Catatan teknis
Model keamanan
Apa yang reader.me lindungi dan tidak. Ditulis untuk reviewer keamanan — tanpa pemasaran.
Model ancaman
reader.me adalah SPA yang berjalan di dalam browser pengguna.
Kami bertahan terhadap
- Kebocoran dokumen via upload (struktural mustahil).
- Kebocoran via JS pihak ketiga (CSP).
- PDF jahat (PDF.js dikeraskan).
- Brute-force pada Protect (AES-128).
- XSS via nama berkas.
Kami tidak bertahan terhadap
- Ekstensi browser jahat.
- Kompromi tingkat OS.
- MitM dengan CA kooperatif.
- Saluran samping CPU.
Content Security Policy
CSP di
public/_headers:default-src 'self'- Trade-off
'unsafe-inline'untuk hidrasi Astro. connect-srctanpa endpoint dokumen.
Kebijakan dependensi & respons CVE
Tiga engine kritis: PDF.js, pdf-lib, Tesseract.js.
- SLA patch CVE kritis: 72 jam.
- Tesseract self-hosted.
- Verifikasi — resep 30 detik.
Gerbang kualitas di CI
- Pemeriksaan kemurnian engine.
- Vitest 97% baris.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Melaporkan kerentanan
Ungkap secara bertanggung jawab via email agar pengguna tidak berisiko karena laporan publik:
[email protected] — sertakan deskripsi dan langkah reproduksi minimal.
Target konfirmasi 48 jam, patch kritis 72 jam.
Terkait
- Bagaimana bekerja → — walkthrough arsitektur.
- Privasi → — versi kebijakan dalam bahasa yang jelas.
- vs iLovePDF / Smallpdf → — perbandingan arsitektur berdampingan.
reader.me adalah ide dari David Carrero, dibangun di Color Vivo Internet S.L.