Compartilhar via

Diretriz de segurança

  • Artigo

É importante manter o usuário informado sobre possíveis problemas de segurança.

Sempre notifique o usuário sobre qualquer alteração na segurança, seja um erro relacionado à segurança, como uma falha de certificado ou uma alteração na segurança do protocolo subjacente, como a alteração de um site HTTPS para um site HTTP.

Quando seu aplicativo recebe uma mensagem de erro que pode indicar um problema de segurança, a função InternetErrorDlg fornece uma interface padrão e familiar para notificar o usuário na maioria dos casos.

Entre os erros que se enquadram nessa categoria estão:

ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR

ERROR_INTERNET_INVALID_CA

ERROR_INTERNET_POST_IS_NON_SECURE

ERROR_INTERNET_SEC_CERT_ERRORS

ERROR_INTERNET_SEC_CERT_CN_INVALID

ERROR_INTERNET_SEC_CERT_DATE_INVALID

Uma falha ao notificar o usuário de erros como esses pode expor o usuário a vários tipos de violações de segurança, incluindo ataques de falsificação ou divulgação involuntária de informações.

Notificar o usuário quando a segurança da conexão for alterada

Sempre notifique o usuário quando a segurança da conexão for alterada, por exemplo, de HTTPS para HTTP. Caso contrário, a menos que o usuário tenha explicitamente escolhido não ser notificado sobre essas alterações, você está ocultando os riscos de divulgação involuntária de informações.

Entre as funções que relatam essa alteração na segurança de conexão estão a função de retorno de chamada InternetStatusCallback e a função InternetConfirmZoneCrossing .

Observação

O WinINet não dá suporte a implementações de servidor. Além disso, ele não deve ser usado de um serviço. Para implementações de servidor ou serviços, use Os Serviços HTTP do Microsoft Windows (WinHTTP).