Blog security

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Simon Wijckmans is nu medevoorzitter van de W3C AFCG terwijl cside helpt privacyvriendelijke signalen tegen AI-fraude vorm te geven.

May 12, 2026 • 6 min read

Simon Wijckmans Founder & CEO

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Fraude gebeurt steeds vaker in de browsersessie. Credential stuffing, account takeover, invalid advertising traffic, botgedreven carding, scraping, fake engagement en geautomatiseerd misbruik hangen allemaal af van wat het webplatform een client laat doen.

De moeilijke vraag is niet hoe we de aanvallen noemen. De moeilijke vraag is hoe we ze stoppen zonder de browser in een surveillancelaag te veranderen of elke legitieme gebruiker door herhaalde CAPTCHA's te sturen.

AI verandert het fraudelandschap snel. Aanvallers kunnen geloofwaardig accountgedrag genereren, browserflows automatiseren, langzaam en verspreid misbruik coördineren, en sneller aanpassen dan statische regels. Verdedigers hebben browsersignalen nodig die dat tempo volgen zonder elke gebruiker in een traceerbaar profiel te veranderen.

Daarom is Simon Wijckmans nu medevoorzitter van de W3C Anti-Fraud Community Group (AFCG), waar hij cside vertegenwoordigt naast Sam Schlesinger van Google en de bredere community die publiek aan dit probleem werkt.

Wat de W3C Anti-Fraud Community Group doet

De AFCG bestaat om gaten in het webplatform te identificeren die fraude en ongewenst verkeer mogelijk maken. Het werk draait om browserfuncties en APIs die die scenario's aanpakken en tegelijk security, privacy en toegankelijkheid voor gebruikers verbeteren.

De groep is open. Browserleveranciers, antifraudeproviders, privacyvoorstanders, webontwikkelaars, cloudproviders en operators van diensten die ongewenst verkeer ontvangen kunnen deelnemen. Het technische werk gebeurt publiek, vooral in de AFCG-repositories voor voorstellen en use cases.

Dat publieke model is belangrijk. Antifraudewerk faalt wanneer het een private wapenwedloop tussen trackers en aanvallers wordt. Browserstandaarden hebben een hogere lat nodig: precieze capabilities, privacygrenzen, toegankelijkheidsgrenzen en review door mensen die het niet altijd met elkaar eens zijn.

Waarom browsersecurity antifraude-primitieven nodig heeft

De use cases-repository van de AFCG beschrijft het dreigingsoppervlak duidelijk. Het omvat account creation fraud, account takeover, credential cracking, credential stuffing, phishing, tokendiefstal, invalid traffic in advertenties, ecommercefraude, carding, card cracking, cashing out, promotie-misbruik, scraping, spam, fake engagement, denial of service en ongeautoriseerde toegang.

Dit staat niet los van browsersecurity. Dit is browsersecurity.

De meeste antifraudeverdediging van vandaag steunt op een mix van kwetsbare signalen:

IP-reputatie die breekt bij proxies, VPNs en carrier-grade NAT
Device fingerprints die tracking- en toestemmingsproblemen maken
CAPTCHA's die kosten verschuiven naar echte gebruikers en toegankelijkheidsteams
Server-side rate limits die niet zien wat in de browser gebeurde
Botuitdagingen die legitieme automatisering en begeleid browsen blokkeren

Het webplatform heeft betere primitieven nodig. Een goede primitieve beantwoordt een smalle vraag zonder meer te onthullen dan nodig is. Ze helpt een site een gevoelige flow te verdedigen zonder die site de gebruiker over het web te laten volgen.

Die balans is belangrijk. Antifraudesignalen moeten sterk genoeg zijn om misbruik te stoppen, maar begrensd genoeg om geen nieuwe trackingsystemen te worden. Zero-knowledge proofs en on-device inference maken nieuwe ontwerpen mogelijk: de browser kan een begrensd feit bewijzen of risicovol gedrag lokaal classificeren zonder ruwe identifiers, browsegeschiedenis of device fingerprints aan elke site bloot te stellen.

Actieve voorstellen om te volgen

Verschillende voorstellen en discussies laten zien waar het werk naartoe gaat.

