Internet Explorer unterstützt keine Benutzernamen und Kennwörter in Websiteadressen (HTTP- oder HTTPS-URLs)
Warnung
Die eingestellte, nicht mehr unterstützte Desktop-Anwendung Internet Explorer 11 wurde durch ein Microsoft Edge-Update in bestimmten Versionen von Windows 10 dauerhaft deaktiviert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung der Desktop-App von Internet Explorer 11.
Dieser Artikel soll Websiteadministratoren und IT-Experten über das Verhalten von Internet-Explorer informieren, wenn Benutzerinformationen in einer Websiteadresse (HTTP- oder HTTPS-URL) enthalten sind.
Ursprüngliche Produktversion: Internet Explorer
Ursprüngliche KB-Nummer: 834489
Zusammenfassung
Standardmäßig unterstützen Versionen von Internet Explorer, die ab der Veröffentlichung des Sicherheitsupdates 832894 veröffentlicht wurden, die Verarbeitung von Benutzernamen und Kennwörtern in HTTP und HTTP mit SECURE Sockets Layer (SSL) oder HTTPS-URLs nicht. Die folgende URL-Syntax wird in Internet Explorer oder windows Explorer nicht unterstützt:
http(s)://username:password@server/resource.ext
Dieser Artikel soll Sie über dieses Standardverhalten von Internet Explorer informieren. Wenn Sie Benutzerinformationen in HTTP- oder HTTPS-URLs einschließen, empfehlen wir Ihnen, die in diesem Artikel beschriebenen Problemumgehungen zu untersuchen.
Hintergrundinformationen
Internet Explorer Versionen 3.0 bis 6.0 unterstützen die folgende Syntax für HTTP- oder HTTPS-URLs:
http(s)://username:password@server/resource.ext
Sie können diese URL-Syntax verwenden, um Benutzerinformationen automatisch an eine Website zu senden, die die Standardauthentifizierungsmethode unterstützt.
Ein böswilliger Benutzer kann diese URL-Syntax verwenden, um einen Link zu erstellen, der anscheinend eine legitime Website öffnet, aber tatsächlich eine betrügerische (gefälschte) Website öffnet. Beispielsweise wird die folgende URL geöffnet http://www.wingtiptoys.com , aber tatsächlich geöffnet http://example.com:
http://www.wingtiptoys.com@example.com
Hinweis
In diesem Fall werden Internet Explorer 6 Service Pack 1 (SP1) und Internet Explorer 6 für Microsoft Windows Server 2003 nur in der Adressleiste angezeigthttp://example.com. Frühere Versionen von Internet Explorer jedoch in der Adressleiste angezeigthttp://www.wingtiptoys.com@example.com.
Darüber hinaus können böswillige Benutzer diese URL-Syntax zusammen mit anderen Methoden verwenden, um einen Link zu einer betrügerischen (gefälschten) Website zu erstellen, die die URL zu einer legitimen Website in der Statusleiste, Adressleiste und Titelleiste aller Versionen von Internet Explorer anzeigt. Um weitere Informationen zu diesem Problem zu erhalten, klicken Sie auf die Artikelnummer 833786 , um sich vor betrügerischen (gefälschten) Websites und böswilligen Links zu schützen.
Erläuterung der Änderung des Standardverhaltens
Um die probleme zu beheben, die im Abschnitt Hintergrundinformationen erläutert werden, unterstützen Internet Explorer und Windows Explorer die Behandlung von HTTP- und HTTPS-URLs dieses Formulars nicht mehr. Windows Explorer und Internet Explorer öffnen HTTP- oder HTTPS-Websites nicht mithilfe einer URL, die Benutzerinformationen enthält. Wenn Benutzerinformationen in einer HTTP- oder HTTPS-URL enthalten sind, wird standardmäßig eine Webseite mit dem folgenden Titel angezeigt:
Ungültiger Syntaxfehler.
Hinweis
Diese Änderung des Standardverhaltens wirkt sich nicht auf andere Protokolle aus.
Diese Änderung des Standardverhaltens wird auch durch Sicherheitsupdates, Service Packs und Versionen von Internet-Explorer implementiert, die mit der Veröffentlichung des Sicherheitsupdates 832894 veröffentlicht wurden.
Problemumgehungen für Benutzer
URLs, die von Benutzern geöffnet werden, die die URL in die Adressleiste eingeben oder auf einen Link klicken
Wenn Benutzer in der Regel HTTP- oder HTTPS-URLs eingeben, die Benutzerinformationen in der Adressleiste enthalten, oder auf Links klicken, die Benutzerinformationen in HTTP- oder HTTPS-URLs enthalten, können Sie diese neue Funktionalität in Internet Explorer auf zwei Arten umgehen:
- Schließen Sie keine Benutzerinformationen in HTTP- oder HTTPS-URLs ein.
- Weisen Sie Benutzer an, ihre Benutzerinformationen nicht einzuschließen, wenn sie HTTP- oder HTTPS-URLs eingeben.
