Trenutno nimate vzpostavljene povezave; čakanje, da se internetna povezava znova vzpostavi

Varnostna posodobitev za Internet Explorer, ki spremeni obravnavo uporabniških podatkov v URL-jih strani HTTP in HTTPS

POVZETEK
Na voljo je varnostna posodobitev, ki iz Internet Explorerja odstrani podporo za uporabniška imena in gesla v URL-jih strani HTTP in strani HTTP s šifriranjem SSL (Secure Sockets Layer) oziroma strani HTTPS. Naslednja sintaksa za URL v Internet Explorerju in raziskovalcu programa Windows ni več na voljo, ko namestite zbirno varnostno posodobitev za Internet Explorer MS04-004 (832894):
http(s)://uporabniškoime:geslo@strežnik/sredstvo.pripona
To spremembo privzetega delovanja vsebujejo vse varnostne posodobitve in servisni paketi, izdani za posodobitvijo 832894. V članku je opisano privzeto delovanje Internet Explorerja po namestitvi varnostne posodobitve. Če v URL-je strani HTTP ali HTTPS vključujete uporabniške informacije, Microsoft priporoča, da preučite rešitve, opisane v tem članku, preden namestite varnostno posodobitev 832894. Če bi radi izvedeli več o varnostni posodobitvi 832894, obiščite Microsoftovo spletno mesto:Informacije o različicah Internet Explorerja in operacijskega sistema Microsoft Windows, ki jih varnostna posodobitev podpira, najdete v razdelkih »Informacije o varnostni posodobitvi« in »Pogosta vprašanja« v varnostnem biltenu MS04-004.
DODATNE INFORMACIJE

Ozadje

Internet Explorer 3.0 in novejši podpirajo to sintakso za URL strani HTTP ali HTTPS:
http(s)://uporabniškoime:geslo@strežnik/sredstvo.pripona
To sintakso URL-ja lahko uporabite za samodejno pošiljanje uporabniških podatkov spletnemu mestu, ki podpira osnovne načine preverjanja pristnosti.

Zlonamerni uporabnik pa bi lahko s to sintakso URL-ja ustvaril povezavo, ki le navidez odpira pravo spletno mesto, dejansko pa odpre lažno spletno mesto. Na prvi pogled se zdi, da ta URL odpre spletno mesto http://www.wingtiptoys.com, v resnici pa odpre mesto http://primer.com:
http://www.wingtiptoys.com@primer.com
Opomba V tem primeru se v polju z naslovom Internet Explorerja 6 s servisnim paketom SP1 in Internet Explorerja 6 za Microsoft Windows Server 2003 prikaže le »http://example.com«. Starejše različice Internet Explorerja pa v naslovni vrstici prikažejo vse: »http://www.wingtiptoys.com@example.com«.

Povrhu tega lahko zlonamerni uporabniki to sintakso URL-ja uporabijo v povezavi z drugimi metodami in ustvarijo lažno spletno mesto, ki v vrstici stanja, naslovni vrstici in polju z naslovom v vseh različicah Internet Explorerja prikaže URL pravega spletnega mesta.

Če želite več informacij o tej težavi, kliknite to številko članka iz Microsoftove zbirke znanja:
833786 Koraki za odkrivanje in zaščito pred lažnimi spletnimi mesti in zlonamernimi povezavami (Ta povezava lahko vodi k besedilu, ki je delno ali v celoti v angleščini)

Razlaga spremembe privzetega delovanja

Da bi se izognili težavam, opisanim v razdelku »Ozadje« tega članka, varnostna posodobitev 832894 odstrani podporo za takšno uporabo URL-jev strani HTTP in HTTPS v Internet Explorerju in raziskovalcu programa Windows. Potem ko namestite varnostno posodobitev 832894, raziskovalec in Internet Explorer ne odpreta mest HTTP ali HTTPS z uporabo URL-ja, ki vsebuje uporabniške informacije. Če so podatki o uporabniku privzeto vključeni v URL za HTTP ali HTTPS, se prikaže spletna stran s sporočilom:
Napaka neveljavne sintakse
Opomba Ta sprememba v privzetem delovanju ne vpliva na druge protokole. Uporabniške podatke lahko na primer še vedno vključite v URL protokola FTP, čeprav ste namestili varnostno posodobitev 832894.

To spremembo privzetega delovanja vsebujejo vse varnostne posodobitve in servisni paketi, izdani za posodobitvijo 832894.

