Note tecniche
Modello di sicurezza
Cosa protegge reader.me e cosa no. Scritto per reviewer di sicurezza — nessun marketing.
Threat model
reader.me è una SPA che gira nel browser.
Difendiamo da
- Fuga documento via upload (strutturalmente impossibile).
- Fuga via JS terze parti (CSP).
- PDF malevoli (PDF.js hardened).
- Brute-force su Protect (AES-128).
- XSS via filename.
Non difendiamo da
- Estensioni browser malevole.
- Compromissione OS.
- MitM con CA cooperante.
- Side channel CPU.
Content Security Policy
CSP in
public/_headers:default-src 'self''unsafe-inline'compromesso per Astro hydration.connect-srcsenza endpoint documenti.
Policy dipendenze & risposta CVE
Tre engine critici: PDF.js, pdf-lib, Tesseract.js.
- SLA patch CVE critica: 72 h.
- Tesseract self-hosted.
- Verifica — ricetta 30 sec.
Quality gate in CI
- Engine purity check.
- Vitest 97% righe.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Segnalare una vulnerabilità
Divulgazione responsabile via email:
[email protected] — descrizione + passi minimi di riproduzione.
Conferma in 48 h, patch critici in 72 h.
Correlati
- Come funziona → — walkthrough architetturale.
- Privacy → — versione policy in linguaggio chiaro.
- vs iLovePDF / Smallpdf → — confronto architetturale fianco a fianco.
reader.me è un'idea di David Carrero, costruito presso Color Vivo Internet S.L.