Přejít na obsah
15. března 2026|~15 min čtení

Komplexní bezpečnostní a technická analýza webových technologií

AI systém pro komplexní analýzu webových technologií — webové stránky, webové aplikace, PWA. Bezpečnost, výkon, SEO, přístupnost, GDPR a kvalita kódu. Externě z URL bez zásahu do systému, interně ze zdrojového kódu s přístupem od zákazníka. 300+ kontrolních bodů, profesionální report s konkrétními opravami.

BezpečnostSEOVýkonPřístupnostGDPRAI

01Co systém řeší

Web nebo aplikace může vypadat skvěle a přitom mít kritické problémy. Chybějící ochrana prohlížeče, špatné SEO, pomalý mobil, GDPR porušení, secrets ve zdrojovém kódu. Neviditelné, dokud není pozdě.

53 % mobilních uživatelů odejde, pokud se stránka načítá déle než 3 sekundy. Pokud systém není technicky v pořádku, investice do designu a marketingu jsou vyhozené peníze.

Systém analyzuje webové technologie ze dvou režimů:

  • Externě z URL — stačí adresa webu (např. www.firma.cz), systém zkontroluje co je veřejně dostupné. Bez zásahu do systému, nepotřebuje souhlas ani přístup.
  • Interně ze zdrojového kódu — zákazník poskytne přístup k repozitáři. Systém analyzuje kód, závislosti, konfiguraci a logiku aplikace.

Dohromady pokrývají bezpečnost, SEO, výkon, přístupnost, GDPR a kvalitu kódu.

skryté problémy
Chybějící CSP — prohlížeč nemá instrukce jak web chránit
Chybějící HSTS — spojení lze odposlouchávat
2.1 MB JavaScriptu — mobilní uživatelé odcházejí
Chybějící alt texty — SEO penalizace + nepřístupnost
Tracking bez souhlasu — přímé porušení GDPR
API klíče ve zdrojovém kódu — přístup k databázi pro kohokoliv
Neviditelné pouhým okem. Testovatelné systémem.

02Jak systém funguje

Systém spustí specializované kontroly paralelně — každá se zaměřuje na jinou oblast: bezpečnost, SEO, výkon, přístupnost, GDPR, kvalita kódu. Výsledky se průběžně vyhodnocují, ověřují se falešné poplachy a spojí do jednoho přehledného reportu.

Rozumí platformám — Vercel, Firebase, Netlify. Rozumí frameworkům — Next.js, React, WordPress. Rozlišuje standardní chování platformy od skutečné chyby. Jinak testuje statický web a jinak SaaS aplikaci s API.

Orchestrátorhlavní AIBezpečnostSSL · hlavičky · secretsSEOmeta · OG · JSON-LDVýkon serverTTFB · cache · HTTP/2PřístupnostWCAG · kontrast · ARIAVýkon mobilJS · fonty · CWVGDPR + kódconsent · TS · depsKontrolaověření false positivesReportPASS/FAIL/WARN · opravy · priorityOpravy → Re-audit → before/after srovnání● Paralelní kontrolyKaždá oblast se testuje nezávisle.● Přímá komunikaceAgenti sdílí nálezy a eliminujífalešná hlášení navzájem.● Konkrétní opravyPřesný kód, soubor, řádek.Ne obecné rady.● CRITICAL → LOWPrioritizace — víte cořešit první.

03Externí analýza

Externí analýza probíhá bez zásahu do systému. Stačí URL — systém analyzuje konfiguraci, chování a veřejně dostupné informace. Audit zahrnuje desítky až stovky kontrolních bodů podle typu systému.

Bezpečnost

Bezpečnostní kontrola prověří celý stack — od SSL certifikátu po konfiguraci prohlížeče.

HTTPS + SSLVynucený redirect HTTP → HTTPS (301). Platnost certifikátu, správný řetězec.
HSTSStrict-Transport-Security s max-age ≥ 1 rok, includeSubDomains, preload.
Content-Security-PolicyRestriktivní CSP — ochrana proti XSS a neoprávněnému načítání skriptů.
X-Frame-OptionsOchrana proti clickjacking útokům. DENY nebo SAMEORIGIN.
Referrer-PolicyKontrola úniku dat v HTTP Referer hlavičce.
Permissions-PolicyZákaz přístupu k API prohlížeče — kamera, mikrofon, geolokace.
Cookie Secure flagVšechny cookies s atributem Secure — přenos pouze přes HTTPS.
HttpOnly + SameSiteSession cookies nepřístupné z JS, SameSite Strict/Lax.
CORS konfiguraceAccess-Control-Allow-Origin nesmí být wildcard na auth endpointech.
security-output
PASS HTTPS enforced (301 redirect)
PASS HSTS: max-age=63072000; includeSubDomains; preload
PASS CSP: restrictive policy
PASS X-Frame-Options: DENY
PASS Cookies: Secure + HttpOnly + SameSite
FAIL Permissions-Policy: chybí
WARN Referrer-Policy: unsafe-url

SEO a viditelnost

Title tag30-60 znaků, unikátní pro každou stránku, s klíčovými slovy.
Meta description100-170 znaků, s CTA. Zobrazuje se ve výsledcích Googlu.
Open Graphog:title, og:description, og:image (1200×630), og:url pro sociální sítě.
JSON-LDStrukturovaná data — Organization, BreadcrumbList, Article, Product.