Rešitve za uporabnike

URL-ji, ki jih uporabniki odprejo tako, da jih vnesejo v polje z naslovom ali kliknejo povezavo

Če uporabniki v polje z naslovom ponavadi vnašajo URL-je strani HTTP ali HTTPS, ki vsebujejo uporabniške podatke, oziroma kliknejo povezave z uporabniškimi podatki v URL-jih strani HTTP ali HTTPS, lahko to novo funkcijo v Internet Explorerju obidete na dva načina:
  • V URL-je strani HTTP in HTTPS ne vključujte uporabniških podatkov.
  • Uporabnike poučite, naj ne vključujejo svojih podatkov, ko vnašajo URL-je strani HTTP ali HTTPS.
Če spletno mesto uporablja osnovne načine preverjanja pristnosti, Internet Explorer uporabnike samodejno pozove, naj vnesejo uporabniško ime in geslo. V nekaterih primerih lahko kliknejo možnost Shrani geslo in tako shranijo poverilnice za naslednje obiske tega spletnega mesta.

Rešitve za razvijalce aplikacij in spletnih mest

URL-ji, ki jih odprejo predmeti, ki kličejo funkcijo WinInet ali Urlmon

Predmete, ki uporabljajo URL-je strani HTTP ali HTTPS z uporabniškimi podatki, ko kličejo funkcijo WinInet ali Urlmon, na primer InternetOpenURL, znova napišite tako, da bodo uporabljali enega od teh načinov pošiljanja uporabniških informacij spletnemu mestu: Opomba S to rešitvijo lahko odpirate spletna mesta, na katere preusmerja goljufivi URL. Prikazan je celoten URL, vključno z mestom preusmeritve. Če je denimo prikazan naslednji URL:
http://www.wingtiptoys.com@www.primer.com
, uporabnik vseeno odpre spletno mesto, kamor je bil preusmerjen. V tem primeru torej odpre mesto http://www.primer.com.

URL-ji, ki jih odprejo skripti, ki uporabljajo poverilnice za upravljanje stanja

V skriptno kodo za upravljanje informacij o stanju namesto URL-jev za HTTP ali HTTPS, ki vsebujejo uporabniške podatke, raje vstavite piškotke. Več o upravljanju informacij o stanju s piškotki najdete na spletnem mestu skupine IETF (Internet Engineering Task Force):Če bi radi izvedeli, kako s programom Visual Basic berete in pišete piškotke za HTTP v spletnem programu ASP.NET, obiščite Microsoftovo spletno mesto:

Onemogočanje novega delovanja in njegova uporaba v drugih programih

Potem ko namestite varnostno posodobitev 832894, lahko določite registrske vrednosti in to novo delovanje uporabite v drugih programih, ki gostijo nadzor spletnega brskalnika, ali pa ga onemogočite v raziskovalcu programa Windows in Internet Explorerju.

Kako programi, ki gostijo nadzor nad spletnim brskalnikom, izkoristijo to novo delovanje za upravljanje uporabniških informacij v URL-jih za HTTP in HTTPS

Privzeto je, da novi način obravnavanja uporabniških informacij v URL-jih za HTTP in HTTPS velja samo za raziskovalca programa Windows in Internet Explorer. Če ga želite uporabiti v programih, ki gostijo nadzor nad brskalnikom, ustvarite vrednost DWORD program.exe, kjer je program.exe ime izvedljive datoteke programa. Podatke vrednosti DWORD nastavite na 1 v enem od naštetih registrskih ključev:
  • Za vse uporabnike programa vrednost nastavite v tem registrskem ključu:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Samo za trenutnega uporabnika programa vrednost nastavite v tem registrskem ključu:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Onemogočanje novega obravnavanja uporabniških podatkov v URL-jih za HTTP in HTTPS

Če želite novo privzeto delovanje v raziskovalcu programa Windows in Internet Explorerju onemogočiti, ustvarite vrednost DWORD iexplore.exe ali explorer.exe v enem od naslednjih registrskih ključev ter jo nastavite na 0.
  • Za vse uporabnike programa vrednost nastavite v tem registrskem ključu:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Samo za trenutnega uporabnika programa vrednost nastavite v tem registrskem ključu:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
SKLICI
Razlago običajne sintakse URL-ja za HTTP ali HTTPS najdete na tem spletnem mestu skupine IETF (Internet Engineering Task Force):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
Microsoft podatke za stik z drugimi proizvajalci ponuja zato, da boste lažje prišli do tehnične podpore. Te informacije se lahko spremenijo brez poprejšnjega obvestila. Microsoft ne more jamčiti za pravilnost teh podatkov o drugih proizvajalcih.
https lažnivi URL lažen URL heker ie
Lastnosti

ID članka: 834489 – Zadnji pregled: 02/02/2007 03:10:56 – Revizija: 10.6

Windows Internet Explorer 7, Microsoft Internet Explorer 6.0, Microsoft Internet Explorer 6.0 SP1, Microsoft Internet Explorer 5.5, Microsoft Internet Explorer 5.01 SP4, Microsoft Internet Explorer 5.01 Service Pack 3, Microsoft Internet Explorer 5.01 Service Pack 2

  • KB834489
Povratne informacije