DetailPage-MSS-KB

Base de Dados de Conhecimento

Artigo: 834489 - Última revisão: terça-feira, 17 de Maio de 2011 - Revisão: 13.0

Nesta página

Este artigo destina-se a notificar os administradores de Web sites e profissionais de TI acerca do comportamento do Internet Explorer quando são incluídas informações de utilizador num endereço de Web site (URL de HTTP ou HTTPS).

Se é um utilizador doméstico e tem problemas com palavras-passe ou informações de utilizador no Internet Explorer, visite o Web site Centro de Soluções do Internet Explorer para procurar informações de resolução de problemas ou para contactar o suporte técnico:

Sumário

Por predefinição, as versões do Windows Internet Explorer disponibilizadas após a actualização de segurança 832894 não suportam o processamento de nomes de utilizadores e palavras-passe nos URLs de HTTP e HTTP com camada segura de sockets (SSL, Secure Sockets Layer) ou HTTPS. A seguinte sintaxe de URL não é suportada no Internet Explorer ou no Explorador do Windows:
http(s)://nome_utilizador:palavra-passe@servidor/recurso.ext
Este artigo destina-se a notificar os utilizadores desta alteração no comportamento predefinido do Internet Explorer. Se incluir informações de utilizador nos URLs de HTTP ou HTTPS, recomendamos que explore as medidas descritas neste artigo. Para obter mais informações sobre a actualização de segurança 832894, visite o seguinte Web site da Microsoft:
http://www.microsoft.com/portugal/technet/seguranca/boletins/MS04-004.mspx (http://www.microsoft.com/portugal/technet/seguranca/boletins/MS04-004.mspx)

Mais Informação

Informações adicionais

O Internet Explorer versão 3.0 a 6.0 suporta a seguinte sintaxe para URLs de HTTP ou HTTPS:
http(s)://nome_utilizador:palavra-passe@servidor/recurso.ext
Pode utilizar esta sintaxe de URL para enviar automaticamente informações de utilizador para um Web site que suporte o método de autenticação base.

Um utilizador malicioso poderá utilizar esta sintaxe de URL para criar uma hiperligação que, aparentemente, abra um Web site legítimo, mas na realidade abra um Web site enganoso (fraudulento). Por exemplo, o URL que se segue parece abrir http://www.wingtiptoys.com, mas na realidade abre http://example.com:
http://www.wingtiptoys.com@example.com
Nota: neste caso, o Internet Explorer 6 Service Pack 1 (SP1) e o Internet Explorer 6 para Microsoft Windows Server 2003 apenas apresentam "http://example.com" na barra Endereço. No entanto, as versões anteriores do Internet Explorer apresentam "http://www.wingtiptoys.com@example.com" na barra Endereço.

Além disso, utilizadores maliciosos podem utilizar esta sintaxe de URL em conjunto com outros métodos para criar uma ligação a um Web site enganoso (fraudulento) que apresente o URL de um Web site legítimo nas barras de estado, de endereço e de título de todas as versões do Internet Explorer.

Para obter mais informações sobre este problema, clique no número de artigo que se segue para visualizar o artigo na base de dados de conhecimento da Microsoft (KB, Microsoft Knowledge Base):
833786  (http://support.microsoft.com/kb/833786/ ) Passos que pode efectuar para o ajudar a identificar e proteger contra Web sites enganosos (fraudulentos) e hiperligações maliciosas

Explicação da alteração no comportamento predefinido

Para atenuar os problemas abordados na secção "Informações adicionais", o Internet Explorer e o Explorador do Windows deixaram de suportar o processamento de URLs de HTTP e HTTPS deste formato. O Explorador do Windows e o Internet Explorer não abrem sites de HTTP ou HTTPS utilizando um URL que inclua informações de utilizador. Por predefinição, se forem incluídas informações de utilizador num URL de HTTP ou HTTPS, será apresentada uma página Web com o seguinte título:
Erro de sintaxe inválida
Nota: esta alteração no comportamento predefinido não afecta outros protocolos. Por exemplo, poderá incluir informações de utilizador num URL de FTP após a instalação da actualização de segurança 832894.

