Kritika svetpokladu.cz : Starožitný a tradiční nábytek

2.1 MB tranferred 5.7MB resources Load 10.70s pri Fast 3G je docela špatné, web je relativne dosť pomalý, na mobile je to ešte horšie, celý priebeh načitávania, viď: developers.google.com/speed/pagespeed/insights/?url=https%3A%2F%2Fsvetpokladu.cz%2F
V consoli sú chyby. V kóde taky. Príklad v CSS máte farbu definovanú ako "c7c7c7" ale chýba na začiatku hodnoty mriežka. Alebo máte v kóde aj:

<</button> a pod. Pri interakcii už i ako uživateľ som narazil na chyby / bugy.

Obrázky zobrazujete v inom rozlíšení než reálne sú, sťahujete tucet pixelov na vyše ktoré nezobrazujete. Je tam tucet prekrývaných prvkov, text ktorý není zobrazený, špatné kontrasty, grafika preplácaná, hitboxy interaktívnych prvkov sú iné než jak sú zobrazené, máte tam bezpečnostné chyby. Nepoužívate pasívne listenery pre scroll kde by boli vhodné a zbytočne tým spotrebúvavate výkon. Nepoužívate `rel="noopener"` or `rel="noreferrer"`pri odkazoch tretích strán. Používate nesprávne HTTP kódy. A tucet ďalšieho. Responzivita je taky špatná, čož sa nediviť když sa prekrívajú tlačítka už aj na desktopovom webe (napríklad TIDIO a messenger), vstup nieje všade validovaný, a kde je tak špatne, nesprávne spracuvávate vstupy využívajúce XSS útok, namiesto rozumného sanitizovania / oescapovanie, alebo iného spracovania vstupu, zobrazíte nezmyselnú podstránku, ktorú uživateľ bežne vidieť nechce.

"The page you are trying to access is restricted due to a security rule.

If you believe the security rule is affecting the normal operation of your website, contact your host support team and provide detailed instructions how to recreate this error.
They will be able to assist you with rectifying the problem and adjusting the security configuration if needed."

Nekdy ani nezobrazilo túto stránku ale úspešne sa podarilo napsaním určitého vstupu spôsobiť to že zvyšok stránky zobrazoval zdrojové kódy. A dá sa úspešne vykonať aj XSS útok i na servery alebo databázy a vykonať ľubovolný kód.

Ovládanie špatné teda taky. Niektoré súvisiace prvky u ktorých je vhodné mať stejnú veľkosť, zovrazujete v rozdielnych veľkostiach, text siaha mimo boxu, atď atď. Celkovo tých chýb je tam tucet.

Celkové hodnotenie:

Kvalita: 0/10
Rýchlosť: 1/10
Funkčnosť: 3/10
Responzivita: 4/10
Ovládanie: 5/10
Grafika: 6/10
Ostatné: 4/10

Na staré verzi po zběžném prohlédnutí enkódujete uživatelský vstup pro vyhledávání (správně), ale na nové verzi na to zapomínáte, když vyhledáte "><svg/onload=alert(document.domain)// tak je to reflektované XSS (bezpečnostní problém) jak mák.


Design ani kód se necítím kompetentní posuzovat.

mckay:
jj, jak sem psal, dokonca sa dá dostať až do databázy. Tých chýb je tam taký tucet, že teraz kdybych mal pokračovať vo vývoji toho tak bych se na to vysral, a začal od znova.

Pr0crusTeS:
Možná bych zvážil najmout někoho, kdo udělá audit nad celym tím webem.

Připomínky z diskuze jsou fajn, ale k ničemu, jsou jen části celku. Zbytek je v server části, kterou nikdo nevidí a je zodpovědná za pomalost toho webu (mimojine).

Jsem na telefonu, takže se pokusím co nejstručněji a nejlépe: XSS je zranitelnost, kdy uživatel může zadat vstup který obsahuje HTML/JavaScript což jsou jazyky, kterými se píšou weby. Při vyhledávání se pak vyhledávaný dotaz předává přes adresu - je tedy možné někomu poslat odkaz na konkrétní vyhledávání.

V bezpečném případě někdo může svému známému poslat odkaz na vyhledávání konkrétního kusu nábytku. A všechno bude v pořádku.

Ale v nebezpečném případě někdo může někomu poslat odkaz který obsahuje HTML+JavaScript který bude vykonán u toho někoho v prohlížeči (může vést až na ukradení účtu).

Ochrana proti tomuto typu útoku je tzv. enkodovani vstupu před tím než je vykreslen do stránek. Rád Vašemu vývojovému týmu zdarma poradím. A kontaktujte mě na dusekdan+djpw@gmail.com a vše s vašimi lidmi rád zdarma proberu. Mlocik výše zmiňoval SQL injection na kterou jsem přímo netestoval, ale nejspíš tam bude také. I s tím jsem schopen pomoci.