Internet Explorer unterstützt keine Benutzernamen und Kennwörter in Websiteadressen (http-oder HTTPS-URLs)

Dieser Artikel soll Websiteadministratoren und IT-Experten über das Verhalten von Internet Explorer Benachrichtigen, wenn Benutzerinformationen in einer Websiteadresse enthalten sind (http-oder HTTPS-URL).

Original Version des Produkts:   Internet Explorer
Ursprüngliche KB-Nummer:   834489

Zusammenfassung

Standardmäßig unterstützen Versionen von Internet Explorer, die ab der Veröffentlichung des Sicherheitsupdates 832894 veröffentlicht wurden, nicht die Verarbeitung von Benutzernamen und Kennwörtern in http und http mit Secure Sockets Layer (SSL)-oder HTTPS-URLs. Die folgende URL-Syntax wird in Internet Explorer oder in Windows Explorer nicht unterstützt:

http(s)://username:password@server/resource.ext

Dieser Artikel soll Sie über dieses Standardverhalten von Internet Explorer informieren. Wenn Sie Benutzerinformationen in http-oder HTTPS-URLs einschließen, sollten Sie die in diesem Artikel beschriebenen Problemumgehungen untersuchen.

Hintergrundinformationen

Internet Explorer Versionen 3,0 bis 6,0 unterstützen die folgende Syntax für http-oder HTTPS-URLs:

http(s)://username:password@server/resource.ext

Sie können diese URL-Syntax verwenden, um Benutzerinformationen automatisch an eine Website zu senden, die die Standardauthentifizierungsmethode unterstützt.

Ein böswilliger Benutzer kann diese URL-Syntax verwenden, um einen Hyperlink zu erstellen, der angezeigt wird, um eine legitime Website zu öffnen, aber tatsächlich eine trügerische (gefälschte) Website öffnet. Beispielsweise wird die folgende URL geöffnet, http://www.wingtiptoys.com aber tatsächlich geöffnet http://example.com :

http://www.wingtiptoys.com@example.com

Hinweis

In diesem Fall werden Internet Explorer 6 Service Pack 1 (SP1) und Internet Explorer 6 für Microsoft Windows Server 2003 nur http://example.com in der Adressleiste angezeigt. Frühere Versionen von Internet Explorer jedoch http://www.wingtiptoys.com@example.com in der Adressleiste angezeigt.

Darüber hinaus können böswillige Benutzer diese URL-Syntax zusammen mit anderen Methoden verwenden, um einen Link zu einer trügerischen (gefälschten) Website zu erstellen, die die URL zu einer legitimen Website in der Status Leiste, in der Adressleisteund in der Titelleiste aller Versionen von Internet Explorer anzeigt. Wenn Sie weitere Informationen zu diesem Problem erhalten möchten, klicken Sie auf die Artikelnummer 833786 , um sich vor trügerischen (gefälschten) Websites und bösartigen Hyperlinks zu schützen.

Erläuterung der Änderung des Standardverhaltens

Um die Probleme zu beheben, die im Abschnitt Hintergrundinformationen erörtert werden, unterstützen Internet Explorer und Windows Explorer nicht mehr die Verarbeitung von http-und HTTPS-URLs dieses Formulars. In Windows Explorer und Internet Explorer werden http-oder HTTPS-Websites nicht mithilfe einer URL geöffnet, die Benutzerinformationen enthält. Wenn Benutzerinformationen in einer HTTP-oder HTTPS-URL enthalten sind, wird standardmäßig eine Webseite mit dem folgenden Titel angezeigt:

Ungültiger Syntaxfehler.

Hinweis

Diese Änderung des Standardverhaltens wirkt sich nicht auf andere Protokolle aus.

Diese Änderung des Standardverhaltens wird auch durch Sicherheitsupdates, Service Packs und Versionen von Internet Explorer implementiert, die ab der Veröffentlichung des Sicherheitsupdates 832894 veröffentlicht wurden.

Workarounds für Benutzer

  1. URLs, die von Benutzern geöffnet werden, die die URL in die Adressleiste eingeben oder auf einen Link klicken

    Wenn Benutzer in der Regel http-oder HTTPS-URLs eingeben, die Benutzerinformationen in die Adressleiste einschließen, oder auf Links klicken, die Benutzerinformationen in http-oder HTTPS-URLs enthalten, können Sie diese neue Funktionalität in Internet Explorer auf zweierlei Weise umgehen:

    • Schließen Sie keine Benutzerinformationen in http-oder HTTPS-URLs ein.
    • Weisen Sie die Benutzer an, Ihre Benutzerinformationen beim Eingeben von http-oder HTTPS-URLs nicht einzubeziehen.

    Wenn die Website die Standardauthentifizierungsmethode verwendet, werden Benutzer von Internet Explorer automatisch aufgefordert, einen Benutzernamen und ein Kennwort einzugeben. In einigen Fällen können Benutzer auf das Feld Kennwort speichern im Dialogfeld klicken, um Ihre Anmeldeinformationen für spätere Besuche dieser Website zu speichern.