Esta alteração no comportamento predefinido é também implementada por actualizações de segurança, Service Packs e versões do Internet Explorer disponibilizadas após a actualização de segurança 832894.

Medidas para utilizadores

URLs abertos por utilizadores que escrevem o URL na barra 'Endereço' ou clicam numa hiperligação

Se normalmente os utilizadores escreverem URLs de HTTP ou HTTPS que incluam informações de utilizador na barra Endereço ou clicarem em hiperligações que incluam informações de utilizador em URLs de HTTP ou HTTPS, poderá contornar esta nova funcionalidade no Internet Explorer de duas formas:
  • Não inclua informações de utilizador em URLs de HTTP ou HTTPS.
  • Dê instruções aos utilizadores para não incluírem as respectivas informações de utilizador quando escreverem URLs de HTTP ou HTTPS.
Se o Web site utilizar o método de autenticação base, o Internet Explorer solicitará automaticamente aos utilizadores um nome de utilizador e uma palavra-passe. Nalguns casos, os utilizadores podem clicar na caixa Memorizar palavra-passe da caixa de diálogo para guardar as respectivas credenciais para visitas futuras a esse Web site.

Medidas para programadores de aplicações e de Web sites

URLs abertos por objectos que invocam funções de WinInet ou Urlmon

Para objectos que utilizem um URL de HTTP ou HTTPS que inclua informações de utilizador quando invocam uma função de WinInet ou Urlmon, tal como, InternetOpenURL, rescreva o objecto para que utilize um dos seguintes métodos para enviar informações de utilizador para o Web site:
  • Utilize a função InternetSetOption e inclua os seguintes sinalizadores opcionais:
    • INTERNET_OPTION_USERNAME
    • INTERNET_OPTION_PASSWORD
    Nota: para estes sinalizadores, a opção InternetSetOption tem de ter um identificador devolvido pela função InternetConnect. Assim, se a aplicação utilizar a função InternetOpenUrl, modifique a aplicação para utilizar as funções de WinInet InternetConnect, HttpOpenRequest e HttpSendRequest. Para obter mais informações sobre como utilizar estas funções, visite os seguintes Web sites da Microsoft:
    http://msdn2.microsoft.com/en-us/library/Aa384363 (http://msdn2.microsoft.com/en-us/library/Aa384363)

    http://msdn2.microsoft.com/en-us/library/Aa384233 (http://msdn2.microsoft.com/en-us/library/Aa384233)

    http://msdn2.microsoft.com/en-us/library/aa384247.aspx (http://msdn2.microsoft.com/en-us/library/aa384247.aspx)
  • Utilize a interface IAuthenticate. Para obter mais informações sobre como utilizar a interface IAuthenticate, visite o seguinte Web site da Microsoft:
    http://msdn2.microsoft.com/en-us/library/ms775080.aspx (http://msdn2.microsoft.com/en-us/library/ms775080.aspx)
Nota: com esta medida, é possível abrir Web sites redireccionados pela técnica de URLs fraudulentos. Aparece o URL completo, incluindo a localização redireccionada. Por exemplo, é apresentado o seguinte URL:
http://www.wingtiptoys.com@www.example.com
No entanto, o utilizador continua a aceder ao Web site redireccionado. Neste exemplo, o utilizador acede a http://www.example.com.

