Program Internet Explorer nie obsługuje nazw użytkowników i haseł w adresach witryn sieci Web (adresy URL HTTP lub HTTPS)

W artykule zawarto informacje dla administratorów witryn sieci Web oraz specjalistów IT dotyczące zachowania programu Internet Explorer w wypadku uwzględniania informacji o użytkownikach w adresach witryn sieci Web (adresach URL witryn HTTP i HTTPS).Jeśli jesteś użytkownikiem indywidualnym i masz problem dotyczący haseł lub informacji o użytkowniku zapisywanych w przeglądarce Internet Explorer, odwiedź witrynę Internet Explorer Solution Center i wyszukaj informacje na temat rozwiązywania problemów lub skontaktuj się z centrum pomocy technicznej:

Streszczenie

Wersje przeglądarki Windows Internet Explorer wydane od momentu udostępnienia aktualizacji zabezpieczeń 832894 domyślnie nie obsługują przetwarzania nazw użytkowników i haseł w adresach URL witryn HTTP, HTTP z protokołem SSL (Secure Sockets Layer) oraz HTTPS. Następująca składnia adresu URL nie jest obsługiwana w programie Internet Explorer i w Eksploratorze Windows:
http(s)://nazwa_użytkownika:hasło@serwer/zasób.roz
Ten artykuł ma na celu powiadomienie o zachowaniu domyślnym programu Internet Explorer. Jeśli umieszczasz informacje o użytkowniku w adresach URL witryn HTTP i HTTPS, firma Microsoft zaleca zapoznanie się z obejściami opisanymi w tym artykule. Aby uzyskać więcej informacji dotyczących aktualizacji zabezpieczeń 832894, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Więcej informacji

Informacje uzupełniające

Wersje programu Internet Explorer od 3.0 do 6.0 obsługują następującą składnię adresów URL witryn HTTP i HTTPS:
http(s)://nazwa_użytkownika:hasło@serwer/zasób.roz
Tej składni adresu URL można użyć w celu automatycznego przesłania informacji o użytkowniku do witryny sieci Web, która obsługuje uwierzytelnianie podstawowe.

Złośliwy użytkownik mógłby również użyć tej składni adresu URL do utworzenia hiperłącza, które pozornie otwiera legalną, ale w rzeczywistości otwiera fałszywą witrynę sieci Web. Wydaje się na przykład, że poniższy adres URL otwiera witrynę http://www.wingtiptoys.com, a w rzeczywistości otwiera on witrynę http://przykład.com:
http://www.wingtiptoys.com@przyklad.com
Uwaga: W tym wypadku tylko w programach Internet Explorer 6 z dodatkiem Service Pack 1 (SP1) i Internet Explorer 6 dla Windows Server 2003 na pasku adresu jest wyświetlany adres http://przyklad.com. Jednak w starszych wersjach programu Internet Explorer na pasku adresu jest wyświetlany adres „http://www.wingtiptoys.com@przyklad.com”.

Ponadto złośliwi użytkownicy mogliby użyć tej składni adresu URL razem z innymi metodami w celu utworzenia łącza do fałszywej witryny sieci Web, które we wszystkich wersjach programu Internet Explorer na pasku stanu, pasku adresu lub pasku tytułu wyświetlałoby adres URL legalnej witryny sieci Web.

Aby uzyskać więcej informacji dotyczących tego problemu, kliknij następujący numer artykułu w celu wyświetlenia tego artykułu z bazy wiedzy Microsoft Knowledge Base:
833786 Kroki, które mogą ułatwić rozpoznawanie fałszywych witryn sieci Web i szkodliwych hiperłączy oraz zwiększyć ochronę przed nimi

Objaśnienie zmiany w zachowaniu domyślnym

Aby zmniejszyć ryzyko związane z problemami opisanymi w sekcji „Informacje uzupełniające” tego artykułu, programy Internet Explorer i Eksplorator Windows nie przetwarzają tej postaci adresów URL witryn HTTP i HTTPS. Eksplorator Windows i program Internet Explorer nie otwierają witryn HTTP i HTTPS przy użyciu adresu URL zawierającego informacje o użytkowniku. Jeśli w adresie URL witryny HTTP lub HTTPS zawarte są informacje o użytkowniku, domyślnie pojawia się strona sieci Web o następującym tytule:
Błąd nieprawidłowej składni
Uwaga: Ta zmiana zachowania domyślnego nie wpływa na inne protokoły. Po zainstalowaniu aktualizacji zabezpieczeń 832894 można na przykład nadal umieszczać informacje o użytkowniku w adresach URL witryn FTP.

Ta zmiana w domyślnym zachowaniu jest również implementowana przez aktualizacje zabezpieczeń i dodatki Service Pack, które zostały wydane po wydaniu aktualizacji zabezpieczeń 832894.

