Beveiligingsrichtlijn
Het is belangrijk om de gebruiker op de hoogte te houden van mogelijke beveiligingsproblemen.
De gebruiker op de hoogte stellen van Security-Related gebeurtenissen
Informeer de gebruiker altijd over een wijziging in de beveiliging, ongeacht of het een beveiligingsfout is, zoals een certificaatfout of een wijziging in de beveiliging van het onderliggende protocol, zoals een wijziging van een HTTPS-site naar een HTTP-site.
De gebruiker op de hoogte stellen van Security-Related-fouten
Wanneer uw toepassing een foutbericht ontvangt dat kan duiden op een beveiligingsprobleem, biedt de functie InternetErrorDlg een standaard, vertrouwde interface voor het melden van de gebruiker in de meeste gevallen.
Onder de fouten die in deze categorie vallen, zijn:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Een fout bij het melden van fouten zoals deze kan de gebruiker blootstellen aan verschillende soorten beveiligingsschendingen, waaronder spoofingaanvallen of onvrijwillige openbaarmaking van informatie.
De gebruiker waarschuwen wanneer de verbindingsbeveiliging verandert
Informeer de gebruiker altijd wanneer de beveiliging van de verbinding verandert, bijvoorbeeld van HTTPS naar HTTP. Anders verbergt u, tenzij de gebruiker er expliciet voor heeft gekozen om niet op de hoogte te worden gesteld van dergelijke wijzigingen, de risico's van onvrijwillige openbaarmaking van informatie verborgen.
Een van de functies die een dergelijke wijziging in de verbindingsbeveiliging rapporteren, zijn de functie InternetStatusCallback callback en de functie InternetConfirmZoneCrossing.
Notitie
WinINet biedt geen ondersteuning voor serverimplementaties. Daarnaast mag deze niet worden gebruikt vanuit een service. Voor server-implementaties of -services wordt Microsoft Windows HTTP Services (WinHTTP)gebruikt.