SlideShare a Scribd company logo

WebTop100 Technické chyby, výkon a bezpečnost

Download as ODP, PDF
Michal Špaček
Michal Špaček

Neokrádejte se zbytečně aneb technické chyby vašeho webu, které vás připraví o peníze

1 of 22
aneb technické chyby vašeho webu, které vás připraví o peníze Michal Špaček www.michalspacek.cz @spazef0rze Konference WebTop100, Praha, 25. října 2012
Ačkoliv nejběžnější chyba, která vás připraví o peníze, tak čistě technicky, tahle aspoň stojí za to. Myslím samozřejmě tu jízdu. V tom autě. S takovým vozem člověk o peníze přijde snad i rád. Ale pojďme si něco říci o chybách, kvůli kterým přijdete o peníze a … nebudete rádi. @spazef0rze www.michalspacek.cz
Návštěvník í up eko kter c n ý si ni Mít vysoký počet návštěvníků je určitě fajn pocit. Pokud část návštěvníků provozovateli e-shopu nenechá aspoň kousek své težce vydělané výplaty, tak dělá něco špatně. Ten provozovatel. Naděje na získání objektů z předchozí stránky mu tak nenávratně mizí v dáli. @spazef0rze www.michalspacek.cz
Když se návštěvníkovi pomalu načítá váš web, tak se nakonec ani návštěvníkem stát nemusí, natožpak aby si něco koupil. Zkrátka, pauza na oběd v práci není tak dlouhá, jak se zdála a návštěvník odejde k „rychlejší“ konkurenci a své peníze nechá jim. @spazef0rze www.michalspacek.cz
5 sec Web by se měl komplet zobrazit třeba do 5 vteřin. Po uplynutí této doby by mělo jít stránku používat, klikat na tlačítka apod. U každého oboru a návštěvníka je tato doba jinak dlouhá a každého, koho se zeptáte vám řekne jiné číslo. Jedno je ale jasné: čím dřív, tím líp. @spazef0rze www.michalspacek.cz
6 sec Všichni návštěvníci samozřejmě stránku neopustí po pěti vtěřinách, většina jich asi zůstane, ale pokud nemáte „tvrdá“ čísla, o kolik peněz přijdete, když načtení stránky prodloužíte, tak nad tím asi mávnete rukou a půjdete dělat něco užitečnějšího, než zrychlovat o milisekundy. @spazef0rze www.michalspacek.cz
100ms = 1% * 1s = $1,6 mld * zdroj: Internet Tak například Amazon tvrdí, že za každých 100 ms, o které se jejich stránky načítají pomaleji klesnou prodeje o 1 %, řečí peněz to pak znamená, že načítání stránky zpomalené o 1 vteřinu znamená ztrátu 1,6 miliardy USD ročně na obratu. Docela dost babek. @spazef0rze www.michalspacek.cz
Pro představu, toto je podle http://www.pagetutor.com/trillion/index.html prý miliarda USD ve stodolarových bankovkách. To se do krabice od vína nevejde, jen tak mimochodem. Přidejte ještě šest palet a máte 1,6 mld USD. Teda vlastně spíš nemáte. @spazef0rze www.michalspacek.cz
* 500ms navíc = 20% návštěvnosti * zdroj: také Internet Google zase říká, že 500 ms navíc při načítání stránky ho připraví o 20 % návštěvnosti jeho vyhledávače. Díky tomu tak návštěvníci vidí méně reklam a Google vidí méně peněz na svých účtech. @spazef0rze www.michalspacek.cz
Na Google je hezky vidět, jak se zrychluje. Díky Google Instant http://www.google.com/instant/ vidíte výsledky vyhledávání hned, když píšete dotaz. Google také zcela vypustil titulní stránku vyhledávače, která zmizí hned, jakmile začnete psát svůj dotaz. @spazef0rze www.michalspacek.cz