Wenn die Website die Standardauthentifizierungsmethode verwendet, fordert Internet Explorer Benutzer automatisch zur Eingabe eines Benutzernamens und eines Kennworts auf. In einigen Fällen können Benutzer im Dialogfeld auf das Feld Kennwort speichern klicken, um ihre Anmeldeinformationen für spätere Besuche auf dieser Website zu speichern.
Problemumgehungen für Anwendungs- und Websiteentwickler
URLs, die von Objekten geöffnet werden, die WinInet- oder Urlmon-Funktionen aufrufen
Für Objekte, die eine HTTP- oder HTTPS-URL verwenden, die Benutzerinformationen enthält, wenn sie eine WinInet- oder Urlmon-Funktion wie InternetOpenURL aufrufen, schreiben Sie das -Objekt um, um eine der folgenden Methoden zum Senden von Benutzerinformationen an die Website zu verwenden:
- Verwenden Sie die InternetSetOption-Funktion, und schließen Sie die folgenden Optionsflags ein:
INTERNET_OPTION_USERNAMEINTERNET_OPTION_PASSWORD
Hinweis
Für diese Flags muss die InternetSetOption-Option über ein Handle verfügen, das von der InternetConnect-Funktion zurückgegeben wird. Wenn die Anwendung die InternetOpenUrl-Funktion verwendet, ändern Sie daher die Anwendung so, dass die WinInet-Funktionen InternetConnect, HttpOpenRequest und HttpSendRequest verwendet werden.
Weitere Informationen zur Verwendung dieser Funktionen finden Sie auf den folgenden Microsoft-Websites:
Weitere Informationen zur Verwendung der IAuthenticate-Schnittstelle finden Sie auf der folgenden Microsoft-Website:
Hinweis
Mit dieser Problemumgehung können Sie Websites öffnen, die von der URL-Spoofing-Technik umgeleitet werden. Die gesamte URL wird angezeigt, einschließlich des umgeleiteten Speicherorts.
Beispielsweise wird die folgende URL angezeigt:
http://www.wingtiptoys.com@www.example.comDer Benutzer gelangt immer noch zur umgeleiteten Website. In diesem Beispiel gelangt der Benutzer zu
http://www.example.com.- Verwenden Sie die InternetSetOption-Funktion, und schließen Sie die folgenden Optionsflags ein:
URLs, die von einem Skript geöffnet werden, das Anmeldeinformationen für die Zustandsverwaltung verwendet
Wenn Sie HTTP- oder HTTPS-URLs, die Benutzerinformationen enthalten, in Ihren Skriptcode einschließen, ändern Sie zum Verwalten von Zustandsinformationen Ihren Skriptcode so, dass Cookies anstelle von Benutzerinformationen verwendet werden. Weitere Informationen zur Verwendung von Cookies zum Verwalten von Zustandsinformationen finden Sie unter HTTP-Zustandsverwaltungsmechanismus.
Ein Beispiel für die Verwendung von Visual Basic zum Lesen und Schreiben von HTTP-Cookies in einem ASP.NET Webprogramm finden Sie unter HttpCookie-Klasse.
So deaktivieren Sie das neue Verhalten oder verwenden es in anderen Programmen
Sie können Registrierungswerte festlegen, um dieses neue Verhalten in anderen Programmen zu verwenden, die das Webbrowsersteuerelement hosten, oder um dieses neue Verhalten für Windows Explorer und Internet Explorer zu deaktivieren.
Wie Programme, die das Webbrowsersteuerelement hosten, dieses neue Standardverhalten verwenden können, um Benutzerinformationen in HTTP oder in HTTPS-URLs zu behandeln
Standardmäßig gilt dieses neue Standardverhalten für die Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs nur für Windows Explorer und Internet Explorer. Um dieses neue Verhalten in anderen Programmen zu verwenden, die das Webbrowsersteuerelement hosten, erstellen Sie einen DWORD-Wert namens SampleApp.exe, wobei SampleApp.exe der Name der ausführbaren Datei ist, die das Programm ausführt. Legen Sie die Wertdaten des DWORD-Werts in einem der folgenden Registrierungsschlüssel auf 1 fest.
Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLELegen Sie nur für den aktuellen Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
Deaktivieren des neuen Standardverhaltens für die Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs
Um das neue Standardverhalten in Windows Explorer und Internet Explorer zu deaktivieren, erstellen Sie iexplore.exe- und explorer.exe DWORD-Werte in einem der folgenden Registrierungsschlüssel, und legen Sie deren Wertdaten auf 0 fest.
Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:
HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLELegen Sie nur für den aktuellen Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:
HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
References
Eine Erläuterung der Standard-URL-Syntax für HTTP- oder HTTPS-URLs finden Sie auf den folgenden Websites der Internet Engineering Task Force (IETF):
- RFC 1738: Uniform Resource Locators (URL)
- RFC 2396: Uniform Resource Identifiers (URI): Generische Syntax
- RFC 2616: Hypertext Transfer Protocol--HTTP/1.1
Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Tickets als Feedbackmechanismus für Inhalte auslaufen lassen und es durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter: https://aka.ms/ContentUserFeedback.
Einreichen und Feedback anzeigen für