URLs abertos por um script que utiliza credenciais para gestão de estado

Se incluir URLs de HTTP ou HTTPS que contenham informações de utilizador no código de script, para gerir informações de estado, altere o código de script para que sejam utilizados cookies em vez de informações de utilizador. Para obter mais informações sobre como utilizar cookies para gerir informações de estado, visite o seguinte Web site da IETF (Internet Engineering Task Force):
http://www.ietf.org/rfc/rfc2965.txt (http://www.ietf.org/rfc/rfc2965.txt)
Para ver um exemplo de como utilizar o Visual Basic para ler e escrever cookies de HTTP num programa da Web de ASP.NET, visite o seguinte Web site da Microsoft:
http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx (http://msdn2.microsoft.com/en-us/library/aa289495(VS.71).aspx)

Como desactivar o novo comportamento ou utilizá-lo noutros programas

Pode definir valores de registo para utilizar este novo comportamento noutros programas que hospedem o controlo do browser ou para desactivar o novo comportamento no Explorador do Windows e no Internet Explorer.

De que forma os programas que hospedam o controlo do browser podem utilizar este novo comportamento predefinido para processar informações de utilizador em URLs de HTTP ou HTTPS

Por predefinição, este novo comportamento predefinido para processamento de informações de utilizador em URLs de HTTP ou HTTPS aplica-se apenas ao Explorador do Windows e ao Internet Explorer. Para utilizar este novo comportamento noutros programas que hospedem o controlo do browser, crie um valor DWORD com o nome SampleApp.exe, em que SampleApp.exe corresponde ao nome do ficheiro executável que executa o programa. Defina os dados do valor DWORD como 1, numa das seguintes chaves do registo.
  • Para todos os utilizadores do programa, defina o valor na seguinte chave do registo:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Apenas para o utilizador actual do programa, defina o valor na seguinte chave do registo:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Como desactivar o novo comportamento predefinido para processamento de informações de utilizador em URLs de HTTP ou HTTPS

Para desactivar o novo comportamento predefinido no Explorador do Windows e no Internet Explorer, crie valores DWORD iexplore.exe e explorer.exe numa das seguintes chaves do registo e defina os respectivos dados de valor como 0.
  • Para todos os utilizadores do programa, defina o valor na seguinte chave do registo:
    HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
  • Apenas para o utilizador actual do programa, defina o valor na seguinte chave do registo:
    HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Referências

Para obter uma explicação da sintaxe de URL padrão para URLs de HTTP ou HTTPS , visite os seguintes Web sites da IETF (Internet Engineering Task Force):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt (http://www.ietf.org/rfc/rfc1738.txt)

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt (http://www.ietf.org/rfc/rfc2396.txt)

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt (http://www.ietf.org/rfc/rfc2616.txt)
A Microsoft fornece informações de contacto de outros fabricantes para o ajudar na obtenção de suporte técnico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante o rigor das informações sobre o contacto destes fabricantes.
Nota Este é um artigo de “PUBLICAÇÃO RÁPIDA” criado directamente a partir da organização de suporte da Microsoft. As informações contidas neste artigo são fornecidas “tal como estão” em resposta a problemas recentes. Devido à urgência em disponibilizar este artigo, os materiais poderão incluir erros tipográficos e ser revistos em qualquer altura sem aviso prévio. Consulte os Termos de Utilização (http://go.microsoft.com/fwlink/?LinkId=151500) para outras considerações.

A informação contida neste artigo aplica-se a:
  • Windows Internet Explorer 8
  • Windows Internet Explorer 7
  • Microsoft Internet Explorer 6.0
  • Microsoft Internet Explorer 5.5
  • Microsoft Windows Server 2003 Service Pack 1
  • Microsoft Windows Server 2003 Service Pack 2
  • Windows Vista Business
  • Windows Vista Enterprise
  • Windows Vista Home Basic
  • Windows Vista Home Premium
  • Windows Vista Starter
  • Windows Vista Ultimate
Palavras-chave: 
kbresolve KB834489
Partilhar
Opções de suporte adicionais
Fóruns de Suporte da Comunidade Microsoft
Contacte-nos directamente
Encontre um parceiro certificado Microsoft
Loja Microsoft