Internet Explorer no admite nombres de usuario ni contraseñas en direcciones de sitio web (direcciones URL HTTP o HTTPS)

Importante

La aplicación de escritorio Internet Explorer 11 está retirada y sin soporte a partir del 15 de junio de 2022 para determinadas versiones de Windows 10.

Todavía puede acceder a sitios antiguos heredados que requieren Internet Explorer con el modo Internet Explorer en Microsoft Edge. Obtenga más información.

La aplicación de escritorio Internet Explorer 11 se redirigirá progresivamente al explorador Microsoft Edge, más rápido y seguro. En última instancia, se deshabilitará a través de Windows Update. Deshabilite IE hoy.

Este artículo está destinado a notificar a los administradores del sitio web y a los profesionales de TI sobre el comportamiento de Internet Explorer cuando la información del usuario se incluye en una dirección de sitio web (DIRECCIÓN URL HTTP o HTTPS).

Versión del producto original:   Internet Explorer
Número KB original:   834489

Resumen

De forma predeterminada, las versiones de Internet Explorer que se publicaron a partir de la versión de actualización de seguridad 832894 no admiten el control de nombres de usuario y contraseñas en HTTP y HTTP con la capa de sockets seguros (SSL) o las direcciones URL HTTPS. La siguiente sintaxis de dirección URL no se admite en Internet Explorer ni en Windows Explorer:

http(s)://username:password@server/resource.ext

Este artículo está diseñado para notificarle sobre este comportamiento predeterminado de Internet Explorer. Si incluye información de usuario en direcciones URL HTTP o HTTPS, se recomienda explorar las soluciones alternativas que se describen en este artículo.

Información de contexto

Las versiones 3.0 a 6.0 de Internet Explorer admiten la siguiente sintaxis para direcciones URL HTTP o HTTPS:

http(s)://username:password@server/resource.ext

Puede usar esta sintaxis de dirección URL para enviar automáticamente información de usuario a un sitio web que admita el método de autenticación básico.

Un usuario malintencionado puede usar esta sintaxis de dirección URL para crear un hipervínculo que parece abrir un sitio web legítimo, pero que en realidad abre un sitio web engañoso (suplantado). Por ejemplo, la siguiente dirección URL parece http://www.wingtiptoys.com abrirse, pero en realidad se abre http://example.com :

http://www.wingtiptoys.com@example.com

Nota

En este caso, Internet Explorer 6 Service Pack 1 (SP1) e Internet Explorer 6 para Microsoft Windows Server 2003 solo se muestran en la barra http://example.com de direcciones. Sin embargo, las versiones anteriores de Internet Explorer se http://www.wingtiptoys.com@example.com muestran en la barra de direcciones.

Además, los usuarios malintencionados pueden usar esta sintaxis de dirección URL junto con otros métodos para crear un vínculo a un sitio web engañoso (suplantado) que muestre la dirección URL de un sitio web legítimo en la barra estado, la barra de direcciones y la barra de título de todas las versiones de Internet Explorer. Para obtener más información sobre este problema, haga clic en el número de artículo 833786 para protegerse de sitios web engañosos (suplantados) e hipervínculos malintencionados.

Explicación del cambio en el comportamiento predeterminado

Para mitigar los problemas que se debaten en la sección Información en segundo plano, Internet Explorer y Windows Explorer ya no admiten el control de direcciones URL HTTP y HTTPS de este formulario. Windows Explorer e Internet Explorer no abren sitios HTTP o HTTPS mediante una dirección URL que incluya información de usuario. De forma predeterminada, si la información del usuario se incluye en una dirección URL HTTP o HTTPS, aparecerá una página web con el siguiente título:

Error de sintaxis no válido.

Nota

Este cambio en el comportamiento predeterminado no afecta a otros protocolos.

Este cambio en el comportamiento predeterminado también se implementa mediante actualizaciones de seguridad, service packs y versiones de Internet Explorer que se publicaron a partir de la versión de actualización de seguridad 832894.

Soluciones alternativas para usuarios

1. Direcciones URL que abren los usuarios que escriben la dirección URL en la barra de direcciones o hacen clic en un vínculo

   Si los usuarios suelen escribir direcciones URL HTTP o HTTPS que incluyan información de usuario en la barra de direcciones o hacer clic en vínculos que incluyan información de usuario en direcciones URL HTTP o HTTPS, puede solucionar esta nueva funcionalidad en Internet Explorer de dos maneras:

   • No incluya información de usuario en direcciones URL HTTP o HTTPS.
   • Indique a los usuarios que no incluyan su información de usuario cuando escriban direcciones URL HTTP o HTTPS.

