[MMC]

Bra med ett demokonto, har tittat runt lite i det nu.

Lite förbättringsförslag:
* Varför måste jag "choose a website" för varenda funktion jag tittar på? Jag tror att det vore bättre att man kunde välja att jobba med en sajt på ett ställe, ungefär som Google Analytics gör. Ännu bättre vore så klart att inte fråga vilken sajt man ska jobba med förrän man lagt till två eller fler.

* Jag saknar förklaringar på vad "Einards status" innebär. Det är massor med röda kryss där på demokontot men det förklaras inte vad det betyder eller vad jag kan göra åt det.

* Försök vara konsekvent med namn på typer av attacker osv. Om ena typen heter XSS så kanske det räcker att kalla SQL-injektioner för SQL och inte "SQL-injections" (ska inte vara ett bindestreck där btw) eftersom det då ser märkligt ut i listan över attacker.

--

Men jag måste bara fråga en sak nu. Du sparar alltså bara URL:en för varje sidvisning, och får därmed GET-variabler som du troligtvis kör genom ett antal regexar för att upptäcka "misstänkt" input. Vad händer med POST-variabler? Jag kan ju lika gärna göra ett SQL-injektionsförsök genom ett POSTat formulär. Om din tjänst inte stödjer det så vore det kanske bra att förtydliga detta.

Ett tips på funktion som kan vara bra för att upptäcka och förhindra XSS: spara Referer-strängen för alla anrop och skriv lite kod som upptäcker när t.ex. ett formulär POSTas med en Referer som skiljer sig från vad det brukar vara för det formuläret.

Slutligen vill jag bara poängtera att jag tycker att det är skitkul att se ett sådant här ambitiöst projekt från någon så ung, så se mina synpunkter som konstruktiv kritik och tappa inte sugen. Du kommer att lära dig sjukt mycket genom att arbeta med detta även om du kanske inte tar över världen med just denna tjänst.