http://msdn2.microsoft.com/en-us/library/aa384233.aspx)

http://msdn2.microsoft.com/en-us/library/aa384247.aspx
(http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
Utiliza�i interfa�a IAuthenticate. Pentru informa�ii suplimentare despre modalitatea de utilizare a interfe�ei IAuthenticate, vizita�i urm�torul site Web Microsoft:
http://msdn.microsoft.com/workshop/networking/moniker/reference/ifaces/iauthenticate/iauthenticate.asp
(http://msdn.microsoft.com/workshop/networking/moniker/reference/ifaces/iauthenticate/iauthenticate.asp)

Not� Cu aceast� solu�ie, se pot deschide site-urile Web pe care tehnica de falsificare a URL-urilor le redirec�ioneaz�. Apare �ntreaga adres� URL, inclusiv amplasarea redirectat�. De exemplu, urm�torul URL apare:

http://www.wingtiptoys.com@www.example.com

Utilizatorul ajunge, totu�i, la site-ul Web redirectat. �n acest exemplu, utilizatorul ajunge la http://www.example.com.

URL-urile care se deschid printr-un script care utilizeaz� acredit�rile pentru gestionarea st�rii

Dac� include�i URL-uri HTTP sau HTTPS care con�in informa�ii de utilizator �n codul scriptului, pentru a gestiona informa�ii de stare, modifica�i codul scriptului pentru a utiliza module cookie �n loc de informa�ii de utilizator. Pentru informa�ii suplimentare despre modalitatea de utilizare a modulelor cookie la gestionarea informa�iilor de stare, vizita�i urm�torul site Web IETF (Internet Engineering Task Force):

http://www.ietf.org/rfc/rfc2965.txt

(http://www.ietf.org/rfc/rfc2965.txt)

Pentru a vedea un exemplu de utilizare a Visual Basic pentru a citi �i scrie module cookie HTTP �ntr-un program Web ASP.NET, vizita�i urm�torul site Web Microsoft:

http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp

(http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp)

Cum se dezactiveaz� noul comportament sau cum se utilizeaz� �n alte programe

Dup� ce instala�i actualizarea de securitate 832894, seta�i valorile de registry pentru a utiliza acest comportament nou �n alte programe care g�zduiesc controlul browser Web sau pentru a dezactiva acest nou comportament pentru Windows Explorer �i Internet Explorer.

�napoi la �nceput | Trimite?i feedback

Cum pot utiliza acest nou comportament implicit programele care g�zduiesc controlul browser Web pentru a trata informa�iile de utilizator �n URL-uri HTTP sau HTTPS

�n mod implicit, acest nou comportament implicit pentru tratarea informa�iilor de utilizator �n URL-uri HTTP sau HTTPS se aplic� numai la Windows Explorer �i la Internet Explorer. Pentru a utiliza acest nou comportament �n alte programe care g�zduiesc controlul browser Web, crea�i o valoare DWORD numit� exemplu_apl.exe, unde exemplu_apl.exe este numele fi�ierului executabil care execut� programul. Seta�i datele valorii DWORD la 1 �ntr-una din urm�toarele chei registry.

Pentru to�i utilizatorii programului, seta�i valoarea �n urm�toarea cheie registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Doar pentru utilizatorul curent al programului, seta�i valoarea �n urm�toarea cheie registry:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Cum se dezactiveaz� noul comportament implicit pentru tratarea informa�iilor de utilizator �n URL-uri HTTP sau HTTPS

Pentru a dezactiva noul comportament implicit �n Windows Explorer �i Internet Explorer, crea�i valori DWORD iexplore.exe �i explorer.exe �ntr-una dintre urm�toarele chei de registry �i seta�i valoarea lor la 0.

Pentru to�i utilizatorii programului, seta�i valoarea �n urm�toarea cheie registry:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Doar pentru utilizatorul curent al programului, seta�i valoarea �n urm�toarea cheie registry:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

�napoi la �nceput | Trimite?i feedback

REFERIN�E

Pentru o explica�ie a sintaxei standard URL pentru URL-uri HTTP sau HTTPS, vizita�i site-urile Web IETF (Internet Engineering Task Force):

RFC 1738: URL (Uniform Resource Locators)
http://www.ietf.org/rfc/rfc1738.txt

(http://www.ietf.org/rfc/rfc1738.txt)

RFC 2396: URI (Uniform Resource Identifiers): Sintax� general�
http://www.ietf.org/rfc/rfc2396.txt

(http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: HTTP (Hypertext Transfer Protocol) -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt

(http://www.ietf.org/rfc/rfc2616.txt)

Microsoft v� ofer� informa�iile de contact ale ter�ilor pentru a v� ajuta s� g�si�i suport tehnic. Aceste informa�i de contact se pot schimba f�r� notificare prealabil�. Microsoft nu garanteaz� acurate�ea acestor informa�ii de contact ale ter�ilor.

�napoi la �nceput | Trimite?i feedback

Propriet�?i

ID articol: 834489 - Ultima examinare: 2 februarie 2007 - Revizie: 9.6

SE APLIC� LA:

Microsoft Internet Explorer 6.0
Microsoft Internet Explorer 6.0 SP1
Microsoft Internet Explorer 5.5
Microsoft Internet Explorer 5.01 SP4
Microsoft Internet Explorer 5.01 Service Pack 3
Microsoft Internet Explorer 5.01 Service Pack 2

KB834489

�napoi la �nceput | Trimite?i feedback

Trimite?i feedback

�napoi la �nceput

Select the product you need help with

Este disponibil� o actualizare de securitate care modific� comportamentul implicit din Internet Explorer pentru tratarea informa�iilor de utilizator �n URL-urile HTTP �i HTTPS

�n aceast� pagin�

REZUMAT

INFORMA�II SUPLIMENTARE

Informa�ii de baz�

Explica�ia modific�rii comportamentului implicit

Solu�ii pentru utilizatori

URL-urile care se deschid de c�tre utilizatorii care tasteaz� URL-ul �n bara Adres� sau fac clic pe un link

Solu�ii pentru dezvoltatorii de aplica�ii �i de site-uri Web

URL-urile care se deschid de c�tre obiecte care apeleaz� func�ii WinInet sau Urlmon

URL-urile care se deschid printr-un script care utilizeaz� acredit�rile pentru gestionarea st�rii

Cum se dezactiveaz� noul comportament sau cum se utilizeaz� �n alte programe

Cum pot utiliza acest nou comportament implicit programele care g�zduiesc controlul browser Web pentru a trata informa�iile de utilizator �n URL-uri HTTP sau HTTPS

Cum se dezactiveaz� noul comportament implicit pentru tratarea informa�iilor de utilizator �n URL-uri HTTP sau HTTPS

REFERIN�E

Propriet�?i

SE APLIC� LA:

Cuvinte cheie:�

Trimite?i feedback

Traduceri articole