Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describe una debilidad potencial de seguridad en MFC.
Punto débil potencial de seguridad
MFC permite al usuario personalizar la apariencia de una interfaz de usuario de la aplicación, por ejemplo, la apariencia de botones y de iconos.MFC también admite las herramientas definido por el usuario, que permite al usuario ejecutar comandos de shell.Una vulnerabilidad de seguridad se produce porque la configuración personalizada de la aplicación se guardan en el perfil de usuario en el registro.Cualquiera que pueda tener acceso al registro puede editar estos valores y cambia la apariencia o el comportamiento de la aplicación.Por ejemplo, un administrador del equipo podría suplantar a un usuario que produce la aplicación de usuario para ejecutar programas arbitrarios (incluso desde un recurso compartido de red).
Soluciones
Se recomienda cualquiera de estas tres maneras de cerrar las vulnerabilidades en el registro:
Cifre los datos que se almacenan allí
Almacena los datos en un archivo seguro en lugar de en el registro.
Para realizar cualquiera de estas dos primeras maneras, derive una clase de CSettingsStore (Clase) y reemplace los métodos para implementar el cifrado o el almacenamiento fuera del registro.
También puede deshabilitar personalizaciones en la aplicación.