S P D Y SPDY je protokol vyvíjený primárně Google. Zrychluje načítání stránek obecně, z prohlížečů ho podporuje Chrome a Firefox a na webových serverech ho používá Google pro svoje vyhledávání, Gmail, ale používá ho také například i Twitter. @spazef0rze www.michalspacek.cz
A co uděláte pro zrychlení stránek právě vy? @spazef0rze www.michalspacek.cz
Návštěvník který chce nakoupit a ušetřit Druhou hrozbou, díky které můžete přijít o nějaké ty drobné, je návštěvník, který chce nakoupit, ale zároveň ušetřit a trochu se v tom vyzná. Takový návštěvník může zneužít chyby ve vaší webové aplikaci ve svůj prospěch takovým způsobem, že na to nikdy nikdo nepřijde. @spazef0rze www.michalspacek.cz
Bez znalosti uživatelského jména a hesla se může přihlásit do administrační sekce vašeho obchodu a změnit si stav objednávky, případně si ji rovnou nechat odeslat i bez nutnosti za zboží platit. Tyto akce provádí pod jménem administrátora, takže vše vypadá v pohodě. @spazef0rze www.michalspacek.cz
Nebo si například může vygenerovat slevové kupóny, díky kterým sníží celkovou cenu objednávky tak nízko, že se dostane pod vaši nákupní cenu. Může si je také jednoduše najít ve vaší databázi. Pokud je pak použije, tak také na nic nepřijdete a budete mu muset zboží poslat. @spazef0rze www.michalspacek.cz
' ← apostrof A to třeba jenom proto, že tvůrce vaší aplikace zapomněl ošetřit tento speciální znak, apostrof, někdy nazývaný též jako jednoduchá uvozovka. Tento znak má pro databázový server speciální význam a díky této chybě je možné provádět uvedené triky. Jeden znak a jakou nadělá paseku. @spazef0rze www.michalspacek.cz
zpětné lomítko → ' Ošetřit tento speciální znak ale není nic složitého. Jedna z možností je v uživatelem zadaných datech před každý apostrof dát zpětné lomítko, zjednodušeně řečeno. Záleží na konkrétním případě, někdy ošetření může být trochu jiné, ale další možnosti jsou přibližně stejně složité. @spazef0rze www.michalspacek.cz
Dávejte si také velký pozor, co na váš web nahráváte. Informace, které jsou nebezpečné tam vůbec neumisťujte, dají se totiž najít třeba Googlem a to i přesto, že na ně nevede z vašeho webu žádný odkaz. Dané informace se totiž dají použít někde jinde nebo se dají prostě prodat. @spazef0rze www.michalspacek.cz
Za kolik se dají prodat? To nevím, ale pojďme to zkusit. Kolik nabízíte za databázi uživatelů webu bushmanshop.cz? Obsahuje přes 300 ověřených uživatelů a jejich dat, jako třeba emailových adres, ale i ulic a měst a telefonů. @spazef0rze www.michalspacek.cz
Ta databáze nemá velkou cenu, je totiž volně ke stažení na webu bushmanshop.cz. Stačí se podívat do souboru robots.txt a dále pak do adresářů, které tam jsou vypsány. Obsahují zajímavé věci, které si může kdokoliv stáhnout. A nejspíš už si je i někdo stáhnul. @spazef0rze www.michalspacek.cz
A takhle bezpečně my tady žijem. Michal Špaček www.michalspacek.cz @spazef0rze
Použité fotografie a obrázky: 1. Another sign of the times, Rebecca Wilson 2. Svjetlana BMW Z4 Shoot, paulStarPics 3. Moonrise, Michele Molinari 8. http://www.pagetutor.com/trillion/index.html 10. http://www.google.com/instant/ 11. Bugatti Veyron Super Sport, J.Smith831 12. Turbo, Matthew Hine 13. Food for the wallet, _Dinkel_ 19. With a little help from my friends…, Daniele Margaroli @spazef0rze www.michalspacek.cz

