Tekniska anteckningar
Säkerhetsmodell
Vad reader.me skyddar mot och vad det inte gör. Skrivet för säkerhetsgranskare — ingen marknadsföring.
Hotmodell
reader.me är en SPA som körs i användarens webbläsare.
Vi försvarar mot
- Dokumentläcka via uppladdning (strukturellt omöjligt).
- Läcka via tredjeparts-JS (CSP).
- Skadliga PDF:er (PDF.js härdat).
- Brute-force på Protect (AES-128).
- XSS via filnamn.
Vi försvarar inte mot
- Skadliga webbläsartillägg.
- OS-nivåkompromiss.
- MitM med samarbetande CA.
- CPU-sidokanaler.
Content Security Policy
CSP i
public/_headers:default-src 'self''unsafe-inline'-kompromiss för Astro-hydrering.connect-srcutan dokumentslutpunkt.
Beroendepolicy & CVE-respons
Tre kritiska motorer: PDF.js, pdf-lib, Tesseract.js.
- SLA för kritisk CVE-patch: 72 h.
- Tesseract self-hosted.
- Verifiera — 30-sekundersrecept.
Kvalitetsgrindar i CI
- Motorrenhetskontroll.
- Vitest 97% rader.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Rapportera en sårbarhet
Avslöja ansvarsfullt via e-post så att användare inte utsätts för risk av en offentlig rapport:
[email protected] — inkludera beskrivning + minimala reproduktionssteg.
Vi siktar på bekräftelse inom 48 h, kritisk patch inom 72 h.
Relaterat
- Hur det fungerar → — arkitektonisk genomgång.
- Integritet → — policyversion på enkelt språk.
- vs iLovePDF / Smallpdf → — arkitektonisk jämförelse sida vid sida.
reader.me är en idé av David Carrero, byggd på Color Vivo Internet S.L.