Skip to content
Patens
EN
Volver al inicio

Seguridad

Última actualización: 2026-05-27

Patens es código abierto MIT. Cualquier afirmación que hagamos acá podés verificarla leyendo el código en github.com/alevizio/patens .

Modelo de amenazas

Lo que Patens protege:

  • Tu trabajo del lado cliente. Los proyectos viven en IndexedDB de tu navegador. No los exportamos sin tu acción explícita.
  • Tu API key de Anthropic. Si la configurás, se guarda en localStorage local y nunca sale a nuestros servidores. El proxy AI sólo forwardea (con límites + allowlist de modelos).
  • Los enlaces compartidos. El delete-token se almacena como hash SHA-256 en el blob público — el token raw nunca queda en la nube. Sólo vos (con el token raw que se te muestra al crear el share) podés borrarlo.

Lo que NO está en el modelo de amenazas:

  • Disponibilidad de los shares en la nube. Vercel Blob puede caer; un enlace compartido podría no responder por algún tiempo. No hay SLA. Mantené copia local (.font.json) para tu archivo.
  • Privacidad de los shares. El enlace ES la capacidad — cualquiera con el enlace puede ver. Si querés privacidad, no lo compartas, o usá un short-link revocable.

Headers HTTP de hardening

Cada respuesta de la app aplica estos headers vía el handle hook de SvelteKit:

  • X-Content-Type-Options: nosniff
  • X-Frame-Options: DENY — bloquea embed en iframe (protección contra clickjacking)
  • Referrer-Policy: strict-origin-when-cross-origin
  • Permissions-Policy — bloquea camera, microphone, geolocation, payment, USB
  • Strict-Transport-Security (HSTS, preload-ready, 2 años) — sólo en HTTPS

Reportar vulnerabilidades

Por favor reportá privadamente primero — no abras issues públicos para vulnerabilidades.

SLA del solo-maintainer: triage inicial dentro de 7 días, fix con la urgencia que el impacto amerite. Te acreditamos en el advisory público a menos que pidas anonimato.

La política de seguridad completa se publica con el lanzamiento público.