Blog

Onjuiste beweringen van Reflectiz over cside weerlegd

Ontdek waarom de op scanners gebaseerde beweringen van Reflectiz over cside onjuist zijn, en hoe de realtime client-side beveiliging van cside diepere bescherming, volledige payload-forensics en PCI DSS 4.0.1-compliance biedt.

Dec 08, 2025 • 11 min read

Simon Wijckmans Founder & CEO

Blogpost hero-afbeelding - onjuiste beweringen van Reflectiz over cside

TL;DR:

Reflectiz heeft een vergelijkingspagina gepubliceerd met de bewering dat cside ineffectief is.

Geen van die beweringen houdt stand bij technische toetsing.

Reflectiz is een scanner/crawler-oplossing. Ze noemen dit 'agentless', wat in het tijdperk van agentische browsers een verwarrende term is. Ze scannen je site periodiek vanuit cloud-IP's. Deze methode is ineffectief tegen de meeste client-side bedreigingen. Aanvallers serveren simpelweg schone scripts aan beveiligingsscanners en vallen de rest aan. Scanners zien wat aanvallers hen laten zien, omdat aanvallers de scanner herkennen. cside ziet wat aanvallers daadwerkelijk naar je gebruikers sturen, omdat cside in de applicatie draait.
Vertrouw ons niet op ons woord — dit is een fundamenteel ontwerpgegeven. Onafhankelijk onderzoek van ISACA, beveiligingsonderzoekers bij Google en Oracle, maar ook academisch onderzoek van de Bournemouth University concludeert consistent dat scanners niet kunnen bijhouden wat moderne dynamische client-side bedreigingen vereisen.
cside heeft geen toegang tot klantgegevens. Zien welke velden een script probeert te benaderen, betekent niet dat de inhoud die in die velden wordt ingevoerd zichtbaar is voor cside.
Om cside te implementeren plak je 1 script in je code. Reflectiz daarentegen moet bot-detectie omzeilen, heeft gebruikersgegevens nodig en zal regelmatig stukgaan wanneer checkout-flows of productvoorraden veranderen.
cside heeft geen invloed op je marketingstatistieken, omdat cside nooit interactie heeft met data-exfiltratie. Een scan die zich als een gebruiker gedraagt, heeft wél invloed op analytics, omdat die probeert zich als een gebruiker te gedragen.
cside is geen pure proxy-oplossing. We hebben een directe modus, Gatekeeper, en ook een scanner voor sites waar codewijzigingen niet mogelijk zijn.
cside voert diepgaande dynamische en gedragsanalyse uit die scannertools niet kunnen evenaren.

Dit artikel bespreekt een aantal van de beweringen en legt uit waarom ze onjuist zijn.

Inleiding

Webbeveiliging staat voor nieuwe uitdagingen. Supply-chain-aanvallen zijn voortdurend in het nieuws, en een belangrijk onderdeel van de supply-chain zijn afhankelijkheden die worden uitgevoerd in de browser van de gebruiker, waar je geen zichtbaarheid hebt. Die aanvallen zijn de afgelopen jaren aanzienlijk geavanceerder geworden. Naarmate het dreigingslandschap is geëvolueerd, zijn eenvoudig te omzeilen benaderingen irrelevant geworden.

Dit leidt tot een voorspelbare uitkomst: aanvallers serveren geen aanvallen aan beveiligingsscanners.

Onlangs publiceerde Reflectiz vergelijkingen waarin wordt beweerd dat cside op de een of andere manier minder krachtig is dan hun scanner. Deze beweringen weerspiegelen de technologische feiten niet. Ze geven blijk van een onjuist begrip van client-side beveiliging als vakgebied en van hoe cside werkt.

Als belangrijke context: cside beschikt over een SOC2 type 2-attestatie en PCI SAQ-D. Reflectiz heeft geen van beide; er is geen door derden gevalideerd bewijs dat hun bedrijf op een veilige manier opereert.

