Diretriz de segurança
É importante manter o usuário informado sobre possíveis problemas de segurança.
Notificar o usuário sobre eventos de Security-Related
Sempre notifique o usuário sobre qualquer alteração na segurança, seja um erro relacionado à segurança, como uma falha de certificado ou uma alteração na segurança do protocolo subjacente, como a alteração de um site HTTPS para um site HTTP.
Notificar o usuário sobre erros de Security-Related
Quando seu aplicativo recebe uma mensagem de erro que pode indicar um problema de segurança, a função InternetErrorDlg fornece uma interface padrão e familiar para notificar o usuário na maioria dos casos.
Entre os erros que se enquadram nessa categoria estão:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Uma falha ao notificar o usuário de erros como esses pode expor o usuário a vários tipos de violações de segurança, incluindo ataques de falsificação ou divulgação involuntária de informações.
Notificar o usuário quando a segurança da conexão for alterada
Sempre notifique o usuário quando a segurança da conexão for alterada, por exemplo, de HTTPS para HTTP. Caso contrário, a menos que o usuário tenha explicitamente escolhido não ser notificado sobre essas alterações, você está ocultando os riscos de divulgação involuntária de informações.
Entre as funções que relatam essa alteração na segurança de conexão estão a função de retorno de chamada InternetStatusCallback e a função InternetConfirmZoneCrossing .
Observação
O WinINet não dá suporte a implementações de servidor. Além disso, ele não deve ser usado de um serviço. Para implementações de servidor ou serviços, use Os Serviços HTTP do Microsoft Windows (WinHTTP).