網域名稱俱樂部


返回   網域名稱俱樂部 > 電腦與網路技術 > 數位化世界新聞與觀察評論
論壇幫助 社區 日曆事件 今日新文章 搜尋

回覆
 
主題工具
  #1  
舊 2004-02-13, 12:35 PM
哈啦 的頭像
哈啦 哈啦 目前離線
論壇管理員
 
註冊日期: 2002-05-28
文章: 23,059
預設 [新聞]IE瀏覽器URL修正的影響

John McCormick•陳奭璁
13/2/2004
原文網址 : http://taiwan.cnet.com/enterprise/te...0087514,00.htm


由於市面抨擊微軟IE瀏覽器漏洞的聲浪太大,微軟最近推出一個重大修正檔案,影響了瀏覽器解讀URL的方式。本文將探討這些改變是否會影響企業的開發環境。

URL連結中禁用@符號

IE瀏覽器在處理http與http連結時的預設行為導致許多所謂URL spoofing(網址連結詐欺)的嚴重漏洞事件,這可讓不肖網站以另一個URL面貌出現,誘使用戶下載惡意軟體(malware)或洩漏個人資訊,比如密碼。

微軟的修正方式取消了URL中的@符號,比如http(s)://usernameassword@server/resource.ext。

當你安裝了更新檔案後,若URL中還有包含了使用者資訊,網頁就會跳出「Invalid syntax error」(語法錯誤)的警告。

變通之道

微軟另外提公開發人員針對此一修正檔案的變通之道。若URL是由WinInet或Urlmon物件所開啟者,可使用InternetSetOption函數,並加入以下的選擇參數:

INTERNET_OPTION_USERNAME

INTERNET_OPTION_PASSWORD

此時不要使用InternetOpenURL函數,應改用IAuthenticate Interface。

若是以腳本(script)開啟的URL,請開始使用cookies。(MSDN提供許多細節,教你如何在ASP.NET程式中使用HTTP cookies搭配Visual Basic。)

安裝IE升級程式後,改變註冊碼機數值就能將新的行為用在其他程式上,或是取消IE中的該功能。(注意:編輯註冊碼機風險大,請先確保有做備份。)

若開發人員手邊的網站有在URL中加入@符號就需要做些改變,微軟的Knowledge Base文章834489目前有些初步資料,微軟表示以後還會多添增一些上去,不過,以目前來說,Knowledge Base文章已經夠你開始著手進行,變更既有的應用或網站,避免使用即將失效的URL字串。

雖然這些改變跟最近接連發生的MyDoom蠕蟲無關,但這卻對IE瀏覽器產生很大的改變,同時也讓安全性大為提升。雖然這樣的改變誠屬不幸,但為了打擊網路威脅也是可以理解,開發人員不得不改變既有的程式才能符合新的語法規範。


如此一來,那些在網址上動手腳,例如在@之前故意寫著知名網站網址的trick就行不通了。
回覆時引用此篇文章
回覆


發文規則
不可以發表新主題
不可以發表回覆
不可以上傳附件
不可以編輯自己的文章

啟用 BB 代碼
論壇啟用 表情符號
論壇啟用 [IMG] 代碼
論壇禁用 HTML 代碼



所有時間均為 +8。現在的時間是 01:32 AM


本站主機由網易虛擬主機代管
Powered by vBulletin® 版本 3.8.4
版權所有 ©2000 - 2024,Jelsoft Enterprises Ltd.