Blog

Implementeer scripts niet sitebreed

Third-party scripts worden vaak sitebreed ingezet, doorgaans geïnjecteerd in de head-tags van webframeworks zoals Next.js via het '_document.js'-bestand. Deze wijdverspreide implementatie, hoewel handig voor ontwikkelaars en vaak aanbevolen door onboardinghandleidingen, betekent dat deze scripts op de hele site worden uitgevoerd. Dit is eenvoudiger te implementeren, maar introduceert ook beveiligingsrisico's en prestatieproblemen die vaak over het hoofd worden gezien. Het recente datalek bij Kaiser Permanente toont de gevaren aan van slecht beheerde

Jul 22, 2024 • 4 min read

Simon Wijckmans Founder & CEO

Implementeer scripts niet sitebreed — waarom brede scriptinjectie riskant is

Third-party scripts worden vaak sitebreed ingezet, doorgaans geïnjecteerd in de head-tags van webframeworks zoals Next.js via het _document.js-bestand. Deze wijdverspreide implementatie, hoewel handig voor ontwikkelaars en vaak aanbevolen door onboardinghandleidingen, betekent dat deze scripts op de hele site worden uitgevoerd. Dit is eenvoudiger te implementeren, maar introduceert ook beveiligingsrisico's en prestatieproblemen die vaak over het hoofd worden gezien.

Het recente datalek bij Kaiser Permanente toont de gevaren aan van slecht beheerde third-party scripts. Zoals we schreven in onze volledige analyse van het incident:

Op 29 april maakte zorgverzekeringsreus Kaiser Permanente een datalek bekend dat 13,4 miljoen huidige en voormalige verzekeringsleden trof. Het incident was het gevolg van onzorgvuldig beheerde third-party scripts. Kaiser Permanente gebruikte trackingcodes om te monitoren hoe leden door de website en mobiele applicaties navigeerden. Sommige van deze pagina's bevatten gevoelige zorggegevens, waardoor de third-party scripts onbedoeld informatie doorgaven aan externe leveranciers die daar geen toegang toe hadden mogen hebben. Hoewel het lek niet het gevolg was van een script-hijack, benadrukt het een ernstig gebrek aan toezicht op het beheer van third-party scripts.

Maar het probleem reikt verder dan het lekken van mogelijk gevoelige informatie naar externe leveranciers. Het weerspiegelt hoe third-party scripts veelvuldig worden gebruikt, maar zelden worden onderzocht of gemonitord. Laat staan beveiligd.

De risico's van sitebreed inzetten van third-party scripts

Nu we de redenen hebben besproken waarom mensen scripts vaak globaal inzetten, kijken we naar de problemen die dit met zich meebrengt.

1. Ongecontroleerde toegang tot gegevens

Dit is wat er gebeurde bij het Kaiser Permanente-incident. Third-party scripts hebben bij globale inzet vaak toegang tot gevoelige gegevens op webpagina's. Dit kan gebruikersinvoer, sessie-informatie en andere vertrouwelijke gegevens omvatten. Zonder strikte controles kunnen deze scripts gegevens onbedoeld of kwaadwillig lekken naar onbevoegde partijen. In het geval van Kaiser Permanente en andere zorgpartijen voldoen third-party scripts vaak niet aan de Health Insurance Portability and Accountability Act (HIPAA), waardoor een datalek naar deze leveranciers een ernstig incident is.

2. Supply chain-aanvallen

Aanvallers kunnen de webtoeleveringsketen compromitteren door third-party diensten aan te vallen en kwaadaardige code in scripts te injecteren. Deze gecompromitteerde scripts kunnen vervolgens malware verspreiden, gegevens stelen of andere schadelijke acties uitvoeren op elke site waar ze zijn ingezet. Dit is op zichzelf al ernstig, maar nog erger wanneer scripts globaal worden ingezet en toegang hebben tot meer gegevens en gebruikers.

cside beschermt hier uiteraard tegen.

3. Single Page Web Applications (SPA's)

SPA's gaan helemaal niet goed om met scripts. Tenzij een ontwikkelaar een harde verversing uitvoert bij het navigeren naar een gevoelige pagina, blijven alle eerder geladen scripts aanwezig. Elk third-party script dat initieel is geladen, blijft actief en heeft gedurende de hele sessie van de gebruiker potentieel toegang tot gevoelige gegevens — tenzij de pagina volledig wordt ververst. Dit vergroot het risico op datalekken en ongeautoriseerde toegang.

4. Compliance- en regelgevingsrisico's

Organisaties moeten voldoen aan diverse gegevensbeschermingsregelgeving, zoals de AVG, HIPAA en PCI DSS 4.0. Ontoereikend beheer van third-party scripts kan leiden tot niet-naleving, met hoge boetes en juridische gevolgen als resultaat.

Nu PCI DSS 4.0 vereist dat third-party scripts vóór maart 2025 worden gemonitord, is het moment aangebroken om aan de slag te gaan en cside in te zetten. Het maakt je niet alleen compliant, maar gaat verder door autonome blokkering te introduceren voor betere bescherming.

5. Prestatie- en stabiliteitsproblemen

Misschien minder ingrijpend, maar zeker merkbaar: slecht geoptimaliseerde third-party scripts vertragen websites. Uitval of problemen bij de externe dienst kunnen direct van invloed zijn op de functionaliteit en beschikbaarheid van de hostwebsite. Een site die in 1 seconde laadt, heeft een 3x hogere conversieratio dan een site die 5 seconden nodig heeft.

Bescherm jezelf tegen deze risico's

Net als de PCI DSS 4.0-richtlijnen zijn wij voorstanders van continue beveiligingsmonitoring en moedigen we alle site-eigenaren aan dit toe te passen. Wij geloven dat het toepassen op alle pagina's de meest effectieve aanpak is.

Dit kun je doen via onze gratis versie. Zelfbediening, zodat je binnen enkele minuten compliant en veilig bent. Uiteraard staan we altijd klaar om te helpen indien nodig.

Ons script herschrijft de bronnen van andere scripts op je site om ze via de cside-proxy te leiden. Het voert ook een aantal detecties aan de browserzijde uit. Hierdoor kan cside de verzoekstroom tussen de gebruiker en het third-party script bemiddelen zonder latentie toe te voegen. In sommige gevallen kan het de prestaties zelfs verbeteren door statische scripts te cachen.

Dit biedt volledig inzicht in de aangeboden scripts, 100% van de sessies, en op alle pagina's.

Voor meer informatie over hoe onze aanpak verschilt, lees je dat hier.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.