Microsoft planeja lançar uma atualização de software que modificará o comportamento padrão do Internet Explorer no tratamento de informações sobre o usuário em URLs HTTP e HTTPS

  • Artigo

Veja os produtos que se aplicam ao artigo

SUMÁRIO

A Microsoft planeja lançar uma atualização de software que remove o suporte ao tratamento de nomes de usuários e senhas em URLs HTTP e HTTP com Secure Sockets Layer (SSL) no Microsoft Internet Explorer. A seguinte sintaxe na URL não será mais suportada no Internet Explorer ou Windows Explorer após a instalação desta atualização:

http(s)://nomedousuário:senha@servidor/recurso.ext

Este artigo foi criado para lhe notificar antecipadamente sobre esta alteração no comportamento padrão do Internet Explorer. Se você inclui informações sobre o usuário em URLs HTTP e HTTPS, a Microsoft recomenda que você explore outros métodos descritos neste artigo antes de instalar a atualização do software. A Microsoft irá publicar mais informações neste artigo quando a atualização de software estiver disponível.

MAIS INFORMAÇÕES

Informações iniciais

O Internet Explorer versões 3.0 e superiores suportam a seguinte sintaxe em URLs HTTP ou HTTPS:

http(s)://nomedousuário:senha@servidor/recurso.ext

Você pode utilizar esta sintaxe na URL para enviar automaticamente as informações sobre o usuário para um site na Web que suporte o método de autenticação básica.

Para informações adicionais, acesse o seguinte artigo na Base de Conhecimento Microsoft:

200351 INFO: Sintaxe URL para autenticação sem caixa de diálogo (em inglês)

Um usuário mal intencionado pode usar esta sintaxe de URL para criar um hyperlink que aparece como um site na Web legítimo mas que de fato abre um site falso na Web (spoof). Por exempo, a seguinte URL aparece para abrir http://www.wingtiptoys.com mas de fato abre http://example.com:

http://www.wingtiptoys.com@example.com

Nota Neste caso, o Internet Explorer 6 Service Pack 1 (SP1) e o Internet Explorer 6 para Windows Server 2003 apenas exibe "http://example.com" na barra de endereços. Entretanto, versões anteriores do Internet Explorer exibem "http://www.wingtiptoys.com@example.com" na barra de endereços.

Além disso, usuários mal intencionados podem utilizar esta sintaxe na URL junto com outros métodos para criar um link para um site falso na Web que exibe a URL de um site legítimo na barra de status, barra de endereços e na barra de título de todas as versões do Internet Explorer.

Para maiores informações sobre esta questão, acesse o seguinte artigo na Base de Conhecimento Microsoft:

833786 Passos para identificar e se proteger de sites falsos na Web e hyperlinks mal intencionados (em inglês)

Explicação da alteração no comportamento padrão

Para atenuar as questões discutidas em "Informações iniciais" neste artigo, a Microsoft planeja lançar uma atualização de software que remove o suporte ao tratamento de URLs desta forma no Internet Explorer e Windows Explorer. Depois de instalar esta atualização de software, o Windows Explorer e o Internet Explorer não irá abrir sites HTTP ou HTTPS usando esta URL que incluir informações sobre o usuário. Por padrão, se a informação do usuário for incluída na URL HTTP ou HTTPS, uma página Web com o seguinte título será exibida:

Erro de sintaxe inválida

Alternativas para usuários

Se os usuários tipicamente digitam as URLs HTTP ou HTTPS que incluem informações de usuários na barra de endereços, ou clicam em links que incluem esta informações na URL HTTP ou HTTPS, você pode tratar esta nova funcionalidade do Internet Explorer de duas formas:

  • Não incluir informações sobre usuários nas URLs HTTP ou HTTPS.
  • Instruir usuários a não incluírem suas informações de autenticação quando digitarem suas URLs HTTP ou HTTPS.

Se o site na Web utiliza o método de autenticação básica, o Internet Explorer automaticamente irá exibir uma caixa de diálogo solicitando um nome de usuário e uma senha. Em alguns casos, os usuários podem clicar em Lembrar minha senha na caixa de diálogo e salvar suas credenciais para próximas visitas ao site na Web.

