Skip to content
reader.me

Tekniska anteckningar

Säkerhetsmodell

Vad reader.me skyddar mot och vad det inte gör. Skrivet för säkerhetsgranskare — ingen marknadsföring.

Hotmodell

reader.me är en SPA som körs i användarens webbläsare.

Vi försvarar mot

  • Dokumentläcka via uppladdning (strukturellt omöjligt).
  • Läcka via tredjeparts-JS (CSP).
  • Skadliga PDF:er (PDF.js härdat).
  • Brute-force på Protect (AES-128).
  • XSS via filnamn.

Vi försvarar inte mot

  • Skadliga webbläsartillägg.
  • OS-nivåkompromiss.
  • MitM med samarbetande CA.
  • CPU-sidokanaler.

Content Security Policy

CSP i public/_headers:
  • default-src 'self'
  • 'unsafe-inline'-kompromiss för Astro-hydrering.
  • connect-src utan dokumentslutpunkt.

Beroendepolicy & CVE-respons

Tre kritiska motorer: PDF.js, pdf-lib, Tesseract.js.

Kvalitetsgrindar i CI

  • Motorrenhetskontroll.
  • Vitest 97% rader.
  • Playwright E2E.
  • axe-core a11y.
  • Lighthouse CI.

Rapportera en sårbarhet

Avslöja ansvarsfullt via e-post så att användare inte utsätts för risk av en offentlig rapport:

[email protected] — inkludera beskrivning + minimala reproduktionssteg.

Vi siktar på bekräftelse inom 48 h, kritisk patch inom 72 h.

Relaterat

reader.me är en idé av David Carrero, byggd på Color Vivo Internet S.L.