Przejrzystość · Budowane publicznie
Kondycja witryny
Do własnej witryny stosuję poprzeczkę, którą ustawiam produktom, które buduję. Ta strona to dowód, a nie deklaracja: wyniki wydajności poniżej są mierzone na żywo w Twojej przeglądarce właśnie teraz, a nagłówki bezpieczeństwa są pobierane na żywo z tej witryny. Każdy obszar zawiera też produktowe uzasadnienie decyzji, bo to, jak myślisz, jest tu najważniejsze.
Status API i usług
Kontrole osiągalności na żywo, uruchamiane z Twojej przeglądarki właśnie teraz, dla usług, od których zależy ta witryna. Dlaczego: uczciwy status w czasie rzeczywistym bije statyczne 'everything's fine'.
Sprawdzanie usług…
Witryna
Vercel edge / static hosting
Sprawdzanie…
API formularzy i newslettera
Supabase Edge Functions
Sprawdzanie…
Ochrona przed botami
Google reCAPTCHA
Sprawdzanie…
Tłumaczenie
14 języków · Gotowe przygotowanie, bez wywołań w czasie rzeczywistym
Sprawdzanie…
Osiągalność i czas w obie strony z Twojej lokalizacji, sprawdzane ponownie co minutę. Czerwona kropka oznacza, że Twoja przeglądarka nie mogła dotrzeć do tej usługi.
Wydajność
Wstępnie renderowane strony statyczne (SSG), własny hosting podzbioru czcionek, dzielenie pakietów na język oraz skrypty zewnętrzne (reCAPTCHA) ładowane tylko na żądanie. Dlaczego: szybkość to funkcja i sygnał zaufania; najszybsze żądanie to takie, którego nigdy nie wysyłasz.
LCP
…
Dobrze: ≤ 2500 ms
CLS
…
Dobrze: ≤ 0.1
FCP
…
Dobrze: ≤ 1800 ms
TTFB
…
Dobrze: ≤ 800 ms
Core Web Vitals na żywo z bieżącego załadowania Twojej strony (zielony = dobrze, bursztynowy = wymaga poprawy, czerwony = słabo). Wartości różnią się w zależności od urządzenia i sieci.
Bezpieczeństwo
Oparta na hashach Content-Security-Policy bez skryptów inline i eval, HSTS z preload, ochrona przed clickjackingiem i cross-origin oraz zaplecze, w którym przeglądarka nigdy nie dotyka bazy danych. Dlaczego: obrona w głąb i mechanizmy, które w razie awarii zamykają się, a nie otwierają.
Sprawdzanie nagłówków na żywo…
Pobierane na żywo z tej witryny. Utwardzenie zaplecza (weryfikowane po stronie serwera reCAPTCHA, które w razie awarii się zamyka, honeypoty, ograniczanie tempa na podstawie hasha IP, podpisane HMAC linki do usuwania, tabele zablokowane przez RLS) nie jest tu pokazane, ale podlega audytowi.
Prywatność i RODO
Żaden odwiedzający nie jest śledzony, zanim wyrazi zgodę, i domyślnie nie ładuje się nic, co przekazywałoby jego dane stronie trzeciej. Dlaczego: prywatność to nie ustawienie doklejane później, to domyślny stan, który projektuje się od początku.
Uzależnione od zgody. Domyślnie tylko niezbędne; analityka ładuje się dopiero po opt-in. Przy pierwszym załadowaniu nie uruchamia się żaden tracker.
Czcionki hostowane u nas. Czcionki są serwowane z tej domeny, więc adresy IP odwiedzających nigdy nie trafiają do Google Fonts.
Brak przechowywania surowego IP. Kontrole nadużyć w formularzach i newsletterze używają jednokierunkowego hasha IP z solą, nigdy surowego adresu.
Realne prawo do usunięcia. Działający, weryfikowany e-mailem proces usuwania danych trwale usuwa Twoje dane (RODO Art. 17).
Uczciwe deklaracje. Odznaki zaufania mówią 'Ready / Managed', a nie 'Compliant', o ile nie stoi za tym dowód.
Ujawnienie. Kontakt przez security.txt oraz klauzula o języku rozstrzygającym na stronach prawnych.
Dostępność
Budowane w kierunku WCAG 2.2 AA (Gotowe, bez certyfikacji zewnętrznej): użyteczne z klawiatury, dla czytnika ekranu i dla osób potrzebujących ograniczonego ruchu. Dlaczego: doświadczenie, które wyklucza ludzi, nie jest ukończone.
Klawiatura i fokus. Widoczne obramowania fokusu w całej witrynie oraz link do przejścia do treści na każdej stronie.
Ograniczony ruch. Każda animacja, w tym diagramy studiów przypadku, respektuje prefers-reduced-motion.
Struktura semantyczna. Właściwe punkty orientacyjne, nagłówki, etykiety i tekst alternatywny dla technologii wspomagających.
Kontrast i cele. Kontrast tekstu i rozmiary celów dotykowych spełniają poprzeczkę AA zarówno w motywie jasnym, jak i ciemnym.
Niezawodność i proces
Nic nie trafia na produkcję bez testów, a formularze są utwardzone przeciwko nadużyciom bez karania prawdziwych ludzi. Dlaczego: niezawodność to decyzja produktowa, a to z procesu naprawdę bierze się jakość.
Wdrożenia bramkowane testami. Testy tras i parytetu tłumaczeń muszą przejść przed każdym buildem; promocja idzie z dev do qa do prod.
Warstwowa obrona przed nadużyciami. Wynik reCAPTCHA + honeypot + walidacja po stronie serwera + ograniczanie tempa na podstawie hasha IP, wszystko fail-safe.
Podwójny opt-in. Zapisy do newslettera są potwierdzane e-mailem; każda wiadomość zawiera działający link do wypisania się.
Łagodna awaria. Formularze degradują się do jasnych, konkretnych komunikatów (w tym 'too many attempts') zamiast się zepsuć.
Chcesz samodzielnie sprawdzić którąkolwiek z tych rzeczy? Otwórz narzędzia deweloperskie przeglądarki i przejrzyj nagłówki odpowiedzi, uruchom Lighthouse albo przejdź po witrynie klawiaturą. O to właśnie chodzi w budowaniu publicznie.