သင့် PC + သင့်ဖုန်းကို WindowsHelper မည်ကဲ့သို့ ကာကွယ်သည်၊ ကျွန်ုပ်တို့ အသုံးပြုသည့် ကုဒ်ဝှက်စာရိုက်နည်းနှင့် ကျွန်ုပ်တို့ အထူးတလည် ခုခံကာကွယ်ခြင်းမပြုသည့် အရာများ။ နောက်ဆုံးမွမ်းမံမှု- 2026-04-25။
အီးမေးလ် support@windowshelper.app ဘာသာရပ်နှင့်အတူ [security]. ကျေးဇူးပြု၍ အများသူငှာ GitHub ပြဿနာများကို မဖွင့်ပါနှင့် — မထုတ်ဖော်မီ ပြင်ဆင်ချက်တစ်ခုပေးပို့ရန် ဝင်းဒိုးတစ်ခုပေးပါ။
တွဲချိတ်ကုဒ်က လျှို့ဝှက်မျှဝေသည်။ အခြားသော crypto လုပ်ဆောင်ချက်တိုင်းမှ ဆင်းသက်လာသည်။ ဘဝသံသရာ အပြည့်အစုံ-
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; တွဲပြီးသည်နှင့်၊ ကုဒ်သည် မှတ်ဉာဏ်ထဲတွင် သီးသန့်ရှိနေပါသည်။ဝိုင်ယာကြိုးမှ ပေးပို့သည့် အမိန့်တိုင်းကို AES-256-GCM၊ စစ်မှန်ကြောင်း ကုဒ်ဝှက်ခြင်းမုဒ်ဖြင့် ကုဒ်ဝှက်ထားသည်။
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() ဖုန်းနဲ့ဖြစ်ဖြစ်၊ RandomNumberGenerator အဖော်။AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>အမိန့်တိုင်းတွင် HMAC လက်မှတ်ပါရှိသောကြောင့် တွဲချိတ်ကုဒ်ကို မသိသောဖုန်းသည် Firestore သို့ စာရေးနိုင်သော်လည်း ညွှန်ကြားချက်များကို ထည့်သွင်း၍မရပါ။
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). ကုဒ်ဝှက်ခြင်းကီးမှ ခွဲထုတ်ပါ။HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). ပိုက်များသည် ပကတိ ပိုက်အက္ခရာများ ဖြစ်ပြီး ကန့်သတ်ချက်များ မဟုတ်ဘဲ - ပေါင်းစည်းထားသော ကြိုးသုံးချောင်း။| ခြိမ်းခြောက်မှု | အဆင့်အတန်း | မှတ်စုများ |
|---|---|---|
| ဒေသတွင်း ကွန်ရက်ပေါ်တွင် ခိုးနားထောင်ခြင်း။ | လျော့ပါးသွားသည်။ | AES-GCM ciphertext သည် MITM လေ့လာသူများအတွက် ပွင့်လင်းမြင်သာမှုရှိသည်။ |
| Firestore ဆာဗာများတွင် ခိုးနားထောင်ခြင်း။ | လျော့ပါးသွားသည်။ | Google sees AESGCM:... blobs, not commands. |
| Firestore သို့ စာရေးနိုင်သော်လည်း ကုဒ်ကို မသိသော တိုက်ခိုက်သူ | လျော့ပါးသွားသည်။ | HMAC အတည်ပြုခြင်း မအောင်မြင်ပါ။ အဖော်သည် ငြင်းပယ်ခြင်း + ကွပ်မျက်ခြင်းကို ငြင်းဆိုသည်။ |
| တွဲချိတ်ကုဒ်ကို အက်ကြောင်း/ဖြားယောင်းသော တိုက်ခိုက်သူ | လက်ကျန် | ၎င်းတို့သည် အသုံးပြုသူကဲ့သို့ အမိန့်များထုတ်နိုင်သည်။ လျှော့ချခြင်း- ဗန်းမီနူးမှ ကုဒ်ကို လှည့်ပါ။ |
| မှတ်တမ်းတင်ထားသော အမိန့်ကို ပြန်ဖွင့်ပါ။ | လက်ကျန် | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| LAN-mode အစစ်အမှန်မရှိသော တိုက်ခိုက်သူ | လျော့ပါးသွားသည်။ | WebSocket တွဲလက်ဆွဲခြင်းသည် ကုဒ်ကို အတည်ပြုသည်။ HMAC + AES ဂိတ်သည် နောက်ဆက်တွဲ အမိန့်တိုင်း။ |
| အခိုးခံရသောတွဲချိတ်သော့ပါသော ခိုးယူခံရသောဖုန်း | လက်ကျန် | "အသုံးပြုသူကိုယ်တိုင်" နှင့် ခွဲခြား၍မရပါ။ လျှော့ချခြင်း- နှုန်းကန့်သတ်ချက် (10 cmd/min) + ဖျက်လိုဖျက်ဆီး-အမိန့်ပေးချက် အတည်ပြုချက်သည် PC-side နှိပ်ရန် လိုအပ်သည်။ |
| ဖုန်းအက်ပ်မှ အမိန့်ကို မှားရိုက်ထားသည်။ | လျော့ပါးသွားသည်။ | ဖုန်းနံပတ်ခွင့်ပြုစာရင်းတွင် အသိအမှတ်ပြုမထားသော ရှေ့ဆက်များကို ပိတ်ဆို့ထားသည်။ အဖော်-ဘက်ခြမ်း ပျံသန်းမှုကြိုတင်ပိတ်ဆို့ထားသော ညွှန်ကြားချက်များသည် မရှိသောဝန်ဆောင်မှုများကို ပစ်မှတ်ထားခြင်းဖြစ်သည်။ |
| Destructive command သည် မတော်တဆ run သည်။ | လျော့ပါးသွားသည်။ | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| ချိတ်ဆွဲ/ထွက်ပြေးသွားသော PowerShell လုပ်ငန်းစဉ် | လျော့ပါးသွားသည်။ | ခက်ခဲသော 5 မိနစ် အချိန်ကုန်ခြင်းသည် လုပ်ငန်းစဉ်သစ်ပင်တစ်ခုလုံးကို သေစေပါသည်။ |
| Companion .exe သည် ဒေါင်းလုဒ်လုပ်ခြင်းနှင့် run ခြင်းကြားတွင် လက်ဆော့ခြင်း | လျော့ပါးသွားသည်။ | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion ပျက်စီးမှု ပေါက်ကြားမှု အကဲဆတ်သည့် အခြေအနေ | လျော့ပါးသွားသည်။ | ပျက်စီးမှုအစီရင်ခံစာများ + Firestore error ရေးခြင်းများကို သန့်ရှင်းစေသည်။ %USERPROFILE% / %MACHINE% / %USER%. |
| အခိုးခံရသော ကိရိယာ၊ ဆက်ရှိနေသော Registry တွဲချိတ်သော့ | လက်ကျန် | ဒစ်ခ် + အကောင့်ဝင်ရောက်ခွင့်ရှိသော တိုက်ခိုက်သူသည် ဆက်ရှိနေသောကုဒ်ကို ဖတ်နိုင်သည်။ အနာဂတ်ပြင်ဆင်မှုသည် ၎င်းကို Windows DPAPI ဖြင့် ချုပ်ထားသည်။ |
WindowsHelper ပြတ်သားစွာ လုပ်ဆောင်သောအရာများ မဟုတ်ဘူး ကာကွယ်ရန်-
[security].