Teknik notlar
Güvenlik modeli
reader.me'nin neye karşı koruduğu ve neye karşı korumadığı. Güvenlik denetçileri için yazıldı — pazarlama yok.
Tehdit modeli
reader.me, kullanıcının tarayıcısında çalışan bir SPA'dır.
Şunlara karşı savunuruz
- Yükleme yoluyla belge sızıntısı (yapısal olarak imkansız).
- Üçüncü taraf JS yoluyla sızıntı (CSP).
- Kötü amaçlı PDF'ler (PDF.js sertleştirildi).
- Protect brute-force (AES-128).
- Dosya adı yoluyla XSS.
Şunlara karşı savunmuyoruz
- Kötü amaçlı tarayıcı uzantıları.
- OS düzeyinde tehlike.
- İşbirliği yapan CA ile MitM.
- CPU yan kanalları.
Content Security Policy
public/_headers'deki CSP:default-src 'self'- Astro hidratasyonu için
'unsafe-inline'takası. - Belge endpoint'i olmayan
connect-src.
Bağımlılık politikası & CVE yanıtı
Üç kritik motor: PDF.js, pdf-lib, Tesseract.js.
- Kritik CVE patch SLA: 72 saat.
- Tesseract self-hosted.
- Doğrulayın — 30 saniye tarifi.
CI'de kalite kapıları
- Motor saflık kontrolü.
- Vitest %97 satır.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Güvenlik açığı bildirme
Kullanıcıları halka açık raporla riske atmamak için sorumluca email ile açıklayın:
[email protected] — açıklama + minimum yeniden üretim adımları.
48 saat içinde onay, 72 saat içinde kritik patch hedefliyoruz.
İlgili
- Nasıl çalışır → — mimari tur.
- Gizlilik → — sade dilde politika versiyonu.
- vs iLovePDF / Smallpdf → — yan yana mimari karşılaştırma.
reader.me şu kişinin fikridir: David Carrero, Color Vivo Internet S.L.'de inşa edildi.