Freigeben über

Sicherheitsrichtlinie

  • Artikel

Es ist wichtig, den Benutzer über mögliche Sicherheitsprobleme auf dem Laufenden zu halten.

Benachrichtigen Sie den Benutzer immer über jede Änderung der Sicherheit, unabhängig davon, ob es sich um einen sicherheitsbezogenen Fehler handelt, z. B. einen Zertifikatfehler oder eine Änderung der Sicherheit des zugrunde liegenden Protokolls, z. B. eine Änderung von einer HTTPS-Website zu einer HTTP-Website.

Wenn Ihre Anwendung eine Fehlermeldung empfängt, die auf ein Sicherheitsproblem hinweisen kann, stellt die InternetErrorDlg-Funktion in den meisten Fällen eine standardmäßige, vertraute Benutzeroberfläche zum Benachrichtigen des Benutzers bereit.

Zu den Fehlern, die in diese Kategorie fallen, gehören:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Wenn der Benutzer nicht über solche Fehler benachrichtigt wird, kann er verschiedenen Arten von Sicherheitsverletzungen ausgesetzt werden, einschließlich Spoofingangriffen oder unfreiwilliger Offenlegung von Informationen.

Benachrichtigen des Benutzers, wenn sich die Verbindungssicherheit ändert

Benachrichtigen Sie den Benutzer immer, wenn sich die Sicherheit der Verbindung ändert, z. B. von HTTPS zu HTTP. Andernfalls verschwiegen Sie die Risiken einer unfreiwilligen Offenlegung von Informationen, sofern der Nutzer nicht ausdrücklich entschieden hat, nicht über solche Änderungen informiert zu werden.

Zu den Funktionen, die eine solche Änderung der Verbindungssicherheit melden, gehören die Rückruffunktion InternetStatusCallback und die InternetConfirmZoneCrossing-Funktion .

Hinweis

WinINet unterstützt keine Serverimplementierungen. Darüber hinaus sollte es nicht von einem Dienst verwendet werden. Verwenden Sie für Serverimplementierungen oder Dienste Microsoft Windows HTTP Services (WinHTTP).