自定义的安全问题
本主题讨论在 MFC 一个潜在的安全漏洞。
潜在的安全漏洞
MFC 允许用户自定义应用程序的用户界面,例如,按钮和图标外观的外观。MFC 还支持用户定义的工具,允许用户执行 shell 命令。,因为应用程序中的自定义的设置在注册表,用户配置文件中保存安全漏洞显示。可以访问注册表的用户可以编辑这些设置将应用程序的外观或行为。例如,在计算机上的管理员可以通过导致用户的应用程序模拟用户执行任意程序 (即使是从网络共享)。
问题解决
建议使用下列三种方法中的任何一个结束在注册表的漏洞:
加密存储在该处的数据
将数据存储在安全的文件而不是注册表。
若要完成这些前两种方法之一,从 CSettingsStore 类 派生类并重写其方法实现加密或存储在注册表中。
还可以禁用应用程序的自定义。