Технічні нотатки
Модель безпеки
Від чого reader.me захищає та від чого ні. Написано для рецензентів безпеки — без маркетингу.
Модель загроз
reader.me — це SPA, що працює всередині браузера користувача.
Ми захищаємо від
- Витоку документа через завантаження (структурно неможливо).
- Витоку через сторонній JS (CSP).
- Шкідливих PDF (PDF.js загартований).
- Брутфорсу Protect (AES-128).
- XSS через ім'я файлу.
Ми не захищаємо від
- Шкідливих розширень браузера.
- Компрометації на рівні ОС.
- MitM зі співпрацюючим CA.
- Бічних каналів CPU.
Content Security Policy
CSP у
public/_headers:default-src 'self'- Компроміс
'unsafe-inline'для гідратації Astro. connect-srcбез endpoint документів.
Політика залежностей та реакція на CVE
Три критичних двигуни: PDF.js, pdf-lib, Tesseract.js.
- SLA патча критичної CVE: 72 год.
- Tesseract self-hosted.
- Перевірте — рецепт 30 секунд.
Шлюзи якості у CI
- Перевірка чистоти двигуна.
- Vitest 97% рядків.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Повідомити про вразливість
Відповідально розкрийте електронною поштою, щоб публічний звіт не наражав користувачів на ризик:
[email protected] — включіть опис та мінімальні кроки відтворення.
Цілимо підтвердити за 48 год, критичний патч за 72 год.
Пов'язане
- Як працює → — архітектурний огляд.
- Приватність → — версія політики простою мовою.
- vs iLovePDF / Smallpdf → — пліч-о-пліч архітектурне порівняння.
reader.me — це ідея David Carrero, створена в Color Vivo Internet S.L.