ملاحظات تقنية
نموذج الأمان
ما يحميه reader.me وما لا يحميه. مكتوب لمراجعي الأمان — لا تسويق.
نموذج التهديد
reader.me هو تطبيق صفحة واحدة يعمل داخل متصفح المستخدم.
ندافع ضد
- تسرب المستند عبر التحميل (مستحيل هيكليًا).
- تسرب عبر JS طرف ثالث (CSP).
- ملفات PDF خبيثة (PDF.js مقوى).
- الهجوم العنيف على Protect (AES-128).
- XSS عبر اسم الملف.
لا ندافع ضد
- إضافات المتصفح الخبيثة.
- اختراق على مستوى نظام التشغيل.
- MitM مع CA متعاونة.
- قنوات CPU الجانبية.
Content Security Policy
CSP في
public/_headers:default-src 'self'- مقايضة
'unsafe-inline'لتجهيز Astro. connect-srcبدون نقطة نهاية للمستندات.
سياسة التبعيات والاستجابة لـ CVE
ثلاثة محركات حرجة: PDF.js، pdf-lib، Tesseract.js.
- SLA لتصحيح CVE حرج: 72 ساعة.
- Tesseract مستضاف ذاتيًا.
- تحقق — وصفة 30 ثانية.
بوابات الجودة في CI
- فحص نقاء المحرك.
- Vitest 97% سطر.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
الإبلاغ عن ثغرة
أفصح بمسؤولية عبر البريد لعدم تعريض المستخدمين للخطر بتقرير علني:
[email protected] — مع وصف وخطوات إعادة الإنتاج الأدنى.
نهدف للتأكيد خلال 48 ساعة وتصحيح الحرج خلال 72 ساعة.
ذو صلة
- كيف يعمل → — جولة معمارية.
- الخصوصية → — نسخة السياسة بلغة بسيطة.
- vs iLovePDF / Smallpdf → — مقارنة معمارية جنبًا إلى جنب.
reader.me هو فكرة من David Carrero، بُني في Color Vivo Internet S.L.