Internet Explorer ondersteunt geen gebruikersnamen en wachtwoorden in websiteadressen (http- of HTTPS-URL's)

Dit artikel is bedoeld om te waarschuwen websitebeheerders en IT-professionals over het gedrag van Internet Explorer wanneer gebruikersgegevens zijn opgenomen in een websiteadres (http- of HTTPS-URL).

Samenvatting

Standaard versies van Windows Internet Explorer die na beveiligingsupdate 832894 zijn uitgebracht bieden geen ondersteuning voor het verwerken van gebruikersnamen en wachtwoorden in HTTP en HTTP met Secure Sockets Layer (SSL) of HTTPS-URL's. De volgende URL-syntaxis wordt niet ondersteund in Internet Explorer of in Windows Verkenner:
http(s)://username:password@server/resource.ext
Dit artikel is bedoeld om te informeren over dit standaardgedrag van Internet Explorer. Als u gebruikersgegevens in HTTP- of HTTPS-URL's opneemt, raden we aan dat u kennis met de oplossingen die in dit artikel worden beschreven. Ga naar de volgende Microsoft-website voor meer informatie over beveiligingsupdate 832894:

Meer informatie

Achtergrondinformatie

Internet Explorer versies 3.0-6.0 ondersteunt de volgende syntaxis voor HTTP- of HTTPS-URL's:
http(s)://username:password@server/resource.ext
U kunt deze URL-syntaxis om automatisch gebruikersgegevens te verzenden naar een website die de basisverificatiemethode ondersteunt.

Een kwaadwillende gebruiker kan deze URL-syntaxis gebruiken voor het maken van een hyperlink die wordt weergegeven voor het openen van een legitieme website, maar die feitelijk een misleidende website (een site met een vervalst adres) opent. Bijvoorbeeld de volgende URL http://www.wingtiptoys.com te openen, verschijnt maar feitelijk http://example.com opent:
http://www.wingtiptoys.com@example.com
Opmerking In dit geval wordt weergeven Internet Explorer 6 Service Pack 1 (SP1) en Internet Explorer 6 voor Microsoft Windows Server 2003 alleen 'http://example.com' in de adresbalk. Eerdere versies van Internet Explorer worden wel 'http://www.wingtiptoys.com@example.com' in de adresbalk weergegeven.

Daarnaast kunnen kwaadwillende gebruikers deze URL-syntaxis in combinatie met andere methoden gebruiken voor het maken van een koppeling naar een misleidende (spoofed) Web site waarin de URL naar een legitieme website in de statusbalk, de adresbalk en de titelbalk van alle versies van Internet Explorer.

Voor meer informatie over dit probleem, klikt u op het volgende artikel in de Microsoft Knowledge Base:
833786 stappen die u uitvoeren kunt om vast te stellen en om uzelf te beschermen van deceptive (spoofed) Web sites en hyperlinks

Beschrijving van de wijziging in het standaardgedrag

Het om problemen te verhelpen die worden besproken in de sectie 'Achtergrondinformatie', ondersteund Internet Explorer en Windows Verkenner niet meer verwerken van HTTP- en HTTPS-URL's. Windows Verkenner en Internet Explorer open geen HTTP- of HTTPS-sites met een URL die gebruikersgegevens bevat. Als de gebruikersgegevens zijn opgenomen in een HTTP- of HTTPS-URL weergegeven standaard een webpagina met de volgende titel:
Fout: ongeldige syntaxis
Opmerking Deze wijziging in het standaardgedrag heeft geen invloed op andere protocollen. U kunt bijvoorbeeld nog steeds gebruikersgegevens opneemt in een FTP-URL nadat u beveiligingsupdate 832894 hebt geïnstalleerd.

Deze wijziging in het standaardgedrag wordt ook ingevoerd door beveiligingsupdates, servicepacks en versies van Internet Explorer die na beveiligingsupdate 832894 zijn uitgebracht.

Tijdelijke oplossingen voor gebruikers

URL's die worden geopend door gebruikers die de URL in de adresbalk typen of op een koppeling klikt

Als gebruikers meestal HTTP- of HTTPS-URL die gebruikersgegevens in de adresbalk typen of op koppelingen klikken die gebruikersgegevens in HTTP- of HTTPS-URL's bevatten, kunt u deze nieuwe functie in Internet Explorer op twee manieren omzeilen:
  • Neem geen gebruikersgegevens in HTTP- of HTTPS-URL's.
  • Geef aan gebruikers niet de om gebruikersinformatie te nemen wanneer ze HTTP- of HTTPS-URL's typen.
Als de website gebruikmaakt van de basisverificatiemethode, vraagt Internet Explorer automatisch gebruikers om een gebruikersnaam en een wachtwoord. In sommige gevallen kunnen gebruikers klikken op het vak Mijn wachtwoord onthouden in het dialoogvenster de referenties opgeslagen voor latere bezoeken aan deze website.

