Cet article examine honnêtement les fonctionnalités d'otto-js (anciennement DEVCON).
Puisque vous êtes sur le site web de cside, nous reconnaissons notre parti pris. Cela dit, nous avons construit notre argumentaire honnêtement et basé notre analyse sur des informations publiquement disponibles, des informations du secteur et nos propres expériences ou celles de nos clients.
Si vous souhaitez vérifier leurs affirmations par vous-même, consultez leur page produit.
otto-js est l'un des produits les plus proches de cside sur le marché : un outil de sécurité JavaScript côté client conçu autour des exigences 6.4.3 et 11.6.1 de PCI DSS 4.0.1, avec une intégration en une ligne et une tarification basse et transparente destinée au commerce électronique des PME et du mid-market. Nous pensons que c'est un outil légitime. Cette page porte sur les points où les deux produits diffèrent une fois que l'on regarde au-delà de la case à cocher de conformité.
| Critère | cside | otto-js | Pourquoi c'est important | Quelles sont les conséquences |
|---|---|---|---|---|
| Approche | Surveillance côté client + analyse de payload alimentée par l'IA | Agent JavaScript côté client | Tous deux s'exécutent dans le navigateur ; la différence est la profondeur d'analyse | |
| PCI DSS 6.4.3 & 11.6.1 | Full support |
Full support |
Les deux produits sont conçus pour répondre à l'exigence | La conformité est le minimum, pas le facteur différenciant |
| Analyse de scripts alimentée par l'IA | Full support |
No support |
Détecte les menaces nouvelles ou en évolution en analysant le contenu des scripts, pas seulement en les listant | La dépendance à la revue manuelle et aux règles = détection plus lente et sujette aux erreurs |
| Fingerprinting de dispositifs + détection des bots / agents IA | Full support |
No support |
Un seul fournisseur pour la sécurité côté client et l'identité des visiteurs | Un fournisseur distinct est nécessaire pour la fraude et le trafic d'agents |
| Archive forensique des payloads & suivi historique | Full support |
Non documenté | Nécessaire pour la réponse aux incidents, l'audit et la preuve de ce qu'une attaque a fait | Sans enregistrement des payloads, vous avez des alertes, pas des preuves |
| Avis indépendants par les pairs (G2 / Gartner / Capterra) | Full support |
Avis publics rares | Les achats d'entreprise vérifient la validation tierce | Un profil d'avis maigre est un point d'interrogation dans les revues de sécurité |
| Tableau de bord PCI validé par QSA | Full support |
Non trouvé | Un audit QSA indépendant est la preuve la plus fiable qu'un outil est conforme PCI | Sans lui, vous vous fiez aux affirmations marketing, ce qui pourrait résulter en un échec d'audit |
| Page de statut publique & SLA de disponibilité | Full support |
Non trouvé | Vous pouvez vérifier de manière indépendante la fiabilité et l'historique des incidents avant d'acheter | Aucune vue indépendante sur la disponibilité |
| Tarification publique transparente | Full support |
Full support |
Les deux fournisseurs publient leurs tarifs — une véritable force d'otto-js | Coût prévisible avant l'achat |
Qu'est-ce qu'otto-js ?
otto-js, anciennement DEVCON, est une plateforme de sécurité JavaScript côté client axée sur la conformité PCI DSS v4 et la protection contre le malvertising. Elle surveille le comportement des scripts de première, troisième et Nième partie au moment de l'exécution et commercialise une intégration en une ligne pour automatiser les preuves PCI DSS 6.4.3 et 11.6.1, ainsi que le reporting SOC 2 et de risque tiers. Elle cible les équipes de commerce électronique des PME et du mid-market qui ont besoin d'une solution PCI rapide et abordable sans équipe dédiée de sécurité applicative, et elle s'intègre à GitHub Advanced Security et aux plateformes de commerce électronique courantes.
Rendons à César ce qui est à César : otto-js publie ouvertement ses tarifs (à partir d'environ 30 $/mois), ce qui est rare dans ce domaine, et c'est véritablement un outil côté client comparable plutôt qu'une fonctionnalité de case à cocher greffée sur une plateforme plus large. Nous ne pensons pas que le prix soit le bon axe de concurrence ici.
Comment fonctionne otto-js
otto-js déploie un agent JavaScript côté client qui observe et analyse les scripts au fur et à mesure de leur chargement et de leur exécution dans le navigateur du visiteur, les fait apparaître dans un tableau de bord pour revue et offre des fonctionnalités commercialisées comme de la mitigation en temps réel. Il génère des configurations de Content Security Policy et de contrôle d'accès et intègre le scan de vulnérabilités au moment de l'exécution via GitHub Advanced Security.
La question ouverte et honnête, celle que nous encouragerions tout acheteur à poser aux deux fournisseurs, porte sur la profondeur et la couverture : à quel point la vision de chaque outil de ce qu'un script fait réellement à travers les sessions des vrais utilisateurs est-elle complète, et que peut-il vous montrer après coup ? C'est la question qui distingue un tableau de bord de conformité d'un outil de sécurité.
Comment cside va plus loin
otto-js est conçu pour satisfaire PCI DSS 6.4.3 et 11.6.1. cside est conçu pour stopper les attaques côté client, la conformité étant un sous-produit d'une sécurité réelle.
cside surveille chaque script s'exécutant dans le vrai navigateur et effectue une analyse alimentée par l'IA sur le contenu réel du script, pas seulement sur une liste des scripts présents. Cela permet de détecter les menaces nouvelles et en évolution, y compris les attaques ciblées qui ne s'activent que dans des conditions spécifiques telles que certaines géographies, certaines fenêtres temporelles ou certains types d'appareils.
Pour la forensique, cside conserve des archives immuables de chaque payload de script avec un historique complet des versions. Lorsqu'un auditeur ou une équipe de réponse aux incidents demande ce qui s'est passé, vous disposez du code réel et d'une chronologie complète, pas d'un simple journal des changements de comportement.
cside va également au-delà de la sécurité des scripts côté client avec un produit de fingerprinting dédié : fingerprinting de dispositifs, détection des bots et détection des agents IA, vous pouvez ainsi couvrir à la fois la sécurité côté client et l'identité des visiteurs chez un seul fournisseur. Et cside publie une page de statut publique sur status.cside.com, un portail de confiance public sur trust.cside.com et un tableau de bord PCI validé par un QSA, afin que vous puissiez vérifier nos affirmations par vous-même.
Inscrivez-vous ou réservez une démo pour commencer.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.
