Чӣ гуна WindowsHelper компютери шумо + телефони шуморо муҳофизат мекунад, мо кадом криптографияро истифода мебарем ва аз он чизе ки мо ба таври возеҳ муҳофизат намекунем. Навсозии охирин: 25-04-2026.
Почтаи электронӣ support@windowshelper.app бо мавзуъ [security]. Лутфан масъалаҳои GitHub-ро боз накунед - ба мо равзана диҳед, то пеш аз ифшои ислоҳро ирсол кунем.
Рамзи ҷуфткунӣ ин аст сирри муштарак ҳар як амалиёти дигари криптографӣ аз. Давраи пурраи ҳаёт:
[ Phone GENERATES random 8-char code ] ↓ [ Phone WRITES code + sessionId to Firestore in pc_connections doc ] ↓ [ Phone DISPLAYS code to user on screen ] ↓ [ User READS code, types it into companion's input field ] ↓ [ Companion QUERIES Firestore for waiting session matching the code ] ↓ [ Both sides DERIVE crypto keys from SHA-256(code, sessionId) ] ↓ [ Code STAYS in memory on both sides; never written to Firestore by either ] ↓ [ Disconnect / re-pair WIPES the code from both sides ]
pairingCode; вақте ки ҷуфт карда мешавад, код танҳо дар хотира мемонад.Ҳар фармоне, ки тавассути сим фиристода мешавад, бо AES-256-GCM, реҷаи рамзгузории тасдиқшуда рамзгузорӣ карда мешавад.
SHA-256("WH_SECURE_{code}_{sessionId}_CMD_KEY").Random.secure() дар телефон ё RandomNumberGenerator дар бораи хамсафар.AESGCM:<nonce_b64>:<ciphertext_b64>:<tag_b64>Ҳар як фармон инчунин имзои HMAC дорад, аз ин рӯ телефоне, ки рамзи ҷуфткуниро намедонад, наметавонад фармонҳоро ворид кунад, ҳатто агар он метавонад ба Firestore нависад.
SHA-256("WH_SECURE_{code}_{sessionId}_HMAC_KEY"). Аз калиди рамзгузорӣ ҷудо кунед.HMAC-SHA256(hmacKey, commandId | ciphertext | sentAtMillis). Қубурҳо аломатҳои лӯлаи аслӣ мебошанд, на ҷудокунанда - се сатри пайвастшуда.| Таҳдид | Статус | Қайдҳо |
|---|---|---|
| Гӯшкунанда дар шабакаи маҳаллӣ | Кам карда шудааст | Матни рамзгузории AES-GCM барои нозирони MITM ношаффоф аст. |
| Гӯшкунанда дар серверҳои Firestore | Кам карда шудааст | Google sees AESGCM:... blobs, not commands. |
| Ҳамлагар, ки метавонад ба Firestore нависад, аммо кодро намедонад | Кам карда шудааст | Тафтиши HMAC ноком шуд; шарик раддияро сабт мекунад + иҷроро рад мекунад. |
| Ҳамлагар, ки рамзи ҷуфткуниро шикаста/фишинг кардааст | Боқимонда | Онҳо метавонанд фармонҳоро диҳанд, ки гӯё корбар бошанд. Муайянкунӣ: рамзро аз менюи табақа гардонед. |
| Навозиши фармони сабтшуда | Боқимонда | sentAtMillis is HMAC-bound; companion doesn't yet enforce a freshness window. Future fix adds a TTL. |
| Ҳамлагари номаълуми ҳолати LAN | Кам карда шудааст | Дастфишори ҷуфти WebSocket рамзро тасдиқ мекунад; Дарвозаи HMAC + AES ҳар як фармони минбаъда. |
| Телефони вайроншуда бо калиди ҷуфткунии дуздидашуда | Боқимонда | Аз "худи корбар" фарқ кардан мумкин нест. Муайянкунӣ: маҳдудияти суръат (10 смд/дақ) + тасдиқи фармони харобиовар клики паҳлӯи компютерро талаб мекунад. |
| Фармони хато аз барномаи телефон | Кам карда шудааст | Рӯйхати иҷозатдодашудаи паҳлӯи телефон префиксҳои шинохтанашударо блок мекунад; Ҳамсафари пеш аз парвоз фармонҳоро бо ҳадафи хидматҳои мавҷуда блок мекунад. |
| Фармони харобиовар тасодуфан иҷро мешавад | Кам карда шудааст | Companion-side modal requires user click to approve Remove-Item, Format-Volume, reg delete, shutdown /r, etc. |
| Раванди PowerShell овезон / гурез | Кам карда шудааст | Танаффуси сахти 5 дақиқа тамоми дарахти равандро мекушад. |
| Companion вайронкунии .exe байни зеркашӣ ва иҷро | Кам карда шудааст | SHA-256 published in companion-version.json; users can verify. Authenticode signing landing soon. |
| Companion суқути ихроҷи ҳолати ҳассос | Кам карда шудааст | Ҳисоботи садама + Навиштани хатогиҳои Firestore безарар мегардонад %USERPROFILE% / %MACHINE% / %USER%. |
| Дастгоҳи дуздидашуда, калиди пайвастагии реестр | Боқимонда | Ҳамлагаре, ки дастрасии диск + воридшавӣ дорад, метавонад рамзи пойдорро бихонад. Ислоҳи оянда онро бо Windows DPAPI ҷамъ мекунад. |
Корҳое, ки WindowsHelper ба таври возеҳ иҷро мекунанд не дифоъ аз:
[security].