セキュリティ ガイドライン
セキュリティの問題の可能性についてユーザーに通知しておくことが重要です。
Security-Related イベントをユーザーに通知する
セキュリティの変更、証明書エラーなどのセキュリティ関連のエラー、または基になるプロトコルのセキュリティの変更 (HTTPS サイトから HTTP サイトへの変更など) は、常にユーザーに通知します。
Security-Related エラーをユーザーに通知する
アプリケーションがセキュリティの問題を示すエラー メッセージを受け取ると、InternetErrorDlg 関数は、ほとんどの場合、ユーザーに通知するための標準的で使い慣れたインターフェイスを提供します。
このカテゴリに含まれるエラーの中には、次のものが含まれます。
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
このようなエラーをユーザーに通知しないと、スプーフィング攻撃や不本意な情報漏えいなど、さまざまな種類のセキュリティ侵害がユーザーに公開される可能性があります。
接続セキュリティが変更されたときにユーザーに通知する
HTTPS から HTTP など、接続のセキュリティが変更されたときに、常にユーザーに通知します。 それ以外の場合、ユーザーがそのような変更を通知しないことを明示的に選択しない限り、あなたは不本意な情報漏えいのリスクを隠しています。
このような接続セキュリティの変更を報告する関数の中には、InternetStatusCallback コールバック関数と、InternetConfirmZoneCrossing 関数があります。
手記
WinINet では、サーバーの実装はサポートされていません。 また、サービスから使用しないでください。 サーバーの実装またはサービスの場合は、Microsoft Windows HTTP Services (WinHTTP)を使用します。