← ត្រឡប់ទៅ WindowsHelper

គំរូសុវត្ថិភាព

របៀបដែល WindowsHelper ការពារកុំព្យូទ័ររបស់អ្នក + ទូរស័ព្ទរបស់អ្នក អ្វីទៅជាគ្រីបគ្រីបដែលយើងប្រើ និងអ្វីដែលយើងមិនការពារយ៉ាងច្បាស់។ អាប់ដេតចុងក្រោយ៖ 2026-04-25 ។

រាយការណ៍ពីភាពងាយរងគ្រោះ

អ៊ីមែល support@windowshelper.app ជាមួយប្រធានបទ [security]. សូមកុំបើកបញ្ហា GitHub ជាសាធារណៈ — ផ្តល់ឱ្យយើងនូវបង្អួចមួយដើម្បីបញ្ជូនដំណោះស្រាយមុនពេលបង្ហាញ។

វដ្តជីវិតនៃការផ្គូផ្គងលេខកូដ

លេខកូដផ្គូផ្គងគឺ សម្ងាត់ចែករំលែក រាល់ប្រតិបត្តិការគ្រីបតូផ្សេងទៀតកើតចេញពី។ វដ្តជីវិតពេញលេញ៖

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ការសរសេរកូដសម្ងាត់

AES-256-GCM (ការសម្ងាត់ពាក្យបញ្ជា + សុចរិតភាព)

រាល់ពាក្យបញ្ជាដែលបានផ្ញើតាមខ្សែត្រូវបានអ៊ិនគ្រីបជាមួយ AES-256-GCM ដែលជារបៀបការអ៊ិនគ្រីបដែលបានផ្ទៀងផ្ទាត់។

HMAC-SHA256 (ភាពត្រឹមត្រូវនៃពាក្យបញ្ជា)

រាល់ពាក្យបញ្ជាក៏មានហត្ថលេខា HMAC ផងដែរ ដូច្នេះទូរសព្ទដែលមិនស្គាល់លេខកូដផ្គូផ្គង មិនអាចបញ្ចូលពាក្យបញ្ជាបានទេ ទោះបីជាវាអាចសរសេរទៅកាន់ Firestore ក៏ដោយ។

គំរូគំរាមកំហែង

ការគំរាមកំហែងស្ថានភាពកំណត់ចំណាំ
Eavesdropper នៅលើបណ្តាញមូលដ្ឋានបន្ធូរបន្ថយអក្សរសម្ងាត់ AES-GCM មានភាពស្រអាប់ចំពោះអ្នកសង្កេតការណ៍ MITM ។
Eavesdropper នៅលើម៉ាស៊ីនមេ Firestoreបន្ធូរបន្ថយGoogle sees AESGCM:... blobs, not commands.
អ្នកវាយប្រហារដែលអាចសរសេរទៅកាន់ Firestore ប៉ុន្តែមិនស្គាល់លេខកូដបន្ធូរបន្ថយការផ្ទៀងផ្ទាត់ HMAC បរាជ័យ។ ដៃគូកត់ត្រាការបដិសេធ + បដិសេធការប្រតិបត្តិ។
អ្នកវាយប្រហារដែលបានបំបែក / បន្លំលេខកូដផ្គូផ្គងសំណល់ពួកគេអាចចេញពាក្យបញ្ជាដូចជាពួកគេជាអ្នកប្រើប្រាស់។ ការបន្ធូរបន្ថយ៖ បង្វិលលេខកូដពីម៉ឺនុយថាស។
ការចាក់ឡើងវិញនៃពាក្យបញ្ជាដែលបានកត់ត្រាសំណល់sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
អ្នកវាយប្រហារដែលមិនមានការផ្ទៀងផ្ទាត់ទម្រង់ LANបន្ធូរបន្ថយការចាប់ដៃគូ WebSocket ធ្វើឱ្យកូដមានសុពលភាព។ ច្រកទ្វារ HMAC + AES រាល់ពាក្យបញ្ជាបន្តបន្ទាប់។
ទូរសព្ទ​ដែល​ត្រូវ​បាន​គេ​លួច​មាន​សោ​ផ្គូផ្គងសំណល់មិនអាចបែងចែកបានពី "អ្នកប្រើប្រាស់ខ្លួនឯង" ។ ការបន្ធូរបន្ថយ៖ ដែនកំណត់អត្រា (10 cmd/min) + ការបញ្ជាក់ពាក្យបញ្ជាបំផ្លិចបំផ្លាញ ទាមទារការចុចចំហៀងកុំព្យូទ័រ។
សរសេរពាក្យបញ្ជាខុសពីកម្មវិធីទូរស័ព្ទបន្ធូរបន្ថយបញ្ជីអនុញ្ញាតខាងទូរស័ព្ទរារាំងបុព្វបទដែលមិនទទួលស្គាល់; ពាក្យបញ្ជារារាំងការហោះហើរមុនការហោះហើររបស់ដៃគូដែលកំណត់គោលដៅលើសេវាកម្មដែលមិនមាន។
ពាក្យបញ្ជាបំផ្លិចបំផ្លាញដំណើរការដោយចៃដន្យបន្ធូរបន្ថយCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
ដំណើរការ PowerShell ព្យួរ / រត់ចេញបន្ធូរបន្ថយការអស់ពេល 5 នាទីពិបាកនឹងសម្លាប់មែកធាងដំណើរការទាំងមូល។
Companion .exe រំខានរវាងការទាញយក និងដំណើរការបន្ធូរបន្ថយSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
ការគាំង Companion លេចធ្លាយស្ថានភាពរសើបបន្ធូរបន្ថយរបាយការណ៍គាំង + ការសរសេរសារឡើងវិញអំពីបញ្ហា Firestore ធ្វើអនាម័យ %USERPROFILE% / %MACHINE% / %USER%.
ឧបករណ៍ដែលត្រូវគេលួច គ្រាប់ចុចផ្គូផ្គងចុះបញ្ជីបន្តសំណល់អ្នកវាយប្រហារដែលមានការចូលប្រើឌីស + ចូលអាចអានកូដដែលបន្ត។ ការជួសជុលនាពេលអនាគតរុំវាជាមួយ Windows DPAPI ។

ក្រៅវិសាលភាព

អ្វី​ដែល WindowsHelper ធ្វើ​យ៉ាង​ច្បាស់ ទេ។ ការពារ៖

ការបង្ហាញ