Recommended

Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Michal Špaček
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
Michal Špaček
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Michal Špaček
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí služba
Michal Špaček
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojáře
Michal Špaček
 
Hashování hesel
Hashování heselHashování hesel
Hashování hesel
Michal Špaček
 
Poučte se z cizích chyb
Poučte se z cizích chybPoučte se z cizích chyb
Poučte se z cizích chyb
Michal Špaček
 
Zabezpečení Slevomatu
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení Slevomatu
Michal Špaček
 

Recommended

Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Víte, že nevíte, že já vím, že nevíte? (WebTop100 2014)
Michal Špaček
 
Základy webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketingZáklady webové bezpečnosti pro PR a marketing
Základy webové bezpečnosti pro PR a marketing
Michal Špaček
 
XSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQXSS PHP CSP ETC OMG WTF BBQ
XSS PHP CSP ETC OMG WTF BBQ
Michal Špaček
 
Medvědí služba
Medvědí službaMedvědí služba
Medvědí služba
Michal Špaček
 
Noční můry webového vývojáře
Noční můry webového vývojářeNoční můry webového vývojáře
Noční můry webového vývojáře
Michal Špaček
 
Hashování hesel
Hashování heselHashování hesel
Hashování hesel
Michal Špaček
 
Poučte se z cizích chyb
Poučte se z cizích chybPoučte se z cizích chyb
Poučte se z cizích chyb
Michal Špaček
 
Zabezpečení Slevomatu
Zabezpečení SlevomatuZabezpečení Slevomatu
Zabezpečení Slevomatu
Michal Špaček
 
Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na hesla
Michal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Michal Špaček
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPS
Michal Špaček
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
Michal Špaček
 
Zapomeňte vaše hesla
Zapomeňte vaše heslaZapomeňte vaše hesla
Zapomeňte vaše hesla
Michal Špaček
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Michal Špaček
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Michal Špaček
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Michal Špaček
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání hesel
Michal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Michal Špaček
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
Michal Špaček
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
Michal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Michal Špaček
 
Total Cost of Pwnership
Total Cost of PwnershipTotal Cost of Pwnership
Total Cost of Pwnership
Michal Špaček
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
New Media Inspiration
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webu
Miloš Janda
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Michal Špaček
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
Martin Michálek
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 
Vojtěch Foukal - SEO 3x jinak
Vojtěch Foukal - SEO 3x jinakVojtěch Foukal - SEO 3x jinak
Vojtěch Foukal - SEO 3x jinak
VISIBILITY digital - internet marketing agency
 
StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)
JIC
 

More Related Content

What's hot

Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na hesla
Michal Špaček
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Michal Špaček
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
Michal Špaček
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPS
Michal Špaček
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
Michal Špaček
 
Zapomeňte vaše hesla
Zapomeňte vaše heslaZapomeňte vaše hesla
Zapomeňte vaše hesla
Michal Špaček
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Michal Špaček
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Michal Špaček
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Michal Špaček
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání hesel
Michal Špaček
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všude
Michal Špaček
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
Michal Špaček
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
Michal Špaček
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
Michal Špaček
 
Total Cost of Pwnership
Total Cost of PwnershipTotal Cost of Pwnership
Total Cost of Pwnership
Michal Špaček
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
New Media Inspiration
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webu
Miloš Janda
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Michal Špaček
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
Martin Michálek
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)wcsk
 

What's hot (20)

Hlava není na hesla
Hlava není na heslaHlava není na hesla
Hlava není na hesla
 
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
Minulé století volalo (Cross-Site Scripting + BeEF + CSP demo)
 
Jak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webuJak zlepšit zabezpečení čtvrtiny celého webu
Jak zlepšit zabezpečení čtvrtiny celého webu
 
Přechod na HTTPS
Přechod na HTTPSPřechod na HTTPS
Přechod na HTTPS
 
HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)HTTP Strict Transport Security (HSTS)
HTTP Strict Transport Security (HSTS)
 
Zapomeňte vaše hesla
Zapomeňte vaše heslaZapomeňte vaše hesla
Zapomeňte vaše hesla
 
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdíleníPassword manažeři detailněji – 1Password, LastPass, 2FA, sdílení
Password manažeři detailněji – 1Password, LastPass, 2FA, sdílení
 
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site ScriptinguVíceúrovňová obrana vysvětlená na Cross-Site Scriptingu
Víceúrovňová obrana vysvětlená na Cross-Site Scriptingu
 
Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)Bezpečnost e-shopů (HTTPS, XSS, CSP)
Bezpečnost e-shopů (HTTPS, XSS, CSP)
 
Lámání a ukládání hesel
Lámání a ukládání heselLámání a ukládání hesel
Lámání a ukládání hesel
 
HTTPS (a šifrování) všude
HTTPS (a šifrování) všudeHTTPS (a šifrování) všude
HTTPS (a šifrování) všude
 
Kolik webových útoků znáš...
Kolik webových útoků znáš...Kolik webových útoků znáš...
Kolik webových útoků znáš...
 
Bezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikaceBezpečnostní útoky na webové aplikace
Bezpečnostní útoky na webové aplikace
 
Bezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeníchBezpečnost na mobilních zařízeních
Bezpečnost na mobilních zařízeních
 
Total Cost of Pwnership
Total Cost of PwnershipTotal Cost of Pwnership
Total Cost of Pwnership
 
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
NMI14 Michal Špaček - Jak vytvářet, ukládat, používat hesla, jaké nástroje k ...
 
Bezpečnost na webu
Bezpečnost na webuBezpečnost na webu
Bezpečnost na webu
 
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
Bezpečnostní útoky na webové aplikace, Čtvrtkon 5
 
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)WordPress šablony a rychlost načítání (WordCamp Praha 2017)
WordPress šablony a rychlost načítání (WordCamp Praha 2017)
 
Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)Website Security & WordPress (Peter Gramantik)
Website Security & WordPress (Peter Gramantik)
 

Similar to WebTop100 Technické chyby, výkon a bezpečnost

Vojtěch Foukal - SEO 3x jinak
Vojtěch Foukal - SEO 3x jinakVojtěch Foukal - SEO 3x jinak
Vojtěch Foukal - SEO 3x jinak
VISIBILITY digital - internet marketing agency
 
StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)
JIC
 
Linkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKuLinkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKu
Taste Medio
 
Jak privest-dvojnasobek-zakazniku
Jak privest-dvojnasobek-zakaznikuJak privest-dvojnasobek-zakazniku
Jak privest-dvojnasobek-zakaznikuhelenecka
 
Wired-in: Marketing v dobe internetu
Wired-in: Marketing v dobe internetuWired-in: Marketing v dobe internetu
Wired-in: Marketing v dobe internetu
Pavel Šíma
 
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?Jak pomocí machine learningu vytěžovat data z RTB i v CRM?
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?
Taste Medio
 
Copycamp 2014 Karel Borovička - Logický rámec & síla PROČ
Copycamp 2014 Karel Borovička - Logický rámec & síla PROČCopycamp 2014 Karel Borovička - Logický rámec & síla PROČ
Copycamp 2014 Karel Borovička - Logický rámec & síla PROČ
innovio
 
Karel Borovička: Lamí tipy, jak souznít s klientem
Karel Borovička: Lamí tipy, jak souznít s klientemKarel Borovička: Lamí tipy, jak souznít s klientem
Karel Borovička: Lamí tipy, jak souznít s klientem
H1.cz
 
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...
H1.cz
 
Jak nám vývojáři hážou klacky pod nohy?
Jak nám vývojáři hážou klacky pod nohy?Jak nám vývojáři hážou klacky pod nohy?
Jak nám vývojáři hážou klacky pod nohy?
Taste Medio
 
17 SUPER tipů na zvýšení návštěvnosti
17 SUPER tipů na zvýšení návštěvnosti17 SUPER tipů na zvýšení návštěvnosti
17 SUPER tipů na zvýšení návštěvnosti
Nytra Digital - digitální agentura
 
Prezentace Barcamp Plzeň 2017
Prezentace Barcamp Plzeň 2017Prezentace Barcamp Plzeň 2017
Prezentace Barcamp Plzeň 2017
Nytra Digital - digitální agentura
 
Přístupnost není charita
Přístupnost není charitaPřístupnost není charita
Přístupnost není charita
Radek Pavlíček
 
E book - Nejčastější SEO MÝTY
E book - Nejčastější SEO MÝTYE book - Nejčastější SEO MÝTY
E book - Nejčastější SEO MÝTY
Bronislav Markowicz
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro web
Tomáš Muchka
 
Internet session: Stavíme e-shop
Internet session: Stavíme e-shopInternet session: Stavíme e-shop
Internet session: Stavíme e-shop
optimio
 
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webů
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webůVše co potřebuje markeťák vědět o rychlostní optimalizaci webů
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webů
Martin Michálek
 
Jak udělat web pořádně a proč to často nedopadne?
Jak udělat web pořádně a proč to často nedopadne?Jak udělat web pořádně a proč to často nedopadne?
Jak udělat web pořádně a proč to často nedopadne?
Stanislav Vasko
 
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...Sherpas
 

Similar to WebTop100 Technické chyby, výkon a bezpečnost (20)

Vojtěch Foukal - SEO 3x jinak
Vojtěch Foukal - SEO 3x jinakVojtěch Foukal - SEO 3x jinak
Vojtěch Foukal - SEO 3x jinak
 
StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)StartupClub: Úvod do webdesignu (Jan Řezáč)
StartupClub: Úvod do webdesignu (Jan Řezáč)
 
Linkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKuLinkbuilding a UX - Designéři informačních služeb na KISKu
Linkbuilding a UX - Designéři informačních služeb na KISKu
 
Jak privest-dvojnasobek-zakazniku
Jak privest-dvojnasobek-zakaznikuJak privest-dvojnasobek-zakazniku
Jak privest-dvojnasobek-zakazniku
 
Wired-in: Marketing v dobe internetu
Wired-in: Marketing v dobe internetuWired-in: Marketing v dobe internetu
Wired-in: Marketing v dobe internetu
 
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?Jak pomocí machine learningu vytěžovat data z RTB i v CRM?
Jak pomocí machine learningu vytěžovat data z RTB i v CRM?
 
Copycamp 2014 Karel Borovička - Logický rámec & síla PROČ
Copycamp 2014 Karel Borovička - Logický rámec & síla PROČCopycamp 2014 Karel Borovička - Logický rámec & síla PROČ
Copycamp 2014 Karel Borovička - Logický rámec & síla PROČ
 
Karel Borovička: Lamí tipy, jak souznít s klientem
Karel Borovička: Lamí tipy, jak souznít s klientemKarel Borovička: Lamí tipy, jak souznít s klientem
Karel Borovička: Lamí tipy, jak souznít s klientem
 
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...
Poslední středa - SEO / UX na javascriptových a jiných moderních webech - Pav...
 
Jak nám vývojáři hážou klacky pod nohy?
Jak nám vývojáři hážou klacky pod nohy?Jak nám vývojáři hážou klacky pod nohy?
Jak nám vývojáři hážou klacky pod nohy?
 
17 SUPER tipů na zvýšení návštěvnosti
17 SUPER tipů na zvýšení návštěvnosti17 SUPER tipů na zvýšení návštěvnosti
17 SUPER tipů na zvýšení návštěvnosti
 
Prezentace Barcamp Plzeň 2017
Prezentace Barcamp Plzeň 2017Prezentace Barcamp Plzeň 2017
Prezentace Barcamp Plzeň 2017
 
Přístupnost není charita
Přístupnost není charitaPřístupnost není charita
Přístupnost není charita
 
E book - Nejčastější SEO MÝTY
E book - Nejčastější SEO MÝTYE book - Nejčastější SEO MÝTY
E book - Nejčastější SEO MÝTY
 
Hobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro webHobby Developer 3.0: Tipy a triky pro web
Hobby Developer 3.0: Tipy a triky pro web
 
Internet session: Stavíme e-shop
Internet session: Stavíme e-shopInternet session: Stavíme e-shop
Internet session: Stavíme e-shop
 
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webů
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webůVše co potřebuje markeťák vědět o rychlostní optimalizaci webů
Vše co potřebuje markeťák vědět o rychlostní optimalizaci webů
 
2013 01-31-internetový marketing
2013 01-31-internetový marketing2013 01-31-internetový marketing
2013 01-31-internetový marketing
 
Jak udělat web pořádně a proč to často nedopadne?
Jak udělat web pořádně a proč to často nedopadne?Jak udělat web pořádně a proč to často nedopadne?
Jak udělat web pořádně a proč to často nedopadne?
 
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
Ochutnávka studie WebTop100: Srovnání kvality českých webů a dalších digitáln...
 

More from Michal Špaček

Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
Michal Špaček
 
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
Michal Špaček
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policies
Michal Špaček
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in IT
Michal Špaček
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
Michal Špaček
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
Michal Špaček
 
HTTP/2
HTTP/2HTTP/2
HTTP/2
Michal Špaček
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real world
Michal Špaček
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Michal Špaček
 

More from Michal Špaček (9)

Fantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v OpeřeFantom Opery, "VPN" a Secure Proxy v Opeře
Fantom Opery, "VPN" a Secure Proxy v Opeře
 
Quality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of DefenseQuality of Life, Multiple Lines of Defense
Quality of Life, Multiple Lines of Defense
 
Disclosing password hashing policies
Disclosing password hashing policiesDisclosing password hashing policies
Disclosing password hashing policies
 
