Säkerhetsguide
Det är viktigt att hålla användaren informerad om möjliga säkerhetsproblem.
Meddela användaren om Security-Related händelser
Meddela alltid användaren om eventuella säkerhetsändringar, oavsett om det är ett säkerhetsrelaterat fel, till exempel ett certifikatfel eller en ändring av säkerheten för det underliggande protokollet, till exempel ändring från en HTTPS-plats till en HTTP-plats.
Meddela användaren om Security-Related fel
När ditt program får ett felmeddelande som kan tyda på ett säkerhetsproblem tillhandahåller funktionen InternetErrorDlg ett standardgränssnitt för att meddela användaren i de flesta fall.
Bland de fel som faller i den här kategorin finns:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Om användaren inte meddelas om sådana fel kan användaren utsättas för olika typer av säkerhetsöverträdelser, inklusive förfalskningsattacker eller ofrivilligt avslöjande av information.
Meddela användaren när anslutningssäkerhet ändras
Meddela alltid användaren när säkerheten för anslutningen ändras, till exempel från HTTPS till HTTP. Om inte användaren uttryckligen har valt att inte meddelas om sådana ändringar döljer du risken för ofrivillig informationsgivning.
Bland de funktioner som rapporterar en sådan ändring i anslutningssäkerheten finns funktionen InternetStatusCallback callback och funktionen InternetConfirmZoneCrossing.
Not
WinINet stöder inte serverimplementeringar. Dessutom bör den inte användas från en tjänst. För serverimplementeringar eller tjänster använder du Microsoft Windows HTTP Services (WinHTTP).