Private Access Control Tokens

Private Access Control Tokens (PACT) is een van de belangrijkste recente werkitems. De issue werd geopend op 2025-12-02 als gezamenlijke probleemstelling van Dennis Jackson, Sam Schlesinger en Eric Trouton.

PACT onderzoekt een webmechanisme dat CAPTCHA-frictie kan verminderen en websites rate limits kan laten afdwingen tegen grootschalig ongewenst verkeer. Het ontwerpdoel is expliciet: privacy bewaren, tracking tussen sessies vermijden en gebruikers niet uitsluiten op basis van hardware, platform of user agent.

Het voorstel is ook belangrijk voor access control. Een gebruiker moet soms bewijzen dat hij een geldig account met goede status heeft, zonder te onthullen welke resources hij opent. Dat wordt belangrijker nu lokale browser-AI-agenten namens gebruikers handelen en automatiseringssignalen veroorzaken die veel sites vandaag blokkeren.

Private State Tokens

Private State Tokens komt voort uit het Trust Token API-werk. Het concept laat een issuer cryptografische tokens aan een browser geven wanneer een gebruiker vertrouwd wordt, en laat die tokens later in een andere context inwisselen zonder een stabiele cross-site identifier bloot te leggen.

Zo'n mechanisme is fundamenteel voor privacyvriendelijke vertrouwenssignalen. Het lost niet elk misbruikscenario op, maar wijst in de juiste richting: geef een begrensd signaal door, houd ruwe tokens weg uit JavaScript en geef sites geen nieuw trackinghandvat.

Device Integrity Attestation

De discussie rond Device Integrity Attestation verzamelt use cases en requirements voor high-fidelity, low-entropy signalen over device-integriteit. Het doel is om legitieme omgevingen te onderscheiden van geëmuleerde, rooted of vervalste omgevingen die bij misbruik worden gebruikt.

Dit is gevoelig werk. Integriteitssignalen kunnen verdediging verbeteren, maar ze kunnen ook gebruikers uitsluiten op oudere devices, alternatieve besturingssystemen of privacyvriendelijke setups. Juist daarom hoort dit werk in een open standaardenforum, niet als private vendorfeature.

Waarom dit belangrijk is voor cside

cside werkt op de browserlaag. We monitoren welke scripts draaien, wat ze laden, hoe ze veranderen en hoe browsergedrag security, privacy, fraude en compliance beïnvloedt.

Die operationele blik past bij de missie van de AFCG. Fraudeteams hebben signalen nodig die precies genoeg zijn om op te handelen. Privacyteams hebben nodig dat die signalen geen nieuwe identifiers worden. Securityteams hebben zichtbaarheid op browserniveau nodig, omdat serverlogs de code missen die op de machine van de gebruiker draait.

Standaardenwerk vervangt runtime browsersecurity niet. Het kan het onderliggende platform veiliger maken en verdedigers betere tools geven dan fingerprinting, tracking en grove uitdagingen.

Dank aan Sam Schlesinger en Google

Dit werk hangt af van mensen die komen opdagen, voorstellen schrijven, review accepteren en moeilijke tradeoffs zichtbaar houden. Ik wil Sam Schlesinger en het team van Google bedanken voor de kans om dit werk samen te helpen leiden.

Sams werk aan privacyvriendelijke protocollen, PACT en Private State Tokens heeft de technische richting van de AFCG gevormd. Die diepgang is belangrijk, want antifraudestandaarden moeten bestand zijn tegen zowel aanvallersdruk als privacyreview.

Deze rol is een natuurlijke uitbreiding van csides eerdere W3C-werk. Sinds onze toetreding tot de W3C Web Application Security Working Group in 2024 hebben we gepleit voor een sterker browsersecuritymodel. De AFCG geeft ons een extra plek om praktische runtime-evidence in het standaardenproces te brengen.

Hoe je kunt deelnemen

De AFCG staat open voor deelname. Als je team werkt aan fraude, browsersecurity, privacyvriendelijke signalen, cloudinfrastructuur, AI-agenten, betalingen, advertentie-integriteit of abusepreventie, heeft de groep mensen nodig die de operationele realiteit begrijpen.

Begin bij de W3C-groepspagina en de publieke GitHub-repositories voor use cases en voorstellen. Lees de open issues. Voeg concrete use cases toe. Daag zwakke aannames uit. Breng implementatiebeperkingen vroeg in.

