Internet Explorer Web サイト アドレスのユーザー名とパスワードをサポートしていない場合 (HTTP または HTTPS URL)

重要

Internet Explorer 11 デスクトップアプリケーションは、Windows 10 の一部のバージョンにおいて、2022 年 6 月 15 日をもって引退およびサポート終了となります。

Microsoft Edge の Internet Explore モードで、Internet Explorer を必要とする古いレガシーサイトに引き続きアクセスできます。 詳細情報を参照してください。

Internet Explorer 11 のデスクトップアプリケーションは、より高速で安全なMicrosoft Edge ブラウザに順次リダイレクトされ、最終的にはWindows Update 経由で無効される予定です。 IE を今すぐ無効にします

この記事は、Web サイトのアドレス (HTTP または HTTPS URL) にユーザー情報が含まれている場合の Internet Explorer の動作について Web サイト管理者と IT 担当者に通知することを目的としています。

元の製品バージョン:   Internet Explorer
元の KB 番号:   834489

概要

既定では、セキュリティ更新プログラム 832894 のリリースからリリースされた Internet Explorer のバージョンでは、HTTP および HTTP のユーザー名とパスワードを Secure Sockets Layer (SSL) または HTTPS URL で処理することはできません。 次の URL 構文は、次の URL 構文は、Internet ExplorerエクスプローラーではWindowsされません。

http(s)://username:password@server/resource.ext

この記事は、この既定の動作をユーザーに通知することを目的Internet Explorer。 HTTP または HTTPS URL にユーザー情報を含める場合は、この記事で説明されている回避策を確認することをお勧めします。

背景情報

Internet Explorerバージョン 3.0 ~ 6.0 では、HTTP または HTTPS URL の次の構文がサポートされています。

http(s)://username:password@server/resource.ext

この URL 構文を使用すると、基本認証方法をサポートする Web サイトにユーザー情報を自動的に送信できます。

悪意のあるユーザーは、この URL 構文を使用して、正当な Web サイトを開いていると思えるが、実際には偽の (スプーフィングされた) Web サイトを開くハイパーリンクを作成する可能性があります。 たとえば、次の URL が開いていると表示されますが http://www.wingtiptoys.com 、実際には開きます http://example.com

http://www.wingtiptoys.com@example.com

注意

この場合、Internet Explorer 6 Service Pack 1 (SP1) および Internet Explorer 6 for Microsoft Windows Server 2003 はアドレス バーにのみ http://example.com 表示されます。 ただし、以前のバージョンのInternet Explorer http://www.wingtiptoys.com@example.com バーに表示されます。

さらに、悪意のあるユーザーは、この URL 構文を他の方法と組み合わせて使用して、Internet Explorer のすべてのバージョンのステータス バー、アドレス バー、およびタイトル バーの正当なWeb サイトへの URL を表示する偽の (スプーフィングされた) Web サイトへのリンクを作成できます。 この問題の詳細については、「833786」をクリックして、偽の (スプーフィングされた) Web サイトや悪意のあるハイパーリンクから身を守ってください。

既定の動作の変更の説明

[背景情報] セクションで説明されている問題を軽減するために、Internet Explorer エクスプローラーと Windows エクスプローラーは、このフォームの HTTP および HTTPS URL の処理をサポートしなくなりました。 Windowsエクスプローラー Internet Explorer、ユーザー情報を含む URL を使用して HTTP サイトまたは HTTPS サイトを開かれません。 既定では、ユーザー情報が HTTP または HTTPS URL に含まれている場合、次のタイトルを持つ Web ページが表示されます。

構文エラーが無効です。

注意

この既定の動作の変更は、他のプロトコルには影響しません。

既定の動作のこの変更は、セキュリティ更新プログラムのリリースからリリースされた Internet Explorer のセキュリティ更新プログラム、サービス パック、およびバージョン832894 によっても実装されます。

ユーザーの回避策

  1. アドレス バーに URL を入力するか、リンクをクリックしたユーザーが開いた URL

    ユーザーが通常、アドレス バーにユーザー情報を含む HTTP または HTTPS URL を入力するか、HTTP または HTTPS URL にユーザー情報を含むリンクをクリックすると、Internet Explorer で次の 2 つの方法でこの新しい機能を回避できます。

    • HTTP または HTTPS URL にユーザー情報を含めない。
    • HTTP または HTTPS URL を入力するときに、ユーザー情報を含めなくようユーザーに指示します。

