Internet Explorer stöder inte användarnamn och lösenord i webbplatsadresser (HTTP- eller HTTPS-URL:er)

Artikelöversättning Artikelöversättning
Artikel-id: 834489 - Visa produkter som artikeln gäller.
Visa alla | Dölj alla

På den här sidan

Den här artikeln innehåller information för webbplatsadministratörer och teknisk IT-personal om hur Internet Explorer fungerar när användarinformation ingår i en webbplatsadress (HTTP- eller HTTPS-URL).

Om du är hemanvändare och har problem med lösenord eller användarinformation i Internet Explorer besöker du Lösningscenter för Internet Explorer, där du kan söka efter information för felsökning eller kontakta support:

Sammanfattning

Från och med säkerhetsuppdatering 832894 stöder Windows Internet Explorer som standard inte hantering av användarnamn och lösenord i HTTP- och HTTP med SSL-adresser (Secure Sockets Layer) eller HTTPS-adresser. Följande URL-syntax stöds inte i Internet Explorer eller Windows Explorer:
http(s)://användarnamn:lösenord@server/resurs.ext
Syftet med den här artikeln är att informera om denna standardfunktion i Internet Explorer. Om du har med användarinformation i HTTP- eller HTTPS-adresser rekommenderar vi att du studerar lösningarna som beskrivs i den här artikeln. Mer information om säkerhetsuppdatering 832894 finns på följande Microsoft-webbplats:
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx

Mer Information

Bakgrundsinformation

Internet Explorer 3.0 till 6.0 stöder följande syntax för HTTP- och HTTPS-adresser:
http(s)://användarnamn:lösenord@server/resurs.ext
Du kan använda den här URL-syntaxen för att automatiskt skicka användarinformation till en webbplats som stöder grundläggande autentisering.

En användare som vill ställa till skada kan använda den här URL-syntaxen för att skapa en hyperlänk som verkar öppna en äkta webbplats men som i själva verket öppnar en falsk webbplats. Följande URL-adress verkar exempelvis öppna http://www.wingtiptoys.com men öppnar i själva verket http://example.com:
http://www.wingtiptoys.com@example.com
Obs! I det här fallet visas endast "http://example.com" i adressfältet i Internet Explorer 6 Service Pack 1 (SP1) och Internet Explorer 6 för Microsoft Windows Server 2003. I tidigare versioner av Internet Explorer visas "http://www.wingtiptoys.com@example.com" i adressfältet.

En användare som vill ställa till skada kan använda den här URL-syntaxen tillsammans med andra metoder för att skapa en länk till en falsk webbplats som visar adressen (URL:en) till en äkta webbplats i statusfältet, adressfältet och namnlisten i alla versioner av Internet Explorer.

Om du vill veta mer om det här problemet klickar du på följande artikelnummer och läser artikeln i Microsoft Knowledge Base:
833786 Identifiera och skydda sig mot falska webbplatser och skadliga hyperlänkar

Förklaring av förändringen i standardfunktionaliteten

För att problemen som beskrivs i "Bakgrundsinformation" ska minska stöds inte längre hantering av HTTP- och HTTPS-adresser av detta slag i Internet Explorer och Windows Utforskaren. Det går inte att öppna HTTP- eller HTTPS-webbplatser i Windows Utforskaren eller Internet Explorer med hjälp av en adress som innehåller användarinformation. Om användarinformation ingår i en HTTP- eller HTTPS-adress visas som standard en webbsida med följande namn:
Ogiltigt syntaxfel
Obs! Den här förändringen av standardfunktionaliteten påverkar inte andra protokoll. Användarinformation kan till exempel fortfarande ingå i en FTP-adress efter installation av säkerhetsuppdateringen 832894.

Den här förändringen av standardfunktionaliteten genomförs även med hjälp av säkerhetsuppdateringar, Service Pack-versioner och versioner av Internet Explorer som har getts ut från och med säkerhetsuppdatering 832894.

Lösningar för användare

URL-adresser som öppnas av användare som skriver in URL-adressen i adressfältet eller klickar på en länk

Om användare normalt skriver in HTTP- eller HTTPS-adresser med användarinformation i adressfältet, eller klickar på länkar med användarinformation i HTTP- eller HTTPS-adresser, kan du kringgå den här nya funktionen i Internet Explorer på två sätt:
  • Ha inte med användarinformation i HTTP- eller HTTPS-adresser.
  • Instruera användarna att inte ta med sin användarinformation när de skriver in HTTP- eller HTTPS-adresser.
Om den grundläggande autentiseringsmetoden används på webbplatsen ombeds användare automatiskt ange användarnamn och lösenord. I vissa fall kan användare spara sin inloggningsinformation för senare besök på webbplatsen genom att klicka i rutan Kom i håg lösenordet.

