Обозреватель Internet Explorer не поддерживает имена пользователей и пароли в адресах веб-узлов (URL-адреса протоколов HTTP или HTTPS )

Переводы статьи Переводы статьи
Код статьи: 834489 - Vizualiza?i produsele pentru care se aplic? acest articol.

Поддержка системы Windows Vista без пакетов обновления прекратилась 13 апреля 2010 г. Чтобы и далее получать обновления для системы безопасности Windows Vista, установите пакет обновления 2 (SP2). Дополнительные сведения см. на следующей странице веб-сайта корпорации Майкрософт: Заканчивается поддержка для некоторых версий Windows

Развернуть все | Свернуть все

В этой статье

Целью данной статьи является уведомление администраторов веб-узлов и специалистов по ИТ о поведении обозревателя Internet Explorer при включении данных пользователя в адрес веб-узла (URL-адреса протоколов HTTP или HTTPS).

Аннотация

По умолчанию версии обозревателя Windows Internet Explorer, выпущенные после выпуска обновления безопасности 832894, не поддерживали обработку имен пользователей и паролей в URL-адресах протоколов HTTP, HTTP с Secure Sockets Layer (SSL) или HTTPS. В обозревателе Internet Explorer и проводнике не поддерживается следующий синтаксис URL-адреса:
http(s)://имя_пользователя:пароль@сервер/ресурс.расш
Данная статья содержит сведения о стандартном поведении Internet Explorer. При включении учетных данных пользователя в URL-адреса протоколов HTTP и HTTPS рекомендуется ознакомиться с представленными в этой статье методами обхода проблем. Для получения дополнительных сведений об исправлении безопасности 832894 посетите веб-узел корпорации Майкрософт по адресу:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx

Дополнительная информация

Вводные сведения

В Internet Explorer версий 3.0 — 6.0 реализована поддержка URL-адресов протоколов HTTP и HTTPS в следующем формате:
http(s)://имя_пользователя:пароль@сервер/ресурс.расш
Этот синтаксис используется для автоматической отправки учетных данных пользователя на веб-узел, который поддерживает базовую проверку подлинности.

Однако в таком формате злоумышленник может создать гиперссылку, которая на первый взгляд указывает на законный, но в действительности открывает обманный (подмененный) веб-узел. Так, указанный ниже адрес URL вместо веб-узла http://www.wingtiptoys.com открывает http://example.com:
http://www.wingtiptoys.com@example.com
Примечание. В этом случае в строке адреса обозревателей Internet Explorer 6 с пакетом обновления 1 (SP1) и Internet Explorer 6 для Windows Server 2003 будет отображаться только строка http://example.com. Строка адреса более ранних версий Internet Explorer будет содержать ссылку http://www.wingtiptoys.com@example.com полностью.

Кроме того, путем применения дополнительных методов злоумышленник может создать в этом формате ссылку на подмененный веб-узел, которая в строке адреса, строке состояния и заголовке окна обозревателя Internet Explorer всех версий будет отображаться как URL-адрес законного веб-узла.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
833786 Как обнаруживать опасные веб-узлы и гиперссылки и защищаться от них

Описание изменений в стандартном поведении обозревателя

Для устранения описанных в разделе «Дополнительные сведения» этой статьи проблем обозреватель Internet Explorer и проводник более не поддерживают обработку URL-адресов протоколов HTTP и HTTPS в данном формате. Обозреватель Internet Explorer и проводник не открывают веб-узлы протоколов HTTP и HTTPS с помощью URL-адресов с учетными данными пользователя. В случае обнаружения в URL-адресе учетных данных пользователя появляется веб-страница со следующим названием:
Синтаксическая ошибка
Примечание. Это изменение не влияет на обработку адресов других протоколов. Так, включать учетные данные пользователя в URL-адрес протокола FTP можно и после установки обновления безопасности 832894.

Это изменение способа работы по умолчанию также реализовано в обновлениях безопасности, пакетах обновления и версиях обозревателя Internet Explorer, выпущенных после обновления безопасности 832894.

Обходные способы решения проблемы для пользователей

URL-адреса, которые вводятся в адресной строке или открываются при переходе по ссылке

При вводе в адресную строку URL-адреса протоколов HTTP или HTTPS с пользовательскими сведениями или переходе по ссылке с таким URL-адресом эти новые функции Interntet Explorer можно обойти двумя способами.
  • Не включайте учетные данные в состав URL-адресов протоколов HTTP и HTTPS.
  • Проинструктируйте пользователей не включать учетные данные при вводе URL-адресов протоколов HTTP и HTTPS.
Если на веб-узле используется базовая проверка подлинности, Internet Explorer автоматически отображает диалоговое окно для ввода учетных данных. В некоторых случаях, чтобы сохранить учетные данные для следующих посещений узла, достаточно установить флажок Сохранить пароль.