Obejścia problemu dla użytkowników

Adresy URL, które użytkownicy otwierają przez wpisanie adresu URL w pasku adresu lub kliknięcie łącza

Jeśli użytkownicy zazwyczaj wpisują adresy URL witryn HTTP i HTTPS zawierające informacje o użytkowniku w pasku adresu lub klikają łącza zawierające informacje o użytkowniku w adresach URL witryn HTTP i HTTPS, tę nową funkcję w programie Internet Explorer można obejść na dwa sposoby:
 • Nie dołączaj informacji o użytkowniku w adresach URL witryn HTTP i HTTPS.
 • Poinstruuj użytkowników, aby nie dołączali informacji o użytkowniku, gdy wpisują adresy URL witryn HTTP i HTTPS.
Jeśli w witrynie sieci Web używane jest uwierzytelnianie podstawowe, program Internet Explorer automatycznie monituje użytkowników o nazwę użytkownika i hasło. W niektórych przypadkach użytkownicy mogą kliknąć w oknie dialogowym pole wyboru Zapamiętaj moje hasło, aby zapisać swoje poświadczenia do użycia przy następnych wizytach w danej witrynie sieci Web.

Obejścia dla deweloperów aplikacji i witryn sieci Web

Adresy URL otwierane przez obiekty, które wywołują funkcję WinInet lub Urlmon

W przypadku obiektów używających adresu URL witryny HTTP lub HTTPS zawierającego informacje o użytkowniku przy wywoływaniu funkcji WinInet lub Urlmon, takiej jak InternetOpenURL, należy ponownie napisać kod tych obiektów, tak aby przy wysyłaniu informacji o użytkowniku do witryny sieci Web używały jednej z następujących metod:
Uwaga: W przypadku tej metody obejścia problemu można otwierać witryny sieci Web przekierowywane przy użyciu techniki fałszowania adresów URL. Wyświetlany jest cały adres URL, z przekierowaną lokalizacją włącznie. Na przykład wyświetlany jest następujący adres URL:
http://www.wingtiptoys.com@www.przyklad.com
Użytkownik nadal odwiedza przekierowaną witrynę sieci Web. W tym przykładzie użytkownik otwiera witrynę http://www.przykład.com.

Adresy URL otwierane przez skrypt, w którym poświadczenia są używane do zarządzania stanem

Jeżeli w kodzie źródłowym skryptu uwzględniono adresy URL HTTP lub HTTPS zawierające informacje dotyczące użytkownika, w celu zarządzania informacjami o stanie należy zmienić i przystosować kod źródłowy do korzystania z plików cookie zamiast informacji dotyczących użytkownika. Aby uzyskać dodatkowe informacje dotyczące sposobu używania plików cookie do zarządzania informacjami o stanie, odwiedź następującą witrynę grupy Internet Engineering Task Force (IETF) w sieci Web:Aby zobaczyć przykłady użycia języka Visual Basic do odczytu i zapisu plików cookie witryny HTTP w programie sieci Web środowiska ASP.NET, odwiedź następującą witrynę firmy Microsoft w sieci Web:

Jak wyłączyć nowe zachowanie lub użyć go w innych programach

Można ustawić pewne wartości rejestru, tak aby to nowe zachowanie było używane w innych programach korzystających z formantu przeglądarki sieci Web, lub aby wyłączyć je na potrzeby Eksploratora Windows i programu Internet Explorer.

Jak programy korzystające z formantu przeglądarki sieci Web mogą używać nowego zachowania domyślnego do obsługi informacji o użytkowniku w adresach URL witryn HTTP i HTTPS

Domyślnie to nowe zachowanie dotyczące obsługi informacji o użytkowniku w adresach URL witryn HTTP i HTTPS stosuje się tylko do Eksploratora Windows i programu Internet Explorer. Aby użyć tego nowego zachowania w innych programach korzystających z formantu przeglądarki sieci Web, utwórz wartość DWORD o nazwie Aplikacja.exe, gdzie Aplikacja.exe to nazwa pliku wykonywalnego, który uruchamia dany program. Ustaw dla tej wartości DWORD dane wartości 1 w jednym z poniższych kluczy rejestru.
 • Dla wszystkich użytkowników programu ustaw tę wartość w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
 • Tylko dla bieżącego użytkownika programu ustaw tę wartość w następującym kluczu rejestru:
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Jak wyłączyć nowe zachowanie dotyczące obsługi informacji o użytkowniku w adresach URL witryn HTTP i HTTPS

Aby wyłączyć to nowe zachowanie w Eksploratorze Windows i programie Internet Explorer, utwórz wartości DWORD iexplore.exe i explorer.exe w jednym z poniższych kluczy rejestru i ustaw dla nich dane wartości 0.
 • Ustaw tę wartość dla wszystkich użytkowników programu w następującym kluczu rejestru:
  HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
 • Ustaw tę wartość tylko dla bieżącego użytkownika programu w następującym kluczu rejestru:
  HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Materiały referencyjne

Aby zapoznać się z objaśnieniem standardowej składni adresów URL witryn HTTP i HTTPS, odwiedź następujące witryny grupy Internet Engineering Task Force (IETF) w sieci Web:
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1

http://www.ietf.org/rfc/rfc2616.txt
Firma Microsoft udostępnia informacje dotyczące sposobów kontaktowania się z innymi firmami, aby ułatwić uzyskanie niezbędnej pomocy technicznej. Informacje tego typu mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje, że informacje dotyczące innych firm są precyzyjne.
Właściwości

Identyfikator artykułu: 834489 — ostatni przegląd: 05.06.2009 — zmiana: 1

Opinia