System.Environment.UserName 可以轻易伪造吗?
Can System.Environment.UserName be easily faked?
在 windows WPF 桌面应用程序中,我以这种方式使用 System.Environment.UserName:
var q = from l in db.Logins where
l.WinLogin.Trim().Equals(System.Environment.UserName, StringComparison.InvariantCultureIgnoreCase)
&& l.WinDomain.Trim().Equals(System.Environment.UserDomainName, StringComparison.InvariantCultureIgnoreCase)
select l.LoginID;
var login = q.FirstOrDefault();
if (login == null)
/*Access rejected*/
else
/*Access granted*/
我想知道 System.Environment.UserName 和 System.Environment.UserDomainName 的内容是否可以在 windows 域内被非管理员用户轻易伪造(设置为其他人的帐户)。
我希望此身份验证适用于不需要最高安全性的普通 windows 应用程序,只是想确保我没有忽略一些明显的东西。
例如,如果我创建与 windows 域同名的家庭工作组,然后在该工作组中创建一个用户,然后使用 VPN 连接到该 windows 域并安装应用程序在家庭工作组计算机上,我会伪造这些变量并获得访问权限吗?
不,System.Environment 变量仅适用于该机器。用户名和域名不能伪造。该调用最终由 ADVAPI32 处理,它是负责内部 Windows 内容的 Windows 组件。
您也无法使用 VPN 或其他方法伪造它。这并不意味着他们无法在应用程序和您要连接的数据库之间取得联系。确保也保护它。
在 windows WPF 桌面应用程序中,我以这种方式使用 System.Environment.UserName:
var q = from l in db.Logins where
l.WinLogin.Trim().Equals(System.Environment.UserName, StringComparison.InvariantCultureIgnoreCase)
&& l.WinDomain.Trim().Equals(System.Environment.UserDomainName, StringComparison.InvariantCultureIgnoreCase)
select l.LoginID;
var login = q.FirstOrDefault();
if (login == null)
/*Access rejected*/
else
/*Access granted*/
我想知道 System.Environment.UserName 和 System.Environment.UserDomainName 的内容是否可以在 windows 域内被非管理员用户轻易伪造(设置为其他人的帐户)。
我希望此身份验证适用于不需要最高安全性的普通 windows 应用程序,只是想确保我没有忽略一些明显的东西。
例如,如果我创建与 windows 域同名的家庭工作组,然后在该工作组中创建一个用户,然后使用 VPN 连接到该 windows 域并安装应用程序在家庭工作组计算机上,我会伪造这些变量并获得访问权限吗?
不,System.Environment 变量仅适用于该机器。用户名和域名不能伪造。该调用最终由 ADVAPI32 处理,它是负责内部 Windows 内容的 Windows 组件。
您也无法使用 VPN 或其他方法伪造它。这并不意味着他们无法在应用程序和您要连接的数据库之间取得联系。确保也保护它。