Nauwkeurigheid is in de context van beveiliging van bijzonder belang. Wanneer een opportunistische beveiligingsoplossing gebruikers in gevaar brengt, zijn we allemaal slechter af.

De onjuiste beweringen van Reflectiz over cside

Valse bewering: cside verzamelt gevoelige klantgegevens

Reflectiz suggereert dat cside gevoelige gebruikersgegevens verzamelt, zoals wachtwoorden en creditcardinformatie. In werkelijkheid monitort cside scriptgedrag en heeft het geen enkele toegang tot gebruikersinvoer. Het concept van het zien van data versus het zien welke scripts proberen toegang te krijgen tot welke invoervelden of API's zijn volledig verschillende dimensies.

cside monitort geen door gebruikers ingevoerde data. We hebben geen zichtbaarheid in wat een gebruiker typt.
cside monitort de gebeurtenissen van een script.

Dit klinkt misschien herhaald, maar:

We hebben geen interactie met de data die een gebruiker via een formulier op een website indient. cside monitort wat scripts proberen te benaderen.

Onze oplossing monitort de browser-API's die een script probeert te gebruiken, welke formuliervelden het opzoekt en waar data naartoe wordt gestuurd.

Dit alles gebeurt zonder gebruikersinvoer aan te raken.

Zelfs de Gatekeeper-oplossing fungeert als 'pure conduit', wat betekent dat we een doorgeefluik zijn voor de scriptinhoud van de externe server naar de gebruiker. We maken mogelijk deel uit van de URL waarvan het script afkomstig is, maar niet van de exfil-flow. Waar de data naartoe wordt gestuurd, wordt puur als eindpunt gemonitord.

Er is een fundamentele scheiding tussen scriptacties en gebruikersacties in een browser, met name bij het invoeren van data. Dit zijn letterlijk verschillende dimensies. Dit is een essentiële ontwerpkeuze om de privacy van klanten en naleving van regelgeving te ondersteunen.

Houd er rekening mee dat cside een SOC2 type 2-attestatie en PCI SAQ-D heeft. Reflectiz heeft geen van beide. De intentie van een leverancier zonder enige externe beveiligingsverificatie die beweringen doet over de dataverzamelingspraktijken van anderen is op zijn minst twijfelachtig.

Valse bewering: het duurt weken om cside te implementeren

De meeste klanten implementeren cside in minuten door één enkel script aan hun site toe te voegen. Er is niets anders vereist. cside ondersteunt aanvullende configuratie, zoals selectieve Gatekeeping van niet-vertrouwde scripts of scripts die actief zijn in extra gevoelige gebieden. Deze opties worden geboden voor flexibiliteit, niet omdat het platform dit vereist.

Er is geen DNS- of SSL-configuratie en geen infrastructuurmigratie nodig.

De suggestie dat cside lange integratiecycli vereist, heeft geen basis in hoe het product in de praktijk wordt gebruikt.

Aan de andere kant moet de scanner van Reflectiz logica implementeren om captcha's te omzeilen. Soms moet je zelfs hun IP's op de allowlist van je bot-detectieoplossing zetten en zijn gebruikersgegevens nodig om toegang te krijgen tot betaalpagina's. Bovendien veranderen websites. Tijdens het koopseizoen ziet de flow er anders uit dan op een gewone dag. Deze wijzigingen kunnen hun scans verstoren. Hoewel het niet hoeven toevoegen van een script misschien eenvoudiger klinkt, is dat niet het volledige plaatje. Het betrouwbaar onderhouden van wat nodig is om de pagina over tijd te scannen vereist vaak aanzienlijke en voortdurende inspanning.

Valse bewering: cside is een pure proxy-oplossing

Reflectiz presenteert cside als uitsluitend een proxy-architectuur, wat impliceert dat er beperkte ontwerpflexibiliteit is en mogelijke prestatie- of betrouwbaarheidsproblemen.

