Varnostna posodobitev za Internet Explorer, ki spremeni obravnavo uporabniških podatkov v URL-jih strani HTTP in HTTPS

ID članka: 834489 - Oglejte si izdelke, na katere se nanaša ta članek.
Razširi vse | Zmanjšaj

Na tej strani

POVZETEK

Na voljo je varnostna posodobitev, ki iz Internet Explorerja odstrani podporo za uporabniška imena in gesla v URL-jih strani HTTP in strani HTTP s šifriranjem SSL (Secure Sockets Layer) oziroma strani HTTPS. Naslednja sintaksa za URL v Internet Explorerju in raziskovalcu programa Windows ni več na voljo, ko namestite zbirno varnostno posodobitev za Internet Explorer MS04-004 (832894):
http(s)://uporabniškoime:geslo@strežnik/sredstvo.pripona
To spremembo privzetega delovanja vsebujejo vse varnostne posodobitve in servisni paketi, izdani za posodobitvijo 832894. V članku je opisano privzeto delovanje Internet Explorerja po namestitvi varnostne posodobitve. Če v URL-je strani HTTP ali HTTPS vključujete uporabniške informacije, Microsoft priporoča, da preučite rešitve, opisane v tem članku, preden namestite varnostno posodobitev 832894. Če bi radi izvedeli več o varnostni posodobitvi 832894, obiščite Microsoftovo spletno mesto:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx
(http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)
Informacije o različicah Internet Explorerja in operacijskega sistema Microsoft Windows, ki jih varnostna posodobitev podpira, najdete v razdelkih »Informacije o varnostni posodobitvi« in »Pogosta vprašanja« v varnostnem biltenu MS04-004.
Nazaj na vrh | Pošlji povratne informacije

DODATNE INFORMACIJE

Ozadje

Internet Explorer 3.0 in novejši podpirajo to sintakso za URL strani HTTP ali HTTPS:
http(s)://uporabniškoime:geslo@strežnik/sredstvo.pripona
To sintakso URL-ja lahko uporabite za samodejno pošiljanje uporabniških podatkov spletnemu mestu, ki podpira osnovne načine preverjanja pristnosti.

Zlonamerni uporabnik pa bi lahko s to sintakso URL-ja ustvaril povezavo, ki le navidez odpira pravo spletno mesto, dejansko pa odpre lažno spletno mesto. Na prvi pogled se zdi, da ta URL odpre spletno mesto http://www.wingtiptoys.com, v resnici pa odpre mesto http://primer.com:
http://www.wingtiptoys.com@primer.com
Opomba V tem primeru se v polju z naslovom Internet Explorerja 6 s servisnim paketom SP1 in Internet Explorerja 6 za Microsoft Windows Server 2003 prikaže le »http://example.com«. Starejše različice Internet Explorerja pa v naslovni vrstici prikažejo vse: »http://www.wingtiptoys.com@example.com«.

Povrhu tega lahko zlonamerni uporabniki to sintakso URL-ja uporabijo v povezavi z drugimi metodami in ustvarijo lažno spletno mesto, ki v vrstici stanja, naslovni vrstici in polju z naslovom v vseh različicah Internet Explorerja prikaže URL pravega spletnega mesta.

Če želite več informacij o tej težavi, kliknite to številko članka iz Microsoftove zbirke znanja:
833786
(http://support.microsoft.com/kb/833786/ )
Koraki za odkrivanje in zaščito pred lažnimi spletnimi mesti in zlonamernimi povezavami (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)

Razlaga spremembe privzetega delovanja

Da bi se izognili težavam, opisanim v razdelku »Ozadje« tega članka, varnostna posodobitev 832894 odstrani podporo za takšno uporabo URL-jev strani HTTP in HTTPS v Internet Explorerju in raziskovalcu programa Windows. Potem ko namestite varnostno posodobitev 832894, raziskovalec in Internet Explorer ne odpreta mest HTTP ali HTTPS z uporabo URL-ja, ki vsebuje uporabniške informacije. Če so podatki o uporabniku privzeto vključeni v URL za HTTP ali HTTPS, se prikaže spletna stran s sporočilom:
Napaka neveljavne sintakse
Opomba Ta sprememba v privzetem delovanju ne vpliva na druge protokole. Uporabniške podatke lahko na primer še vedno vključite v URL protokola FTP, čeprav ste namestili varnostno posodobitev 832894.

To spremembo privzetega delovanja vsebujejo vse varnostne posodobitve in servisni paketi, izdani za posodobitvijo 832894.
Nazaj na vrh | Pošlji povratne informacije

Rešitve za uporabnike

URL-ji, ki jih uporabniki odprejo tako, da jih vnesejo v polje z naslovom ali kliknejo povezavo

Če uporabniki v polje z naslovom ponavadi vnašajo URL-je strani HTTP ali HTTPS, ki vsebujejo uporabniške podatke, oziroma kliknejo povezave z uporabniškimi podatki v URL-jih strani HTTP ali HTTPS, lahko to novo funkcijo v Internet Explorerju obidete na dva načina:
  • V URL-je strani HTTP in HTTPS ne vključujte uporabniških podatkov.
  • Uporabnike poučite, naj ne vključujejo svojih podatkov, ko vnašajo URL-je strani HTTP ali HTTPS.
Če spletno mesto uporablja osnovne načine preverjanja pristnosti, Internet Explorer uporabnike samodejno pozove, naj vnesejo uporabniško ime in geslo. V nekaterih primerih lahko kliknejo možnost Shrani geslo in tako shranijo poverilnice za naslednje obiske tega spletnega mesta.