    Web サイトで基本認証方法を使用している場合、Internet Explorerユーザー名とパスワードを自動的に求めるメッセージが表示されます。 場合によっては、ユーザーはダイアログ ボックスの[パスワードを記憶する] ボックスをクリックして、その Web サイトに後でアクセスするための資格情報を保存できます。

アプリケーション開発者と Web サイト開発者の回避策

  1. WinInet 関数または Urlmon 関数を呼び出すオブジェクトによって開く URL

    InternetOpenURL などの WinInet 関数または Urlmon 関数を呼び出す際にユーザー情報を含む HTTP または HTTPS URL を使用するオブジェクトの場合は、次のいずれかのメソッドを使用して Web サイトにユーザー情報を送信するようにオブジェクトを書き換える必要があります。

    • InternetSetOption 関数を使用し、次のオプション フラグを含める。
      • INTERNET_OPTION_USERNAME
      • INTERNET_OPTION_PASSWORD

    注意

    これらのフラグの場合、InternetSetOption オプションには、InternetConnect 関数によって返されるハンドルが必要です。 したがって、アプリケーションで InternetOpenUrl 関数を使用する場合は、InternetConnect、HttpOpenRequest、HttpSendRequest WinInet 関数を使用するアプリケーションを変更します。

    これらの関数の使用方法の詳細については、次の Microsoft Web サイトを参照してください。

    IAuthenticate インターフェイスの使い方の詳細については、次の Microsoft Web サイトを参照してください。

    注意

    この回避策を使用すると、URL スプーフィング手法がリダイレクトする Web サイトを開きます。 リダイレクトされた場所を含む URL 全体が表示されます。

    たとえば、次の URL が表示されます。

    http://www.wingtiptoys.com@www.example.com

    ユーザーはリダイレクトされた Web サイトに引き続きアクセスします。 この例では、ユーザーがに到着します http://www.example.com

  2. 状態管理に資格情報を使用するスクリプトによって開く URL

    スクリプト コードにユーザー情報を含む HTTP または HTTPS URL を含める場合は、状態情報を管理するために、ユーザー情報の代わりに Cookie を使用するようにスクリプト コードを変更します。 Cookie を使用して状態情報を管理する方法の詳細については 、「HTTP 状態管理メカニズム」を参照してください

    Web プログラムで HTTP cookie を読みVisual Basic書き込む方法の例については、「HttpCookieクラス」を参照 ASP.NET 参照してください。

新しい動作を無効にするか、他のプログラムで使用する方法

レジストリ値を設定して、Web ブラウザー コントロールをホストする他のプログラムでこの新しい動作を使用したり、Windows Explorer および web ブラウザー コントロールでこの新しい動作を無効Internet Explorer。

  1. Web ブラウザー コントロールをホストするプログラムで、この新しい既定の動作を使用して HTTP または HTTPS URL のユーザー情報を処理する方法

    既定では、HTTP または HTTPS URL でユーザー情報を処理する場合のこの新しい既定の動作は、Windows エクスプローラーと HTTP URL にのみInternet Explorer。 Web ブラウザー コントロールをホストする他のプログラムでこの新しい動作を使用するには 、SampleApp.exe という名前の DWORD 値を作成します 。SampleApp.exe は、プログラムを実行する実行可能ファイルの名前です。 次のいずれかの レジストリ キーで、DWORD 値の値データを 1 に設定します。

    • プログラムのすべてのユーザーに対して、次のレジストリ キーの値を設定します。

      HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

    • プログラムの現在のユーザーの場合のみ、次のレジストリ キーの値を設定します。

      HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

  2. HTTP または HTTPS URL でユーザー情報を処理する新しい既定の動作を無効にする方法

    Windows Explorer と Internet Explorer で新しい既定の動作を無効にするには、次のいずれかのレジストリ キーに iexplore.exe および explorer.exe DWORD 値を作成し、その値データを 0 に設定します。

    • プログラムのすべてのユーザーに対して、次のレジストリ キーの値を設定します。

      HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

    • プログラムの現在のユーザーの場合のみ、次のレジストリ キーの値を設定します。

      HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

関連情報

HTTP または HTTPS URL の標準 URL 構文の説明については、次のインターネット エンジニアリング タスク フォース (IETF) Web サイトを参照してください。

他社テクニカル サポートのお問い合わせ窓口は、ユーザーの便宜のために提供されているものであり、 将来予告なしに変更されることがあります。 マイクロソフトは、掲載されている情報に対して、いかなる責任も負わないものとします。