Технические заметки
Модель безопасности
От чего reader.me защищает, а от чего нет. Написано для security-ревьюеров — без маркетинга.
Модель угроз
reader.me — SPA, работающее внутри браузера пользователя.
Мы защищаем от
- Утечка документа через загрузку (структурно невозможно).
- Утечка через сторонний JS (CSP).
- Вредоносные PDF против PDF.js (закреплено).
- Брутфорс Protect (AES-128).
- XSS через имя файла.
Мы не защищаем от
- Вредоносные расширения браузера.
- Компрометация ОС.
- MitM с сотрудничающим CA.
- Боковые каналы CPU.
Content Security Policy
CSP в
public/_headers:default-src 'self'- Компромисс
'unsafe-inline'для гидратации Astro. connect-srcбез конечной точки документов.
Политика зависимостей и реагирование на CVE
Три критических движка: PDF.js, pdf-lib, Tesseract.js.
- SLA патча критической CVE: 72 ч.
- Tesseract self-hosted.
- Проверьте — рецепт 30 секунд.
Качественные шлюзы в CI
- Проверка чистоты движка.
- Vitest 97% строк.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Сообщить об уязвимости
Ответственно раскройте по email, чтобы публичный отчёт не подверг пользователей риску:
[email protected] — описание + минимальные шаги воспроизведения.
Целимся подтвердить за 48 ч, патч критики за 72 ч.
Связанное
- Как работает → — архитектурный обзор.
- Приватность → — версия политики, простым языком.
- vs iLovePDF / Smallpdf → — архитектурное сравнение бок о бок.
reader.me — это идея David Carrero, созданная в Color Vivo Internet S.L.