De 'gatekeeper-modus' van cside is optioneel. Het is een van de verschillende mechanismen die beschikbaar zijn voor organisaties die extra controle willen over de scripts die in hun omgeving worden geladen. Veel klanten gebruiken de Gatekeeping-service helemaal niet. In plaats daarvan vertrouwen ze op runtime-gedragsmonitoring.

cside bestempelen als "een proxy-oplossing" negeert het grootste deel van het platform.

Valse bewering: cside kan downtime veroorzaken of analytics verstoren

cside maakt gebruik van een fail-open-ontwerp. Als de cside-service ooit niet beschikbaar is, laadt de site van de klant normaal. Er is geen blokkering van scriptuitvoering en geen impact op de paginafunctionaliteit. Als cside uitvalt, wordt het script dat verkeer naar of via cside zou laten lopen, niet geserveerd. Dit is een eenvoudige dead-man switch-architectuur. Laagdrempelig, maar zeer efficiënt in storingsscenario's.

We hebben hier een volledig blogbericht over geschreven: hier.

Analyticssystemen worden niet beïnvloed omdat cside geen interactie heeft met de data die ernaartoe wordt gestuurd. Het monitoren van scriptgedrag is niet hetzelfde als het onderscheppen of wijzigen van datastromen.

De suggestie dat analytics verstoord zou worden, weerspiegelt een misverstand over de architectuur van cside. Wat analytics-data uiteraard wél beïnvloedt, is een scanner die probeert zich enigszins als een gebruiker te gedragen. Je zult die verzoeken zien binnenkomen; ze vullen een winkelwagen om bij de betaalpagina te komen, waarna de betaling wordt afgebroken, wat je statistieken scheef trekt. Dit is een van de problemen waarmee je te maken krijgt bij het gebruik van een op scanners gebaseerde oplossing.

Valse bewering: Reflectiz detecteert meer scripts dan cside

Reflectiz beweert 20 tot 50 procent meer scripts te detecteren dan cside. Er is geen methodologie, bronnen of documentatie bij deze bewering gevoegd.

Ze beweren ook dat cside geen zichtbaarheid heeft in iframes, wat onjuist is. We verzamelen iframe-URL's en beoordelen de inhoud binnen de iframe-sessie via een asynchrone controle. Bovendien worden kwaadaardige iframes doorgaans geïnjecteerd via bovenliggende script-tags. De focus op iframes is in de praktijk minder relevant, omdat het iframe-object bij een aanval zelden native aanwezig is. Het is meestal een subrequest van een script.

Belangrijker nog: scriptdetecties in een cloudomgeving staan niet gelijk aan effectieve bescherming in real-world verkeer. Scanners missen inherent precies de soorten bedreigingen die moderne aanvallers gebruiken:

Op user-agent gerichte aanvallen
Aanvallen die alleen gericht zijn op web-views
Conditionele injecties
Geografisch gerichte aanvallen
Tijdgebonden aanvallen

cside monitort scriptgedrag in de browser met behulp van realtime actie-analyse. Als een kwaadaardige payload alleen verschijnt voor gebruikers in een bepaalde regio of alleen voor gebruikers die aan specifieke voorwaarden voldoen, zal cside het zien. Een scanner niet.

De scripts waar je je zorgen over moet maken, trappen niet in een scanner.

Er is een onmiskenbare architecturale kloof tussen het kernprobleem en hoe een scanner werkt. Het gaat niet om het vergelijken van "het aantal gedetecteerde scripts". Het gaat erom of een tool by design de omstandigheden kan waarnemen waaronder aanvallen daadwerkelijk plaatsvinden.

Waarom deze onjuiste voorstellingen van zaken ertoe doen

Wanneer leveranciers onjuiste beweringen doen over hoe concurrerende tools werken, misleiden ze organisaties die afhankelijk zijn van accurate informatie om hun gebruikers te beschermen.

