Skip to content
reader.me

Τεχνικές σημειώσεις

Μοντέλο ασφαλείας

Από τι προστατεύει το reader.me και από τι όχι. Γραμμένο για ελεγκτές ασφαλείας — χωρίς μάρκετινγκ.

Μοντέλο απειλών

Το reader.me είναι μια SPA που εκτελείται μέσα στον περιηγητή του χρήστη.

Αμυνόμαστε έναντι

  • Διαρροής εγγράφου μέσω μεταφόρτωσης (δομικά αδύνατο).
  • Διαρροής μέσω JS τρίτων (CSP).
  • Κακόβουλων PDF (PDF.js ενισχυμένο).
  • Brute-force στο Protect (AES-128).
  • XSS μέσω ονόματος αρχείου.

Δεν αμυνόμαστε έναντι

  • Κακόβουλων επεκτάσεων περιηγητή.
  • Παραβίασης σε επίπεδο OS.
  • MitM με συνεργαζόμενη CA.
  • Πλευρικών καναλιών CPU.

Content Security Policy

CSP στο public/_headers:
  • default-src 'self'
  • Συμβιβασμός 'unsafe-inline' για την ενυδάτωση Astro.
  • connect-src χωρίς endpoint εγγράφων.

Πολιτική εξαρτήσεων & απόκριση CVE

Τρεις κρίσιμες μηχανές: PDF.js, pdf-lib, Tesseract.js.

Πύλες ποιότητας στο CI

  • Έλεγχος καθαρότητας μηχανής.
  • Vitest 97% γραμμές.
  • Playwright E2E.
  • axe-core a11y.
  • Lighthouse CI.

Αναφορά ευπάθειας

Αποκαλύψτε υπεύθυνα μέσω email ώστε να μην τεθούν οι χρήστες σε κίνδυνο από δημόσια αναφορά:

[email protected] — συμπεριλάβετε περιγραφή + ελάχιστα βήματα αναπαραγωγής.

Στοχεύουμε σε επιβεβαίωση εντός 48 ωρών, κρίσιμη επιδιόρθωση εντός 72 ωρών.

Σχετικά

Το reader.me είναι ιδέα του David Carrero, φτιαγμένο στην Color Vivo Internet S.L.