   Si el sitio web usa el método de autenticación básico, Internet Explorer solicita automáticamente a los usuarios un nombre de usuario y una contraseña. En algunos casos, los usuarios pueden hacer clic en el cuadro Recordar mi contraseña en el cuadro de diálogo para guardar sus credenciales para las visitas posteriores a ese sitio web.

Soluciones alternativas para desarrolladores de aplicaciones y sitios web

1. Direcciones URL abiertas por objetos que llaman a funciones WinInet o Urlmon

   Para los objetos que usan una dirección URL HTTP o HTTPS que incluye información de usuario cuando llaman a una función WinInet o Urlmon, como InternetOpenURL, reescriba el objeto para que use uno de los siguientes métodos para enviar información de usuario al sitio web:

   • Use la función InternetSetOption e incluya las siguientes marcas de opción:
     • INTERNET_OPTION_USERNAME
     • INTERNET_OPTION_PASSWORD

   Nota

   Para estas marcas, la opción InternetSetOption debe tener un controlador devuelto por la función InternetConnect. Por lo tanto, si la aplicación usa la función InternetOpenUrl, modifique la aplicación para usar las funciones InternetConnect , HttpOpenRequest y HttpSendRequest WinInet.

   Para obtener más información sobre cómo usar estas funciones, visite los siguientes sitios web de Microsoft:

   • Función InternetConnectA
   • Función HttpOpenRequestA
   • Función HttpSendRequestA

   Para obtener más información sobre cómo usar la interfaz IAuthenticate, visite el siguiente sitio web de Microsoft:

   • Interfaz IAuthenticate

   Nota

   Con esta solución alternativa, puede abrir los sitios web que redirige la técnica de suplantación de direcciones URL. Aparece toda la dirección URL, incluida la ubicación redirigida.

   Por ejemplo, aparece la siguiente dirección URL:

   http://www.wingtiptoys.com@www.example.com

   El usuario todavía llega al sitio web redirigido. En este ejemplo, el usuario llega a http://www.example.com .

2. Direcciones URL que se abren mediante un script que usa credenciales para la administración de estado

   Si incluye direcciones URL HTTP o HTTPS que contienen información de usuario en el código de scripting, para administrar la información de estado, cambie el código de scripting para usar cookies en lugar de la información del usuario. Para obtener más información sobre cómo usar cookies para administrar la información de estado, vea Http State Management Mechanism.

   Para ver un ejemplo de cómo usar Visual Basic para leer y escribir cookies HTTP en un programa web de ASP.NET, vea HttpCookie Class.

Cómo deshabilitar el nuevo comportamiento o usarlo en otros programas

Puede establecer valores del Registro para usar este nuevo comportamiento en otros programas que hospedan el control del explorador web o para deshabilitar este nuevo comportamiento para Windows Explorer e Internet Explorer.

1. Cómo los programas que hospedan el control del explorador web pueden usar este nuevo comportamiento predeterminado para controlar la información del usuario en HTTP o en direcciones URL HTTPS

   De forma predeterminada, este nuevo comportamiento predeterminado para controlar la información de usuario en direcciones URL HTTP o HTTPS solo se aplica a Windows Explorer e Internet Explorer. Para usar este nuevo comportamiento en otros programas que hospedan el control del explorador web, cree un valor DWORD denominado SampleApp.exe, donde SampleApp.exe es el nombre del archivo ejecutable que ejecuta el programa. Establezca los datos de valor del valor DWORD en 1 en una de las siguientes claves del Registro.

   • Para todos los usuarios del programa, establezca el valor en la siguiente clave del Registro:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • Solo para el usuario actual del programa, establezca el valor en la siguiente clave del Registro:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

2. Cómo deshabilitar el nuevo comportamiento predeterminado para controlar la información de usuario en direcciones URL HTTP o HTTPS

   Para deshabilitar el nuevo comportamiento predeterminado en Windows Explorer e Internet Explorer, creeiexplore.exey explorer.exe valores DWORD en una de las siguientes claves del Registro y establezca sus datos de valor en 0.

   • Para todos los usuarios del programa, establezca el valor en la siguiente clave del Registro:

     HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

   • Solo para el usuario actual del programa, establezca el valor en la siguiente clave del Registro:

     HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Referencias

Para obtener una explicación de la sintaxis de dirección URL estándar para direcciones URL HTTP o HTTPS, visite los siguientes sitios web del Grupo de tareas de ingeniería de Internet (IETF):

• RFC 1738: Localizadores uniformes de recursos (URL)
• RFC 2396: Identificadores uniformes de recursos (URI): Sintaxis genérica
• RFC 2616: Protocolo de transferencia de hipertexto--HTTP/1.1

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar soporte técnico. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.