Internet Explorer unterstützt keine Benutzernamen und Kennwörter in Websiteadressen (HTTP- oder HTTPS-URLs)

Warnung

Die eingestellte, nicht unterstützte Internet Explorer 11-Desktopanwendung wurde über ein Microsoft Edge-Update für bestimmte Versionen von Windows 10 dauerhaft deaktiviert. Weitere Informationen finden Sie unter Häufig gestellte Fragen zur Einstellung von Internet Explorer 11-Desktop-Apps.

Dieser Artikel soll Websiteadministratoren und IT-Experten über das Verhalten von Internet Explorer benachrichtigen, wenn Benutzerinformationen in einer Websiteadresse (HTTP- oder HTTPS-URL) enthalten sind.

Ursprüngliche Produktversion: Internet Explorer
Ursprüngliche KB-Nummer: 834489

Zusammenfassung

Standardmäßig unterstützen Versionen von Internet Explorer, die ab der Veröffentlichung des Sicherheitsupdates veröffentlicht wurden, 832894 die Verarbeitung von Benutzernamen und Kennwörtern in HTTP und HTTP mit SSL (Secure Sockets Layer) oder HTTPS-URLs nicht. Die folgende URL-Syntax wird in Internet Explorer oder Windows Explorer nicht unterstützt:

http(s)://username:password@server/resource.ext

Dieser Artikel soll Sie über dieses Standardverhalten von Internet Explorer informieren. Wenn Sie Benutzerinformationen in HTTP- oder HTTPS-URLs einschließen, empfehlen wir Ihnen, die in diesem Artikel beschriebenen Problemumgehungen zu untersuchen.

Hintergrundinformationen

Die Internet Explorer-Versionen 3.0 bis 6.0 unterstützen die folgende Syntax für HTTP- oder HTTPS-URLs:

http(s)://username:password@server/resource.ext

Sie können diese URL-Syntax verwenden, um Benutzerinformationen automatisch an eine Website zu senden, die die Standardauthentifizierungsmethode unterstützt.

Ein böswilliger Benutzer kann diese URL-Syntax verwenden, um einen Link zu erstellen, der anscheinend eine legitime Website öffnet, aber tatsächlich eine betrügerische (gefälschte) Website öffnet. Beispielsweise wird die folgende URL geöffnet http://www.wingtiptoys.com , aber tatsächlich geöffnet http://example.com:

http://www.wingtiptoys.com@example.com

Hinweis

In diesem Fall werden Internet Explorer 6 Service Pack 1 (SP1) und Internet Explorer 6 für Microsoft Windows Server 2003 nur in der Adressleiste angezeigt http://example.com . Frühere Versionen von Internet Explorer werden jedoch in der Adressleiste angezeigt http://www.wingtiptoys.com@example.com .

Darüber hinaus können böswillige Benutzer diese URL-Syntax zusammen mit anderen Methoden verwenden, um einen Link zu einer betrügerischen (gefälschten) Website zu erstellen, die die URL zu einer legitimen Website in der Status-, Adress- und Titelleiste aller Versionen von Internet Explorer anzeigt. Um weitere Informationen zu diesem Problem zu erhalten, klicken Sie auf die Artikelnummer 833786 , um sich vor betrügerischen (gefälschten) Websites und böswilligen Links zu schützen.

Erläuterung der Änderung des Standardverhaltens

Um die probleme zu beheben, die im Abschnitt Hintergrundinformationen erläutert werden, unterstützen Internet Explorer und Windows Explorer die Behandlung von HTTP- und HTTPS-URLs dieses Formulars nicht mehr. Windows Explorer und Internet Explorer öffnen keine HTTP- oder HTTPS-Websites mithilfe einer URL, die Benutzerinformationen enthält. Wenn Benutzerinformationen in einer HTTP- oder HTTPS-URL enthalten sind, wird standardmäßig eine Webseite mit dem folgenden Titel angezeigt:

Ungültiger Syntaxfehler.

Hinweis

Diese Änderung des Standardverhaltens wirkt sich nicht auf andere Protokolle aus.

Diese Änderung des Standardverhaltens wird auch durch Sicherheitsupdates, Service Packs und Versionen von Internet Explorer implementiert, die ab der Veröffentlichung des Sicherheitsupdates 832894 veröffentlicht wurden.

Problemumgehungen für Benutzer

  1. URLs, die von Benutzern geöffnet werden, die die URL in die Adressleiste eingeben oder auf einen Link klicken

    Wenn Benutzer in der Regel HTTP- oder HTTPS-URLs eingeben, die Benutzerinformationen in der Adressleiste enthalten, oder auf Links klicken, die Benutzerinformationen in HTTP- oder HTTPS-URLs enthalten, können Sie diese neue Funktionalität in Internet Explorer auf zwei Arten umgehen:

    • Schließen Sie keine Benutzerinformationen in HTTP- oder HTTPS-URLs ein.
    • Weisen Sie Benutzer an, ihre Benutzerinformationen nicht einzuschließen, wenn sie HTTP- oder HTTPS-URLs eingeben.