Operations security (OPSEC) in IT
Operations security (OPSEC) in ITOperations security (OPSEC) in IT
Operations security (OPSEC) in IT
 
HTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English versionHTTP Strict Transport Security (HSTS), English version
HTTP Strict Transport Security (HSTS), English version
 
I forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and whyI forgot my password – what a secure password reset needs to have and why
I forgot my password – what a secure password reset needs to have and why
 
HTTP/2
HTTP/2HTTP/2
HTTP/2
 
The problem with the real world
The problem with the real worldThe problem with the real world
The problem with the real world
 
Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013Defense in Depth Web Inkognito 12/2013
Defense in Depth Web Inkognito 12/2013
 

WebTop100 Technické chyby, výkon a bezpečnost

  • 1. aneb technické chyby vašeho webu, které vás připraví o peníze Michal Špaček www.michalspacek.cz @spazef0rze Konference WebTop100, Praha, 25. října 2012
  • 2. Ačkoliv nejběžnější chyba, která vás připraví o peníze, tak čistě technicky, tahle aspoň stojí za to. Myslím samozřejmě tu jízdu. V tom autě. S takovým vozem člověk o peníze přijde snad i rád. Ale pojďme si něco říci o chybách, kvůli kterým přijdete o peníze a … nebudete rádi. @spazef0rze www.michalspacek.cz
  • 3. Návštěvník í up eko kter c n ý si ni Mít vysoký počet návštěvníků je určitě fajn pocit. Pokud část návštěvníků provozovateli e-shopu nenechá aspoň kousek své težce vydělané výplaty, tak dělá něco špatně. Ten provozovatel. Naděje na získání objektů z předchozí stránky mu tak nenávratně mizí v dáli. @spazef0rze www.michalspacek.cz
  • 4. Když se návštěvníkovi pomalu načítá váš web, tak se nakonec ani návštěvníkem stát nemusí, natožpak aby si něco koupil. Zkrátka, pauza na oběd v práci není tak dlouhá, jak se zdála a návštěvník odejde k „rychlejší“ konkurenci a své peníze nechá jim. @spazef0rze www.michalspacek.cz
  • 5. 5 sec Web by se měl komplet zobrazit třeba do 5 vteřin. Po uplynutí této doby by mělo jít stránku používat, klikat na tlačítka apod. U každého oboru a návštěvníka je tato doba jinak dlouhá a každého, koho se zeptáte vám řekne jiné číslo. Jedno je ale jasné: čím dřív, tím líp. @spazef0rze www.michalspacek.cz
  • 6. 6 sec Všichni návštěvníci samozřejmě stránku neopustí po pěti vtěřinách, většina jich asi zůstane, ale pokud nemáte „tvrdá“ čísla, o kolik peněz přijdete, když načtení stránky prodloužíte, tak nad tím asi mávnete rukou a půjdete dělat něco užitečnějšího, než zrychlovat o milisekundy. @spazef0rze www.michalspacek.cz
  • 7. 100ms = 1% * 1s = $1,6 mld * zdroj: Internet Tak například Amazon tvrdí, že za každých 100 ms, o které se jejich stránky načítají pomaleji klesnou prodeje o 1 %, řečí peněz to pak znamená, že načítání stránky zpomalené o 1 vteřinu znamená ztrátu 1,6 miliardy USD ročně na obratu. Docela dost babek. @spazef0rze www.michalspacek.cz
  • 8. Pro představu, toto je podle http://www.pagetutor.com/trillion/index.html prý miliarda USD ve stodolarových bankovkách. To se do krabice od vína nevejde, jen tak mimochodem. Přidejte ještě šest palet a máte 1,6 mld USD. Teda vlastně spíš nemáte. @spazef0rze www.michalspacek.cz
  • 9. * 500ms navíc = 20% návštěvnosti * zdroj: také Internet Google zase říká, že 500 ms navíc při načítání stránky ho připraví o 20 % návštěvnosti jeho vyhledávače. Díky tomu tak návštěvníci vidí méně reklam a Google vidí méně peněz na svých účtech. @spazef0rze www.michalspacek.cz
