Internet Explorer, Web sitesi adreslerinde (HTTP veya HTTPS URL'leri) kullanıcı adlarını ve parolaları desteklemez

Bu makale, bir Web sitesi adresine (HTTP veya HTTPS URL'si) kullanıcı bilgileri eklendiğinde Web sitesi yöneticilerine ve BT uzmanlarına Internet Explorer'ın davranışı hakkında bildirimde bulunmalıdır.

Orijinal ürün sürümü: Internet Explorer
Özgün KB numarası: 834489

Özet

Varsayılan olarak, güvenlik güncelleştirmesi 832894 yayımlanmasından itibaren yayımlanan Internet Explorer sürümleri, HTTP ve HTTP'deki kullanıcı adlarının ve parolaların Güvenli Yuva Katmanı (SSL) veya HTTPS URL'leri ile işlenmesini desteklemez. Aşağıdaki URL söz dizimi Internet Explorer'da veya Windows Gezgini'nde desteklenmez:

http(s)://username:password@server/resource.ext

Bu makale, Internet Explorer'ın bu varsayılan davranışını size bildirmeye yöneliktir. HTTP veya HTTPS URL'lerine kullanıcı bilgilerini eklerseniz, bu makalede açıklanan geçici çözümleri keşfetmenizi öneririz.

Arka plan bilgileri

Internet Explorer sürüm 3.0 ile 6.0 arası, HTTP veya HTTPS URL'leri için aşağıdaki söz dizimini destekler:

http(s)://username:password@server/resource.ext

Kullanıcı bilgilerini temel kimlik doğrulama yöntemini destekleyen bir Web sitesine otomatik olarak göndermek için bu URL söz dizimini kullanabilirsiniz.

Kötü amaçlı bir kullanıcı bu URL söz dizimini kullanarak geçerli bir Web sitesini açarken görünen ancak aslında yanıltıcı (sahte) bir Web sitesi açan bir köprü oluşturabilir. Örneğin, aşağıdaki URL açılır http://www.wingtiptoys.com ancak açılır http://example.com:

http://www.wingtiptoys.com@example.com

Ayrıca, kötü amaçlı kullanıcılar bu URL söz dizimini diğer yöntemlerle birlikte kullanarak, Internet Explorer'ın tüm sürümlerinin Durum çubuğunda, Adres çubuğunda ve Başlık çubuğunda geçerli bir Web sitesinin URL'sini görüntüleyen yanıltıcı (sahte) bir Web sitesine bağlantı oluşturabilir. Bu sorun hakkında daha fazla bilgi için, kendinizi yanıltıcı (sahte) Web sitelerine ve kötü amaçlı köprülere karşı korumaya yardımcı olmak için 833786 makale numarasına tıklayın.

Varsayılan davranıştaki değişikliğin açıklaması

Arka plan bilgileri bölümünde açıklanan sorunları azaltmak için Internet Explorer ve Windows Gezgini artık bu formun HTTP ve HTTPS URL'lerinin işlenmesini desteklemez. Windows Gezgini ve Internet Explorer, kullanıcı bilgilerini içeren bir URL kullanarak HTTP veya HTTPS sitelerini açmaz. Varsayılan olarak, kullanıcı bilgileri bir HTTP veya HTTPS URL'sine dahil edilirse, aşağıdaki başlığa sahip bir Web sayfası görüntülenir:

Geçersiz söz dizimi hatası.

Varsayılan davranıştaki bu değişiklik, güvenlik güncelleştirmeleri, hizmet paketleri ve Internet Explorer'ın güvenlik güncelleştirmeleri 832894 yayımlandıktan sonra yayımlanan sürümleri tarafından da uygulanır.

Kullanıcılar için geçici çözümler

1. Adres çubuğuna URL'yi yazan veya bir bağlantıya tıklayan kullanıcılar tarafından açılan URL'ler

   Kullanıcılar genellikle Adres çubuğuna kullanıcı bilgilerini içeren HTTP veya HTTPS URL'leri yazarsa veya HTTP veya HTTPS URL'lerinde kullanıcı bilgilerini içeren bağlantılara tıklarsa, Internet Explorer'daki bu yeni işleve iki şekilde geçici bir çözüm bulabilirsiniz:

   • HTTP veya HTTPS URL'lerine kullanıcı bilgilerini eklemeyin.
   • Kullanıcılara HTTP veya HTTPS URL'leri yazarken kullanıcı bilgilerini eklememelerini sağlayın.

   Web sitesi temel kimlik doğrulama yöntemini kullanıyorsa, Internet Explorer otomatik olarak kullanıcılardan bir kullanıcı adı ve parola ister. Bazı durumlarda, kullanıcılar iletişim kutusundaki Parolamı anımsa kutusuna tıklayarak bu Web sitesine daha sonra yapılan ziyaretler için kimlik bilgilerini kaydedebilir.