    Wenn die Website die standardauthentifizierungsmethode verwendet, fordert Internet Explorer benutzer automatisch zur Eingabe eines Benutzernamens und eines Kennworts auf. In einigen Fällen können Benutzer im Dialogfeld auf das Feld Kennwort speichern klicken, um ihre Anmeldeinformationen für spätere Besuche auf dieser Website zu speichern.

Problemumgehungen für Anwendungs- und Websiteentwickler

  1. URLs, die von Objekten geöffnet werden, die WinInet- oder Urlmon-Funktionen aufrufen

    Für Objekte, die eine HTTP- oder HTTPS-URL verwenden, die Benutzerinformationen enthält, wenn sie eine WinInet- oder Urlmon-Funktion wie InternetOpenURL aufrufen, schreiben Sie das -Objekt um, um eine der folgenden Methoden zum Senden von Benutzerinformationen an die Website zu verwenden:

    • Verwenden Sie die InternetSetOption-Funktion, und schließen Sie die folgenden Optionsflags ein:
      • INTERNET_OPTION_USERNAME
      • INTERNET_OPTION_PASSWORD

    Hinweis

    Für diese Flags muss die Option InternetSetOption über ein Handle verfügen, das von der InternetConnect-Funktion zurückgegeben wird. Wenn die Anwendung die InternetOpenUrl-Funktion verwendet, ändern Sie daher die Anwendung so, dass die WinInet-Funktionen InternetConnect, HttpOpenRequest und HttpSendRequest verwendet werden.

    Weitere Informationen zur Verwendung dieser Funktionen finden Sie auf den folgenden Microsoft-Websites:

    Weitere Informationen zur Verwendung der IAuthenticate-Schnittstelle finden Sie auf der folgenden Microsoft-Website:

    Hinweis

    Mit dieser Problemumgehung können Sie Websites öffnen, die von der URL-Spoofing-Technik umgeleitet werden. Die gesamte URL wird angezeigt, einschließlich des umgeleiteten Speicherorts.

    Beispielsweise wird die folgende URL angezeigt:

    http://www.wingtiptoys.com@www.example.com

    Der Benutzer gelangt immer noch zur umgeleiteten Website. In diesem Beispiel gelangt der Benutzer zu http://www.example.com.

  2. URLs, die von einem Skript geöffnet werden, das Anmeldeinformationen für die Zustandsverwaltung verwendet

    Wenn Sie HTTP- oder HTTPS-URLs, die Benutzerinformationen enthalten, in Ihren Skriptcode einschließen, ändern Sie zum Verwalten von Zustandsinformationen Ihren Skriptcode so, dass Cookies anstelle von Benutzerinformationen verwendet werden. Weitere Informationen zur Verwendung von Cookies zum Verwalten von Zustandsinformationen finden Sie unter HTTP-Zustandsverwaltungsmechanismus.

    Ein Beispiel für die Verwendung von Visual Basic zum Lesen und Schreiben von HTTP-Cookies in einem ASP.NET Webprogramm finden Sie unter HttpCookie-Klasse.

So deaktivieren Sie das neue Verhalten oder verwenden es in anderen Programmen

Sie können Registrierungswerte festlegen, um dieses neue Verhalten in anderen Programmen zu verwenden, die das Webbrowsersteuerelement hosten, oder um dieses neue Verhalten für Windows Explorer und Internet Explorer zu deaktivieren.

  1. Wie Programme, die das Webbrowsersteuerelement hosten, dieses neue Standardverhalten verwenden können, um Benutzerinformationen in HTTP oder in HTTPS-URLs zu behandeln

    Standardmäßig gilt dieses neue Standardverhalten für die Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs nur für Windows Explorer und Internet Explorer. Um dieses neue Verhalten in anderen Programmen zu verwenden, die das Webbrowsersteuerelement hosten, erstellen Sie einen DWORD-Wert namens SampleApp.exe, wobei SampleApp.exe der Name der ausführbaren Datei ist, die das Programm ausführt. Legen Sie die Wertdaten des DWORD-Werts in einem der folgenden Registrierungsschlüssel auf 1 fest.

    • Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

      HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

    • Legen Sie nur für den aktuellen Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

      HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

  2. Deaktivieren des neuen Standardverhaltens für die Verarbeitung von Benutzerinformationen in HTTP- oder HTTPS-URLs

    Um das neue Standardverhalten in Windows Explorer und Internet Explorer zu deaktivieren, erstellen Sie iexplore.exe und explorer.exe DWORD-Werte in einem der folgenden Registrierungsschlüssel, und legen Sie deren Wertdaten auf 0 fest.

    • Legen Sie für alle Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

      HKEY_LOCAL_MACHINE\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

    • Legen Sie nur für den aktuellen Benutzer des Programms den Wert im folgenden Registrierungsschlüssel fest:

      HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

References

Eine Erläuterung der Standard-URL-Syntax für HTTP- oder HTTPS-URLs finden Sie auf den folgenden Websites der Internet Engineering Task Force (IETF):

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.