บันทึกทางเทคนิค
แบบจำลองความปลอดภัย
reader.me ปกป้องอะไรและไม่ปกป้องอะไร เขียนสำหรับผู้ตรวจสอบความปลอดภัย — ไม่มีการตลาด
แบบจำลองภัยคุกคาม
reader.me เป็น SPA ที่ทำงานในเบราว์เซอร์ของผู้ใช้
เราป้องกัน
- การรั่วไหลของเอกสารผ่านการอัปโหลด (เป็นไปไม่ได้ทางโครงสร้าง)
- การรั่วไหลผ่าน JS ของบุคคลที่สาม (CSP)
- PDF อันตราย (PDF.js เสริมความแข็งแกร่ง)
- Brute-force บน Protect (AES-128)
- XSS ผ่านชื่อไฟล์
เราไม่ป้องกัน
- ส่วนขยายเบราว์เซอร์ที่เป็นอันตราย
- การประนีประนอมระดับ OS
- MitM กับ CA ที่ร่วมมือ
- ช่องด้านข้าง CPU
Content Security Policy
CSP ใน
public/_headers:default-src 'self'- การแลกเปลี่ยน
'unsafe-inline'สำหรับ Astro hydration connect-srcโดยไม่มี endpoint เอกสาร
นโยบายการพึ่งพา & การตอบสนอง CVE
สามเครื่องยนต์ที่สำคัญ: PDF.js, pdf-lib, Tesseract.js
- SLA แพตช์ CVE วิกฤต: 72 ชั่วโมง
- Tesseract โฮสต์เอง
- ตรวจสอบ — สูตร 30 วินาที
ประตูคุณภาพใน CI
- การตรวจสอบความบริสุทธิ์ของเครื่องยนต์
- Vitest 97% บรรทัด
- Playwright E2E
- axe-core a11y
- Lighthouse CI
รายงานช่องโหว่
เปิดเผยอย่างมีความรับผิดชอบทางอีเมลเพื่อไม่ทำให้ผู้ใช้เสี่ยงด้วยรายงานสาธารณะ:
[email protected] — รวมคำอธิบาย + ขั้นตอนการทำซ้ำขั้นต่ำ
ตั้งเป้ายืนยันใน 48 ชั่วโมง แพตช์วิกฤตใน 72 ชั่วโมง
ที่เกี่ยวข้อง
- ทำงานอย่างไร → — วอล์กทรูสถาปัตยกรรม
- ความเป็นส่วนตัว → — เวอร์ชันนโยบายในภาษาที่ชัดเจน
- vs iLovePDF / Smallpdf → — การเปรียบเทียบสถาปัตยกรรมเคียงข้าง
reader.me เป็นไอเดียโดย David Carrero สร้างที่ Color Vivo Internet S.L.