Uygulama ve Web sitesi geliştiricileri için geçici çözümler

1. WinInet veya Urlmon işlevlerini çağıran nesneler tarafından açılan URL'ler

   InternetOpenURL gibi bir WinInet veya Urlmon işlevi çağırdığında kullanıcı bilgilerini içeren bir HTTP veya HTTPS URL'si kullanan nesneler için, web sitesine kullanıcı bilgilerini göndermek için aşağıdaki yöntemlerden birini kullanmak üzere nesnesini yeniden yazın:

   • InternetSetOption işlevini kullanın ve aşağıdaki seçenek bayraklarını ekleyin:
     • INTERNET_OPTION_USERNAME
     • INTERNET_OPTION_PASSWORD

   Not

   Bu bayraklar için InternetSetOption seçeneğinin InternetConnect işlevi tarafından döndürülen bir tanıtıcısı olmalıdır. Bu nedenle, uygulama InternetOpenUrl işlevini kullanıyorsa, uygulamayı InternetConnect , HttpOpenRequest ve HttpSendRequest WinInet işlevlerini kullanacak şekilde değiştirin.

   Bu işlevlerin nasıl kullanılacağı hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitelerini ziyaret edin:

   • InternetConnectA işlevi
   • HttpOpenRequestA işlevi
   • HttpSendRequestA işlevi

   IAuthenticate Arabirimini kullanma hakkında daha fazla bilgi için aşağıdaki Microsoft Web sitesini ziyaret edin:

   • IAuthenticate arabirimi

   Not

   Bu geçici çözümle, URL kimlik sahtekarlık tekniğinin yeniden yönlendirildiği Web sitelerini açabilirsiniz. Yeniden yönlendirilen konum da dahil olmak üzere URL'nin tamamı görüntülenir.

   Örneğin, aşağıdaki URL görüntülenir:

   http://www.wingtiptoys.com@www.example.com

   Kullanıcı yeniden yönlendirilen Web sitesine gelmeye devam eder. Bu örnekte kullanıcı adresine ulaşır http://www.example.com.

2. Durum yönetimi için kimlik bilgilerini kullanan bir betik tarafından açılan URL'ler

   Betik koduna kullanıcı bilgilerini içeren HTTP veya HTTPS URL'leri eklerseniz, durum bilgilerini yönetmek için betik kodunuzu kullanıcı bilgileri yerine tanımlama bilgilerini kullanacak şekilde değiştirin. Durum bilgilerini yönetmek için tanımlama bilgilerinin nasıl kullanılacağı hakkında daha fazla bilgi için bkz. HTTP Durum Yönetim Mekanizması.

   ASP.NET Web programında HTTP tanımlama bilgilerini okumak ve yazmak için Visual Basic'i kullanma örneğini görmek için bkz. HttpCookie Sınıfı.

Yeni davranışı devre dışı bırakma veya diğer programlarda kullanma

Web tarayıcısı denetimini barındıran diğer programlarda bu yeni davranışı kullanmak veya Windows Gezgini ve Internet Explorer için bu yeni davranışı devre dışı bırakmak için kayıt defteri değerlerini ayarlayabilirsiniz.

1. Web tarayıcısı denetimini barındıran programlar, HTTP'deki veya HTTPS URL'lerindeki kullanıcı bilgilerini işlemek için bu yeni varsayılan davranışı nasıl kullanabilir?

   Varsayılan olarak, HTTP veya HTTPS URL'lerindeki kullanıcı bilgilerini işlemeye yönelik bu yeni varsayılan davranış yalnızca Windows Gezgini ve Internet Explorer için geçerlidir. Bu yeni davranışı Web tarayıcısı denetimini barındıran diğer programlarda kullanmak için ,SampleApp.exeadlı bir DWORD değeri oluşturun; buradaSampleApp.exe programı çalıştıran yürütülebilir dosyanın adıdır. Aşağıdaki kayıt defteri anahtarlarından birinde DWORD değerinin değer verilerini 1 olarak ayarlayın.

   • Programın tüm kullanıcıları için aşağıdaki kayıt defteri anahtarındaki değeri ayarlayın:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • Yalnızca programın geçerli kullanıcısı için aşağıdaki kayıt defteri anahtarındaki değeri ayarlayın:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

2. HTTP veya HTTPS URL'lerinde kullanıcı bilgilerini işlemek için yeni varsayılan davranışı devre dışı bırakma

   Windows Gezgini ve Internet Explorer'da yeni varsayılan davranışı devre dışı bırakmak için, aşağıdaki kayıt defteri anahtarlarından birinde iexplore.exe ve explorer.exe DWORD değerleri oluşturun ve değer verilerini 0 olarak ayarlayın.

   • Programın tüm kullanıcıları için aşağıdaki kayıt defteri anahtarındaki değeri ayarlayın:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • Yalnızca programın geçerli kullanıcısı için aşağıdaki kayıt defteri anahtarındaki değeri ayarlayın:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Başvurular

HTTP veya HTTPS URL'leri için standart URL söz diziminin açıklaması için aşağıdaki Internet Engineering Task Force (IETF) Web sitelerini ziyaret edin:

• RFC 1738: Tekdüzen Kaynak Bulucuları (URL)
• RFC 2396: Tekdüzen Kaynak Tanımlayıcıları (URI): Genel Söz Dizimi
• RFC 2616: Köprü Metni Aktarım Protokolü--HTTP/1.1

Microsoft, teknik destek bulmanıza yardımcı olmak üzere üçüncü taraf iletişim bilgilerini sağlamaktadır. Bu iletişim bilgileri önceden haber verilmeksizin değiştirilebilir. Microsoft bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.