Implications sur la sécurité de la personnalisation
Cette rubrique aborde une faille potentielle de sécurité dans MFC.
Faille potentielle de sécurité
MFC permet l'utilisateur personnalisent l'apparence d'une interface utilisateur de l'application, par exemple, l'apparence des boutons et des icônes.MFC prend également en charge les outils définis par l'utilisateur, qui permettent à l'utilisateur d'exécuter des commandes d'environnement.Une faille de sécurité survient parce que les paramètres personnalisés de l'application sont stockés dans le profil utilisateur dans le Registre.Toute personne pouvant accéder au Registre peut modifier ces paramètres et modifie l'apparence ou le comportement de l'application.Par exemple, un administrateur sur l'ordinateur peut emprunter l'identité d'un utilisateur ayant provoqué l'application de l'utilisateur pour exécuter les programmes arbitraires (même d'un partage réseau).
Solutions
Nous vous recommandons l'une de ces trois façons de fermer les vulnérabilités dans le Registre :
Chiffrez les données stockées là
Stocker des données dans le fichier sécurisé et non pas dans le Registre.
Pour obtenir l'un ou l'autre de ces deux premières façons, dérivez une classe de CSettingsStore, classe et substituez ses méthodes pour implémenter le chiffrement ou le stockage en dehors de le Registre.
Vous pouvez également désactiver des personnalisations dans votre application.