Implications en matière de sécurité de la personnalisation
Cette rubrique traite d’une faiblesse de sécurité potentielle dans MFC.
Faiblesse de sécurité potentielle
MFC permet à l’utilisateur de personnaliser l’apparence d’une interface utilisateur d’application, par exemple l’apparence des boutons et des icônes. MFC prend également en charge les outils définis par l’utilisateur, qui permettent à l’utilisateur d’exécuter des commandes shell. Une vulnérabilité de sécurité se produit, car les paramètres personnalisés de l’application sont enregistrés dans le profil utilisateur dans le Registre. Toute personne qui peut accéder au Registre peut modifier ces paramètres et modifier l’apparence ou le comportement de l’application. Par exemple, un administrateur sur l’ordinateur peut emprunter l’identité d’un utilisateur en empêchant l’application de l’utilisateur d’exécuter des programmes arbitraires (même à partir d’un partage réseau).
Solutions de contournement
Nous vous recommandons l’une de ces trois façons de fermer les vulnérabilités dans le Registre :
Chiffrer les données stockées là-bas
Stockez les données dans un fichier sécurisé au lieu du Registre.
Pour effectuer l’une de ces deux premières méthodes, dérivez une classe de la classe C Paramètres Store et remplacez ses méthodes pour implémenter le chiffrement ou le stockage en dehors du Registre.
Vous pouvez également désactiver les personnalisations dans votre application.