← WindowsHelper သို့ ပြန်သွားရန်

လုံခြုံရေးပုံစံ

သင့် PC + သင့်ဖုန်းကို WindowsHelper မည်ကဲ့သို့ ကာကွယ်သည်၊ ကျွန်ုပ်တို့ အသုံးပြုသည့် ကုဒ်ဝှက်စာရိုက်နည်းနှင့် ကျွန်ုပ်တို့ အထူးတလည် ခုခံကာကွယ်ခြင်းမပြုသည့် အရာများ။ နောက်ဆုံးမွမ်းမံမှု- 2026-04-25။

အားနည်းချက်တစ်ခုကို အစီရင်ခံခြင်း။

အီးမေးလ် support@windowshelper.app ဘာသာရပ်နှင့်အတူ [security]. ကျေးဇူးပြု၍ အများသူငှာ GitHub ပြဿနာများကို မဖွင့်ပါနှင့် — မထုတ်ဖော်မီ ပြင်ဆင်ချက်တစ်ခုပေးပို့ရန် ဝင်းဒိုးတစ်ခုပေးပါ။

Pairing-code lifecycle

တွဲချိတ်ကုဒ်က လျှို့ဝှက်မျှဝေသည်။ အခြားသော crypto လုပ်ဆောင်ချက်တိုင်းမှ ဆင်းသက်လာသည်။ ဘဝသံသရာ အပြည့်အစုံ-

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

ရေးနည်း

AES-256-GCM (အမိန့်စာ လျှို့ဝှက်ချက် + သမာဓိရှိမှု)

ဝိုင်ယာကြိုးမှ ပေးပို့သည့် အမိန့်တိုင်းကို AES-256-GCM၊ စစ်မှန်ကြောင်း ကုဒ်ဝှက်ခြင်းမုဒ်ဖြင့် ကုဒ်ဝှက်ထားသည်။

HMAC-SHA256 (အမိန့်စာ စစ်မှန်မှု)

အမိန့်တိုင်းတွင် HMAC လက်မှတ်ပါရှိသောကြောင့် တွဲချိတ်ကုဒ်ကို မသိသောဖုန်းသည် Firestore သို့ စာရေးနိုင်သော်လည်း ညွှန်ကြားချက်များကို ထည့်သွင်း၍မရပါ။

ခြိမ်းခြောက်မှုပုံစံ

ခြိမ်းခြောက်မှုအဆင့်အတန်းမှတ်စုများ
ဒေသတွင်း ကွန်ရက်ပေါ်တွင် ခိုးနားထောင်ခြင်း။လျော့ပါးသွားသည်။AES-GCM ciphertext သည် MITM လေ့လာသူများအတွက် ပွင့်လင်းမြင်သာမှုရှိသည်။
Firestore ဆာဗာများတွင် ခိုးနားထောင်ခြင်း။လျော့ပါးသွားသည်။Google sees AESGCM:... blobs, not commands.
Firestore သို့ စာရေးနိုင်သော်လည်း ကုဒ်ကို မသိသော တိုက်ခိုက်သူလျော့ပါးသွားသည်။HMAC အတည်ပြုခြင်း မအောင်မြင်ပါ။ အဖော်သည် ငြင်းပယ်ခြင်း + ကွပ်မျက်ခြင်းကို ငြင်းဆိုသည်။
တွဲချိတ်ကုဒ်ကို အက်ကြောင်း/ဖြားယောင်းသော တိုက်ခိုက်သူလက်ကျန်၎င်းတို့သည် အသုံးပြုသူကဲ့သို့ အမိန့်များထုတ်နိုင်သည်။ လျှော့ချခြင်း- ဗန်းမီနူးမှ ကုဒ်ကို လှည့်ပါ။
မှတ်တမ်းတင်ထားသော အမိန့်ကို ပြန်ဖွင့်ပါ။လက်ကျန်sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-mode အစစ်အမှန်မရှိသော တိုက်ခိုက်သူလျော့ပါးသွားသည်။WebSocket တွဲလက်ဆွဲခြင်းသည် ကုဒ်ကို အတည်ပြုသည်။ HMAC + AES ဂိတ်သည် နောက်ဆက်တွဲ အမိန့်တိုင်း။
အခိုးခံရသောတွဲချိတ်သော့ပါသော ခိုးယူခံရသောဖုန်းလက်ကျန်"အသုံးပြုသူကိုယ်တိုင်" နှင့် ခွဲခြား၍မရပါ။ လျှော့ချခြင်း- နှုန်းကန့်သတ်ချက် (10 cmd/min) + ဖျက်လိုဖျက်ဆီး-အမိန့်ပေးချက် အတည်ပြုချက်သည် PC-side နှိပ်ရန် လိုအပ်သည်။
ဖုန်းအက်ပ်မှ အမိန့်ကို မှားရိုက်ထားသည်။လျော့ပါးသွားသည်။ဖုန်းနံပတ်ခွင့်ပြုစာရင်းတွင် အသိအမှတ်ပြုမထားသော ရှေ့ဆက်များကို ပိတ်ဆို့ထားသည်။ အဖော်-ဘက်ခြမ်း ပျံသန်းမှုကြိုတင်ပိတ်ဆို့ထားသော ညွှန်ကြားချက်များသည် မရှိသောဝန်ဆောင်မှုများကို ပစ်မှတ်ထားခြင်းဖြစ်သည်။
Destructive command သည် မတော်တဆ run သည်။လျော့ပါးသွားသည်။Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
ချိတ်ဆွဲ/ထွက်ပြေးသွားသော PowerShell လုပ်ငန်းစဉ်လျော့ပါးသွားသည်။ခက်ခဲသော 5 မိနစ် အချိန်ကုန်ခြင်းသည် လုပ်ငန်းစဉ်သစ်ပင်တစ်ခုလုံးကို သေစေပါသည်။
Companion .exe သည် ဒေါင်းလုဒ်လုပ်ခြင်းနှင့် run ခြင်းကြားတွင် လက်ဆော့ခြင်းလျော့ပါးသွားသည်။SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion ပျက်စီးမှု ပေါက်ကြားမှု အကဲဆတ်သည့် အခြေအနေလျော့ပါးသွားသည်။ပျက်စီးမှုအစီရင်ခံစာများ + Firestore error ရေးခြင်းများကို သန့်ရှင်းစေသည်။ %USERPROFILE% / %MACHINE% / %USER%.
အခိုးခံရသော ကိရိယာ၊ ဆက်ရှိနေသော Registry တွဲချိတ်သော့လက်ကျန်ဒစ်ခ် + အကောင့်ဝင်ရောက်ခွင့်ရှိသော တိုက်ခိုက်သူသည် ဆက်ရှိနေသောကုဒ်ကို ဖတ်နိုင်သည်။ အနာဂတ်ပြင်ဆင်မှုသည် ၎င်းကို Windows DPAPI ဖြင့် ချုပ်ထားသည်။

ဘောင်ထဲက

WindowsHelper ပြတ်သားစွာ လုပ်ဆောင်သောအရာများ မဟုတ်ဘူး ကာကွယ်ရန်-

ထုတ်ဖော်