В настоящее время вы работаете в автономном режиме; ожидается повторное подключение к Интернету
Войти

Обозреватель Internet Explorer не поддерживает имена пользователей и пароли в адресах веб-узлов (URL-адреса протоколов HTTP или HTTPS )

Поддержка Windows Server 2003 завершилась 14 июля 2015 г.

Корпорация Майкрософт завершила поддержку Windows Server 2003 14 июля 2015 г. Это повлияло на обновления программного обеспечения и параметры безопасности. Узнайте, что это значит для вас и какие меры по безопасности можно предпринять.

Поддержка системы Windows Vista без пакетов обновления прекратилась 13 апреля 2010 г. Чтобы и далее получать обновления для системы безопасности Windows Vista, установите пакет обновления 2 (SP2). Дополнительные сведения см. на следующей странице веб-сайта корпорации Майкрософт: Заканчивается поддержка для некоторых версий Windows

Целью данной статьи является уведомление администраторов веб-узлов и специалистов по ИТ о поведении обозревателя Internet Explorer при включении данных пользователя в адрес веб-узла (URL-адреса протоколов HTTP или HTTPS).
Аннотация
По умолчанию версии обозревателя Windows Internet Explorer, выпущенные после выпуска обновления безопасности 832894, не поддерживали обработку имен пользователей и паролей в URL-адресах протоколов HTTP, HTTP с Secure Sockets Layer (SSL) или HTTPS. В обозревателе Internet Explorer и проводнике не поддерживается следующий синтаксис URL-адреса:
http(s)://имя_пользователя:пароль@сервер/ресурс.расш
Данная статья содержит сведения о стандартном поведении Internet Explorer. При включении учетных данных пользователя в URL-адреса протоколов HTTP и HTTPS рекомендуется ознакомиться с представленными в этой статье методами обхода проблем. Для получения дополнительных сведений об исправлении безопасности 832894 посетите веб-узел корпорации Майкрософт по адресу:
Дополнительная информация

Вводные сведения

В Internet Explorer версий 3.0 — 6.0 реализована поддержка URL-адресов протоколов HTTP и HTTPS в следующем формате:
http(s)://имя_пользователя:пароль@сервер/ресурс.расш
Этот синтаксис используется для автоматической отправки учетных данных пользователя на веб-узел, который поддерживает базовую проверку подлинности.

Однако в таком формате злоумышленник может создать гиперссылку, которая на первый взгляд указывает на законный, но в действительности открывает обманный (подмененный) веб-узел. Так, указанный ниже адрес URL вместо веб-узла http://www.wingtiptoys.com открывает http://example.com:
http://www.wingtiptoys.com@example.com
Примечание. В этом случае в строке адреса обозревателей Internet Explorer 6 с пакетом обновления 1 (SP1) и Internet Explorer 6 для Windows Server 2003 будет отображаться только строка http://example.com. Строка адреса более ранних версий Internet Explorer будет содержать ссылку http://www.wingtiptoys.com@example.com полностью.

Кроме того, путем применения дополнительных методов злоумышленник может создать в этом формате ссылку на подмененный веб-узел, которая в строке адреса, строке состояния и заголовке окна обозревателя Internet Explorer всех версий будет отображаться как URL-адрес законного веб-узла.

Для получения дополнительных сведений щелкните следующий номер статьи базы знаний Майкрософт:
833786 Как обнаруживать опасные веб-узлы и гиперссылки и защищаться от них

Описание изменений в стандартном поведении обозревателя

Для устранения описанных в разделе «Дополнительные сведения» этой статьи проблем обозреватель Internet Explorer и проводник более не поддерживают обработку URL-адресов протоколов HTTP и HTTPS в данном формате. Обозреватель Internet Explorer и проводник не открывают веб-узлы протоколов HTTP и HTTPS с помощью URL-адресов с учетными данными пользователя. В случае обнаружения в URL-адресе учетных данных пользователя появляется веб-страница со следующим названием:
Синтаксическая ошибка
Примечание. Это изменение не влияет на обработку адресов других протоколов. Так, включать учетные данные пользователя в URL-адрес протокола FTP можно и после установки обновления безопасности 832894.

Это изменение способа работы по умолчанию также реализовано в обновлениях безопасности, пакетах обновления и версиях обозревателя Internet Explorer, выпущенных после обновления безопасности 832894.

Обходные способы решения проблемы для пользователей

URL-адреса, которые вводятся в адресной строке или открываются при переходе по ссылке

При вводе в адресную строку URL-адреса протоколов HTTP или HTTPS с пользовательскими сведениями или переходе по ссылке с таким URL-адресом эти новые функции Interntet Explorer можно обойти двумя способами.
  • Не включайте учетные данные в состав URL-адресов протоколов HTTP и HTTPS.
  • Проинструктируйте пользователей не включать учетные данные при вводе URL-адресов протоколов HTTP и HTTPS.
Если на веб-узле используется базовая проверка подлинности, Internet Explorer автоматически отображает диалоговое окно для ввода учетных данных. В некоторых случаях, чтобы сохранить учетные данные для следующих посещений узла, достаточно установить флажок Сохранить пароль.

