Technische notities
Beveiligingsmodel
Waartegen reader.me beschermt en waartegen niet. Geschreven voor security reviewers — geen marketing.
Threat model
reader.me is een SPA die in de browser draait.
We verdedigen tegen
- Document leak via upload (structureel onmogelijk).
- Leak via derde-partij JS (CSP).
- Kwaadaardige PDFs (PDF.js gehard).
- Brute-force op Protect (AES-128).
- XSS via bestandsnaam.
We verdedigen niet tegen
- Kwaadaardige browserextensies.
- OS-compromittering.
- MitM met meewerkende CA.
- CPU-zijkanaals.
Content Security Policy
CSP in
public/_headers:default-src 'self''unsafe-inline'compromise voor Astro hydration.connect-srczonder document endpoint.
Afhankelijkheidsbeleid & CVE-respons
Drie kritieke engines: PDF.js, pdf-lib, Tesseract.js.
- Kritieke CVE SLA: 72 h.
- Tesseract self-hosted.
- Verifieer — 30-sec recept.
Quality gates in CI
- Engine purity check.
- Vitest 97% lijnen.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Vulnerability rapporteren
Meld verantwoord per email:
[email protected] — beschrijving + reproductiestappen.
Bevestiging binnen 48 h, patch kritische issues binnen 72 h.
Gerelateerd
- Hoe het werkt → — architecturale rondleiding.
- Privacy → — beleidsversie in duidelijke taal.
- vs iLovePDF / Smallpdf → — architectuurvergelijking zij-aan-zij.
reader.me is een idee van David Carrero, gebouwd bij Color Vivo Internet S.L.