Partager via

Recommandations de sécurité

  • Article

Il est important de tenir l’utilisateur informé des éventuels problèmes de sécurité.

Informez toujours l’utilisateur de toute modification de la sécurité, qu’il s’agisse d’une erreur liée à la sécurité, telle qu’une défaillance de certificat, ou d’une modification de la sécurité du protocole sous-jacent, telle que le passage d’un site HTTPS à un site HTTP.

Lorsque votre application reçoit un message d’erreur qui peut indiquer un problème de sécurité, la fonction InternetErrorDlg fournit une interface standard et familière pour avertir l’utilisateur dans la plupart des cas.

Parmi les erreurs qui appartiennent à cette catégorie sont les suivantes :

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Le fait de ne pas informer l’utilisateur d’erreurs de ce type peut exposer l’utilisateur à différents types de violations de sécurité, y compris des attaques par usurpation d’identité ou la divulgation involontaire d’informations.

Avertir l’utilisateur en cas de modification de la sécurité de la connexion

Informez toujours l’utilisateur lorsque la sécurité de la connexion change, par exemple de HTTPS à HTTP. Dans le cas contraire, sauf si l’utilisateur a explicitement choisi de ne pas être informé de ces modifications, vous dissimulez les risques de divulgation involontaire d’informations.

Parmi les fonctions qui signalent un tel changement dans la sécurité de connexion figurent la fonction de rappel InternetStatusCallback et la fonction InternetConfirmZoneCrossing .

Notes

WinINet ne prend pas en charge les implémentations de serveur. En outre, il ne doit pas être utilisé à partir d’un service. Pour les implémentations de serveur ou les services, utilisez Microsoft Windows HTTP Services (WinHTTP).