Решения для разработчиков приложений и веб-узлов

Адреса URL, которые открываются объектами с помощью функций WinInet и Urlmon

Объекты, которые используют учетные данные пользователей в адресах URL протоколов HTTP и HTTPS при вызове функций WinInet или Urlmon (например, InternetOpenURL), необходимо переписать одним из представленных ниже способов.
  • Используйте функцию InternetSetOption и добавьте следующие флаги:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Примечание. Чтобы функция InternetSetOption могла использовать эти флаги, ей необходимо передать дескриптор, возвращаемый функцией InternetConnect. Поэтому, если приложение использует функцию InternetOpenUrl, измените программу таким образом, чтобы использовались функции InternetConnect, HttpOpenRequest и HttpSendRequestинтерфейса WinInet. Для получения дополнительных сведений об использовании данных функций посетите веб-узел Майкрософт по следующему адресу:
  • Используйте интерфейс IAuthenticate. Для получения дополнительных сведений об использовании интерфейса IAuthenticate посетите следующий веб-узел Майкрософт:
Примечание. Данный метод обхода позволяет открывать веб-узлы, перенаправленные с помощью подмены URL-адреса. При этом появляется полный URL-адрес, включая адрес перенаправления. Например, URL-адрес может отображаться в следующем виде:
http://www.wingtiptoys.com@www.example.com
а пользователи будут направлены на нужный веб-узел. В данном примере пользователь откроет веб-страницу по адресу http://www.example.com.

URL-адреса, которые открываются сценарием, использующим учетные данные пользователей для управления данными о состоянии

Для управления данными о состоянии используйте в сценариях файлы cookie вместо URL-адресов протоколов HTTP и HTTPS, включающих учетные данные пользователей. Для получения дополнительных сведений об использовании файлов cookie для управления данными о состоянии посетите веб-узел проблемной группы проектирования Интернета (IETF) по следующему адресу:Пример использования языка Visual Basic для чтения и записи файлов cookie в веб-программе ASP.NET приведен на веб-узле корпорации Майкрософт по следующему адресу:

Отмена нового поведения и его использование в других программах

С помощью соответствующих параметров системного реестра можно распространить применение нового поведения на другие программы, которые содержат элемент управления обозревателя, или отменить действие этого поведения в проводнике и обозревателе Internet Explorer.

Как программы, которые содержат элемент управления веб-обозревателем, используют новую методику обработки учетных данных пользователей в URL-адресах протоколов HTTP и HTTPS

По умолчанию действие новой методики обработки учетных данных пользователей в URL-адресах протоколов HTTP и HTTPS распространяется только на проводник и Internet Explorer. Для изменения поведения других программ, которые содержат элемент управления веб-обозревателем, необходимо создать параметр DWORD с именем SampleApp.exe, где SampleApp.exe – имя исполняемого файла программы. В одном из указанных ниже разделов системного реестра установите для созданного параметра значение 1.
  • Для всех пользователей программы:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Только для текущего пользователя:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Отмена использования новой методики обработки учетных данных пользователей в URL-адресах протоколов HTTP и HTTPS

Если для отключения использования новой методики в проводнике и браузере Internet Explorer требуется помощь, перейдите к разделу Помощь в решении проблемы. Чтобы устранить проблему самостоятельно, перейдите к разделу Самостоятельное решение проблемы.

Помощь в решении проблемы



Чтобы устранить проблему автоматически, щелкните ссылку или нажмите кнопку Fix it. Затем в диалоговом окне Загрузка файла нажмите кнопку Выполнить и следуйте инструкциям мастера устранения проблем.





Примечания
  • Автоматическое исправление отключает использование новой методики для всех пользователей проводника и браузера Internet Explorer.
  • Мастер может быть доступен только на английском языке. Однако средство автоматического устранения неполадок можно использовать в версиях Windows на любых языках.
  • Решение Fix it можно загрузить на любой компьютер, а затем сохранить на устройстве флэш-памяти или компакт-диске и запустить на нужном компьютере.

Перейдите к разделу Проблема устранена?



Самостоятельное решение проблемы

Чтобы отменить использование новой методики в проводнике и браузере Internet Explorer, создайте в одном из указанных ниже разделов системного реестра параметры iexplore.exe и explorer.exe типа DWORD со значением 0.
  • Для всех пользователей программы:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Только для текущего пользователя:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Проблема устранена?

Ссылки
Описание стандартного синтаксиса URL-адресов для протоколов HTTP и HTTPS приведено на веб-узле проблемной группы проектирования Интернета (IETF) по следующим адресам.
Спецификация RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

Спецификация RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

Спецификация RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Контактные данные независимых производителей предоставлены в данной статье с целью помочь пользователям в получении необходимой технической поддержки. Эти данные могут быть изменены без предварительного уведомления. Корпорация Майкрософт не дает гарантий относительно верности приведенных контактных данных сторонних производителей.
 spoofed URL spoof hacker ie fixit fix it fixme
Свойства

Номер статьи: 834489 — последний просмотр: 06/30/2011 17:48:00 — редакция: 2.0

  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
  • kbresolve kbfixme kbmsifixme KB834489
Отзывы и предложения