Reflectiz heeft gekozen voor de weg van de minste weerstand voor de klant, wat zeker aantrekkelijk is voor sommigen. Deze aanpak heeft voor- en nadelen. Ze kozen voor de minst inspannende aanpak, maar die aanpak is aan de andere kant eenvoudig te omzeilen. Het probleem is dat ze beweren het meest nauwkeurig te zijn, en dat is objectief onjuist.

Beveiligingsbeslissingen moeten worden gebaseerd op architectuur, niet op onjuiste marketinguitspraken.

Scannertools onderscheppen moderne client-side bedreigingen niet

Een crawler maakt periodiek een momentopname van een site en probeert scripts te classificeren op basis van hun URL of bekende handtekeningen. Aanvallers van vandaag:

Injecteren payloads alleen bij specifieke gebruikersacties
Serveren verschillende code aan verschillende geografische regio's
Wijzigen gedrag dynamisch na het fingerprinting van de gebruiker
Splitsen kwaadaardige logica over meerdere scripts
Activeren payloads alleen onder checkout- of betalingsomstandigheden waarbij een gebruiker is geauthenticeerd, waarbij inloggegevens die worden gebruikt in automatiseringsscenario's worden vermeden

Dit gedrag is onzichtbaar voor scanners. Lees voor meer diepgang ons artikel over hoe je scannertools kunt omzeilen.

Onafhankelijk onderzoek van ISACA, beveiligingsonderzoekers bij Google en Oracle, maar ook academisch onderzoek van de Bournemouth University concludeert consistent dat op scanners gebaseerde client-side beveiliging niet kan bijhouden wat moderne, dynamische browser-side bedreigingen vereisen.

cside is ontworpen met deze realiteit in gedachten. De aanzienlijke extra inspanning die we leveren om een runtime-gedragsplatform te bouwen is niet voor niets — het is omdat we scanners keer op keer hebben zien falen. We observeren wat scripts daadwerkelijk doen wanneer ze worden uitgevoerd op echte pagina's door echte gebruikers, omdat we weten dat dit de enige manier is om een live aanval daadwerkelijk te detecteren.

Dit is de enige verdedigbare aanpak voor client-side beveiliging op moderne schaal.

Illustratie die laat zien hoe een kwaadwillende een kwaadaardig script aan de gebruiker kan serveren, maar een onschadelijk script aan de scannertool.

Conclusie

De beweringen van Reflectiz zijn overduidelijk door AI gegenereerd, met weinig aandacht voor nauwkeurigheid of legitimiteit.

Reflectiz heeft gekozen voor een oplossing die ze eenvoudig bij hun klanten kunnen implementeren, waardoor adoptie laagdrempeliger wordt. Een scanner bouwen is een stuk goedkoper en eenvoudiger dan het bouwen van een runtime-service. Dit zijn legitieme ontwerpkeuzes. Het probleem is dat ze beweren dat hun oplossing, die is ontworpen om eenvoudig te zijn, nauwkeuriger is. En dat is simpelweg niet waar. De technologische keuze voor een scanner is een momentopname. Voor een statisch probleem kan dat volstaan. Maar client-side beveiliging is een dynamisch probleem.

Het is belangrijk dat accurate informatie wordt gedeeld, ook in concurrentievergelijkingen. Het vereist ook de erkenning dat aanvallers zich snel aanpassen en vertrouwen op de blinde vlekken die worden gecreëerd door verouderd gereedschap. cside is ontworpen om die blinde vlekken te elimineren door realtime zichtbaarheid die aansluit bij hoe moderne aanvallen werken.