Rešitve za razvijalce aplikacij in spletnih mest

URL-ji, ki jih odprejo predmeti, ki kličejo funkcijo WinInet ali Urlmon

Predmete, ki uporabljajo URL-je strani HTTP ali HTTPS z uporabniškimi podatki, ko kličejo funkcijo WinInet ali Urlmon, na primer InternetOpenURL, znova napišite tako, da bodo uporabljali enega od teh načinov pošiljanja uporabniških informacij spletnemu mestu: Opomba S to rešitvijo lahko odpirate spletna mesta, na katere preusmerja goljufivi URL. Prikazan je celoten URL, vključno z mestom preusmeritve. Če je denimo prikazan naslednji URL:
http://www.wingtiptoys.com@www.primer.com
, uporabnik vseeno odpre spletno mesto, kamor je bil preusmerjen. V tem primeru torej odpre mesto http://www.primer.com.

URL-ji, ki jih odprejo skripti, ki uporabljajo poverilnice za upravljanje stanja

V skriptno kodo za upravljanje informacij o stanju namesto URL-jev za HTTP ali HTTPS, ki vsebujejo uporabniške podatke, raje vstavite piškotke. Več o upravljanju informacij o stanju s piškotki najdete na spletnem mestu skupine IETF (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt
(http://www.ietf.org/rfc/rfc2965.txt)
Če bi radi izvedeli, kako s programom Visual Basic berete in pišete piškotke za HTTP v spletnem programu ASP.NET, obiščite Microsoftovo spletno mesto:
http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp
(http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp)

Onemogočanje novega delovanja in njegova uporaba v drugih programih

Potem ko namestite varnostno posodobitev 832894, lahko določite registrske vrednosti in to novo delovanje uporabite v drugih programih, ki gostijo nadzor spletnega brskalnika, ali pa ga onemogočite v raziskovalcu programa Windows in Internet Explorerju.
Nazaj na vrh | Pošlji povratne informacije

Kako programi, ki gostijo nadzor nad spletnim brskalnikom, izkoristijo to novo delovanje za upravljanje uporabniških informacij v URL-jih za HTTP in HTTPS

Privzeto je, da novi način obravnavanja uporabniških informacij v URL-jih za HTTP in HTTPS velja samo za raziskovalca programa Windows in Internet Explorer. Če ga želite uporabiti v programih, ki gostijo nadzor nad brskalnikom, ustvarite vrednost DWORD program.exe, kjer je program.exe ime izvedljive datoteke programa. Podatke vrednosti DWORD nastavite na 1 v enem od naštetih registrskih ključev:
  • Za vse uporabnike programa vrednost nastavite v tem registrskem ključu:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Samo za trenutnega uporabnika programa vrednost nastavite v tem registrskem ključu:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Onemogočanje novega obravnavanja uporabniških podatkov v URL-jih za HTTP in HTTPS

Če želite novo privzeto delovanje v raziskovalcu programa Windows in Internet Explorerju onemogočiti, ustvarite vrednost DWORD iexplore.exe ali explorer.exe v enem od naslednjih registrskih ključev ter jo nastavite na 0.
  • Za vse uporabnike programa vrednost nastavite v tem registrskem ključu:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Samo za trenutnega uporabnika programa vrednost nastavite v tem registrskem ključu:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Nazaj na vrh | Pošlji povratne informacije

SKLICI

Razlago običajne sintakse URL-ja za HTTP ali HTTPS najdete na tem spletnem mestu skupine IETF (Internet Engineering Task Force):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt
(http://www.ietf.org/rfc/rfc1738.txt)


RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt
(http://www.ietf.org/rfc/rfc2396.txt)


RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
(http://www.ietf.org/rfc/rfc2616.txt)
Microsoft podatke za stik z drugimi proizvajalci ponuja zato, da boste lažje prišli do tehnične podpore. Te informacije se lahko spremenijo brez poprejšnjega obvestila. Microsoft ne more jamčiti za pravilnost teh podatkov o drugih proizvajalcih.
Nazaj na vrh | Pošlji povratne informacije

Lastnosti

ID članka: 834489 - Zadnji pregled: 2. februar 2007 - Revizija: 10.6
VELJA ZA:
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 6.0 SP1
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 5.01 Service Pack 3
  • Microsoft Internet Explorer 5.01 Service Pack 2
Ključne besede: 
KB834489
Nazaj na vrh | Pošlji povratne informacije

Pošlji povratne informacije

 
Nazaj na vrhNazaj na vrh