Lösningar för program- och webbutvecklare

URL-adresser som öppnas av objekt som anropar WinInet- eller Urlmon-funktioner

För objekt där en HTTP- eller HTTPS-adress med användarinformation används vid anrop till en WinInet- eller Urlmon-funktion som InternetOpenURL, kan objektet skrivas om så att en av följande metoder används för att skicka information till webbplatsen:
  • Använd funktionen InternetSetOption och inkludera följande alternativflaggor:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Obs! För de här flaggorna måste alternativet InternetSetOption ha en referens som returneras av InternetConnect-funktionen. Om InternetOpenUrl-funktionen används i programmet ändrar du därför programmet så att WinInet-funktionerna InternetConnect, HttpOpenRequest och HttpSendRequest används. Mer information om användning av de här funktionerna finns på följande Microsoft-webbplatser:
    http://msdn2.microsoft.com/en-us/library/Aa384363

    http://msdn2.microsoft.com/en-us/library/Aa384233

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx
  • Använd IAuthenticate-gränssnittet. Mer information om hur du använder IAuthenticate-gränssnittet finns på följande Microsoft-webbplats:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx
Obs! Med den här lösningen kan du öppna webbplatser som omdirigeras genom tekniken med falska URL-adresser. Hela URL-adressen visas, inklusive den omdirigerade platsen. Följande URL visas till exempel:
http://www.wingtiptoys.com@www.exemple.com
Användaren kommer ändå till den omdirigerade webbplatsen. I det här exemplet kommer användaren till http://www.example.com.

URL-adresser som öppnas med ett skript där identifieringsinformation används för tillståndshantering

Om du använder HTTP- eller HTTPS-adresser med användarinformation i skriptkoden, ändrar du skriptkoden så att cookies används i stället för användarinformation för att hantera tillståndsinformation. Mer information om användning av cookies för hantering av tillståndsinformation finns på följande IETF-webbplats (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt
Ett exempel på hur Visual Basic kan användas för att läsa och skriva HTTP-cookies i ett ASP.NET-webbprogram finns på följande Microsoft-webbplats:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx

Inaktivera den nya funktionen eller använda den i andra program

Du kan ändra registervärden och använda den här nya funktionen i andra program som är värdar för webbläsarkontrollen eller inaktivera funktionen i Utforskaren och Internet Explorer.

Hantering av användarinformation i program som är värdar för webbläsarkontrollen

Normalt gäller den här nya standardfunktionen för hantering av HTTP- eller HTTPS-adresser endast Utforskaren och Internet Explorer. Om du vill använda den nya funktionen i andra program som är värdar för webbläsarkontrollen ska du skapa ett DWORD-värde med namnet exempelprogram.exe, där exempelprogram.exe är namnet på programmets körbara fil. Ange DWORD-värdets data som 1 i en av följande registernycklar.
  • För alla programanvändare anges värdet i följande registernyckel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • För den aktuella användaren (endast) anges värdet i följande registernyckel:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Inaktivera den nya standardfunktionen för hantering av användarinformation i HTTP- och HTTPS-adresser

Om du vill inaktivera den nya standardfunktionen i Utforskaren och Internet Explorer skapar du DWORD-värdena iexplore.exe och explorer.exe i en av följande registernycklar och anger data som 0:
  • För alla programanvändare anges värdet i följande registernyckel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • För enbart den aktuella användaren anges värdet i följande registernyckel:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Referenser

En förklaring av standard-URL-syntaxen för HTTP- och HTTPS-adresser finns på följande IETF-webbplatser (Internet Engineering Task Force):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Kontaktinformationen för andra företag som lämnas i denna artikel kan hjälpa dig att hitta den tekniska support du behöver. Denna information kan ändras utan föregående meddelande. Microsoft garanterar inte på något sätt att kontaktinformationen är korrekt.

Egenskaper

Artikel-id: 834489 - Senaste granskning: den 10 december 2007 - Revision: 11.2
Informationen i denna artikel gäller:
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 6.0 SP1
  • Microsoft Internet Explorer 5.5
  • Microsoft Internet Explorer 5.01 SP4
  • Microsoft Internet Explorer 5.01 Service Pack 3
  • Microsoft Internet Explorer 5.01 Service Pack 2
  • Microsoft Windows XP Service Pack 2
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Nyckelord: 
kbresolve KB834489

Ge feedback

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com