Linee guida per la sicurezza
È importante mantenere l'utente informato sui possibili problemi di sicurezza.
Notifica all'utente di eventi Security-Related
Avvisa sempre l'utente di qualsiasi modifica della sicurezza, indipendentemente dal fatto che si tratti di un errore relativo alla sicurezza, ad esempio un errore del certificato o una modifica nella sicurezza del protocollo sottostante, ad esempio la modifica da un sito HTTPS a un sito HTTP.
Notifica all'utente di errori di Security-Related
Quando l'applicazione riceve un messaggio di errore che può indicare un problema di sicurezza, la funzione InternetErrorDlg fornisce un'interfaccia standard e familiare per notificare l'utente nella maggior parte dei casi.
Tra gli errori che rientrano in questa categoria sono:
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Un errore di notifica all'utente di errori come questi può esporre l'utente a vari tipi di violazioni della sicurezza, tra cui attacchi spoofing o divulgazione di informazioni involontarie.
Notifica all'utente quando la sicurezza della connessione cambia
Avvisa sempre l'utente quando la sicurezza della connessione cambia, ad esempio da HTTPS a HTTP. In caso contrario, a meno che l'utente non abbia scelto esplicitamente di ricevere una notifica di tali modifiche, si nasconde i rischi di divulgazione di informazioni involontarie.
Tra le funzioni che segnalano tale modifica nella sicurezza della connessione, la funzione di callback InternetStatusCallback e la funzione InternetConfirmZoneCrossing .
Nota
WinINet non supporta le implementazioni del server. Inoltre, non deve essere usato da un servizio. Per le implementazioni o i servizi server usano Microsoft Windows HTTP Services (WinHTTP).