Dokumenty k hodnocení soutěže WebTop100
Branch: master
Clone or download
spaze Výpočet Page Image Score nezohledňuje moc dobře možné zmenšení všech …
…obrázků, tak se raději budeme dívat na celkový výsledek zmenšení
Latest commit b1ce8e9 Jul 3, 2018
Permalink
Type Name Latest commit message Commit time
Failed to load latest commit information.
README.md Výpočet Page Image Score nezohledňuje moc dobře možné zmenšení všech … Jul 3, 2018

README.md

Hodnocení technického řešení

Hodnocené weby se posuzují individuálně. Tento seznam je pouze základ a je tedy možné do hodnocení konkrétních webů přidat některá další kritéria a je potom na garantovi, aby s porotcem probral jejich váhu. Příkladem může být mobilní verze webu, na kterém se ihned po načtení začne načítat 20 MB video. Takové pravidlo v tomto seznamu není, ale dává smysl jej v hodnocení zohlednit.

Kritické problémy

0 bodů

Web dostává 0 bodů, pokud obsahuje alespoň jeden z uvedených problémů. Při nalezení je potřeba zvážit jejich závažnost. Pokud bude na dvou stránkách ze sta stejný titulek, tak není důvod o webu tvrdit, že má kritické problémy. To samé se týká tabulkového layoutu a značek FONT v kódu.

Pokud web obsahuje uvedenou technickou chybu, která by mohla vést k nějakému bezpečnostnímu problému, tak nezáleží na kolika místech a kde se vyskytuje. Neprovádíme bezpečnostní test, nehledáme bezpečnostní chyby, nebereme v potaz dopad těchto chyb, neurčujeme jejich závažnost. Weby nehackujeme, ani nezkoušíme, jakou zátěž servery vydrží. Hledáme pouze technické chyby, tedy například místa, kde vývojáři zapomněli při výpisu nahradit < za &lt; nebo kde zobrazují neošetřené chybové hlášky programovacího jazyka. Pro hledání takových chyb nepoužíváme žádné automatizované skenovací nástroje. Použití jednoúčelových nástrojů pro zrychlení práce není vyloučeno.

  • zobrazení neošetřené chybové hlášky obsahující důležité systémové informace (Full Path Disclosure)
  • neošetřené uživatelem zadané znaky <, >, ", ' při výpisu (může vést k útoku Cross-Site Scripting)
  • špatně ošetřený uživatelský vstup při odesílání dotazů do databáze (riziko útoku SQL Injection)
  • Vložení místního nebo vzdáleného souboru (Local File Inclusion, Remote File Inclusion)
  • výstup z funkce phpinfo() (/info.php, /phpinfo.php, apod.)
  • Black hat SEO
  • Not Found stránka přesměrována na titulní stránku
  • všechny stránky mají stejný TITLE
  • tabulkový layout
  • tagy FONT v kódu
  • web přesměrovává na HTTPS, ale má certifikáty podepsané nedůvěryhodnou CA nebo neposílá intermediate certifikáty
  • přítomnost skriptu, přes který se dá posílat spam
  • heslo zaslané e-mailem, při registraci nebo zapomenutí
  • přihlašování přes HTTP (týká se uživatelů i příp. administračních rozhraní na "předvídatelných" adresách /admin a dalších)
  • možnost ze serveru získat zdrojové kódy nebo informace o nich (např. ze souboru /.git/HEAD, z výpisu adresářů apod.)
  • použití JavaScriptových knihoven se známými zranitelnostmi
  • web běží na volně dostupném redakčním systému (Wordpress aj. včetně doplňků) se známými zranitelnostmi

Prostor pro zlepšení

1 bod

Web dostává 1 bod, pokud neobsahuje nic z předchozího, ale obsahuje alespoň jeden z následujících problémů:

  • Not Found stránka neposílá HTTP stavový kód 404
  • všechny Not Found stránky jsou nepoužitelné (standardní stránky poskytované serverem)
  • nehezké URL
  • lze odeslat nevyplněné formuláře s vypnutým JS
  • WebPagetest Speed Index 9000 a více (pro první i další načtení)
  • chybějící, nenačtené obrázky na stránce

Bez velkých chyb a nedostatků

2 body

Web dostává 2 body, pokud neobsahuje nic z předchozího, ale obsahuje alespoň jeden z následujících problémů:

  • chybějící soubor robots.txt
  • nefunkční web bez www prefixu
  • session cookie bez příznaku HttpOnly (jiné cookie mohou být bez tohoto příznaku)
  • 2 nebo méně bezpečnostních hlaviček¹
  • WebPagetest Speed Index 6000-8999 (pro první i další načtení)
  • stránky jsou dostupné pomocí HTTP, prohlížeč není přesměrován na HTTPS
  • některé Not Found nebo Forbidden (HTTP kódy 4xx) jsou standardní stránky poskytované serverem

Výborné řešení

3 body

Web dostává 3 body, pokud neobsahuje nic z předchozího, ale chybí mu něco z kategorie Skvěle a inspirativně řešeno.

Skvěle a inspirativně řešeno

4 body

Web dostává 4 body, pokud neobsahuje nic z předchozího a má navíc všechna následující vylepšení:

  • responzivní design (ne speciální mobilní verze)
  • 4 nebo více bezpečnostních hlaviček¹
  • WebPagetest Speed Index 0-2999 (pro první i další načtení)
  • Potential Compressed Weight z Website Speed Testu nad 50 %

¹Bezpečnostními hlavičkami jsou myšleny následující HTTP hlavičky, testují se pomocí securityheaders.com:

  • X-Frame-Options
  • X-Content-Type-Options
  • Content-Security-Policy
  • Strict-Transport-Security
  • X-XSS-Protection
  • Referrer-Policy