← WindowsHelper এ ফিরে যান

নিরাপত্তা মডেল

কীভাবে WindowsHelper আপনার PC + আপনার ফোনকে সুরক্ষিত করে, আমরা কোন ক্রিপ্টোগ্রাফি ব্যবহার করি এবং আমরা স্পষ্টভাবে কিসের বিরুদ্ধে রক্ষা করি না৷ সর্বশেষ আপডেট: 2026-04-25।

একটি দুর্বলতা রিপোর্ট করা

ইমেইল support@windowshelper.app বিষয় সহ [security]. অনুগ্রহ করে সর্বজনীন GitHub সমস্যাগুলি খুলবেন না — প্রকাশের আগে একটি সমাধান করার জন্য আমাদের একটি উইন্ডো দিন।

পেয়ারিং-কোড জীবনচক্র

পেয়ারিং কোড হল শেয়ার করা গোপন প্রতিটি অন্যান্য ক্রিপ্টো অপারেশন থেকে উদ্ভূত. সম্পূর্ণ জীবনচক্র:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ক্রিপ্টোগ্রাফি

AES-256-GCM (কমান্ড গোপনীয়তা + অখণ্ডতা)

তারের উপর প্রেরিত প্রতিটি কমান্ড AES-256-GCM, একটি প্রমাণীকৃত-এনক্রিপশন মোড দিয়ে এনক্রিপ্ট করা হয়।

HMAC-SHA256 (কমান্ডের সত্যতা)

প্রতিটি কমান্ড একটি HMAC স্বাক্ষরও বহন করে তাই একটি ফোন যা পেয়ারিং কোড জানে না সেটি Firestore-এ লিখতে পারলেও কমান্ড ইনজেক্ট করতে পারে না।

হুমকি মডেল

হুমকিস্ট্যাটাসনোট
স্থানীয় নেটওয়ার্কে ইভসড্রপারপ্রশমিতAES-GCM সাইফারটেক্সট MITM পর্যবেক্ষকদের কাছে অস্বচ্ছ।
Firestore সার্ভারে Eavesdropperপ্রশমিতGoogle sees AESGCM:... blobs, not commands.
আক্রমণকারী যে ফায়ারস্টোরে লিখতে পারে কিন্তু কোড জানে না৷প্রশমিতHMAC যাচাইকরণ ব্যর্থ হয়েছে; সঙ্গী প্রত্যাখ্যান লগ করে + মৃত্যুদন্ড প্রত্যাখ্যান করে।
আক্রমণকারী যে পেয়ারিং কোড ক্র্যাক/ফিশ করেছেঅবশিষ্টতারা কমান্ড জারি করতে পারে যেন তারা ব্যবহারকারী। প্রশমন: ট্রে মেনু থেকে কোডটি ঘোরান।
রেকর্ড করা কমান্ডের রিপ্লেঅবশিষ্টsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-মোড অননুমোদিত আক্রমণকারীপ্রশমিতWebSocket জোড়া হ্যান্ডশেক কোড বৈধ করে; HMAC + AES গেট প্রতিটি পরবর্তী কমান্ড.
চুরি হওয়া পেয়ারিং কী সহ আপোস করা ফোনঅবশিষ্ট"ব্যবহারকারী নিজেই" থেকে আলাদা করা যায় না। প্রশমন: হারের সীমা (10 cmd/min) + ধ্বংসাত্মক-কমান্ড নিশ্চিতকরণের জন্য PC-সাইড ক্লিক প্রয়োজন।
ফোন অ্যাপ থেকে ভুল টাইপ করা কমান্ডপ্রশমিতফোন-সাইড অনুমোদিত তালিকা অচেনা উপসর্গ ব্লক করে; অনুপস্থিত পরিষেবাগুলিকে লক্ষ্য করে সঙ্গী-সাইড প্রি-ফ্লাইট ব্লক কমান্ড।
ধ্বংসাত্মক কমান্ড দুর্ঘটনাক্রমে চালানো হয়প্রশমিতCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
হ্যাং / পলাতক পাওয়ারশেল প্রক্রিয়াপ্রশমিতহার্ড 5-মিনিটের টাইমআউট পুরো প্রক্রিয়া গাছকে হত্যা করে।
Companion .exe ডাউনলোড এবং রানের মধ্যে ট্যাম্পারিং৷প্রশমিতSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ক্র্যাশ লিকিং সংবেদনশীল অবস্থা৷প্রশমিতক্র্যাশ রিপোর্ট + ফায়ারস্টোর ত্রুটি রাইটব্যাক স্যানিটাইজ করে %USERPROFILE% / %MACHINE% / %USER%.
চুরি হওয়া ডিভাইস, রেজিস্ট্রি পেয়ারিং কী অব্যাহত আছেঅবশিষ্টডিস্ক + লগইন অ্যাক্সেস সহ একজন আক্রমণকারী অব্যাহত কোড পড়তে পারে। ভবিষ্যত ফিক্স এটিকে Windows DPAPI দিয়ে মোড়ানো।

সুযোগের বাইরে

জিনিসগুলি WindowsHelper স্পষ্টভাবে করে৷ না বিরুদ্ধে রক্ষা:

প্রকাশ