自訂的安全性含意
本主題討論在 MFC 中的潛在安全性漏洞。
潛在的安全性弱點
MFC 可讓使用者自訂的應用程式使用者介面,比方說,外觀的按鈕和圖示的外觀。MFC 也支援使用者定義的工具,讓使用者執行 shell 命令。因為應用程式的自訂的設定會儲存在登錄中的使用者設定檔,便會產生安全性弱點。可以存取登錄的任何人都可以編輯這些設定,並變更應用程式的外觀或行為。比方說,在電腦上的系統管理員無法模擬使用者,讓使用者的應用程式執行任意的程式 (甚至是來自網路共用)。
替代解決辦法
我們建議下列三種方式來關閉在登錄中的弱點:
將儲存於該處的資料加密
將資料儲存在安全檔案而不在登錄中。
若要完成以下的前兩個方式,衍生類別從CSettingsStore 類別而覆寫它的方法來實作加密或登錄之外的存放區。
您也可以使用應用程式中停用自訂項目。