Názor ke zprávičce Třetina českých e-shopů má bezpečnostní problémy od Vláďa Smitka - To "odhalení malého počtu eshopov so skutočným bezpečnostnými...

To "odhalení malého počtu eshopov so skutočným bezpečnostnými rizikami" se týká přes 4000 e-shopů, to mi zase tak malé číslo nepřijde. A u dalších skoro 2000 ještě zůstal otazník "možná" a chtělo by je to ručně zkontrolovat na XSS a SQLinjection.

HTTP/2 jsem zkoumal, protože mi to přišlo zajímavé z technického pohledu jako doplněk k HTTPS. Máš pravdu že to s bezpečností přímo nesouvisí (jen někde ukazuje na neaktualizovanou OpenSSL). Weby bez HTTP/2 nebyly samozřejmě počítány bez ty s bezpečnostními problémy.

To samé TLS 1.3, opět jsem to zkoumal především ze zájmu (i když zde se již o bezpečnost jedná) a weby bez něj nebyly počítány mezi ty s bezpečnostními problémy.

Security.txt, jeho absenci také neberu jako bezpečnostní problém, beru ho ale jako signál, že se bezpečnost někdo pokoušel zabývat.

Do čísla 1/3 patří právě těch 4000 e-shopů s prokazatelnými kritickými problémy (především prokázané XSS, přístupné zastaralé Adminery, přístupné zálohy a dumpy db, přístupné konfigurace s hesly, s file managery bez autentifikace, napadnutelným SSL = F v SSL Labs a podobně). K tomu se přidá velká skupina webů s výpisem phpinfo(), weby exponující své error logy, debug informace, části konfigurací a podobně.