Momentan sunteți offline, așteptați să vă reconectați la internet

Este disponibilă o actualizare de securitate care modifică comportamentul implicit din Internet Explorer pentru tratarea informaţiilor de utilizator în URL-urile HTTP şi HTTPS

REZUMAT
Este disponibilă o actualizare de securitate care elimină suportul de tratare a numelor de utilizator şi a parolelor în HTTP şi HTTP cu Secure Sockets Layer (SSL) sau URL-uri HTTPS în Microsoft Internet Explorer. După ce instalaţi actualizarea de securitate cumulativă MS04-004 pentru Internet Explorer (832894), nu mai este acceptată în Internet Explorer sau în Windows Explorer următoarea sintaxă de URL:
http(s)://numeutilizator:parolă@server/resursă.ext
Această modificare în comportamentul implicit se implementează, de asemenea, cu actualizările de securitate şi pachetele de service care s-au lansat după lansarea actualizării de securitate 832894. Acest articol este destinat să informeze referitor la această modificare de comportament implicit din Internet Explorer. Dacă includeţi informaţii de utilizator în URL-uri HTTP sau HTTPS, Microsoft recomandă să exploraţi modalităţile de evitare a problemei descrise în acest articol înainte de a instala actualizarea de securitate 832894. Pentru informaţii suplimentare despre actualizarea de securitate 832894, vizitaţi următorul site Web Microsoft:Pentru informaţii referitoare la versiunea de Internet Explorer şi Microsoft Windows care sunt acceptate de aceste actualizări de securitate, consultaţi secţiunile „Security Update Information” şi „Frequently Asked Questions” din buletinul de securitate MS04-004.
INFORMAŢII SUPLIMENTARE

Informaţii de bază

Internet Explorer versiunea 3.0 şi versiunile mai recente acceptă următoarea sintaxă pentru URL-uri HTTP sau HTTPS:
http(s)://numeutilizator:parolă@server/resursă.ext
Această sintaxă URL se poate utiliza pentru a trimite automat informaţiile de utilizator la un site Web care acceptă metoda de autentificare simplă.

Un utilizator rău intenţionat poate utiliza această sintaxă URL pentru a crea un hyperlink care pare să deschidă un site Web legitim, dar, de fapt, deschide un site Web înşelător (falsificat). De exemplu, următorul URL pare că deschide http://www.wingtiptoys.com, dar, de fapt, deschide http://example.com:
http://www.wingtiptoys.com@example.com
Notă În acest caz, Internet Explorer 6 Service Pack 1 (SP1) şi Internet Explorer 6 pentru Microsoft Windows Server 2003 afişează în bara de adrese „http://example.com”. Versiunile anterioare de Internet Explorer, însă, afişează „http://www.wingtiptoys.com@example.com” în bara de adrese.

În plus, utilizatorii rău intenţionaţi pot utiliza această sintaxă de URL împreună cu alte metode pentru a crea un link la un site Web înşelător (falsificat) care afişează URL-ul unui site Web legitim în bara de stare, în bara de adrese şi în bara de titlu a tuturor versiunilor de Internet Explorer.

Pentru informaţii suplimentare privind această problemă, faceţi clic pe următorul număr de articol pentru a vedea articolul în Baza de cunoştinţe Microsoft:
833786 Paşi care ajută la identificarea şi protejarea împotriva site-urilor Web înşelătoare (falsificate) şi a hyperlink-urilor rău intenţionate (Această legătură poate să indice către un conţinut care este parţial sau în întregime în limba engleză.)

Explicaţia modificării comportamentului implicit

Pentru a diminua problemele discutate în secţiunea „Informaţii de bază” a acestui articol, actualizarea de securitate 832894 elimină suportul pentru tratarea URL-urilor HTTP şi HTTPS în acest format în Internet Explorer şi Windows Explorer. După ce instalaţi actualizarea de securitate 832894, Windows Explorer şi Internet Explorer nu deschid site-urile HTTP sau HTTPS utilizând un URL care conţine informaţii de utilizator. În mod implicit, dacă informaţiile de utilizator sunt conţinute într-un URL HTTP sau HTTPS, apare o pagină Web cu următorul titlu:
Eroare de sintaxă
Notă Această modificare în comportamentul implicit nu afectează alte protocoale. De exemplu, aveţi posibilitatea să includeţi informaţii de utilizator într-un URL FTP după ce instalaţi actualizarea de securitate 832894.

Această modificare în comportamentul implicit se implementează, de asemenea, prin actualizări de securitate şi pachete de service care au fost lansate după lansarea actualizării de securitate 832894.

Soluţii pentru utilizatori

URL-urile care se deschid de către utilizatorii care tastează URL-ul în bara Adresă sau fac clic pe un link

Dacă utilizatorii tastează de regulă, în bara de adrese, URL-uri HTTP sau HTTPS care includ informaţii de utilizator sau dacă fac clic pe linkuri care includ informaţii de utilizator în URL-uri HTTP sau HTTPS, această nouă funcţionalitate se poate evita în Internet Explorer, în două feluri:
  • Nu includeţi informaţiile de utilizator în URL-uri HTTP sau HTTPS.
  • Instruiţi utilizatorii să nu includă informaţiile lor de utilizator când tastează URL-uri HTTP sau HTTPS.
Dacă site-ul Web utilizează metoda de autentificare simplă, Internet Explorer cere automat utilizatorilor numele de utilizator şi parola. În unele cazuri utilizatorii pot face clic pe caseta Memorare parolă din caseta de dialog pentru a salva acreditările pentru vizitele ulterioare la acel site Web.

