DetailPage-MSS-KB

Knowledge Base

Artikel-ID: 834489 - Geändert am: Mittwoch, 28. September 2011 - Version: 13.0

Dieser Artikel ist eine Übersetzung des folgenden englischsprachigen Artikels der Microsoft Knowledge Base:
834489  (http://support.microsoft.com/kb/834489/EN-US/ ) Internet Explorer does not support user names and passwords in Web site addresses (HTTP or HTTPS URLs)
Bitte beachten Sie: Bei diesem Artikel handelt es sich um eine Übersetzung aus dem Englischen. Es ist möglich, dass nachträgliche Änderungen bzw. Ergänzungen im englischen Originalartikel in dieser Übersetzung nicht berücksichtigt sind. Die in diesem Artikel enthaltenen Informationen basieren auf der/den englischsprachigen Produktversion(en). Die Richtigkeit dieser Informationen in Zusammenhang mit anderssprachigen Produktversionen wurde im Rahmen dieser Übersetzung nicht getestet. Microsoft stellt diese Informationen ohne Gewähr für Richtigkeit bzw. Funktionalität zur Verfügung und übernimmt auch keine Gewährleistung bezüglich der Vollständigkeit oder Richtigkeit der Übersetzung.

Auf dieser Seite

Dieser Artikel soll Website-Administratoren und IT-Profis über das Verhalten von Internet Explorer informieren, das zu beobachten ist, wenn Benutzerinformationen in Website-Adressen (HTTP- oder HTTPS-URLs) enthalten sind.

Wenn Sie den Computer privat verwenden und Probleme mit Kennwörtern oder Benutzerinformationen in Internet Explorer auftreten, besuchen Sie die Internet Explorer Solution Center-Website, wo Sie Informationen zur Problembehandlung finden, oder wenden Sie sich an den Support:

Zusammenfassung

Standardmäßig bieten Windows Internet Explorer-Versionen mit der Freigabe des Sicherheitsupdates 832894 keine Unterstützung für die Behandlung von Benutzernamen und Kennwörtern in HTTP- und HTTPS (HTTP mit SSL)-URLs mehr. Die folgende URL-Syntax wird in Internet Explorer und in Windows Explorer nicht unterstützt:
http(s)://Benutzername:Kennwort@Server/Ressource.ext
Dieser Artikel enthält Informationen über dieses Standardverhalten in Internet Explorer. Wenn Sie Benutzerinformationen in HTTP- oder HTTPS-URLs einbeziehen, empfiehlt Microsoft, eine der in diesem Artikel beschriebenen Umgehungsmöglichkeiten zu prüfen. Weitere Informationen zum Sicherheitsupdate 832894 finden Sie auf der folgenden Microsoft-Website:
http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms04-004.mspx (http://www.microsoft.com/germany/technet/sicherheit/bulletins/ms04-004.mspx)

Weitere Informationen

Hintergrundinformationen

Die Internet Explorer-Versionen 3.0 bis 6.0 unterstützen die folgende Syntax für HTTP- oder HTTPS-URLs:
http(s)://Benutzername:Kennwort@Server/Ressource.ext
Mit dieser URL-Syntax können Sie Benutzerinformationen automatisch an eine Website senden, die die Standardauthentifizierung unterstützt.

Ein Angreifer könnte diese URL-Syntax auch dazu verwenden, einen Hyperlink zu erstellen, der eine rechtmäßige Website zu öffnen scheint, in Wirklichkeit jedoch eine manipulierte Website öffnet, die die Identität einer rechtmäßigen Site vortäuscht. Beispielsweise scheint der folgende URL "http://www.wingtiptoys.com" zu öffnen, öffnet in Wirklichkeit jedoch "http://example.com":
http://www.wingtiptoys.com@example.com
Hinweis: In diesem Fall zeigen Internet Explorer 6 Service Pack 1 (SP1) und Internet Explorer 6 für Windows Server 2003 nur "http://example.com" in der Adressleiste an. Frühere Versionen von Internet Explorer zeigen jedoch "http://www.wingtiptoys.com@example.com" in der Adressleiste an.

Außerdem können Angreifer diese URL-Syntax in Verbindung mit anderen Methoden dazu nutzen, einen Link auf eine manipulierte Website (die die Identität einer rechtmäßigen Site vortäuscht) zu erstellen, die den URL einer rechtmäßigen Website in der Statusleiste, Adressleiste und Titelleiste aller Versionen von Internet Explorer anzeigt.

