Internet Explorer no admite nombres de usuario y contraseñas en direcciones de sitios Web (URL HTTP o HTTPS)

Este artículo está pensado para notificar a los administradores de sitios Web y profesionales de TI sobre el comportamiento de Internet Explorer cuando se incluye información de usuario en una dirección de sitio Web (HTTP o HTTPS URL).

Resumen

De forma predeterminada, no se admiten las versiones de Windows Internet Explorer que se publicaron a partir de la versión de actualización de seguridad 832894 controlar nombres de usuario y contraseñas en HTTP y HTTP con Secure Sockets Layer (SSL) o URLs de HTTPS. No se admite la siguiente sintaxis de URL en Internet Explorer o en Explorador de Windows:
http(s)://username:password@server/resource.ext
Este artículo pretende notificarle este comportamiento predeterminado de Internet Explorer. Si incluye información de usuario en HTTP o URLs de HTTPS, recomendamos que examine las soluciones que se describen en este artículo. Para obtener más información acerca de la actualización de 832894 seguridad, visite el siguiente sitio Web de Microsoft:

Más información

Información general

Versiones de Internet Explorer 3.0 a 6.0 admiten la sintaxis siguiente para HTTP o URLs de HTTPS:
http(s)://username:password@server/resource.ext
Puede utilizar esta sintaxis de URL para enviar automáticamente información de usuario a un sitio Web que admita el método de autenticación básica.

Un usuario malintencionado podría utilizar esta sintaxis de URL para crear un hipervínculo que aparece al abrir un sitio Web legítimo pero que realmente se abre una página Web engañosa (falseada). Por ejemplo, la dirección URL siguiente parece abrir http://www.wingtiptoys.com aunque en realidad abre http://example.com:
http://www.wingtiptoys.com@example.com
Nota: En este caso, el Service Pack 1 (SP1) de Internet Explorer 6 e Internet Explorer 6 para Microsoft Windows Server 2003 sólo muestran "http://example.com" en la barra de direcciones. Sin embargo, las versiones anteriores de Internet Explorer muestran "http://www.wingtiptoys.com@example.com" en la barra de direcciones.

Además, los usuarios malintencionados pueden utilizar esta sintaxis de URL, junto con otros métodos para crear un vínculo a una página Web engañosa (falseada) que muestra la dirección URL a un sitio Web legítimo en la barra de estado, la barra de direcciones y la barra de título de todas las versiones de Internet Explorer.

Para obtener más información acerca de este problema, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
833786 pasos que puede tomar para ayudar a identificar y a protegerse contra sitios Web engañosos de (falseados) e hipervínculos malintencionados

Explicación del cambio en el comportamiento predeterminado

Para mitigar los problemas que se describen en la sección "Información general", Internet Explorer y el Explorador de Windows ya no admiten control de HTTP y en URLs de HTTPS de este formulario. El Explorador de Windows e Internet Explorer no abren sitios HTTP o HTTPS utilizando una URL que incluya información de usuario. De forma predeterminada, si se incluye información de usuario en un URL HTTP o HTTPS, aparece una página Web que tiene el título siguiente:
Error de sintaxis no válida
Nota: Este cambio en el comportamiento predeterminado no afecta a otros protocolos. Por ejemplo, todavía puede incluir información de usuario en una URL FTP después de instalar la actualización de 832894 seguridad.

Las actualizaciones de seguridad, service packs y versiones de Internet Explorer que se publicaron a partir de la versión de actualización de seguridad 832894 también implementan este cambio en el comportamiento predeterminado.

Soluciones para los usuarios

Direcciones URL que abren los usuarios que escriben la dirección URL en la barra de direcciones o haga clic en un vínculo

Si los usuarios normalmente escriba URL HTTP o HTTPS que incluyen información de usuario en la barra de direcciones o haga clic en vínculos que incluyen información de usuario en HTTP o URLs de HTTPS, puede evitar esta nueva funcionalidad en Internet Explorer de dos maneras:
  • No incluya información de usuario en HTTP o URLs de HTTPS.
  • Indique a los usuarios que no incluyan información de usuario cuando escribe la URL HTTP o HTTPS.
Si el sitio Web utiliza el método de autenticación básica, Internet Explorer pide automáticamente a los usuarios un nombre de usuario y una contraseña. En algunos casos, los usuarios pueden hacer clic la casilla Recordar mi contraseña en el cuadro de diálogo para guardar las credenciales para visitas posteriores a ese sitio Web.

Soluciones provisionales para la aplicación y los desarrolladores de sitios Web

Direcciones URL que se son abiertas por objetos que llaman a las funciones WinInet o Urlmon

Para objetos que utilizan un URL HTTP o HTTPS que incluya información de usuario cuando llaman a una función WinInet o Urlmon como InternetOpenURL, reescriba el objeto para utilizar uno de los métodos siguientes para enviar información del usuario al sitio Web:
Nota: Con esta solución, puede abrir sitios Web que redirige la técnica de URL engañosa. Aparece la dirección URL completa, incluyendo la ubicación redirigida. Por ejemplo, aparece la siguiente dirección URL:
http://www.wingtiptoys.com@www.example.com
El usuario sigue llegando al sitio Web redirigido. En este ejemplo, el usuario llega a http://www.example.com.