Решения для разработчиков приложений и веб-узлов

Адреса URL, которые открываются объектами с помощью функций WinInet и Urlmon

Объекты, которые используют учетные данные пользователей в адресах URL протоколов HTTP и HTTPS при вызове функций WinInet или Urlmon (например, InternetOpenURL), необходимо переписать одним из представленных ниже способов.
  • Используйте функцию InternetSetOption и добавьте следующие флаги:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Примечание. Чтобы функция InternetSetOption могла использовать эти флаги, ей необходимо передать дескриптор, возвращаемый функцией InternetConnect. Поэтому, если приложение использует функцию InternetOpenUrl, измените программу таким образом, чтобы использовались функции InternetConnect, HttpOpenRequest и HttpSendRequestинтерфейса WinInet. Для получения дополнительных сведений об использовании данных функций посетите веб-узел Майкрософт по следующему адресу:
    http://msdn2.microsoft.com/ru-ru/library/Aa384363

    http://msdn2.microsoft.com/ru-ru/library/Aa384233

    http://msdn2.microsoft.com/ru-ru/library/aa384247.aspx
  • Используйте интерфейс IAuthenticate. Для получения дополнительных сведений об использовании интерфейса IAuthenticate посетите следующий веб-узел Майкрософт:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
Примечание. Данный метод обхода позволяет открывать веб-узлы, перенаправленные с помощью подмены URL-адреса. При этом появляется полный URL-адрес, включая адрес перенаправления. Например, URL-адрес может отображаться в следующем виде:
http://www.wingtiptoys.com@www.example.com
а пользователи будут направлены на нужный веб-узел. В данном примере пользователь откроет веб-страницу по адресу http://www.example.com.

URL-адреса, которые открываются сценарием, использующим учетные данные пользователей для управления данными о состоянии

Для управления данными о состоянии используйте в сценариях файлы cookie вместо URL-адресов протоколов HTTP и HTTPS, включающих учетные данные пользователей. Для получения дополнительных сведений об использовании файлов cookie для управления данными о состоянии посетите веб-узел проблемной группы проектирования Интернета (IETF) по следующему адресу:
http://www.ietf.org/rfc/rfc2965.txt
Пример использования языка Visual Basic для чтения и записи файлов cookie в веб-программе ASP.NET приведен на веб-узле корпорации Майкрософт по следующему адресу:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx

Отмена нового поведения и его использование в других программах

С помощью соответствующих параметров системного реестра можно распространить применение нового поведения на другие программы, которые содержат элемент управления обозревателя, или отменить действие этого поведения в проводнике и обозревателе Internet Explorer.

Как программы, которые содержат элемент управления веб-обозревателем, используют новую методику обработки учетных данных пользователей в URL-адресах протоколов HTTP и HTTPS

По умолчанию действие новой методики обработки учетных данных пользователей в URL-адресах протоколов HTTP и HTTPS распространяется только на проводник и Internet Explorer. Для изменения поведения других программ, которые содержат элемент управления веб-обозревателем, необходимо создать параметр DWORD с именем SampleApp.exe, где SampleApp.exe – имя исполняемого файла программы. В одном из указанных ниже разделов системного реестра установите для созданного параметра значение 1.
  • Для всех пользователей программы:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Только для текущего пользователя:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Отмена использования новой методики обработки учетных данных пользователей в URL-адресах протоколов HTTP и HTTPS

Если для отключения использования новой методики в проводнике и браузере Internet Explorer требуется помощь, перейдите к разделу Помощь в решении проблемы. Чтобы устранить проблему самостоятельно, перейдите к разделу Самостоятельное решение проблемы.

Помощь в решении проблемы



Чтобы устранить проблему автоматически, щелкните ссылку или нажмите кнопку Fix it. Затем в диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.




Устранить проблему
Microsoft Fix it 50642

Примечания
  • Автоматическое исправление отключает использование новой методики для всех пользователей проводника и браузера Internet Explorer.
  • Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.
  • Решение Fix it можно загрузить на любой компьютер, а затем сохранить на устройстве флэш-памяти или компакт-диске и запустить на нужном компьютере.

Перейдите к разделу Проблема устранена?



Самостоятельное решение проблемы

Чтобы отменить использование новой методики в проводнике и браузере Internet Explorer, создайте в одном из указанных ниже разделов системного реестра параметры iexplore.exe и explorer.exe типа DWORD со значением 0.
  • Для всех пользователей программы:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Только для текущего пользователя:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Проблема устранена?

  • Проверьте, устранена ли проблема. Если это так, данный раздел можно дальше не читать. Если проблему устранить не удалось, обратитесь в службу поддержки.
  • Мы ценим ваши замечания. Чтобы оставить отзыв или сообщить о проблемах, связанных с этим решением, добавьте комментарий в блог Помощь в решении проблемы или отправьте нам сообщение по электронной почте.

Ссылки

Описание стандартного синтаксиса URL-адресов для протоколов HTTP и HTTPS приведено на веб-узле проблемной группы проектирования Интернета (IETF) по следующим адресам.
Спецификация RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

Спецификация RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

Спецификация RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Контактные данные независимых производителей предоставлены в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.

Свойства

Код статьи: 834489 - Последний отзыв: 30 июня 2011 г. - Revision: 2.0
Информация в данной статье относится к следующим продуктам.
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Ключевые слова: 
kbresolve kbfixme kbmsifixme KB834489

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com