Weitere Informationen zu diesem Problem finden Sie im folgenden Artikel der Microsoft Knowledge Base:
833786  (http://support.microsoft.com/kb/833786/DE/ ) Schritte, die helfen können, gefälschte ("Spoof"-) Websites und böswillige Hyperlinks zu erkennen und sich vor ihnen zu schützen

Erläuterungen zum geänderten Standardverhalten

Um die im Abschnitt "Hintergrundinformationen" beschriebenen Probleme abzumildern, bieten Internet Explorer und Windows Explorer für die Behandlung von HTTP- und HTTPS-URLs in dieser Form keine Unterstützung mehr. In Windows Explorer und Internet Explorer werden keine HTTP- oder HTTPS-Seiten über einen URL geöffnet, der Benutzerinformationen enthält. Wenn Benutzerinformationen in einem HTTP- oder HTTPS-URL enthalten sind, wird eine Webseite mit dem folgendem Titel angezeigt:
Fehler: ungültige Syntax
Hinweis: Diese Änderung im Standardverhalten hat keine Auswirkungen auf andere Protokolle. Sie können z. B. weiterhin Benutzerinformationen in einen FTP-URL aufnehmen, nachdem Sie das Sicherheitsupdate 832894 installiert haben.

Diese Änderung im Standardverhalten wird auch durch Sicherheitsupdates, Service Packs und Freigabeversionen von Internet Explorer ab der Veröffentlichung des Sicherheitsupdates 832894 implementiert.

Workarounds für Benutzer

URLs, die Benutzer in die Adressleiste eingeben oder durch Anklicken eines Links öffnen

Wenn Benutzer normalerweise HTTP- oder HTTPS-URLs mit Benutzerinformationen in die Adressleiste eingeben oder auf Links klicken, die Benutzerinformationen in HTTP- oder HTTPS-URLs enthalten, haben Sie zwei Möglichkeiten, die neue Funktionalität in Internet Explorer zu umgehen:
  • Nehmen Sie keine Benutzerinformationen in HTTP- oder HTTPS-URLs auf.
  • Weisen Sie die Benutzer an, ihre Benutzerdaten bei der Eingabe von HTTP- oder HTTPS-URLs nicht anzugeben.
Wenn die Website das Standardauthentifizierungsverfahren verwendet, fordert Internet Explorer den Benutzer automatisch auf, einen Benutzernamen und ein Kennwort anzugeben. In manchen Fällen können die Benutzer auf das Feld Kennwort speichern im Dialogfeld klicken, um ihre Anmeldeinformationen für weitere Besuche der betreffenden Website zu speichern.

Workarounds für Entwickler von Anwendungen und Websites

URLs, die von Objekten geöffnet werden, die WinInet- oder Urlmon-Funktionen aufrufen

Im Fall von Objekten, die beim Aufruf einer WinInet- oder Urlmon-Funktion, wie z. B. InternetOpenURL, einen HTTP- oder HTTPS-URL mit Benutzerinformationen verwenden, ändern Sie das betreffende Objekt so, dass es eine der folgenden Methoden zum Senden von Benutzerinformationen an die Website verwendet:
  • Verwenden Sie die Funktion InternetSetOption mit den folgenden Optionsflags:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Hinweis: Für diese Flags muss die Option "InternetSetOption" einen Handle von der Funktion InternetConnect erhalten. Daher sollte die Anwendung anstelle der Funktion InternetOpenUrl die WinInet-Funktionen InternetConnect, HttpOpenRequest und HttpSendRequest verwenden. Weitere Informationen zu diesen Funktionen finden Sie auf den folgenden Microsoft-Websites:
    http://msdn2.microsoft.com/en-us/library/Aa384363 (http://msdn2.microsoft.com/en-us/library/Aa384363)

    http://msdn2.microsoft.com/en-us/library/Aa384233 (http://msdn2.microsoft.com/en-us/library/Aa384233)

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Verwenden Sie die Schnittstelle "IAuthenticate". Weitere Informationen zur Verwendung der Schnittstelle "IAuthenticate" finden Sie auf der folgenden Microsoft-Website:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Hinweis: Mit diesem Workaround können Sie Websites öffnen, die beim URL-Spoofing umgeleitet werden. Der vollständige URL, inkl. der Ziel-Adresse für die Umleitung, wird angezeigt. Es wird beispielsweise der folgende URL angezeigt:
http://www.wingtiptoys.com@www.example.com
Der Benutzer wird dennoch zur umgeleiteten Website geführt. In diesem Beispiel wird der Benutzer zu "http://www.example.com" umgeleitet.

