Skip to content
reader.me

Технически бележки

Модел на сигурност

От какво защитава reader.me и от какво не. Написано за прегледи на сигурността — без маркетинг.

Модел на заплахите

reader.me е SPA, което се изпълнява в браузъра на потребителя.

Защитаваме срещу

  • Изтичане на документ чрез качване (структурно невъзможно).
  • Изтичане чрез JS на трети страни (CSP).
  • Зловредни PDF файлове (PDF.js втвърден).
  • Brute-force върху Protect (AES-128).
  • XSS чрез име на файл.

Не защитаваме срещу

  • Зловредни разширения за браузъра.
  • Компрометиране на ниво ОС.
  • MitM със сътрудничещ CA.
  • Странични канали на CPU.

Content Security Policy

CSP в public/_headers:
  • default-src 'self'
  • Компромис 'unsafe-inline' за хидратацията на Astro.
  • connect-src без крайна точка за документи.

Политика за зависимости и реакция на CVE

Три критични двигателя: PDF.js, pdf-lib, Tesseract.js.

Качествени бариери в CI

  • Проверка на чистотата на двигателя.
  • Vitest 97% реда.
  • Playwright E2E.
  • axe-core a11y.
  • Lighthouse CI.

Докладване на уязвимост

Разкрийте отговорно по имейл, за да не изложите потребителите на риск с публичен доклад:

[email protected] — включете описание + минимални стъпки за възпроизвеждане.

Целим се в потвърждение в рамките на 48 ч, критична корекция в рамките на 72 ч.

Свързано

reader.me е идея на David Carrero, изградено в Color Vivo Internet S.L.