Internet Explorer unterstützt keine Benutzernamen und Kennwörter in Websiteadressen (HTTP- oder HTTPS-URLs)

Wichtig

Die Internet Explorer 11-Desktopanwendung wird für bestimmte Versionen von Windows 10 eingestellt und ab dem 15. Juni 2022 nicht mehr unterstützt.

Sie können mit dem Internet Explorer-Modus in Microsoft Edge weiterhin auf ältere Websites zugreifen, für die Internet Explorer erforderlich ist. Anleitung.

Die Internet Explorer 11-Desktopanwendung wird schrittweise an den schnelleren, sichereren Microsoft Edge-Browser umgeleitet und letztendlich über Windows Update deaktiviert werden. Deaktivieren von IE heute.

Dieser Artikel soll Websiteadministratoren und IT-Experten über das Verhalten von Internet Explorer informieren, wenn Benutzerinformationen in einer Websiteadresse (HTTP- oder HTTPS-URL) enthalten sind.

Ursprüngliche Produktversion:   Internet Explorer
Ursprüngliche KB-Nummer:   834489

Zusammenfassung

Standardmäßig unterstützen Versionen von Internet Explorer, die ab der Veröffentlichung des Sicherheitsupdates veröffentlicht wurden 832894 die Verarbeitung von Benutzernamen und Kennwörtern in HTTP und HTTP mit SSL (Secure Sockets Layer) oder HTTPS-URLs nicht. Die folgende URL-Syntax wird in Internet Explorer oder in Windows Explorer nicht unterstützt:

http(s)://username:password@server/resource.ext

Dieser Artikel soll Sie über dieses Standardverhalten von Internet Explorer informieren. Wenn Sie Benutzerinformationen in HTTP- oder HTTPS-URLs einschließen, empfehlen wir Ihnen, die in diesem Artikel beschriebenen Problemumgehungen zu erkunden.

Hintergrundinformationen

Die Internet Explorer-Versionen 3.0 bis 6.0 unterstützen die folgende Syntax für HTTP- oder HTTPS-URLs:

http(s)://username:password@server/resource.ext

Sie können diese URL-Syntax verwenden, um Benutzerinformationen automatisch an eine Website zu senden, die die Standardauthentifizierungsmethode unterstützt.

Ein böswilliger Benutzer kann diese URL-Syntax verwenden, um einen Hyperlink zu erstellen, der scheinbar eine seriöse Website öffnet, aber tatsächlich eine schädliche (gefälschte) Website öffnet. Beispielsweise wird die folgende URL geöffnet, http://www.wingtiptoys.com aber tatsächlich http://example.com geöffnet:

http://www.wingtiptoys.com@example.com

Hinweis

In diesem Fall werden Internet Explorer 6 Service Pack 1 (SP1) und Internet Explorer 6 für Microsoft Windows Server 2003 nur http://example.com in der Adressleiste angezeigt. Frühere Versionen von Internet Explorer werden jedoch http://www.wingtiptoys.com@example.com in der Adressleiste angezeigt.

Darüber hinaus können böswillige Benutzer diese URL-Syntax zusammen mit anderen Methoden verwenden, um einen Link zu einer gefälschten Website zu erstellen, die die URL zu einer seriösen Website in der Statusleiste, Adressleiste und Titelleiste aller Versionen von Internet Explorer anzeigt. Klicken Sie für weitere Informationen zu diesem Problem auf die Artikelnummer 833786, um sich vor gefälschten Websites und bösartigen Hyperlinks zu schützen.

Erläuterung der Änderung des Standardverhaltens

Um die im Abschnitt "Hintergrundinformationen" beschriebenen Probleme zu beheben, unterstützen Internet Explorer und Windows Explorer die Verarbeitung von HTTP- und HTTPS-URLs dieses Formulars nicht mehr. Windows Explorer und Internet Explorer keine HTTP- oder HTTPS-Websites mithilfe einer URL öffnen, die Benutzerinformationen enthält. Wenn Benutzerinformationen in einer HTTP- oder HTTPS-URL enthalten sind, wird standardmäßig eine Webseite mit dem folgenden Titel angezeigt:

Ungültiger Syntaxfehler.

Hinweis

Diese Änderung des Standardverhaltens wirkt sich nicht auf andere Protokolle aus.

Diese Änderung des Standardverhaltens wird auch durch Sicherheitsupdates, Service Packs und Versionen von Internet Explorer implementiert, die ab der Veröffentlichung von Sicherheitsupdates 832894 veröffentlicht wurden.

Problemumgehungen für Benutzer

1. URLs, die von Benutzern geöffnet werden, die die URL in der Adressleiste eingeben oder auf einen Link klicken

   Wenn Benutzer in der Regel HTTP- oder HTTPS-URLs eingeben, die Benutzerinformationen in der Adressleiste enthalten, oder auf Links klicken, die Benutzerinformationen in HTTP- oder HTTPS-URLs enthalten, können Sie diese neue Funktionalität in Internet Explorer auf zwei Arten umgehen:

   • Schließen Sie keine Benutzerinformationen in HTTP- oder HTTPS-URLs ein.
   • Weisen Sie Benutzer an, ihre Benutzerinformationen nicht einzuschließen, wenn sie HTTP- oder HTTPS-URLs eingeben.