Kiezen tussen cside en Reflectiz

We hadden dit artikel liever niet hoeven schrijven, maar de misleidende informatie die Reflectiz over ons heeft gepubliceerd was te flagrant om te negeren. We hebben een uitgebreider artikel over de vergelijking tussen onze oplossingen, dat je hier kunt vinden: cside vs Reflectiz In de loop van de tijd komt elke professional wel een concurrent tegen die liever tijd en energie steekt in het verspreiden van desinformatie en agressieve tactieken om anderen in diskrediet te brengen, in plaats van het verbeteren van hun eigen product. Dit is zo'n situatie.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Reflectiz maakt gebruik van een scanner die websites crawlt vanuit niet-menselijke omgevingen, waardoor een vertekend beeld van websites ontstaat. Een kwaadwillende detecteert scanners eenvoudig en zal geen kwaadaardige inhoud aan hen serveren. De aanvallen die een scanner kan onderscheppen zijn het laaghangende fruit, maar er blijft veel liggen. cside is een runtime-tool die als onderdeel van de webapplicatie draait. We behouden volledige zichtbaarheid over de acties van scripts en de scriptpayload (zonder inzicht in gevoelige gebruikersinvoer) en bewaren zelfs een archief voor forensisch onderzoek om detecties te verbeteren.

PCI DSS-vereiste 6.4.3 vereist een mechanisme om te voorkomen dat ongeautoriseerde scripts worden geladen. Geen enkele scanner kan uiteraard wijzigingen aanbrengen in de website-inhoud. De verkooppitch van 'geen codewijziging vereist' zal dan ook by design niet voldoen aan de vereisten. Met behulp van CSP of een script zoals cside kun je scripts alsnog blokkeren, maar wat is dan het nut van een scanner?

De analyse van cside wordt uitgevoerd via onze infrastructuur in combinatie met client-side intelligence, die onzichtbaar is voor aanvallers. We zullen altijd worden uitgedaagd door kwaadwillenden, en in de wereld van JavaScript zijn de methoden om detectie te proberen te omzeilen talrijk. Maar het is een stuk moeilijker dan simpelweg kwaadaardige payloads aan mensen serveren maar niet aan scanners. Een geautomatiseerde scanner detecteren is heel eenvoudig. De meeste echte gebruikers komen niet van cloud-IP-adressen. De meeste echte gebruikers hebben geen user agent die in strijd is met de werkelijke TCP-pakketdetails die aangeven dat het een op Linux gebaseerde machine is in plaats van een iPhone.

Reflectiz ziet alleen wat ze scannen, en dat is voornamelijk gericht op PCI DSS-compliancevereisten. cside legt elke scriptpayload vast die aan echte gebruikers wordt geserveerd en archiveert deze. Dit omvat payloads die zijn geblokkeerd voordat ze gebruikers bereikten. Het resultaat is dat cside simpelweg meer data heeft over hoe scripts zich gedragen in echte gebruikersomgevingen, waardoor we onze detecties kunnen verbeteren en jij inzicht krijgt in de omvang van het (voorkomen) incident.

cside biedt een speciaal gebouwd dashboard om elk van de client-side vereisten tot op de letter te adresseren, zoals goedgekeurd door VikingCloud. Ze hebben zelfs een whitepaper over de oplossing geschreven. Een scanner zoals Reflectiz biedt periodieke scriptinventarisrapportage en heeft geen data over realtime gedrag. Ze kunnen een script niet eens blokkeren zonder hun eigen script aan de pagina toe te voegen, terwijl het voorkomen van het laden van ongeautoriseerde scripts een expliciete vereiste is. Het is daarom onwaarschijnlijk dat een assessor met technische expertise een oplossing zoals Reflectiz zal goedkeuren, of bij non-compliance kan blijken dat de oorspronkelijke implementatie nooit compliant is geweest.

