Recommandations de sécurité
Il est important de tenir l’utilisateur informé des éventuels problèmes de sécurité.
Informer l’utilisateur des événements Security-Related
Informez toujours l’utilisateur de toute modification de la sécurité, qu’il s’agisse d’une erreur liée à la sécurité, telle qu’une défaillance de certificat, ou d’une modification de la sécurité du protocole sous-jacent, telle que le passage d’un site HTTPS à un site HTTP.
Avertir l’utilisateur des erreurs de Security-Related
Lorsque votre application reçoit un message d’erreur qui peut indiquer un problème de sécurité, la fonction InternetErrorDlg fournit une interface standard et familière pour avertir l’utilisateur dans la plupart des cas.
Parmi les erreurs qui appartiennent à cette catégorie sont les suivantes :
ERROR_INTERNET_HTTP_TO_HTTPS_ON_REDIR
ERROR_INTERNET_INVALID_CA
ERROR_INTERNET_POST_IS_NON_SECURE
ERROR_INTERNET_SEC_CERT_ERRORS
ERROR_INTERNET_SEC_CERT_CN_INVALID
ERROR_INTERNET_SEC_CERT_DATE_INVALID
Le fait de ne pas informer l’utilisateur d’erreurs de ce type peut exposer l’utilisateur à différents types de violations de sécurité, y compris des attaques par usurpation d’identité ou la divulgation involontaire d’informations.
Avertir l’utilisateur en cas de modification de la sécurité de la connexion
Informez toujours l’utilisateur lorsque la sécurité de la connexion change, par exemple de HTTPS à HTTP. Dans le cas contraire, sauf si l’utilisateur a explicitement choisi de ne pas être informé de ces modifications, vous dissimulez les risques de divulgation involontaire d’informations.
Parmi les fonctions qui signalent un tel changement dans la sécurité de connexion figurent la fonction de rappel InternetStatusCallback et la fonction InternetConfirmZoneCrossing .
Notes
WinINet ne prend pas en charge les implémentations de serveur. En outre, il ne doit pas être utilisé à partir d’un service. Pour les implémentations de serveur ou les services, utilisez Microsoft Windows HTTP Services (WinHTTP).