Direcciones URL que se abren con una secuencia de comandos que usa credenciales para la administración del estado

Si incluye HTTP o URLs de HTTPS que contienen información de usuario en el código de secuencias de comandos, para administrar información de estado, cambie el código de scripting para utilizar cookies en lugar de información de usuario. Para obtener más información acerca de cómo utilizar las cookies para administrar la información estatal, visite el siguiente sitio Web de Internet Engineering Task Force (IETF):Para ver un ejemplo de cómo utilizar Visual Basic para leer y escribir cookies HTTP en un programa Web ASP.NET, visite el siguiente sitio Web de Microsoft:

Cómo deshabilitar el nuevo comportamiento o utilizarlo en otros programas

Puede establecer los valores del registro para utilizar este nuevo comportamiento en otros programas que alojan el control del explorador Web o deshabilitar este nuevo comportamiento para el Explorador de Windows e Internet Explorer.

Cómo los programas que alojan el control del explorador Web pueden utilizar este nuevo comportamiento predeterminado para controlar la información de usuario en HTTP o en URLs de HTTPS

De forma predeterminada, este nuevo comportamiento predeterminado para controlar la información de usuario en HTTP o URLs de HTTPS sólo se aplica al explorador de Windows e Internet Explorer. Para utilizar este nuevo comportamiento en otros programas que alojan el control del explorador Web, cree un valor DWORD denominado aplicaciónDeEjemplo.exe, donde aplicaciónDeEjemplo.exe es el nombre del archivo ejecutable que ejecuta el programa. Configure el valor de DWORD en 1 en una de las siguientes claves del registro.
  • Para todos los usuarios del programa, establezca el valor en la clave del registro siguiente:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Para el usuario actual del programa, configure el valor en la siguiente clave del registro:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Cómo deshabilitar el nuevo comportamiento predeterminado para controlar la información de usuario en HTTP o URLs de HTTPS

Para que podamos deshabilitar el nuevo comportamiento predeterminado en el Explorador de Windows e Internet Explorer para usted, vaya a la sección de "arreglarlo para mí". Si prefiere corregir este problema manualmente, vaya a la sección "Solucionarlo por mí mismo".

Solucionarlo en mi lugar



Para corregir este problema automáticamente, haga clic en el botón o vínculo Fix it. En el cuadro de diálogo Descarga de archivos, haga clic en Ejecutar y, a continuación, siga los pasos del asistente Fix it.





Notas:
  • La corrección automática deshabilita el nuevo comportamiento predeterminado en el Explorador de Windows e Internet Explorer para todos los usuarios del programa.
  • Este asistente puede estar solo en inglés. Sin embargo, la corrección automática también funciona para otras versiones de idioma de Windows.
  • Si no está en el equipo que tiene el problema, guarde la solución Fix it una unidad flash o un CD y a continuación, ejecútela en el equipo que tiene el problema.

A continuación, vaya a la sección "¿Ha solucionado esto el problema?"



Solucionarlo por mí mismo

Para deshabilitar el nuevo comportamiento predeterminado en el Explorador de Windows e Internet Explorer, cree los valores DWORD iexplore.exe y explorer.exe en una de las siguientes claves del registro y establezca su valor en 0.
  • Para todos los usuarios del programa, establezca el valor en la clave del registro siguiente:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Para el usuario actual del programa, configure el valor en la siguiente clave del registro:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

¿Esto ha solucionado el problema?

  • Compruebe si el problema se solucionó. Si se solucionó el problema, ha terminado con esta sección. Si no se solucionó el problema, puede ponerse en contacto con el soporte técnico.
  • Le agradeceríamos sus comentarios. Para proporcionar comentarios o informen de cualquier problema con esta solución, por favor deje un comentario en el blog "corregirlo por mí" o envíenos un mensaje de correo electrónico .

Referencias

Para obtener una explicación de la sintaxis de dirección URL para HTTP o URLs de HTTPS, visite los siguientes sitios Web de Internet Engineering Task Force (IETF):
RFC 1738: Uniform Resource Locator (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Identificador uniforme de recursos (URI): sintaxis genérica
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol--HTTP/1.1

http://www.ietf.org/rfc/rfc2616.txt
Microsoft proporciona información de contacto de terceros para ayudarle a encontrar soporte técnico. Esta información de contacto puede cambiar sin previo aviso. Microsoft no garantiza la exactitud de esta información de contacto de terceros.
Propiedades

Id. de artículo: 834489 - Última revisión: 17 ene. 2017 - Revisión: 2

Comentarios