【新聞】IE瀏覽器URL修正的影響



贊助商連結


天氣預報
2004-02-16, 06:04 PM
IE瀏覽器URL修正的影響


John McCormick•陳奭璁  2004/02/13




由於市面抨擊微軟IE瀏覽器漏洞的聲浪太大,微軟最近推出一個重大修正檔案,影響了瀏覽器解讀URL的方式。本文將探討這些改變是否會影響企業的開發環境。

URL連結中禁用@符號

IE瀏覽器在處理http與http連結時的預設行為導致許多所謂URL spoofing(網址連結詐欺)的嚴重漏洞事件,這可讓不肖網站以另一個URL面貌出現,誘使用戶下載惡意軟體(malware)或洩漏個人資訊,比如密碼。

微軟的修正方式取消了URL中的@符號,比如http(s)://username:password@server/resource.ext。

當你安裝了更新檔案後,若URL中還有包含了使用者資訊,網頁就會跳出「Invalid syntax error」(語法錯誤)的警告。

變通之道

微軟另外提公開發人員針對此一修正檔案的變通之道。若URL是由WinInet或Urlmon物件所開啟者,可使用InternetSetOption函數,並加入以下的選擇參數:

INTERNET_OPTION_USERNAME

INTERNET_OPTION_PASSWORD

此時不要使用InternetOpenURL函數,應改用IAuthenticate Interface。

若是以腳本(script)開啟的URL,請開始使用cookies。(MSDN提供許多細節,教你如何在ASP.NET程式中使用HTTP cookies搭配Visual Basic。)

安裝IE升級程式後,改變註冊碼機數值就能將新的行為用在其他程式上,或是取消IE中的該功能。(注意:編輯註冊碼機風險大,請先確保有做備份。)

若開發人員手邊的網站有在URL中加入@符號就需要做些改變,微軟的Knowledge Base文章834489目前有些初步資料,微軟表示以後還會多添增一些上去,不過,以目前來說,Knowledge Base文章已經夠你開始著手進行,變更既有的應用或網站,避免使用即將失效的URL字串。

雖然這些改變跟最近接連發生的MyDoom蠕蟲無關,但這卻對IE瀏覽器產生很大的改變,同時也讓安全性大為提升。雖然這樣的改變誠屬不幸,但為了打擊網路威脅也是可以理解,開發人員不得不改變既有的程式才能符合新的語法規範。

http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087514,00.htm

贊助商連結


天氣預報
2004-02-16, 06:05 PM
IE修補導致部分用戶無法登入網站
CNET新聞專區:Robert Lemos  05/02/2004




一些網路開發者抱怨,微軟為防止網路詐騙而推出的IE修補程式,導致部分安全作法不達標準的應用程式無法使用。

為了防止一些不安全的做法,微軟在上星期宣佈修改IE瀏覽器,禁止在連結中包含一些敏感資訊。此一修補程式於週一發佈後這兩天引起許多網站管理員跳腳,因為只要URL中嵌有隱私資訊,網友就無法登入網站。

軟體工程師James Rosko說:「微軟推出這個修補程式也許有它自己的理由,但它全面性否定產業標準的做法卻帶來麻煩。」James Rosko和其他程式師星期二晚上一直在修改程式,以便他的網站可以讓用戶正常登錄。

具體問題如下,如果程式師設計的一個網站允許網友在網址中鍵入用戶名和密碼直接登錄,比如像這樣的網址:http://username:password@www.somecompany.com/program.ext,就愴/url]|發生問題。這樣的網址可讓網站直接以驗證程式檢查用戶的身份和密碼,以方便網友造訪公司網站。

由於用戶名和密碼是網址的一部分,而且未經加密,因此,有專家認為這種在網址中直添加用戶名和密碼連上網站的方法並不安全。

但微軟最新的IE修補程式之所以取消這項功能並不是這個原因。微軟之所以做這項改變,是為了防止詐騙集團利用虛構的URL網址,以合法網站做掩護而把使用者連到不肖網站。例如http://www.ebay.com@fraudsite.com表面上好像要連到eBay,但其實是連到fraudsite.com。

這種詐騙網站通常會要求用戶鍵入自己的使用名稱和密碼,然後再利用這些資訊達成其詐騙的目的。美國聯邦存款保險公司近來就警告說,有些人利用這一方法進行詐財活動。

安全及隱私專家Richard Smith表示,大部份人應該都不知道有這種功能,「當然的,除了那些詐騙集團之外。」

程式師Rosko坦承,直接在URL中嵌入只用者名稱和密碼的做法不安全,但他表示,有些應用和安全無關。

一般情況下, 一旦IE進行了升級,要想再恢復是比較困難的。(郭和杰整理)

[url]http://taiwan.cnet.com/news/software/0,2000064574,20087348,00.htm