Levysoft

Tips: IE e l’inclusione di username e password nell’URL

Sulla pagina dello ‘Stato degli ordini’ di TopHost compare una nota per gli utilizzatori di Internet Explorer: dal 2 Febbraio 2004, Microsoft ha reso disponibile un aggiornamento del browser Internet Explorer che non permette l’inclusione di username e password nella barra degli indirizzi fornendo il seguente messaggio di errore: Errore di sintassi non valida.
Per cui sintassi del tipo:
http(s)://nomeutente:password@server/risorsa.est
non è più supportata in Internet Explorer o in Esplora risorse dopo aver installato l’aggiornamento cumulativo di protezione per Internet Explorer MS04-004 (832894).

Questo perchè un utente malintenzionato potrebbe usare questa sintassi per creare un collegamento ipertestuale che sembra aprire un sito Web legittimo, ma in realtà apre un sito Web ingannevole.
Ad esempio con una URL così costruita: http://www.sitoweb.com@example.com
sembra che apra il sito http://www.sitoweb.com, mentre in realtà apre http://example.com.

Ovviamente questo problema non esiste con Firefox poichè riconosce la sintassi e la gestisce correttamente (chiedendo con un msgbox se la richiesta di entrare con username:password sia voluta). Infatti Microsoft ha solo creato una patch tappabuchi visto che non risolve il problema di una interpretazione errata della url ma elimina direttamente il problema alla radice!

Ecco come disabilitare questo fastidioso comportamento di Internet Explorer.

Per disabilitare questo nuovo comportamento predefinito in Esplora risorse e in Internet Explorer, occorre mettere mano al Registro di Configurazione di Windows, creando i valori DWORD iexplore.exe e explorer.exe in una delle seguenti chiavi di registro e impostarne il valore su 0:

• Per tutti gli utenti si deve impostare a 0 il valore della seguente chiave di registro:
HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE
• Per l’utente corrente occorre impostare a 0 il valore della seguente chiave di registro:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_HTTP_USERNAME_PASSWORD_DISABLE

Per chi odiasse modificare a mano i valori del Registro di Configurazione di Windows, TopHost mette a disposizione un file .reg che disabilita la nuova funzione che rimuove il supporto per la gestione dei nomi utente e delle password negli URL HTTP, HTTP con Secure Sockets Layer (SSL) o HTTPS in Microsoft Internet Explorer: IEUserPassEnable.reg

Per maggiori informazioni è possibile leggere la comunicazione ufficiale di Microsoft.