Condividi tramite


Linee guida per la sicurezza

È importante mantenere l'utente informato sui possibili problemi di sicurezza.

Inviare sempre una notifica all'utente di eventuali modifiche alla sicurezza, se si tratta di un errore correlato alla sicurezza, ad esempio un errore del certificato o di una modifica della sicurezza del protocollo sottostante, ad esempio la modifica da un sito HTTPS a un sito HTTP.

Quando l'applicazione riceve un messaggio di errore che potrebbe indicare un problema di sicurezza, la funzione InternetErrorDlg fornisce un'interfaccia standard e familiare per notificare all'utente nella maggior parte dei casi.

Tra gli errori che rientrano in questa categoria sono:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Un errore di notifica all'utente di errori come questi può esporre l'utente a vari tipi di violazioni della sicurezza, tra cui attacchi di spoofing o divulgazione involontaria di informazioni.

Notifica all'utente quando cambia la sicurezza della connessione

Inviare sempre una notifica all'utente quando cambia la sicurezza della connessione, ad esempio da HTTPS a HTTP. In caso contrario, a meno che l'utente non abbia scelto esplicitamente di non ricevere notifiche di tali modifiche, si nasconde il rischio di divulgazione involontaria di informazioni.

Tra le funzioni che segnalano tale modifica nella sicurezza delle connessioni, la funzione di callback InternetStatusCallback e la funzione InternetConfirmZoneCrossing.

Nota

WinINet non supporta le implementazioni del server. Inoltre, non deve essere usato da un servizio. Per le implementazioni del server o i servizi, usare Servizi HTTP Di Microsoft Windows (WinHTTP).