#1
|
||||
|
||||
[新聞]IE瀏覽器URL修正的影響
John McCormick•陳奭璁
13/2/2004 原文網址 : http://taiwan.cnet.com/enterprise/te...0087514,00.htm 由於市面抨擊微軟IE瀏覽器漏洞的聲浪太大,微軟最近推出一個重大修正檔案,影響了瀏覽器解讀URL的方式。本文將探討這些改變是否會影響企業的開發環境。 URL連結中禁用@符號 IE瀏覽器在處理http與http連結時的預設行為導致許多所謂URL spoofing(網址連結詐欺)的嚴重漏洞事件,這可讓不肖網站以另一個URL面貌出現,誘使用戶下載惡意軟體(malware)或洩漏個人資訊,比如密碼。 微軟的修正方式取消了URL中的@符號,比如http(s)://usernameassword@server/resource.ext。 當你安裝了更新檔案後,若URL中還有包含了使用者資訊,網頁就會跳出「Invalid syntax error」(語法錯誤)的警告。 變通之道 微軟另外提公開發人員針對此一修正檔案的變通之道。若URL是由WinInet或Urlmon物件所開啟者,可使用InternetSetOption函數,並加入以下的選擇參數: INTERNET_OPTION_USERNAME INTERNET_OPTION_PASSWORD 此時不要使用InternetOpenURL函數,應改用IAuthenticate Interface。 若是以腳本(script)開啟的URL,請開始使用cookies。(MSDN提供許多細節,教你如何在ASP.NET程式中使用HTTP cookies搭配Visual Basic。) 安裝IE升級程式後,改變註冊碼機數值就能將新的行為用在其他程式上,或是取消IE中的該功能。(注意:編輯註冊碼機風險大,請先確保有做備份。) 若開發人員手邊的網站有在URL中加入@符號就需要做些改變,微軟的Knowledge Base文章834489目前有些初步資料,微軟表示以後還會多添增一些上去,不過,以目前來說,Knowledge Base文章已經夠你開始著手進行,變更既有的應用或網站,避免使用即將失效的URL字串。 雖然這些改變跟最近接連發生的MyDoom蠕蟲無關,但這卻對IE瀏覽器產生很大的改變,同時也讓安全性大為提升。雖然這樣的改變誠屬不幸,但為了打擊網路威脅也是可以理解,開發人員不得不改變既有的程式才能符合新的語法規範。 如此一來,那些在網址上動手腳,例如在@之前故意寫著知名網站網址的trick就行不通了。 |