WindowsHelper компьютериңизди + телефонуңузду кантип коргойт, биз кайсы криптографияны колдонобуз жана эмнеден ачык эле коргобойбуз. Акыркы жаңыртылган күнү: 25-04-2026.
Email support@windowshelper.app тема менен [security]. Сураныч, жалпыга ачык GitHub маселелерин ачпаңыз — ачыкка чыгарардан мурун оңдоону жөнөтүү үчүн бизге терезе бериңиз.
Жупташтыруу коду болуп саналат сыр бөлүштү ар бир башка крипто операциясы келип чыгат. Толук жашоо цикли:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; жупташтырылгандан кийин, код эстутумда гана калат.Зым аркылуу жөнөтүлгөн ар бир буйрук AES-256-GCM, аутентификацияланган шифрлөө режими менен шифрленген.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() телефондо же RandomNumberGenerator шерик боюнча.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Ар бир команданын HMAC кол тамгасы бар, андыктан жупташтыруу кодун билбеген телефон Firestore'го жаза алса да буйруктарды киргизе албайт.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Шифрлөө ачкычынан бөлөк.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Түтүктөр бөлүүчү эмес, түзмө-түз түтүк символдору - үч бириктирилген сап.| Коркунуч | Статус | Эскертүүлөр |
|---|---|---|
| Жергиликтүү тармакта тыңшоочу | жумшартылган | AES-GCM шифрленген тексти MITM байкоочулары үчүн ачык эмес. |
| Firestore серверлеринде тыңшоочу | жумшартылган | Google sees AESGCM:... blobs, not commands. |
| Firestore'го жаза алган, бирок кодду билбеген чабуулчу | жумшартылган | HMAC текшерүүсү ишке ашпай калды; шериги четке кагууну жазат + аткаруудан баш тартат. |
| Жупташтыруу кодун бузуп/фишинг кылган чабуулчу | калдык | Алар колдонуучу сыяктуу буйруктарды чыгара алышат. Жеңилдетүү: лоток менюсунан кодду айлантыңыз. |
| Жазылган буйрукту кайра ойнотуу | калдык | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN режиминдеги аутентификацияланбаган чабуулчу | жумшартылган | WebSocket жуп кол алышуу кодду ырастайт; HMAC + AES дарбазасы ар бир кийинки буйрук. |
| Уурдалган жупташтыруу ачкычы менен бузулган телефон | калдык | "Колдонуучунун өзүнөн" айырмаланбайт. Жеңилдетүү: ылдамдыктын чеги (10 смд/мүнөт) + кыйратуучу буйрукту ырастоо үчүн PC капталындагы чыкылдатуу керек. |
| Телефон колдонмосунан туура эмес жазылган буйрук | жумшартылган | Телефон тараптагы уруксат тизмеси таанылбаган префикстерди бөгөттөйт; жок кызматтарга багытталган буйруктарды коштоочу тарап учуу алдында блоктору. |
| Кыйратуучу команда кокусунан иштейт | жумшартылган | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Асылып калган / качкан PowerShell процесси | жумшартылган | Катуу 5 мүнөттүк күтүү бүтүндөй процесс дарагын өлтүрөт. |
| Companion .exe жүктөп алуу жана иштетүү ортосунда бурмалоо | жумшартылган | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion кыйроонун сезгич абалы | жумшартылган | Кырсык тууралуу кабарлар + Firestore катасын кайра жазуулар тазаланат %USERPROFILE% / %MACHINE% / %USER%. |
| Уурдалган түзмөк, туруктуу Реестрди жупташтыруу ачкычы | калдык | Диск + кирүү мүмкүнчүлүгү бар чабуулчу туруктуу кодду окуй алат. Келечектеги оңдоо аны Windows DPAPI менен оройт. |
WindowsHelper ачык эле жасайт жок каршы коргоо:
[security].