הערות טכניות
מודל אבטחה
ממה reader.me מגן וממה לא. נכתב לסוקרי אבטחה — ללא שיווק.
מודל איומים
reader.me הוא SPA שרץ בתוך הדפדפן של המשתמש.
אנו מגנים מפני
- דליפת מסמך דרך העלאה (בלתי אפשרי מבנית).
- דליפה דרך JS צד שלישי (CSP).
- PDFים זדוניים (PDF.js הוקשח).
- Brute-force על Protect (AES-128).
- XSS דרך שם קובץ.
איננו מגנים מפני
- הרחבות דפדפן זדוניות.
- פגיעה ברמת מערכת ההפעלה.
- MitM עם CA שיתופי.
- ערוצים צדדיים של מעבד.
Content Security Policy
CSP ב-
public/_headers:default-src 'self'- פשרת
'unsafe-inline'עבור הידרציית Astro. connect-srcללא נקודת קצה למסמכים.
מדיניות תלויות ותגובת CVE
שלושה מנועים קריטיים: PDF.js, pdf-lib, Tesseract.js.
- SLA תיקון CVE קריטי: 72 שעות.
- Tesseract self-hosted.
- אמת — מתכון 30 שניות.
שערי איכות ב-CI
- בדיקת טוהר מנוע.
- Vitest 97% שורות.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
דיווח על פגיעות
חשוף באחריות בדוא"ל כדי לא לסכן את המשתמשים בדוח ציבורי:
[email protected] — כלול תיאור וצעדי שחזור מינימליים.
מכוונים לאישור תוך 48 שעות, תיקון קריטי תוך 72 שעות.
קשור
- איך זה עובד → — סקירה ארכיטקטונית.
- פרטיות → — גרסת המדיניות בשפה ברורה.
- vs iLovePDF / Smallpdf → — השוואה ארכיטקטונית זה לצד זה.
reader.me הוא רעיון של David Carrero, נבנה ב-Color Vivo Internet S.L.