Recommandations en matière de sécurité
Il est important de tenir l’utilisateur informé des éventuels problèmes de sécurité.
Avertir l’utilisateur des événements Security-Related
Informez toujours l’utilisateur d’une modification de la sécurité, qu’il s’agisse d’une erreur liée à la sécurité telle qu’une défaillance de certificat ou d’une modification de la sécurité du protocole sous-jacent, telle que la modification d’un site HTTPS vers un site HTTP.
Avertir l’utilisateur des erreurs de Security-Related
Lorsque votre application reçoit un message d’erreur qui peut indiquer un problème de sécurité, la fonction InternetErrorDlg fournit une interface standard et familière pour avertir l’utilisateur dans la plupart des cas.
Parmi les erreurs qui se trouvent dans cette catégorie sont les suivantes :
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Un échec de notification de l’utilisateur des erreurs telles que celles-ci peut exposer l’utilisateur à différentes sortes de violations de sécurité, y compris l’usurpation d’attaques ou la divulgation involontaire d’informations.
Avertir l’utilisateur lorsque la sécurité de la connexion change
Informez toujours l’utilisateur lorsque la sécurité de la connexion change, par exemple de HTTPS à HTTP. Sinon, sauf si l’utilisateur a explicitement choisi de ne pas être informé de ces modifications, vous masquez les risques de divulgation d’informations involontaires.
Parmi les fonctions qui signalent un tel changement de sécurité de connexion, citons la fonction de rappel InternetStatusCallback et la fonction InternetConfirmZoneCrossing.
Note
WinINet ne prend pas en charge les implémentations de serveur. En outre, il ne doit pas être utilisé à partir d’un service. Pour les implémentations de serveur ou les services, utilisez Microsoft Windows HTTP Services (WinHTTP).