カスタマイズによるセキュリティへの影響
このトピックでは、MFC の潜在的なセキュリティの脆弱性について説明します。
潜在的なセキュリティの脆弱性
MFC を使用すると、ユーザーは、ボタンやアイコンの外観など、アプリケーション ユーザー インターフェイスの外観をカスタマイズすることができます。 MFC は、ユーザーがシェル コマンドを実行可能なユーザー定義ツールもサポートしています。 アプリケーションのカスタマイズされた設定がレジストリのユーザー プロファイルに保存されるため、セキュリティの脆弱性が発生します。 レジストリにアクセス可能なすべてのユーザーが、これらの設定を編集し、アプリケーションの外観または動作を変更できます。 たとえば、コンピューター上の管理者は、ユーザーのアプリケーションに (ネットワーク共有からでも) 任意のプログラムを実行させることによって、ユーザーになりすますことができます。
問題回避
レジストリの脆弱性を解消するために、次の 3 つの方法が推奨されています。
そこに格納されるデータを暗号化する
レジストリではなく、セキュリティで保護されたファイルにデータを格納します。
これらの最初の 2 つの方法のどちらかを実行するには、CSettingsStore クラスからクラスを派生させ、そのメソッドをオーバーライドして、レジストリの外部で暗号化またはストレージを実装します。
また、アプリケーションでカスタマイズを無効にすることもできます。