Soluţii pentru dezvoltatorii de aplicaţii şi de site-uri Web

URL-urile care se deschid de către obiecte care apelează funcţii WinInet sau Urlmon

Pentru obiecte care utilizează un URL HTTP sau HTTPS care include informaţii de utilizator atunci când apelează o funcţie WinInet sau Urlmon cum ar fi InternetOpenURL, rescrieţi obiectul pentru a utiliza una dintre metodele următoare de trimitere a informaţiilor de utilizator la site-ul Web: Notă Cu această soluţie, se pot deschide site-urile Web pe care tehnica de falsificare a URL-urilor le redirecţionează. Apare întreaga adresă URL, inclusiv amplasarea redirectată. De exemplu, următorul URL apare:
http://www.wingtiptoys.com@www.example.com
Utilizatorul ajunge, totuşi, la site-ul Web redirectat. În acest exemplu, utilizatorul ajunge la http://www.example.com.

URL-urile care se deschid printr-un script care utilizează acreditările pentru gestionarea stării

Dacă includeţi URL-uri HTTP sau HTTPS care conţin informaţii de utilizator în codul scriptului, pentru a gestiona informaţii de stare, modificaţi codul scriptului pentru a utiliza module cookie în loc de informaţii de utilizator. Pentru informaţii suplimentare despre modalitatea de utilizare a modulelor cookie la gestionarea informaţiilor de stare, vizitaţi următorul site Web IETF (Internet Engineering Task Force):Pentru a vedea un exemplu de utilizare a Visual Basic pentru a citi şi scrie module cookie HTTP într-un program Web ASP.NET, vizitaţi următorul site Web Microsoft:

Cum se dezactivează noul comportament sau cum se utilizează în alte programe

După ce instalaţi actualizarea de securitate 832894, setaţi valorile de registry pentru a utiliza acest comportament nou în alte programe care găzduiesc controlul browser Web sau pentru a dezactiva acest nou comportament pentru Windows Explorer şi Internet Explorer.

Cum pot utiliza acest nou comportament implicit programele care găzduiesc controlul browser Web pentru a trata informaţiile de utilizator în URL-uri HTTP sau HTTPS

În mod implicit, acest nou comportament implicit pentru tratarea informaţiilor de utilizator în URL-uri HTTP sau HTTPS se aplică numai la Windows Explorer şi la Internet Explorer. Pentru a utiliza acest nou comportament în alte programe care găzduiesc controlul browser Web, creaţi o valoare DWORD numită exemplu_apl.exe, unde exemplu_apl.exe este numele fişierului executabil care execută programul. Setaţi datele valorii DWORD la 1 într-una din următoarele chei registry.
  • Pentru toţi utilizatorii programului, setaţi valoarea în următoarea cheie registry:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Doar pentru utilizatorul curent al programului, setaţi valoarea în următoarea cheie registry:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Cum se dezactivează noul comportament implicit pentru tratarea informaţiilor de utilizator în URL-uri HTTP sau HTTPS

Pentru a dezactiva noul comportament implicit în Windows Explorer şi Internet Explorer, creaţi valori DWORD iexplore.exe şi explorer.exe într-una dintre următoarele chei de registry şi setaţi valoarea lor la 0.
  • Pentru toţi utilizatorii programului, setaţi valoarea în următoarea cheie registry:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Doar pentru utilizatorul curent al programului, setaţi valoarea în următoarea cheie registry:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
REFERINŢE
Pentru o explicaţie a sintaxei standard URL pentru URL-uri HTTP sau HTTPS, vizitaţi site-urile Web IETF (Internet Engineering Task Force):
RFC 1738: URL (Uniform Resource Locators)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: URI (Uniform Resource Identifiers): Sintaxă generală
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: HTTP (Hypertext Transfer Protocol) -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Microsoft vă oferă informaţiile de contact ale terţilor pentru a vă ajuta să găsiţi suport tehnic. Aceste informaţi de contact se pot schimba fără notificare prealabilă. Microsoft nu garantează acurateţea acestor informaţii de contact ale terţilor.
https deghizate URL spoof URL hacker ie
Proprietăți

ID articol: 834489 - Ultima examinare: 02/02/2007 03:10:56 - Revizie: 9.6

Microsoft Internet Explorer 6.0, Microsoft Internet Explorer 6.0 SP1, Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 5.01 SP4, Microsoft Internet Explorer 5.01 Service Pack 3, Microsoft Internet Explorer 5.01 Service Pack 2

  • KB834489
Feedback
"var m=document.createElement('meta');m.name='ms.dqp0';m.content='true';document.getElementsByTagName('head')[0].appendChild(m);" onload="var m=document.createElement('meta');m.name='ms.dqp0';m.content='false';document.getElementsByTagName('head')[0].appendChild(m);" src="http://c1.microsoft.com/c.gif?">