De browser evolueert snel. De standaarden die browsersecurity en antifraudesignalen sturen moeten dat tempo volgen.

Per 2026-05-12 blijven AFCG-voorstellen actieve publieke discussies. Implementatiestatus, browserondersteuning en standaardenroutes kunnen veranderen.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Table of Contents

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

De W3C Anti-Fraud Community Group is een open W3C-communitygroep rond fraude, ongewenst verkeer en webplatformfuncties die security, privacy en toegankelijkheid verbeteren.

Credential stuffing, account takeover, carding, fake engagement, scraping en invalid traffic draaien vaak binnen browsersessies. Browserprimitieven kunnen helpen die flows te verdedigen zonder standaard terug te vallen op invasieve tracking of constante CAPTCHA-uitdagingen.

Private Access Control Tokens is een voorstel dat binnen de AFCG wordt besproken. Het onderzoekt privacyvriendelijke rate limits en access control, zodat sites ongewenst geautomatiseerd verkeer kunnen beperken en tracking tussen sessies kunnen voorkomen.

Simon Wijckmans is nu medevoorzitter van de AFCG en vertegenwoordigt cside in publieke standaardendiscussies. Het AFCG-proces is open, en voorstellen hebben nog publieke review, implementatiewerk en migratie naar de juiste standaardenorganisatie nodig voordat ze webstandaarden worden.

Teams die werken aan fraude, browsersecurity, privacyvriendelijke signalen, cloudinfrastructuur of webontwikkeling kunnen lid worden van de W3C Community Group en deelnemen in de publieke GitHub-repositories.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Hoe AI-agents op je website detecteren | Volledige gids

Deze gids behandelt AI-agentdetectie via identiteits-, netwerk-, browser- en gedragssignalen. Bekijk gratis methoden zoals serverloganalyse en gespecialiseerde tools.

cside is medevoorzitter van W3C-werk aan antifraude en browsersecurity

Simon Wijckmans is nu medevoorzitter van de W3C AFCG terwijl cside helpt privacyvriendelijke signalen tegen AI-fraude vorm te geven.

Wat is Mastercard First-Party Trust? Hoe het chargebacks vermindert

Mastercard First-Party Trust leidt friendly fraud-geschillen om voordat ze formele chargebacks worden. Zo werkt het bewijskader.

Mastercard First Party Trust: verbeter EFM- en ECP-ratio's met device fingerprinting

Het First Party Trust-programma van Mastercard gebruikt device fingerprinting om friendly fraud-geschillen af te wenden voordat ze uw EFM- en ECP-ratio's opdrijven.

Tools vergelijken voor PCI DSS 6.4.3 & 11.6.1 | Functies, Prijzen

Vergelijk tools voor PCI DSS 6.4.3 en 11.6.1 compliance. Functies, prijzen en reviews van cside, Feroot, Cloudflare en Reflectiz naast elkaar.

Friendly fraud in reizen en horeca: het playbook 2026

Reis- en horecamerchants worden geconfronteerd met de hoogste waarde friendly fraud-geschillen. Hoe CE 3.0 en browser-layer bewijs het winstpercentage herstellen.

Mastercard Scam Merchant Monitoring 2026: wat merchants voor juli moeten weten

Mastercard Scam Merchant Monitoring gaat volledig in op 24 juli 2026. Dit zijn de SMMP-triggers, het verschil met ECM en EFM, en hoe merchants zich voorbereiden.

Utah SB 73: je bent nu aansprakelijk voor de VPN’s van je gebruikers

Utah is de eerste Amerikaanse staat die exploitanten aansprakelijk houdt wanneer gebruikers via een VPN leeftijdsverificatie omzeilen. Een IP-bloklijst is niet genoeg.

CE 3.0 Auto-kwalificatie: wat veranderde op 17 oktober 2025 en wat te doen

Visa kwalificeert transacties automatisch voor Compelling Evidence 3.0 via Visa Secure en Data Only. Wat veranderde, wie profiteert en de bewijskloof.

Friendly fraud in gaming en iGaming: het chargebackplaybook 2026

iGaming-operators hebben de hoogste chargebackratio's van alle sectoren. VAMP 2026 verscherpte de lijn. Hoe CE 3.0 en browserlaagbewijs het evenwicht herstellen.