Microsoft planeja lançar uma atualização de software que modificará o comportamento padrão do Internet Explorer no tratamento de informações sobre o usuário em URLs HTTP e HTTPS
Veja os produtos que se aplicam ao artigo
SUMÁRIO
A Microsoft planeja lançar uma atualização de software que remove o suporte ao tratamento de nomes de usuários e senhas em URLs HTTP e HTTP com Secure Sockets Layer (SSL) no Microsoft Internet Explorer. A seguinte sintaxe na URL não será mais suportada no Internet Explorer ou Windows Explorer após a instalação desta atualização:
http(s)://nomedousuário:senha@servidor/recurso.ext
Este artigo foi criado para lhe notificar antecipadamente sobre esta alteração no comportamento padrão do Internet Explorer. Se você inclui informações sobre o usuário em URLs HTTP e HTTPS, a Microsoft recomenda que você explore outros métodos descritos neste artigo antes de instalar a atualização do software. A Microsoft irá publicar mais informações neste artigo quando a atualização de software estiver disponível.
MAIS INFORMAÇÕES
Informações iniciais
O Internet Explorer versões 3.0 e superiores suportam a seguinte sintaxe em URLs HTTP ou HTTPS:
http(s)://nomedousuário:senha@servidor/recurso.ext
Você pode utilizar esta sintaxe na URL para enviar automaticamente as informações sobre o usuário para um site na Web que suporte o método de autenticação básica.
Para informações adicionais, acesse o seguinte artigo na Base de Conhecimento Microsoft:
200351 INFO: Sintaxe URL para autenticação sem caixa de diálogo (em inglês)
Um usuário mal intencionado pode usar esta sintaxe de URL para criar um hyperlink que aparece como um site na Web legítimo mas que de fato abre um site falso na Web (spoof). Por exempo, a seguinte URL aparece para abrir http://www.wingtiptoys.com mas de fato abre http://example.com:
http://www.wingtiptoys.com@example.com
Nota Neste caso, o Internet Explorer 6 Service Pack 1 (SP1) e o Internet Explorer 6 para Windows Server 2003 apenas exibe "http://example.com" na barra de endereços. Entretanto, versões anteriores do Internet Explorer exibem "http://www.wingtiptoys.com@example.com" na barra de endereços.
Além disso, usuários mal intencionados podem utilizar esta sintaxe na URL junto com outros métodos para criar um link para um site falso na Web que exibe a URL de um site legítimo na barra de status, barra de endereços e na barra de título de todas as versões do Internet Explorer.
Para maiores informações sobre esta questão, acesse o seguinte artigo na Base de Conhecimento Microsoft:
833786 Passos para identificar e se proteger de sites falsos na Web e hyperlinks mal intencionados (em inglês)
Explicação da alteração no comportamento padrão
Para atenuar as questões discutidas em "Informações iniciais" neste artigo, a Microsoft planeja lançar uma atualização de software que remove o suporte ao tratamento de URLs desta forma no Internet Explorer e Windows Explorer. Depois de instalar esta atualização de software, o Windows Explorer e o Internet Explorer não irá abrir sites HTTP ou HTTPS usando esta URL que incluir informações sobre o usuário. Por padrão, se a informação do usuário for incluída na URL HTTP ou HTTPS, uma página Web com o seguinte título será exibida:
Erro de sintaxe inválida
Alternativas para usuários
URLs que usuários digitam na barra de endereços ou abrindo através do clique em um link
Se os usuários tipicamente digitam as URLs HTTP ou HTTPS que incluem informações de usuários na barra de endereços, ou clicam em links que incluem esta informações na URL HTTP ou HTTPS, você pode tratar esta nova funcionalidade do Internet Explorer de duas formas:
- Não incluir informações sobre usuários nas URLs HTTP ou HTTPS.
- Instruir usuários a não incluírem suas informações de autenticação quando digitarem suas URLs HTTP ou HTTPS.
Se o site na Web utiliza o método de autenticação básica, o Internet Explorer automaticamente irá exibir uma caixa de diálogo solicitando um nome de usuário e uma senha. Em alguns casos, os usuários podem clicar em Lembrar minha senha na caixa de diálogo e salvar suas credenciais para próximas visitas ao site na Web.
