Implicazioni relative alla sicurezza della personalizzazione

Questo argomento illustra una potenziale debolezza della sicurezza in MFC.

Potenziale debolezza della sicurezza

MFC consente all'utente di personalizzare l'aspetto di un'interfaccia utente dell'applicazione, ad esempio l'aspetto di pulsanti e icone. MFC supporta anche gli strumenti definiti dall'utente, che consentono all'utente di eseguire i comandi della shell. Si verifica una vulnerabilità di sicurezza perché le impostazioni personalizzate dell'applicazione vengono salvate nel profilo utente nel Registro di sistema. Chiunque possa accedere al Registro di sistema può modificare tali impostazioni e modificare l'aspetto o il comportamento dell'applicazione. Ad esempio, un amministratore nel computer potrebbe rappresentare un utente causando l'esecuzione di programmi arbitrari dell'utente (anche da una condivisione di rete).

Soluzioni alternative

È consigliabile chiudere le vulnerabilità nel Registro di sistema in uno dei tre modi seguenti:

  • Crittografare i dati archiviati in tale posizione

  • Archiviare i dati in un file sicuro anziché nel Registro di sistema.

    Per eseguire uno di questi primi due modi, derivare una classe dalla classe C Impostazioni Store ed eseguire l'override dei relativi metodi per implementare la crittografia o l'archiviazione all'esterno del Registro di sistema.

  • È anche possibile disabilitare le personalizzazioni nell'applicazione.

Vedi anche

Personalizzazione per MFC