URLs, die von einem Skript geöffnet werden, das Anmeldeinformationen für die Statusverwaltung verwendet

Wenn Sie HTTP- oder HTTPS-URLs mit Benutzerinformationen in Ihrem Skriptcode verwenden, ändern Sie Ihren Code so, dass Cookies anstelle von Benutzerinformationen verwendet werden. Weitere Informationen zur Verwendung von Cookies für die Verwaltung von Statusinformationen finden Sie auf der folgenden IETF-Website (IETF = Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt (http://www.ietf.org/rfc/rfc2965.txt)
Ein Beispiel dafür, wie Sie mithilfe von Visual Basic HTTP-Cookies in einem ASP.NET-Webprogramm lesen und schreiben können, finden Sie auf der folgenden Microsoft-Website:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx (http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

Deaktivieren des neuen Verhaltens oder Verwendung in anderen Programmen

Sie können entsprechende Registrierungswerte einstellen, wenn Sie das neue Verhalten in anderen Programmen nutzen möchten, die das Webbrowser-Steuerelement bereitstellen, oder wenn Sie das neue Verhalten für Windows Explorer und Internet Explorer deaktivieren möchten.

So können Programme, die das Webbrowser-Steuerelement bereitstellen, das neue Standardverhalten zur Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLS nutzen

Das neue Standardverhalten bei der Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs gilt üblicherweise nur für Windows Explorer und Internet Explorer. Um das neue Verhalten in anderen Programmen zu nutzen, die das Webbrowser-Steuerelement bereitstellen, erstellen Sie einen DWORD-Wert namens Beispielprogramm.exe, wobei Beispielprogramm.exe für den Namen der ausführbaren Datei steht, die das Programm ausführt. Setzen Sie den DWORD-Wert in einem der folgenden Registrierungsschlüssel auf 1.
  • Legen Sie den Wert für alle Benutzer des Programms im folgenden Registrierungsschlüssel fest:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Legen Sie den Wert nur für den aktuellen Benutzer des Programms im folgenden Registrierungsschlüssel fest:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Deaktivieren des neuen Standardverhaltens bei der Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs

Um das neue Standardverhalten in Windows Explorer und Internet Explorer zu deaktivieren, erstellen Sie die DWORD-Werte iexplore.exe und explorer.exe in einem der folgenden Registrierungsschlüssel, und setzen Sie die Werte auf 0:
  • Legen Sie den Wert für alle Benutzer des Programms im folgenden Registrierungsschlüssel fest:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Legen Sie den Wert nur für den aktuellen Benutzer des Programms im folgenden Registrierungsschlüssel fest:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Informationsquellen

Erläuterungen zur Standard-URL-Syntax für HTTP- oder HTTPS-URLs finden Sie auf den folgenden IETF-Websites:
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt (http://www.ietf.org/rfc/rfc1738.txt)

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt (http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt (http://www.ietf.org/rfc/rfc2616.txt)
Die Kontaktinformationen bezüglich der in diesem Artikel genannten Fremdanbieter sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Die Informationen in diesem Artikel beziehen sich auf:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Keywords: 
kbresolve KB834489
Microsoft stellt Ihnen die in der Knowledge Base angebotenen Artikel und Informationen als Service-Leistung zur Verfügung. Microsoft übernimmt keinerlei Gewährleistung dafür, dass die angebotenen Artikel und Informationen auch in Ihrer Einsatzumgebung die erwünschten Ergebnisse erzielen. Die Entscheidung darüber, ob und in welcher Form Sie die angebotenen Artikel und Informationen nutzen, liegt daher allein bei Ihnen. Mit Ausnahme der gesetzlichen Haftung für Vorsatz ist jede Haftung von Microsoft im Zusammenhang mit Ihrer Nutzung dieser Artikel oder Informationen ausgeschlossen.
Freigeben
Weitere Supportoptionen
Microsoft Community-Supportforen
Kontaktieren Sie uns direkt
Zertifizierten Partner finden
Microsoft Store