Notas técnicas
Modelo de segurança
O que o reader.me protege e o que não. Escrito para reviewers de segurança — sem marketing.
Threat model
reader.me é uma SPA que corre no navegador.
Defendemos contra
- Fuga de documento via upload (estruturalmente impossível).
- Fuga via JS terceiros (CSP).
- PDFs maliciosos (PDF.js hardened).
- Brute-force no Protect (AES-128).
- XSS via nome de ficheiro.
Não defendemos contra
- Extensões maliciosas.
- Comprometimento OS.
- MitM com CA cooperante.
- Side channels CPU.
Content Security Policy
CSP em
public/_headers:default-src 'self''unsafe-inline'compromisso para Astro hydration.connect-srcsem endpoint documentos.
Política de dependências & resposta CVE
Três engines críticos: PDF.js, pdf-lib, Tesseract.js.
- SLA patch CVE crítico: 72 h.
- Tesseract self-hosted.
- Verifica — receita 30 seg.
Quality gates em CI
- Engine purity check.
- Vitest 97% linhas.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Reportar uma vulnerabilidade
Divulga responsável por email:
[email protected] — descrição + passos de reprodução.
Confirmação em 48 h, patch crítico em 72 h.
Relacionados
- Como funciona → — walkthrough arquitetónico.
- Privacidade → — versão política em linguagem clara.
- vs iLovePDF / Smallpdf → — comparação arquitetónica lado a lado.
reader.me é uma ideia de David Carrero, construído na Color Vivo Internet S.L.