Alternativas para desenvolvedores de aplicativos e Web
URLs que são abetas por objetos que chamam as funções WinInet ou Urlmon
Para objetos que utilizam a URL HTTP ou HTTPS para incluir informações do usuário quando chamam as funções WinInet ou Urlmon como InternetOpenURL, reescreva o objeto para usar um dos seguintes métodos ao enviar informações ao site na Web:
Use a função InternetSetOption e inclua as seguintes opções de sinalização:
- INTERNET_OPTION_USERNAME
- INTERNET_OPTION_PASSWORD
Para informações adicionais sobre como utilizar a função InternetSetOption, acesse a seguinte página no site da Microsoft:
http://msdn.microsoft.com/library/pt-br/wininet/wininet/internetsetoption.asp (em inglês)
Utilize a Interface IAuthenticate. Para informações adicionais sobre como utilizar a interface IAuthenticate, acesse a seguinte página no site da Microsoft:
http://msdn.microsoft.com/workshop/networking/moniker/reference/ifaces/iauthenticate/iauthenticate.asp (em inglês)
URLs que são abertas por um script que usa credenciais para gerenciamento de estado
Se você inclui URLs HTTP ou HTTPS que contém informações sobre o usuário no seu código de script, para o gerenciamento de estado, altere o código de seu script para utilizar cookies em vez de informações sobre o usuário. Para informações adicionais sobre como utilizar cookies para gerenciar estado, acesse a seguinte página no site da Internet Engineering Task Force (IETF):
http://www.ietf.org/rfc/rfc2965.txt(em inglês)
Para ver um exemplo de como utilizar o Visual Basic para ler e escrever cookies HTTP em uma aplicação Web em ASP.NET, acesse a seguinte página no site da Microsoft:
http://msdn.microsoft.com/library/pt-br/dv\_vstechart/html/vbtchaspnetcookies101.asp (em inglês)
Como desativar o novo comportamento ou utilizá-lo em outros programas
Depois de instalar a atualização de software discutida neste artigo, você pode definir valores no registro para utilizar este novo comportamento em outros programas que utilizam o controle de navegador Web ou desativar este novo comportamento para o Windows Explorer e Internet Explorer. A Microsoft irá publicar mais informações neste artigo quando a atualização de software estiver disponível.
REFERÊNCIAS
Para uma explicação sobre a sintaxe padrão de URLs HTTP ou HTTPS, acesse as seguintes páginas do site da Internet Engineering Task Force (IETF):
RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt
RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt
RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt
O conteúdo acima está em inglês. A Microsoft fornece informações de contato de terceiros que podem lhe ajudar a encontrar suporte técnico. Estas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a veracidade destas informações de terceiros.
A informação neste artigo aplica-se a:
Microsoft Internet Explorer 6.0, quando utilizado com:
o sistema operacional: Microsoft Windows Server 2003
Microsoft Internet Explorer 6.0 SP1, quando utilizado com:
o Sistema operacional: Microsoft Windows XP SP1
o Sistema operacional: Microsoft Windows XP
o Sistema operacional: Microsoft Windows 2000 SP4
o Sistema operacional: Microsoft Windows 2000 SP3
o Sistema operacional: Microsoft Windows 2000 SP2
o Sistema operacional: Microsoft Windows NT 4.0 SP6a
o Sistema operacional: Microsoft Windows Millennium Edition
o Sistema operacional: Microsoft Windows 98 Segunda Edição
o Sistema operacional: Microsoft Windows 98Microsoft Internet Explorer 5.5 SP2, quando utilizado com:
o Sistema operacional: Microsoft Windows 2000 SP4
o Sistema operacional: Microsoft Windows 2000 SP3
o Sistema operacional: Microsoft Windows 2000 SP2
o Sistema operacional: Microsoft Windows NT 4.0 SP6a
o Sistema operacional: Microsoft Windows Millennium Edition
o Sistema operacional: Microsoft Windows 98 Segunda Edição
o Sistema operacional: Microsoft Windows 98Microsoft Internet Explorer 5.01 SP4, quando utilizado com:
o Sistema operacional: Microsoft Windows 2000 SP4
Microsoft Internet Explorer 5.01 SP3, quando utilizado com:
o Sistema operacional: Microsoft Windows 2000 SP3
Microsoft Internet Explorer 5.01 SP2, quando utilizado com:
o Sistema operacional: Microsoft Windows 2000 SP2
Microsoft Internet Explorer (Programação) 5.01
Microsoft Internet Explorer (Programação) 5.5
Microsoft Internet Explorer (Programação) 6.0
Última revisão em: 27/1/2004 (2.1)
Palavra-chave: KB834489