Výkon: Desktop vs. mobil

Desktop skóre 90+ a na mobilu 30-50? PageSpeed simuluje Moto G Power se 4x CPU throttlingem a Slow 4G. Stejný web, dramaticky jiný zážitek.

desktop-vs-mobil
Desktop Mobil (PageSpeed simulace)
─────────────────────────────────────────────────────
8 jader, 3 GHz 2 jádra, 1.8 GHz + 4x throttle
50 Mbps 1.6 Mbps (Slow 4G)
JS parse 100ms JS parse 600-800ms
Font 30ms Font 950ms
JS payload< 300 KB = ok, 300-600 KB = varování, > 600 KB = kritické.
Těžké knihovnyDetekce GSAP, ScrollSmoother, Framer Motion, Lottie, moment.js.
Font impactPayload, font-display CLS, zbytečné subsety, počet souborů.
Core Web VitalsEstimace FCP, LCP, TBT, CLS + celkové mobilní skóre.

Přístupnost

European Accessibility Act 2025 — přístupnost je zákonná povinnost. Testujeme podle WCAG 2.2 AA.

Barevný kontrast4.5:1 normální text, 3:1 velký text.
Klávesová navigaceCelý web ovladatelný klávesnicí.
Focus viditelnostJasně viditelný focus indicator.
Touch target 24×24 pxMinimální velikost dotykových prvků.

GDPR

Cookie consent bannerGranulární volby — nutné, analytika, marketing.
Tracking jen po souhlasuGA4, Facebook Pixel, reCAPTCHA — nesmí se načítat před souhlasem.
Ochrana osobních údajůPovinný obsah — správce, účel, doba, práva, třetí strany.
Zásady cookiesSeznam všech cookies — název, účel, doba platnosti.

04Interní analýza

Interní analýza rozšiřuje externí o kontrolu zdrojového kódu. Zákazník poskytne přístup k repozitáři — systém analyzuje kód, závislosti, konfiguraci a logiku aplikace.

Vidí věci co zvenku nejsou dostupné — API klíče v kódu, špatně nastavené environment proměnné, zastaralé závislosti s CVE, chybějící validace na API routes, špatná konfigurace frameworku.

Zranitelnosti a API

Rate limitingOchrana API proti brute-force (Upstash, Redis).
Input validaceZod/Joi schémata na všech endpointech.
CSRF ochranaSameSite cookies + origin verification.
XSS prevenceŽádné dangerouslySetInnerHTML bez sanitizace.
Open redirectValidace redirect URL proti whitelistu.
Secrets v kóduAPI klíče, tokeny, hesla v repozitáři.
Secrets v NEXT_PUBLIC_Server-side klíče nesmí být veřejné.

Logika aplikace a datové toky

  • Analýza jak systém pracuje s uživatelskými daty
  • Ověření autentizace a oprávnění — role, přístupová práva
  • Testování chování systému při nestandardních vstupech
  • Kontrola datových toků mezi frontendem, backendem a databází
  • Analýza reakce systému na chybové stavy a edge cases

Kvalita kódu

code-quality
Console.log v produkci — žádné nalezeny
WARN 3x TODO komentáře v kódu
TypeScript strict mode aktivní
FAIL 2x použití typu 'any'
npm audit: 0 zranitelností
Error handling na všech API routes
FAIL Chybí Error Boundary v React

05Jak analýza probíhá

Externě z URL

  • Pošlete URL webu nebo aplikace
  • Systém spustí všechny kontroly paralelně
  • Bezpečnost, SEO, výkon, přístupnost, GDPR — vše najednou
  • Výsledky se vyhodnotí a ověří falešné poplachy
  • Do 24 hodin report s nálezy, opravami a prioritami

Interně ze zdrojového kódu

  • Zákazník poskytne přístup k repozitáři
  • Systém analyzuje kód, závislosti, konfiguraci, API routes
  • Kombinace výsledků z externí a interní analýzy
  • Kompletní technický report
režimy
Režim Co se testuje Přístup
───────────────────────────────────────────────────────────
Externí Bezpečnost, SSL, SEO, výkon Jen URL
Interní + kód, API, závislosti, konfigurace Přístup k repozitáři

06Report

Profesionální report. Každý problém obsahuje konkrétní návrh opravy, soubor a řádek.

  • Závažnost: CRITICAL → HIGH → MEDIUM → LOW
  • Hodnocení A-D (počítají se jen FAIL, ne WARN)
  • Skóre per kategorie
  • Prioritní seznam — hned / brzy / časem
  • Re-audit — before/after srovnání
scores
Kategorie Skóre Stav
─────────────────────────────────────────
Bezpečnost 12/14 ██████████░░ PASS
SEO 18/20 █████████░░░ PASS
Výkon (server) 10/12 ████████░░░░ PASS
Výkon (mobil) 8/10 ████████░░░░ PASS
Přístupnost 14/16 █████████░░░ PASS
GDPR 6/8 ████████░░░░ PASS
─────────────────────────────────────────
Celkem 68/80 Grade: A

07Co z toho máte

Jasný přehled
Data a důkazy pro každý test. Žádné dohady.
Konkrétní opravy
Přesný kód, přesný soubor, přesný řádek.
Priority
CRITICAL hned, LOW může počkat. Víte co řešit první.
Re-audit po opravách
Po opravách spustíme analýzu znovu — before/after srovnání. Vidíte co se zlepšilo.

Chcete vědět, jak je na tom váš web?

Pošlete URL a do 24 hodin dostanete kompletní report s hodnocením, problémy seřazenými podle závažnosti a konkrétními kroky k nápravě.

Ozvěte se →

Potřebujete víc než analýzu?

Aktivní testování zranitelností se souhlasem vlastníka — SQL injection, auth bypass, IDOR, CORS a desítky dalších technik. Každý nález má důkaz a konkrétní opravu.

Bezpečnostní testování →

Moje projekty a dokumentace na GitHubu.

GitHub →
← Zpět na Docs & Tipy