DetailPage-MSS-KB

Base de Dados de Conhecimento

ID do artigo: 834489 - Última revisão: terça-feira, 17 de maio de 2011 - Revisão: 12.0

Nesta página

Esse artigo é destinado a notificar os administradores de sites e profissionais de TI sobre o comportamento do Internet Explorer, quando informações de usuários forem incluídas em um endereço de site (URL HTTP ou HTTPS).

Se você for um usuário doméstico e tiver problemas com senhas ou informações de usuário no Internet Explorer, visite o site do Centro de soluções do Internet Explorer para pesquisar por informações para solução de problemas ou contatar o suporte:

Sumário

Por padrão, as versões do Windows Internet Explorer que foram lançadas inicialmente com a versão da atualização de segurança 832894 não oferecem suporte ao tratamento de nomes de usuário e senhas em HTTP e HTTP com protocolo SSL ou URLs HTTPS. A seguinte sintaxe da URL não oferece suporte no Internet Explorer ou no Windows Explorer:
http(s)://nome_de_usuário:senha@servidor/recurso.ext
Este artigo tem como objetivo notificá-los desse comportamento padrão do Internet Explorer. Se você incluiu informações do usuário em HTTP ou URLs HTTPS, é aconselhável explorar a solução alternativa descrita neste artigo. Para obter mais informações sobre as atualizações de segurança 832894 , visite o seguinte site da Microsoft (em inglês):
http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx (http://www.microsoft.com/technet/security/bulletin/MS04-004.mspx)

Mais Informações

Informações gerais

O Internet Explorer em versões 3.0 até 6.0 oferecem suporte à seguinte sintaxe para URLs HTTP ou HTTPS:
http(s)://nome_de_usuário:senha@servidor/recurso.ext
É possível usar a sintaxe da URL para enviar automaticamente as informações do usuário para um site que oferece suporte ao método de autenticação básico.

Um usuário mal-intencionado pode usar a sintaxe da URL para criar um hyperlink que parece abrir um site legítimo, porém abre um site enganoso (falsificado). Por exemplo, a seguinte URL parece abrir o site http://www.wingtiptoys.com mas abre http://example.com:
http://www.wingtiptoys.com@example.com
Observação Nesse caso, o Internet Explorer 6 Service Pack 1 (SP1) e o Internet Explorer 6 para Microsoft Windows Server 2003 exibem apenas "http://example.com" na Barra de endereços. Porém, versões anteriores do Internet Explorer exibem "http://www.wingtiptoys.com@example.com" na Barra de endereços.

Além disso, usuários mal-intencionados podem usar essa sintaxe da URL junto com outros métodos para criar um link para um site enganoso (falsificado) que exibe na Barra de status, Barra de endereços e de título de todas as versões do Internet Explorer, a URL para um site legítimo.

Para obter mais informações sobre esse problema, clique no número abaixo para ler o artigo na Base de Dados de Conhecimento Microsoft (a página pode estar em inglês):
833786  (http://support.microsoft.com/kb/833786/ ) Etapas a serem executadas para ajudar na identificação e proteção contra sites enganosos (falsificados) e hiperlinks mal-intencionados

Explicação da alteração no comportamento padrão

Para atenuar os problemas descritos na seção "Informações gerais", o Internet Explorer e o Windows Explorer não recebe mais suporte para tratamento em HTTP e URLs HTTPS desse formulário. O Windows Explorer e o Internet Explorer não abrem sites em HTTP ou HTTPS usando uma URL que inclui informações do usuário. Por padrão, se as informações do usuário forem incluídas em HTTP ou uma URL HTTPS, uma página da Web com o seguinte título será exibida:
Erro de sintaxe inválida
Observação Essa alteração no comportamento padrão não afeta outros protocolos. Por exemplo, ainda é possível incluir informações do usuário em uma URL FTP após instalar a atualização de segurança 832894.

A alteração desse comportamento também é implementada pelas atualizações de segurança, service packs e versões do Internet Explorer que foram lançadas inicialmente com a versão da atualização de segurança 832894.

Soluções alternativas para usuários

As URLs abertas pelos usuários que digitam a URL na Barra de endereços ou clicam em um link

Se os usuários normalmente digitam URLs HTTP ou HTTPS que incluam informações do usuários na Barra de endereços ou clicam em links que incluem informações dos usuários em URLs HTTP ou HTTPS, há duas soluções alternativas para essa nova funcionalidade no Internet Explorer:
  • Não incluir informações do usuário em URLs HTTP ou HTTPS.
  • Instruir os usuários a não incluir as informações ao digitarem URLs HTTP ou HTTPS.
Se o site usa o método básico de autenticação, o Internet Explorer irá solicitar automaticamente aos usuários o nome de usuário e uma senha. Em alguns casos, os usuários podem clicar na caixa Lembrar senha da caixa de diálogo para salvar as credenciais para futuras visitas àquele site.