Realtime bescherming identificeert aanvallen op het moment dat ze aan gebruikers worden geleverd. Periodiek scannen kan aanvallen niet detecteren die verschijnen tussen scans door of alleen voor specifieke gebruikerssegmenten. Moderne aanvallers maken gebruik van conditionele logica om detectie te vermijden en serveren kwaadaardige code alleen aan menselijke gebruikers onder specifieke omstandigheden. De continue monitoring van cside zorgt ervoor dat gerichte en conditionele aanvallen altijd zichtbaar zijn. Op scanners gebaseerde tools missen deze bedreigingen inherent, omdat ze slechts een beperkt en voorspelbaar beeld van de site zien.

Het prijsmodel van cside is afgestemd op de activiteit van je website: het aantal bezoekers. De prijzen voor ons self-serviceplan zijn openbaar beschikbaar op onze prijspagina.

cside monitort de acties van scripts: welke datavelden ze opzoeken, waar data naartoe wordt gestuurd en welke API's ze proberen te koppelen. De data die een gebruiker invoert is een andere dimensie, dus cside heeft daar geen interactie mee. cside heeft nooit interactie met de werkelijke data die wordt benaderd of verstuurd. We houden simpelweg bij welke acties er plaatsvinden.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Beste oplossingen voor accountovernamebescherming vergeleken (2026)

Anti-fraudesuites, fingerprinting-tools en MFA vergeleken op wat ze dekken in de ATO-aanvalsketen. Vind de juiste stack voor uw risicoprofiel.

Hoe je AI-agents stopt die nepaccounts aanmaken (Gids)

AI-agents maken nepaccounts aan met echte browsers, residentiële IP's en gegenereerde identiteiten. Dit is de detectiesignaalstack om ze te stoppen.

Hoe blokkeer je AI-agent content scraping bots (Gids)

AI content scraping bots gebruiken echte browsers, residentiële IP's en LLM-extractie om je prijzen en content te oogsten. Zo stop je ze.

Donkere cside-banner met een npm-supply-chain-aanval van het type worm

Het sneeuwbaleffect: hoe Mini Shai-Hulud npm verandert in een wormdistributienetwerk

Mini Shai-Hulud veranderde npm-pakketten in een lus voor credentialdiefstal. Zo verspreidde de AntV-golf zich.

Waarom CAPTCHAs geen betrouwbare botverdediging meer zijn

CAPTCHAs zijn geen betrouwbare primaire botverdediging meer. Lees waarom zichtbare challenges falen en aanvallers duurder worden.

Geillustreerde blogbanner over Funnull-sancties, infrastructuurwitwassen en browser supply-chain risico

Funnull gesanctioneerd: wat Polyfill[.]io liet zien over infrastructuurwitwassen

De sancties tegen Funnull tonen dat Polyfill deel was van een groter risico rond infrastructuurwitwassen.

Illustratie van een securitystack met on-device inference

On-device inference komt naar je securitystack: goed en slecht nieuws

Lokale AI kan gevoelige data beschermen en endpointbeveiliging versterken, maar brengt nieuwe risico's rond promptinjectie, telemetrie en browsers.

Donkere cside-blogcover met punten over tools voor detectie van AI-agents

4 tools om AI-agents op je website te detecteren (fraudepreventie)

Vergelijking van cside, HUMAN Security, DataDome en Cloudflare voor AI-agentdetectie. Ontdek hoe elke tool omgaat met fraudepreventie, prijzen en implementatie.

Donkere cside-blogcover met punten over het blokkeren van AI-creditcardtestbots

Creditcardtestbots op basis van AI-agents | Zo stop je ze

AI-agents voor creditcardtests gebruiken echte browsers om gestolen gegevens grootschalig te valideren. Leer ze te herkennen en te blokkeren vóór de betaling.

Donkere cside-blogcover met punten over gebruik en blokkering van stealth-browsers

Wat zijn stealth- (of 'anti-detect') browsers en wanneer moet je ze blokkeren

Stealth-browsers omzeilen botdetectie. Anti-detectbrowsers spoofen fingerprints. Leer de signalen die beide verraden, zelfs als ze er menselijk uitzien.