Технически бележки
Модел на сигурност
От какво защитава reader.me и от какво не. Написано за прегледи на сигурността — без маркетинг.
Модел на заплахите
reader.me е SPA, което се изпълнява в браузъра на потребителя.
Защитаваме срещу
- Изтичане на документ чрез качване (структурно невъзможно).
- Изтичане чрез JS на трети страни (CSP).
- Зловредни PDF файлове (PDF.js втвърден).
- Brute-force върху Protect (AES-128).
- XSS чрез име на файл.
Не защитаваме срещу
- Зловредни разширения за браузъра.
- Компрометиране на ниво ОС.
- MitM със сътрудничещ CA.
- Странични канали на CPU.
Content Security Policy
CSP в
public/_headers:default-src 'self'- Компромис
'unsafe-inline'за хидратацията на Astro. connect-srcбез крайна точка за документи.
Политика за зависимости и реакция на CVE
Три критични двигателя: PDF.js, pdf-lib, Tesseract.js.
- SLA за корекция на критичен CVE: 72 ч.
- Tesseract self-hosted.
- Проверете — рецепта за 30 секунди.
Качествени бариери в CI
- Проверка на чистотата на двигателя.
- Vitest 97% реда.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Докладване на уязвимост
Разкрийте отговорно по имейл, за да не изложите потребителите на риск с публичен доклад:
[email protected] — включете описание + минимални стъпки за възпроизвеждане.
Целим се в потвърждение в рамките на 48 ч, критична корекция в рамките на 72 ч.
Свързано
- Как работи → — архитектурно ръководство.
- Поверителност → — версия на политиката на ясен език.
- vs iLovePDF / Smallpdf → — архитектурно сравнение едно до друго.
reader.me е идея на David Carrero, изградено в Color Vivo Internet S.L.