Ghi chú kỹ thuật
Mô hình bảo mật
reader.me bảo vệ những gì và không bảo vệ những gì. Viết cho reviewer bảo mật — không tiếp thị.
Mô hình mối đe dọa
reader.me là một SPA chạy bên trong trình duyệt người dùng.
Chúng tôi phòng thủ chống lại
- Rò rỉ tài liệu qua tải lên (cấu trúc bất khả thi).
- Rò rỉ qua JS bên thứ ba (CSP).
- PDF độc hại (PDF.js được gia cố).
- Brute-force trên Protect (AES-128).
- XSS qua tên tệp.
Chúng tôi không phòng thủ chống lại
- Tiện ích mở rộng trình duyệt độc hại.
- Xâm phạm cấp OS.
- MitM với CA hợp tác.
- Kênh bên CPU.
Content Security Policy
CSP trong
public/_headers:default-src 'self'- Đánh đổi
'unsafe-inline'cho hydration Astro. connect-srckhông có endpoint tài liệu.
Chính sách phụ thuộc & phản ứng CVE
Ba động cơ quan trọng: PDF.js, pdf-lib, Tesseract.js.
- SLA vá CVE nghiêm trọng: 72 giờ.
- Tesseract tự lưu trữ.
- Xác minh — công thức 30 giây.
Cổng chất lượng trong CI
- Kiểm tra tinh khiết động cơ.
- Vitest 97% dòng.
- Playwright E2E.
- axe-core a11y.
- Lighthouse CI.
Báo cáo lỗ hổng
Công bố có trách nhiệm qua email để không gây rủi ro cho người dùng bằng báo cáo công khai:
[email protected] — bao gồm mô tả + các bước tái tạo tối thiểu.
Mục tiêu xác nhận trong 48 giờ, vá nghiêm trọng trong 72 giờ.
Liên quan
- Hoạt động như thế nào → — hướng dẫn kiến trúc.
- Quyền riêng tư → — phiên bản chính sách bằng ngôn ngữ rõ ràng.
- vs iLovePDF / Smallpdf → — so sánh kiến trúc song song.
reader.me là ý tưởng của David Carrero, được xây dựng tại Color Vivo Internet S.L.