Linee guida per la sicurezza
È importante mantenere l'utente informato sui possibili problemi di sicurezza.
Notificare all'utente gli eventi di Security-Related
Inviare sempre una notifica all'utente di eventuali modifiche alla sicurezza, se si tratta di un errore correlato alla sicurezza, ad esempio un errore del certificato o di una modifica della sicurezza del protocollo sottostante, ad esempio la modifica da un sito HTTPS a un sito HTTP.
Notificare all'utente errori di Security-Related
Quando l'applicazione riceve un messaggio di errore che potrebbe indicare un problema di sicurezza, la funzione InternetErrorDlg fornisce un'interfaccia standard e familiare per notificare all'utente nella maggior parte dei casi.
Tra gli errori che rientrano in questa categoria sono:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Un errore di notifica all'utente di errori come questi può esporre l'utente a vari tipi di violazioni della sicurezza, tra cui attacchi di spoofing o divulgazione involontaria di informazioni.
Notifica all'utente quando cambia la sicurezza della connessione
Inviare sempre una notifica all'utente quando cambia la sicurezza della connessione, ad esempio da HTTPS a HTTP. In caso contrario, a meno che l'utente non abbia scelto esplicitamente di non ricevere notifiche di tali modifiche, si nasconde il rischio di divulgazione involontaria di informazioni.
Tra le funzioni che segnalano tale modifica nella sicurezza delle connessioni, la funzione di callback InternetStatusCallback e la funzione InternetConfirmZoneCrossing.
Nota
WinINet non supporta le implementazioni del server. Inoltre, non deve essere usato da un servizio. Per le implementazioni del server o i servizi, usare Servizi HTTP Di Microsoft Windows (WinHTTP).