← WindowsHelper मा फर्कनुहोस्

सुरक्षा मोडेल

कसरी WindowsHelper ले तपाइँको PC + तपाइँको फोनलाई सुरक्षित गर्दछ, हामीले कुन क्रिप्टोग्राफी प्रयोग गर्छौं, र हामी स्पष्ट रूपमा के विरुद्ध रक्षा गर्दैनौं। पछिल्लो पटक अपडेट गरिएको: २०२६-०४-२५।

एक जोखिम रिपोर्ट गर्दै

इमेल support@windowshelper.app विषय संग [security]। कृपया सार्वजनिक GitHub मुद्दाहरू नखोल्नुहोस् — हामीलाई खुलासा गर्नु अघि समाधान पठाउन एउटा विन्डो दिनुहोस्।

जोडी-कोड जीवनचक्र

जोडी कोड हो साझा रहस्य हरेक अन्य क्रिप्टो अपरेशनबाट व्युत्पन्न हुन्छ। पूर्ण जीवनचक्र:

[ Phone GENERATES random 8-char code ]
   ↓
[ Phone WRITES code + sessionId to Firestore in pc_connections doc ]
   ↓
[ Phone DISPLAYS code to user on screen ]
   ↓
[ User READS code, types it into companion's input field ]
   ↓
[ Companion QUERIES Firestore for waiting session matching the code ]
   ↓
[ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ]
   ↓
[ Code STAYS in memory on both sides; never written to Firestore by either ]
   ↓
[ Disconnect / re-pair WIPES the code from both sides ]

क्रिप्टोग्राफी

AES-256-GCM (आदेश गोपनीयता + अखण्डता)

तारमा पठाइएका प्रत्येक आदेश AES-256-GCM, एक प्रमाणीकृत-इन्क्रिप्शन मोडसँग इन्क्रिप्ट गरिएको छ।

HMAC-SHA256 (आदेश प्रमाणिकता)

प्रत्येक आदेशमा HMAC हस्ताक्षर पनि हुन्छ त्यसैले जोडा कोड थाहा नभएको फोनले फायरस्टोरमा लेख्न सक्ने भए पनि आदेशहरू इन्जेक्ट गर्न सक्दैन।

खतरा मोडेल

धम्कीस्थितिनोटहरू
स्थानीय नेटवर्कमा Eavesdropperन्यून भयोAES-GCM सिफरटेक्स्ट MITM पर्यवेक्षकहरूको लागि अपारदर्शी छ।
फायरस्टोर सर्भरहरूमा Eavesdropperन्यून भयोGoogle sees AESGCM:... blobs, not commands.
आक्रमणकर्ता जसले फायरस्टोरमा लेख्न सक्छ तर कोड थाहा छैनन्यून भयोHMAC प्रमाणीकरण असफल; साथीले अस्वीकार लगाउँछ + कार्यान्वयन अस्वीकार गर्दछ।
जोडा बनाउने कोड क्र्याक/फिश गर्ने आक्रमणकारीअवशिष्टतिनीहरूले आदेश जारी गर्न सक्छन् मानौं तिनीहरू प्रयोगकर्ता थिए। मिटिगेसन: ट्रे मेनुबाट कोड घुमाउनुहोस्।
रेकर्ड गरिएको आदेशको रिप्लेअवशिष्टsentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL.
LAN-मोड अप्रमाणित आक्रमणकारीन्यून भयोWebSocket जोडी ह्यान्डशेकले कोड प्रमाणित गर्दछ; HMAC + AES गेट प्रत्येक पछिको आदेश।
चोरी भएको जोडा कुञ्जीसँग सम्झौता गरिएको फोनअवशिष्ट"प्रयोगकर्ता आफैं" बाट अलग गर्न सकिँदैन। न्यूनीकरण: दर सीमा (१० सेमीडी/मिनेट) + विनाशकारी-आदेश पुष्टिकरणको लागि PC-साइड क्लिक आवश्यक छ।
फोन एपबाट गलत टाइप गरिएको आदेशन्यून भयोफोन-साइड अनुमति सूचीले अपरिचित उपसर्गहरू रोक्छ; कम्प्यानियन-साइड प्रि-फ्लाइट ब्लकहरू अवस्थित सेवाहरूलाई लक्षित गर्ने आदेशहरू।
विनाशकारी आदेश संयोगवश चल्छन्यून भयोCompanion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc.
Hung / runaw PowerShell प्रक्रियान्यून भयोकडा 5-मिनेट टाइमआउटले सम्पूर्ण प्रक्रिया रूखलाई मार्छ।
Companion .exe डाउनलोड र रन बीचको छेडछाडन्यून भयोSHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon.
Companion दुर्घटना चुहावट संवेदनशील अवस्थान्यून भयोक्र्यास रिपोर्टहरू + फायरस्टोर त्रुटि राइटब्याकहरू सेनिटाइज %USERPROFILE% / %MACHINE% / %USER%.
चोरी भएको यन्त्र, कायम रजिस्ट्री जोडा कुञ्जीअवशिष्टडिस्क + लगइन पहुँच भएको आक्रमणकर्ताले निरन्तर कोड पढ्न सक्छ। भविष्यको समाधानले यसलाई Windows DPAPI सँग लपेट्छ।

दायरा बाहिर

कुराहरू WindowsHelper ले स्पष्ट रूपमा गर्छ होइन विरुद्ध रक्षा:

खुलासा