セキュリティガイドライン

セキュリティの問題の可能性についてユーザーに通知しておくことが重要です。

セキュリティの変更は、証明書の障害などのセキュリティ関連のエラー、または基になるプロトコルのセキュリティの変更 (HTTPS サイトから HTTP サイトへの変更など) のいずれであるかに関係なく、常にユーザーに通知します。

アプリケーションがセキュリティの問題を示す可能性のあるエラーメッセージを受け取ると、 InternetErrorDlg 関数は、ほとんどの場合、ユーザーに通知するための標準的で使い慣れたインターフェイスを提供します。

このカテゴリに含まれるエラーの中には、次のエラーがあります。

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

このようなエラーをユーザーに通知しないと、スプーフィング攻撃や不本意な情報漏えいなど、さまざまな種類のセキュリティ侵害がユーザーに公開される可能性があります。

接続セキュリティが変更されたときにユーザーに通知する

接続のセキュリティが変更された場合 (HTTPS から HTTP など) は、常にユーザーに通知します。それ以外の場合、ユーザーがそのような変更を通知しないことを明示的に選択しない限り、あなたは不本意な情報開示のリスクを隠しています。

このような接続セキュリティの変更を報告する関数の中には、 InternetStatusCallback コールバック関数と InternetConfirmZoneCrossing 関数があります。

Note

WinINet では、サーバーの実装はサポートされていません。また、サービスから使用しないでください。サーバーの実装またはサービスの場合は、 Microsoft Windows HTTP サービス (WinHTTP) を使用します。