Tijdelijke oplossingen voor toepassing en websiteontwikkelaars

URL's die worden geopend door objecten die WinInet- of Urlmon-functies aanroepen

Bij objecten die gebruikmaken van een HTTP- of een HTTPS-URL die gebruikersgegevens bevat wanneer ze een WinInet- of Urlmon functie, zoals InternetOpenURLaanroepen, herschrijft u het object als een van de volgende methoden gebruiken voor het verzenden van gebruikersgegevens naar de website:
Opmerking Met deze tijdelijke oplossing, kunt u websites die de URL spoofing techniek leidt openen. De gehele URL wordt weergegeven, inclusief de omgeleide locatie. Bijvoorbeeld de volgende URL wordt weergegeven:
http://www.wingtiptoys.com@www.example.com
De gebruiker komt nog steeds uit bij de omgeleide website. In dit voorbeeld komt de gebruiker bij http://www.example.com.

URL's die worden geopend door een script dat referenties voor statusbeheer gebruikt

Als u HTTP- of HTTPS-URL's met gebruikersgegevens in uw scriptcode opneemt, om statusinformatie te beheren, wijzigt u uw scriptcode zodat cookies gebruiken in plaats van gebruikersgegevens. Voor meer informatie over het gebruik van cookies om statusinformatie te beheren de volgende website van Internet Engineering Task Force (IETF):Om een voorbeeld van het gebruik van Visual Basic voor lezen en schrijven van HTTP-cookies in een ASP.NET-webpagina wordt weergegeven, gaat u naar de volgende Microsoft-website:

Hoe het nieuwe gedrag uitschakelen of in andere programma's gebruiken

U kunt registerwaarden gebruiken dit nieuwe gedrag in andere programma's die als host fungeren voor het webbrowserbesturingselement of om dit nieuwe gedrag uitschakelen voor Windows Verkenner en Internet Explorer kunt instellen.

Hoe programma's die host zijn van het webbrowserbesturingselement gebruiken dit nieuwe standaardgedrag voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL 's

Standaard wordt dit nieuwe standaardgedrag voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL's geldt alleen voor Windows Verkenner en Internet Explorer. Als u dit nieuwe gedrag te gebruiken in andere programma's wilt maken die als host fungeren voor het webbrowserbesturingselement, de DWORD-waarde SampleApp.exe, waarbij SampleApp.exe de naam van het uitvoerbare bestand waarmee het programma wordt uitgevoerd. De waardegegevens van de DWORD-waarde ingesteld op 1 in een van de volgende registersleutels.
  • Stel de waarde voor alle gebruikers van het programma in de volgende registersleutel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Stel de waarde voor de huidige gebruiker van het programma alleen in de volgende registersleutel:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Het nieuwe standaardgedrag voor het verwerken van gebruikersgegevens in HTTP- of HTTPS-URL's uitschakelen

Door ons wilt laten u het nieuwe standaardgedrag in Windows Verkenner en Internet Explorer uitschakelen, gaat u naar de sectie "hetprobleem voor mij oplossen". Als u dit probleem zelf wilt oplossen, gaat u naar de sectie "het probleem zelf oplossen".

Het probleem voor mij oplossen



U kunt dit probleem automatisch oplossen, door op de knop of link probleem oplossen te klikken. Klik op uitvoeren in het dialoogvenster Bestand downloaden en volg de stappen in de deze Wizard.





Opmerkingen
  • Het nieuwe standaardgedrag in Windows Verkenner en Internet Explorer voor alle gebruikers van het programma, de automatische correctie wordt uitgeschakeld.
  • Mogelijk is de wizard alleen in het Engels. De automatische oplossing werkt echter ook voor andere taalversies van Windows.
  • Als u niet op de computer werkt waarop het probleem optreedt, kunt u deze oplossing op een flash-drive of een CD opslaan en vervolgens uitvoeren op de computer waarop het probleem optreedt.

Ga vervolgens naar de sectie Is het probleem hiermee opgelost?.



Het probleem zelf oplossen

Het nieuwe standaardgedrag in Windows Verkenner en Internet Explorer, maakt u iexplore.exe en explorer.exe DWORD-waarden in een van de volgende registersleutels en stelt u de waarde op 0.
  • Stel de waarde voor alle gebruikers van het programma in de volgende registersleutel:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Stel de waarde voor de huidige gebruiker van het programma alleen in de volgende registersleutel:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Is het probleem hiermee opgelost?

  • Controleer of het probleem is verholpen. Als het probleem is opgelost, bent u klaar met deze sectie. Als het probleem niet is verholpen, kunt u hulp krijgen via Contact opnemen met support.
  • We waarderen uw feedback. Laat een reactie achter op de blog "voor mij oplossen" of stuur ons een e-mailbericht om feedback te geven of problemen met deze oplossing te rapporteren.

Referenties

Voor een uitleg van de standaard URL-syntaxis voor HTTP- of HTTPS-URL's, gaat u naar de volgende websites van Internet Engineering Task Force (IETF):
In RFC 1738: Uniform Resource Locator (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

In RFC 2616: Hypertext Transfer Protocol--HTTP/1.1

http://www.ietf.org/rfc/rfc2616.txt
Microsoft biedt contactinformatie van derden om u te helpen technische ondersteuning te vinden. Deze contactinformatie kan zonder kennisgeving worden gewijzigd. Microsoft garandeert niet de juistheid van deze contactinformatie van derden.
Eigenschappen

Artikel-id: 834489 - Laatst bijgewerkt: 14 feb. 2017 - Revisie: 2

Feedback