← WindowsHelper дегенге кайтуу

Коопсуздук модели

WindowsHelper компьютериңизди + телефонуңузду кантип коргойт, биз кайсы криптографияны колдонобуз жана эмнеден ачык эле коргобойбуз. Акыркы жаңыртылган күнү: 25-04-2026.

алсыздыгын билдирүү

Email support@windowshelper.app тема менен [security]. Сураныч, жалпыга ачык GitHub маселелерин ачпаңыз — ачыкка чыгарардан мурун оңдоону жөнөтүү үчүн бизге терезе бериңиз.

Жупташтыруу-коддун жашоо цикли

Жупташтыруу коду болуп саналат сыр бөлүштү ар бир башка крипто операциясы келип чыгат. Толук жашоо цикли:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

Криптография

AES-256-GCM (буйруктун купуялуулугу + бүтүндүк)

Зым аркылуу жөнөтүлгөн ар бир буйрук AES-256-GCM, аутентификацияланган шифрлөө режими менен шифрленген.

HMAC-SHA256 (буйруктун аныктыгы)

Ар бир команданын HMAC кол тамгасы бар, андыктан жупташтыруу кодун билбеген телефон Firestore'го жаза алса да буйруктарды киргизе албайт.

Коркунуч модели

КоркунучСтатусЭскертүүлөр
Жергиликтүү тармакта тыңшоочужумшартылганAES-GCM шифрленген тексти MITM байкоочулары үчүн ачык эмес.
Firestore серверлеринде тыңшоочужумшартылганGoogle sees AESGCM:... blobs, not commands.
Firestore'го жаза алган, бирок кодду билбеген чабуулчужумшартылганHMAC текшерүүсү ишке ашпай калды; шериги четке кагууну жазат + аткаруудан баш тартат.
Жупташтыруу кодун бузуп/фишинг кылган чабуулчукалдыкАлар колдонуучу сыяктуу буйруктарды чыгара алышат. Жеңилдетүү: лоток менюсунан кодду айлантыңыз.
Жазылган буйрукту кайра ойнотуукалдыкsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN режиминдеги аутентификацияланбаган чабуулчужумшартылганWebSocket жуп кол алышуу кодду ырастайт; HMAC + AES дарбазасы ар бир кийинки буйрук.
Уурдалган жупташтыруу ачкычы менен бузулган телефонкалдык"Колдонуучунун өзүнөн" айырмаланбайт. Жеңилдетүү: ылдамдыктын чеги (10 смд/мүнөт) + кыйратуучу буйрукту ырастоо үчүн PC капталындагы чыкылдатуу керек.
Телефон колдонмосунан туура эмес жазылган буйрукжумшартылганТелефон тараптагы уруксат тизмеси таанылбаган префикстерди бөгөттөйт; жок кызматтарга багытталган буйруктарды коштоочу тарап учуу алдында блоктору.
Кыйратуучу команда кокусунан иштейтжумшартылганCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Асылып калган / качкан PowerShell процессижумшартылганКатуу 5 мүнөттүк күтүү бүтүндөй процесс дарагын өлтүрөт.
Companion .exe жүктөп алуу жана иштетүү ортосунда бурмалоожумшартылганSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion кыйроонун сезгич абалыжумшартылганКырсык тууралуу кабарлар + Firestore катасын кайра жазуулар тазаланат %USERPROFILE% / %MACHINE% / %USER%.
Уурдалган түзмөк, туруктуу Реестрди жупташтыруу ачкычыкалдыкДиск + кирүү мүмкүнчүлүгү бар чабуулчу туруктуу кодду окуй алат. Келечектеги оңдоо аны Windows DPAPI менен оройт.

Колдонуудан тышкары

WindowsHelper ачык эле жасайт жок каршы коргоо:

Ачыкка чыгаруу