Поделиться через

Руководство по безопасности

  • Статья

Важно держать пользователя в курсе возможных проблем безопасности.

Всегда уведомлять пользователя о любых изменениях безопасности, будь то ошибка, связанная с безопасностью, например сбой сертификата, или изменение безопасности базового протокола, например изменение с сайта HTTPS на HTTP-сайт.

Когда приложение получает сообщение об ошибке, которое может указывать на проблему безопасности, функция InternetErrorDlg предоставляет стандартный знакомый интерфейс для уведомления пользователя в большинстве случаев.

Среди ошибок, которые относятся к этой категории, относятся:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Неспособность уведомлять пользователя об ошибках, таких как эти ошибки, могут предоставлять пользователю различные виды нарушений безопасности, включая атаки спуфингов или непреднамеренное раскрытие информации.

Уведомление пользователя об изменениях безопасности подключения

Всегда уведомляйте пользователя о том, когда безопасность подключения изменяется, например с HTTPS на HTTP. В противном случае, если пользователь явно не выбрал не получать уведомления о таких изменениях, вы скрываете риски непреднамеренной раскрытия информации.

Среди функций, которые сообщают об изменении безопасности подключения , являются функция обратного вызова internetStatusCallback и функция InternetConfirmZoneCrossing.

Заметка

WinINet не поддерживает реализации сервера. Кроме того, его не следует использовать из службы. Для реализации или служб сервера microsoft Windows HTTP Services (WinHTTP).