Soluções alternativas para desenvolvedores de aplicativos e sites

As URLs abertas por objetos que requerem funções WinInet ou Urlmon

Para objetos que usam um URL HTTP ou um URL HTTPS que incluem informações dos usuários quando eles requerem uma função WinInet ou Urlmon como InternetOpenURL, reescreva o objeto executando um dos seguintes métodos para enviar informações ao site:
  • Use a função InternetSetOption e inclua os seguintes sinalizadores de opção:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Observação Para esses sinalizadores, a opção InternetSetOption deve ter um identificador retornado pela função InternetConnect. Portanto, se o aplicativo usar a função InternetOpenUrl, modifique-o para usar as funções WinInet InternetConnect, HttpOpenRequest e HttpSendRequest. Para obter mais informações sobre como usar essa funções, visite os seguintes sites da Microsoft (em inglês):
    http://msdn2.microsoft.com/en-us/library/Aa384363 (http://msdn2.microsoft.com/en-us/library/Aa384363)

    http://msdn2.microsoft.com/en-us/library/Aa384233 (http://msdn2.microsoft.com/en-us/library/Aa384233)

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Use a interface IAuthenticate. Para obter mais informações sobre como usar a interface IAuthenticate, visite o seguinte site da Microsoft (em inglês):
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Observação Com essa solução alternativa, é possível abrir sites redirecionados pela técnica de falsificação da URL. Toda a URL é exibida, incluindo o local redirecionado. Por exemplo, a seguinte URL é exibida:
http://www.wingtiptoys.com@www.example.com
O usuário ainda chega ao site redirecionado. Nesse exemplo, o usuário chega em http://www.example.com.

As URLs abertas por um script que usa credenciais para gerenciamento de estado

Se você incluir URLs HTTP ou HTTPS que contenham informações do usuário no código de script, para gerenciar informações de estado, altere o código de script para usar cookies em vez de informações do usuário. Para obter mais informações sobre como usar cookies para gerenciar informações de estado, visite o seguinte site da IETF (Internet Engineering Task Force) (em inglês):
http://www.ietf.org/rfc/rfc2965.txt (http://www.ietf.org/rfc/rfc2965.txt)
Para visualizar um exemplo de como usar o Visual Basic para ler e gravar cookies HTTP em um programa da Web ASP.NET, visite o seguinte site da Microsoft (em inglês):
http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp (http://msdn.microsoft.com/library/en-us/dv_vstechart/html/vbtchaspnetcookies101.asp)

Como desabilitar o novo comportamento ou usá-lo em outros programas

É possível definir os valores do Registro para usar esse novo comportamento em outros programas que hospedam o controle do navegador da Web ou para desabilitar esse novo comportamento do Windows Explorer e do Internet Explorer.

Como os programas que hospedam o controle de navegação da Web podem usar esse novo comportamento padrão para identificar informações do usuário em URLs HTTP ou HTTPS

Por padrão, esse novo comportamento padrão para identificar as informações do usuário em URLs HTTP ou HTTPS aplica-se apenas ao Windows Explorer e Internet Explorer. Para usar esse novo comportamento em outros programas que hospedem o controle de navegação da Web, crie um valor DWORD nomeado SampleApp.exe, em que SampleApp.exe é o nome do arquivo executável que executa o programa. Defina os dados do valor DWORD como 1 em uma das seguintes chaves do Registro:
  • Para todos os usuários do programa, defina o valor na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Apenas para o usuário atual do programa, defina o valor na seguinte chave do Registro:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Como desabilitar o novo comportamento padrão para identificar as informações de usuário em URLs HTTP ou HTTPS

Para desabilitar o novo comportamento padrão no Windows Explorer e no Internet Explorer, crie valores DWORD iexplore.exe e explorer.exe em uma das seguintes chaves do Registro e defina os dados dos valores para 0.
  • Para todos os usuários do programa, defina o valor na seguinte chave do Registro:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Apenas para o usuário atual do programa, defina o valor na seguinte chave do Registro:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Referências

Para uma explicação sobre a sintaxe da URL padrão para URLs HTTP ou HTTPS, visite os seguints sites da IETF (em inglês):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt (http://www.ietf.org/rfc/rfc1738.txt)

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt (http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt (http://www.ietf.org/rfc/rfc2616.txt)
A Microsoft fornece informações para contato com terceiros para ajudá-lo a encontrar suporte técnico. Estas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a precisão destas informações.
Observação: este é um artigo de “PUBLICAÇÃO RÁPIDA” criado diretamente pela organização de suporte da Microsoft. As informações aqui contidas são fornecidas no presente estado, em resposta a questões emergentes. Como resultado da velocidade de disponibilização, os materiais podem incluir erros tipográficos e poderão ser revisados a qualquer momento, sem aviso prévio. Consulte os Termos de Uso (http://go.microsoft.com/fwlink/?LinkId=151500) para ver outras informações.

A informação contida neste artigo aplica-se a:
Palavras-chave: 
kbresolve KB834489
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft