Sicherheitsauswirkungen der Anpassung
In diesem Thema werden ein potenzielles Sicherheitsrisiko in MFC.
Mögliche Sicherheits-Schwäche
MFC können den Benutzer Anpassen des Aussehens einer Anwendungsbenutzeroberfläche, beispielsweise, die Darstellung der Schaltflächen und von Symbolen. MFC unterstützt auch benutzerdefinierte Tools, die den Benutzer Shellbefehle auszuführen. Eine Sicherheitslücke entsteht, weil die benutzerdefinierten Einstellungen der Anwendung im Benutzerprofil in der Registrierung gespeichert werden. Jeder, der auf die Registrierung zugreifen kann, kann diese Einstellungen ändern und ändert die Anwendungsdarstellung oder verhalten. Beispielsweise kann ein Administrator auf dem Computer einen Benutzer imitieren, indem die Anwendung des Benutzers ausgelöst hat, beliebige Programme auszuführen (sogar einer Netzwerkfreigabe).
Problemumgehung
Sie sollten alle drei Methoden, die ein in der Registrierung zu schließen:
Verschlüsseln Sie die Daten, die dort gespeichert wird
Speichern Sie die Daten in einer sicheren Datei nicht in der Registrierung.
Um eine dieser ersten zwei Methoden zu erreichen, leiten Sie eine Klasse von CSettingsStore-Klasse und überschreiben Sie die Methoden für die Verschlüsselung oder Speicher außerhalb der Registrierung zu implementieren.
Sie können Anpassungen in der Anwendung auch deaktivieren.