یادداشتهای فنی
مدل امنیتی
reader.me از چه چیزی محافظت میکند و از چه چیزی نه. برای بازبینان امنیت نوشته شده — بدون بازاریابی.
مدل تهدید
reader.me یک SPA است که در مرورگر کاربر اجرا میشود.
دفاع میکنیم در برابر
- نشت سند از طریق آپلود (از نظر ساختاری غیرممکن).
- نشت از طریق JS شخص ثالث (CSP).
- PDFهای مخرب (PDF.js سختشده).
- حمله Brute-force روی Protect (AES-128).
- XSS از طریق نام فایل.
دفاع نمیکنیم در برابر
- افزونههای مخرب مرورگر.
- به خطر افتادن سطح OS.
- MitM با CA همکار.
- کانالهای جانبی CPU.
Content Security Policy
CSP در
public/_headers:default-src 'self'- توافق
'unsafe-inline'برای hydration Astro. connect-srcبدون endpoint سند.
خطمشی وابستگیها و پاسخ CVE
سه موتور حیاتی: PDF.js، pdf-lib، Tesseract.js.
- SLA وصله CVE بحرانی: 72 ساعت.
- Tesseract self-hosted.
- تأیید کنید — دستور 30 ثانیهای.
دروازههای کیفیت در CI
- بررسی خلوص موتور.
- Vitest 97% خط.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
گزارش آسیبپذیری
بهطور مسئولانه از طریق ایمیل افشا کنید تا کاربران با گزارش عمومی در معرض خطر قرار نگیرند:
[email protected] — توضیحات و حداقل مراحل بازتولید را شامل کنید.
هدف تأیید در 48 ساعت، وصله بحرانی در 72 ساعت.
مرتبط
- چگونه کار میکند → — پیشروی معماری.
- حریم خصوصی → — نسخه خطمشی به زبان ساده.
- vs iLovePDF / Smallpdf → — مقایسه معماری در کنار هم.
reader.me ایدهای از David Carrero است، در Color Vivo Internet S.L. ساخته شده.