John McCormick•陳奭璁
13/2/2004
原文網址 : http://taiwan.cnet.com/enterprise/technology/0,2000062852,20087514,00.htm


由於市面抨擊微軟IE瀏覽器漏洞的聲浪太大，微軟最近推出一個重大修正檔案，影響了瀏覽器解讀URL的方式。本文將探討這些改變是否會影響企業的開發環境。

URL連結中禁用@符號

IE瀏覽器在處理http與http連結時的預設行為導致許多所謂URL spoofing(網址連結詐欺)的嚴重漏洞事件，這可讓不肖網站以另一個URL面貌出現，誘使用戶下載惡意軟體(malware)或洩漏個人資訊，比如密碼。

微軟的修正方式取消了URL中的@符號，比如http(s)://username:password@server/resource.ext。

當你安裝了更新檔案後，若URL中還有包含了使用者資訊，網頁就會跳出「Invalid syntax error」(語法錯誤)的警告。

變通之道

微軟另外提公開發人員針對此一修正檔案的變通之道。若URL是由WinInet或Urlmon物件所開啟者，可使用InternetSetOption函數，並加入以下的選擇參數：

INTERNET_OPTION_USERNAME

INTERNET_OPTION_PASSWORD

此時不要使用InternetOpenURL函數，應改用IAuthenticate Interface。

若是以腳本(script)開啟的URL，請開始使用cookies。(MSDN提供許多細節，教你如何在ASP.NET程式中使用HTTP cookies搭配Visual Basic。)

安裝IE升級程式後，改變註冊碼機數值就能將新的行為用在其他程式上，或是取消IE中的該功能。(注意：編輯註冊碼機風險大，請先確保有做備份。)

若開發人員手邊的網站有在URL中加入@符號就需要做些改變，微軟的Knowledge Base文章834489目前有些初步資料，微軟表示以後還會多添增一些上去，不過，以目前來說，Knowledge Base文章已經夠你開始著手進行，變更既有的應用或網站，避免使用即將失效的URL字串。

雖然這些改變跟最近接連發生的MyDoom蠕蟲無關，但這卻對IE瀏覽器產生很大的改變，同時也讓安全性大為提升。雖然這樣的改變誠屬不幸，但為了打擊網路威脅也是可以理解，開發人員不得不改變既有的程式才能符合新的語法規範。


如此一來，那些在網址上動手腳，例如在@之前故意寫著知名網站網址的trick就行不通了。
~yes