Diretriz de Segurança
É importante manter o usuário informado sobre possíveis problemas de segurança.
Notificar o Utilizador de Security-Related Eventos
Sempre notifique o usuário sobre qualquer alteração na segurança, seja um erro relacionado à segurança, como uma falha de certificado, ou uma alteração na segurança do protocolo subjacente, como a alteração de um site HTTPS para um site HTTP.
Notificar o Utilizador de Security-Related Erros
Quando seu aplicativo recebe uma mensagem de erro que pode indicar um problema de segurança, a função InternetErrorDlg fornece uma interface padrão e familiar para notificar o usuário na maioria dos casos.
Entre os erros que se enquadram nesta categoria estão:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Uma falha em notificar o usuário de erros como esses pode expor o usuário a vários tipos de violações de segurança, incluindo ataques de falsificação ou divulgação involuntária de informações.
Notificar o usuário quando a segurança da conexão for alterada
Sempre notifique o usuário quando a segurança da conexão mudar, por exemplo, de HTTPS para HTTP. Caso contrário, a menos que o usuário tenha optado explicitamente por não ser notificado de tais alterações, você está ocultando os riscos de divulgação involuntária de informações.
Entre as funções que relatam essa mudança na segurança da conexão estão a função InternetStatusCallback callback e a função InternetConfirmZoneCrossing.
Observação
WinINet não suporta implementações de servidor. Além disso, não deve ser usado a partir de um serviço. Para implementações ou serviços de servidor, use Microsoft Windows HTTP Services (WinHTTP).