   Wenn die Website die Standardauthentifizierungsmethode verwendet, werden Benutzer von Internet Explorer automatisch zur Eingabe eines Benutzernamens und eines Kennworts aufgefordert. In einigen Fällen können Benutzer im Dialogfeld auf das Feld "Mein Kennwort merken" klicken, um ihre Anmeldeinformationen für spätere Besuche auf dieser Website zu speichern.

Problemumgehungen für Anwendungs- und Websiteentwickler

1. URLs, die von Objekten geöffnet werden, die WinInet- oder Urlmon-Funktionen aufrufen

   Schreiben Sie für Objekte, die eine HTTP- oder HTTPS-URL verwenden, die Benutzerinformationen enthält, wenn sie eine WinInet- oder Urlmon-Funktion wie InternetOpenURL aufrufen, das Objekt neu, um eine der folgenden Methoden zum Senden von Benutzerinformationen an die Website zu verwenden:

   • Verwenden Sie die InternetSetOption-Funktion, und schließen Sie die folgenden Optionsflags ein:
     • INTERNET_OPTION_USERNAME
     • INTERNET_OPTION_PASSWORD

   Hinweis

   Für diese Flags muss die InternetSetOption-Option über ein handle verfügen, das von der InternetConnect-Funktion zurückgegeben wird. Wenn die Anwendung daher die InternetOpenUrl-Funktion verwendet, ändern Sie die Anwendung so, dass die Funktionen InternetConnect, HttpOpenRequest und HttpSendRequest WinInet verwendet werden.

   Weitere Informationen zur Verwendung dieser Funktionen finden Sie auf den folgenden Microsoft-Websites:

   • InternetConnectA-Funktion
   • HttpOpenRequestA-Funktion
   • HttpSendRequestA-Funktion

   Weitere Informationen zur Verwendung der IAuthenticate-Schnittstelle finden Sie auf der folgenden Microsoft-Website:

   • IAuthenticate-Schnittstelle

   Hinweis

   Mit dieser Problemumgehung können Sie Websites öffnen, die von der URL-Spoofing-Technik umgeleitet werden. Die gesamte URL wird angezeigt, einschließlich des umgeleiteten Speicherorts.

   Beispielsweise wird die folgende URL angezeigt:

   http://www.wingtiptoys.com@www.example.com

   Der Benutzer gelangt weiterhin zur umgeleiteten Website. In diesem Beispiel gelangt der Benutzer zu http://www.example.com .

2. URLs, die von einem Skript geöffnet werden, das Anmeldeinformationen für die Statusverwaltung verwendet

   Wenn Sie HTTP- oder HTTPS-URLs, die Benutzerinformationen enthalten, in Ihren Skriptcode einschließen, ändern Sie zum Verwalten von Statusinformationen Ihren Skriptcode so, dass anstelle von Benutzerinformationen Cookies verwendet werden. Weitere Informationen zur Verwendung von Cookies zum Verwalten von Statusinformationen finden Sie unter HTTP State Management Mechanism.

   Ein Beispiel für die Verwendung von Visual Basic zum Lesen und Schreiben von HTTP-Cookies in einem ASP.NET Webprogramm finden Sie unter HttpCookie Class.

So deaktivieren Sie das neue Verhalten oder verwenden es in anderen Programmen

Sie können Registrierungswerte festlegen, um dieses neue Verhalten in anderen Programmen zu verwenden, die das Webbrowsersteuerelement hosten, oder um dieses neue Verhalten für Windows Explorer und Internet Explorer zu deaktivieren.

1. Wie Programme, die das Webbrowser-Steuerelement hosten, dieses neue Standardverhalten verwenden können, um Benutzerinformationen in HTTP oder in HTTPS-URLs zu verarbeiten

   Standardmäßig gilt dieses neue Standardverhalten für die Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs nur für Windows Explorer und Internet Explorer. Um dieses neue Verhalten in anderen Programmen zu verwenden, die das Webbrowser-Steuerelement hosten, erstellen Sie einen DWORD-Wert mit dem Namen SampleApp.exe, wobei SampleApp.exe der Name der ausführbaren Datei ist, die das Programm ausführt. Legen Sie die Wertdaten des DWORD-Werts in einem der folgenden Registrierungsschlüssel auf 1 fest.

   • Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • Legen Sie den Wert nur für den aktuellen Benutzer des Programms im folgenden Registrierungsschlüssel fest:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

2. So deaktivieren Sie das neue Standardverhalten für die Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs

   Um das neue Standardverhalten in Windows Explorer und Internet Explorer zu deaktivieren, erstellen Sie iexplore.exe und explorer.exe DWORD-Werte in einem der folgenden Registrierungsschlüssel, und legen Sie deren Wertdaten auf 0 fest.

   • Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • Legen Sie den Wert nur für den aktuellen Benutzer des Programms im folgenden Registrierungsschlüssel fest:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

References

Eine Erläuterung der Standard-URL-Syntax für HTTP- oder HTTPS-URLs finden Sie auf den folgenden Internet Engineering Task Force (IETF)-Websites:

• RFC 1738: Uniform Resource Locators (URL)
• RFC 2396: Uniform Resource Identifiers (URI): Generische Syntax
• RFC 2616: Hypertext Transfer Protocol --HTTP/1.1

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.