Condividi tramite

Linee guida per la sicurezza

  • Articolo

È importante mantenere l'utente informato sui possibili problemi di sicurezza.

Avvisa sempre l'utente di qualsiasi modifica della sicurezza, indipendentemente dal fatto che si tratti di un errore relativo alla sicurezza, ad esempio un errore del certificato o una modifica nella sicurezza del protocollo sottostante, ad esempio la modifica da un sito HTTPS a un sito HTTP.

Quando l'applicazione riceve un messaggio di errore che può indicare un problema di sicurezza, la funzione InternetErrorDlg fornisce un'interfaccia standard e familiare per notificare l'utente nella maggior parte dei casi.

Tra gli errori che rientrano in questa categoria sono:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Un errore di notifica all'utente di errori come questi può esporre l'utente a vari tipi di violazioni della sicurezza, tra cui attacchi spoofing o divulgazione di informazioni involontarie.

Notifica all'utente quando la sicurezza della connessione cambia

Avvisa sempre l'utente quando la sicurezza della connessione cambia, ad esempio da HTTPS a HTTP. In caso contrario, a meno che l'utente non abbia scelto esplicitamente di ricevere una notifica di tali modifiche, si nasconde i rischi di divulgazione di informazioni involontarie.

Tra le funzioni che segnalano tale modifica nella sicurezza della connessione, la funzione di callback InternetStatusCallback e la funzione InternetConfirmZoneCrossing .

Nota

WinINet non supporta le implementazioni del server. Inoltre, non deve essere usato da un servizio. Per le implementazioni o i servizi server usano Microsoft Windows HTTP Services (WinHTTP).