  • 10. Na Google je hezky vidět, jak se zrychluje. Díky Google Instant http://www.google.com/instant/ vidíte výsledky vyhledávání hned, když píšete dotaz. Google také zcela vypustil titulní stránku vyhledávače, která zmizí hned, jakmile začnete psát svůj dotaz. @spazef0rze www.michalspacek.cz
  • 11. S P D Y SPDY je protokol vyvíjený primárně Google. Zrychluje načítání stránek obecně, z prohlížečů ho podporuje Chrome a Firefox a na webových serverech ho používá Google pro svoje vyhledávání, Gmail, ale používá ho také například i Twitter. @spazef0rze www.michalspacek.cz
  • 12. A co uděláte pro zrychlení stránek právě vy? @spazef0rze www.michalspacek.cz
  • 13. Návštěvník který chce nakoupit a ušetřit Druhou hrozbou, díky které můžete přijít o nějaké ty drobné, je návštěvník, který chce nakoupit, ale zároveň ušetřit a trochu se v tom vyzná. Takový návštěvník může zneužít chyby ve vaší webové aplikaci ve svůj prospěch takovým způsobem, že na to nikdy nikdo nepřijde. @spazef0rze www.michalspacek.cz
  • 14. Bez znalosti uživatelského jména a hesla se může přihlásit do administrační sekce vašeho obchodu a změnit si stav objednávky, případně si ji rovnou nechat odeslat i bez nutnosti za zboží platit. Tyto akce provádí pod jménem administrátora, takže vše vypadá v pohodě. @spazef0rze www.michalspacek.cz
  • 15. Nebo si například může vygenerovat slevové kupóny, díky kterým sníží celkovou cenu objednávky tak nízko, že se dostane pod vaši nákupní cenu. Může si je také jednoduše najít ve vaší databázi. Pokud je pak použije, tak také na nic nepřijdete a budete mu muset zboží poslat. @spazef0rze www.michalspacek.cz
  • 16. ' ← apostrof A to třeba jenom proto, že tvůrce vaší aplikace zapomněl ošetřit tento speciální znak, apostrof, někdy nazývaný též jako jednoduchá uvozovka. Tento znak má pro databázový server speciální význam a díky této chybě je možné provádět uvedené triky. Jeden znak a jakou nadělá paseku. @spazef0rze www.michalspacek.cz
  • 17. zpětné lomítko → ' Ošetřit tento speciální znak ale není nic složitého. Jedna z možností je v uživatelem zadaných datech před každý apostrof dát zpětné lomítko, zjednodušeně řečeno. Záleží na konkrétním případě, někdy ošetření může být trochu jiné, ale další možnosti jsou přibližně stejně složité. @spazef0rze www.michalspacek.cz
  • 18. Dávejte si také velký pozor, co na váš web nahráváte. Informace, které jsou nebezpečné tam vůbec neumisťujte, dají se totiž najít třeba Googlem a to i přesto, že na ně nevede z vašeho webu žádný odkaz. Dané informace se totiž dají použít někde jinde nebo se dají prostě prodat. @spazef0rze www.michalspacek.cz
  • 19. Za kolik se dají prodat? To nevím, ale pojďme to zkusit. Kolik nabízíte za databázi uživatelů webu bushmanshop.cz? Obsahuje přes 300 ověřených uživatelů a jejich dat, jako třeba emailových adres, ale i ulic a měst a telefonů. @spazef0rze www.michalspacek.cz
  • 20. Ta databáze nemá velkou cenu, je totiž volně ke stažení na webu bushmanshop.cz. Stačí se podívat do souboru robots.txt a dále pak do adresářů, které tam jsou vypsány. Obsahují zajímavé věci, které si může kdokoliv stáhnout. A nejspíš už si je i někdo stáhnul. @spazef0rze www.michalspacek.cz
  • 21. A takhle bezpečně my tady žijem. Michal Špaček www.michalspacek.cz @spazef0rze
  • 22. Použité fotografie a obrázky: 1. Another sign of the times, Rebecca Wilson 2. Svjetlana BMW Z4 Shoot, paulStarPics 3. Moonrise, Michele Molinari 8. http://www.pagetutor.com/trillion/index.html 10. http://www.google.com/instant/ 11. Bugatti Veyron Super Sport, J.Smith831 12. Turbo, Matthew Hine 13. Food for the wallet, _Dinkel_ 19. With a little help from my friends…, Daniele Margaroli @spazef0rze www.michalspacek.cz

Editor's Notes

  1. Díky a teď už abych raději běžel pryč