Alternativas para desenvolvedores de aplicativos e Web

URLs que são abetas por objetos que chamam as funções WinInet ou Urlmon

Para objetos que utilizam a URL HTTP ou HTTPS para incluir informações do usuário quando chamam as funções WinInet ou Urlmon como InternetOpenURL, reescreva o objeto para usar um dos seguintes métodos ao enviar informações ao site na Web:

URLs que são abertas por um script que usa credenciais para gerenciamento de estado

Se você inclui URLs HTTP ou HTTPS que contém informações sobre o usuário no seu código de script, para o gerenciamento de estado, altere o código de seu script para utilizar cookies em vez de informações sobre o usuário. Para informações adicionais sobre como utilizar cookies para gerenciar estado, acesse a seguinte página no site da Internet Engineering Task Force (IETF):

http://www.ietf.org/rfc/rfc2965.txt(em inglês)

Para ver um exemplo de como utilizar o Visual Basic para ler e escrever cookies HTTP em uma aplicação Web em ASP.NET, acesse a seguinte página no site da Microsoft:

http://msdn.microsoft.com/library/pt-br/dv\_vstechart/html/vbtchaspnetcookies101.asp (em inglês)

Como desativar o novo comportamento ou utilizá-lo em outros programas

Depois de instalar a atualização de software discutida neste artigo, você pode definir valores no registro para utilizar este novo comportamento em outros programas que utilizam o controle de navegador Web ou desativar este novo comportamento para o Windows Explorer e Internet Explorer. A Microsoft irá publicar mais informações neste artigo quando a atualização de software estiver disponível.

REFERÊNCIAS

Para uma explicação sobre a sintaxe padrão de URLs HTTP ou HTTPS, acesse as seguintes páginas do site da Internet Engineering Task Force (IETF):

RFC 1738: Uniform Resource Locators (URL)
http://www.ietf.org/rfc/rfc1738.txt

RFC 2396: Uniform Resource Identifiers (URI): Generic Syntax
http://www.ietf.org/rfc/rfc2396.txt

RFC 2616: Hypertext Transfer Protocol -- HTTP/1.1
http://www.ietf.org/rfc/rfc2616.txt

O conteúdo acima está em inglês. A Microsoft fornece informações de contato de terceiros que podem lhe ajudar a encontrar suporte técnico. Estas informações podem ser alteradas sem aviso prévio. A Microsoft não garante a veracidade destas informações de terceiros.

A informação neste artigo aplica-se a:

  • Microsoft Internet Explorer 6.0, quando utilizado com:

            o sistema operacional: Microsoft Windows Server 2003  

  • Microsoft Internet Explorer 6.0 SP1, quando utilizado com:

            o Sistema operacional: Microsoft Windows XP SP1
    o Sistema operacional: Microsoft Windows XP
    o Sistema operacional: Microsoft Windows 2000 SP4
    o Sistema operacional: Microsoft Windows 2000 SP3
    o Sistema operacional: Microsoft Windows 2000 SP2
    o Sistema operacional: Microsoft Windows NT 4.0 SP6a
    o Sistema operacional: Microsoft Windows Millennium Edition
    o Sistema operacional: Microsoft Windows 98 Segunda Edição
    o Sistema operacional: Microsoft Windows 98

  • Microsoft Internet Explorer 5.5 SP2, quando utilizado com:

            o Sistema operacional: Microsoft Windows 2000 SP4
    o Sistema operacional: Microsoft Windows 2000 SP3
    o Sistema operacional: Microsoft Windows 2000 SP2
    o Sistema operacional: Microsoft Windows NT 4.0 SP6a
    o Sistema operacional: Microsoft Windows Millennium Edition
    o Sistema operacional: Microsoft Windows 98 Segunda Edição
    o Sistema operacional: Microsoft Windows 98        

  • Microsoft Internet Explorer 5.01 SP4, quando utilizado com:

            o Sistema operacional: Microsoft Windows 2000 SP4

  • Microsoft Internet Explorer 5.01 SP3, quando utilizado com:

           o Sistema operacional: Microsoft Windows 2000 SP3

  • Microsoft Internet Explorer 5.01 SP2, quando utilizado com:

           o Sistema operacional: Microsoft Windows 2000 SP2

  • Microsoft Internet Explorer (Programação) 5.01

  • Microsoft Internet Explorer (Programação) 5.5

  • Microsoft Internet Explorer (Programação) 6.0

Última revisão em: 27/1/2004 (2.1)

Palavra-chave: KB834489

Topo