Workarounds für Anwendungs-und Websiteentwickler

  1. URLs, die von Objekten geöffnet werden, die WinInet-oder Urlmon-Funktionen aufrufen

    Für Objekte, die eine HTTP-oder HTTPS-URL verwenden, die Benutzerinformationen enthält, wenn Sie eine WinInet-oder Urlmon-Funktion wie InternetOpenURL aufrufen, schreiben Sie das Objekt neu, um eine der folgenden Methoden zum Senden von Benutzerinformationen an die Website zu verwenden:

    • Verwenden Sie die InternetSetOption-Funktion, und fügen Sie die folgenden Options Markierungen hinzu:
      • INTERNET_OPTION_USERNAME
      • INTERNET_OPTION_PASSWORD

    Hinweis

    Für diese Flags muss die InternetSetOption-Option über ein Handle verfügen, das von der InternetConnect-Funktion zurückgegeben wird. Wenn die Anwendung die InternetOpenURL-Funktion verwendet, ändern Sie daher die Anwendung so, dass Sie die InternetConnect-, HttpOpenRequest-und HttpSendRequest-WinInet-Funktionen verwendet.

    Weitere Informationen zur Verwendung dieser Funktionen finden Sie auf den folgenden Websites von Microsoft:

    Weitere Informationen zur Verwendung der IAuthenticate -Schnittstelle finden Sie auf der folgenden Website von Microsoft:

    Hinweis

    Mit dieser Problemumgehung können Sie Websites öffnen, die von der URL-Spoofing-Technik weitergeleitet werden. Die gesamte URL wird angezeigt, einschließlich des umgeleiteten Speicherorts.

    Beispielsweise wird die folgende URL angezeigt:

    http://www.wingtiptoys.com@www.example.com

    Der Benutzer kommt immer noch auf der umgeleiteten Website an. In diesem Beispiel kommt der Benutzer an http://www.example.com .

  2. URLs, die von einem Skript geöffnet werden, das Anmeldeinformationen für die Statusverwaltung verwendet

    Wenn Sie http-oder HTTPS-URLs einschließen, die Benutzerinformationen in Ihrem Skriptcode enthalten, ändern Sie zum Verwalten von Statusinformationen ihren Skriptcode so, dass anstelle von Benutzerinformationen Cookies verwendet werden. Weitere Informationen zum Verwenden von Cookies zum Verwalten von Statusinformationen finden Sie unter http State Management Mechanism.

    Ein Beispiel zur Verwendung Visual Basic zum Lesen und Schreiben von HTTP-Cookies in einem ASP.net-Webprogramm finden Sie unter HttpCookie-Klasse.

Deaktivieren des neuen Verhaltens oder verwenden in anderen Programmen

Sie können Registrierungswerte so festlegen, dass dieses neue Verhalten in anderen Programmen verwendet wird, die das WebBrowser-Steuerelement hosten, oder um dieses neue Verhalten für Windows Explorer und Internet Explorer zu deaktivieren.

  1. Wie Programme, die das WebBrowser-Steuerelement hosten, dieses neue Standardverhalten zum Verarbeiten von Benutzerinformationen in http-oder HTTPS-URLs verwenden können

    Standardmäßig gilt dieses neue Standardverhalten für die Verarbeitung von Benutzerinformationen in http-oder HTTPS-URLs nur für Windows Explorer und Internet Explorer. Um dieses neue Verhalten in anderen Programmen zu verwenden, die das WebBrowser-Steuerelement hosten, erstellen Sie einen DWORD -Wert mit dem Namen " SampleApp.exe", wobei SampleApp.exe der Name der ausführbaren Datei ist, die das Programm ausführt. Legen Sie den Wert Daten des DWORD -Werts in einem der folgenden Registrierungsschlüssel auf 1 fest.

    • Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

      HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

    • Legen Sie den Wert im folgenden Registrierungsschlüssel nur für den aktuellen Benutzer des Programms fest:

      HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

  2. Vorgehensweise Deaktivieren des neuen Standardverhaltens für die Verarbeitung von Benutzerinformationen in http-oder HTTPS-URLs

    Wenn Sie das neue Standardverhalten in Windows Explorer und Internet Explorer deaktivieren möchten, erstellen Sie iexplore.exe und explorer.exe DWORD -Werte in einem der folgenden Registrierungsschlüssel, und legen Sie deren Wertdaten auf 0 fest.

    • Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

      HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

    • Legen Sie den Wert im folgenden Registrierungsschlüssel nur für den aktuellen Benutzer des Programms fest:

      HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Informationsquellen

Eine Erläuterung der Standard-URL-Syntax für http-oder HTTPS-URLs finden Sie auf den folgenden IETF-Websites (Internet Engineering Task Force):

Microsoft stellt Kontaktinformationen von Drittanbietern bereit, die Sie bei der Suche nach technischem Support unterstützen. Diese Kontaktinformationen können sich ohne vorherige Ankündigung ändern. Microsoft übernimmt keine Garantie für die Richtigkeit dieser Drittanbieter-Kontaktinformationen.