Поделиться через

Руководство по безопасности

  • Статья

Важно информировать пользователя о возможных проблемах безопасности.

Всегда уведомлять пользователя о любых изменениях в системе безопасности, будь то ошибка, связанная с безопасностью, например сбой сертификата, или изменение безопасности базового протокола, например переход с сайта HTTPS на сайт HTTP.

Когда приложение получает сообщение об ошибке, которое может указывать на проблему безопасности, функция InternetErrorDlg предоставляет стандартный, знакомый интерфейс для уведомления пользователя в большинстве случаев.

Среди ошибок, которые попадают в эту категорию:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Неспособность уведомить пользователя об ошибках, подобных этим, может подвергнуть пользователя различным типам нарушений безопасности, включая атаки спуфингов или непроизвольное раскрытие информации.

Уведомлять пользователя об изменениях безопасности подключения

Всегда уведомляйте пользователя при изменении безопасности подключения, например с HTTPS на HTTP. В противном случае, если пользователь явно не принял решение не получать уведомления о таких изменениях, вы скрываете риски, связанные с невольным раскрытием информации.

Среди функций, которые сообщают о таком изменении безопасности подключения, — функция обратного вызова InternetStatusCallback и функция InternetConfirmZoneCrossing .

Примечание

WinINet не поддерживает реализации сервера. Кроме того, его не следует использовать из службы. Для серверных реализаций или служб используйте службы Microsoft Windows HTTP (WinHTTP).