Waarom is cside technisch sterker dan een scanner-only tool zoals Reflectiz?

Reflectiz vertrouwt op een scanner die websites crawlt vanaf cloud IP-adressen. Het ziet periodieke snapshots van de site en kan alleen analyseren wat op dat moment aan die crawler wordt geserveerd. Daarentegen analyseert cside scripts terwijl ze worden uitgevoerd in echte gebruikersbrowsers en, in gatekeeper-modus, kan het in het leveringspad zitten om script-payloads in real-time te inspecteren en optioneel te blokkeren. Omdat de meeste moderne client-side aanvallen gericht zijn (bijvoorbeeld alleen bepaalde geografische locaties, apparaten, tijdvensters of interactiepatronen) en expliciet scanners en cloud IP-bereiken vermijden, zal een scanner-only architectuur veel van deze aanvallen helemaal niet zien. cside is ontworpen om die dynamische, voorwaardelijke aanvallen te detecteren en te mitigeren terwijl volledige payload-historie wordt bewaard voor forensics en PCI DSS 4.0.1-compliance.

Hoe verschilt cside's benadering van Reflectiz's crawler-gebaseerde/scanner-gebaseerde benadering?

Het fundamentele verschil is real-time versus periodieke bescherming. Reflectiz gebruikt externe crawlers die periodiek je website scannen vanaf datacenter-IP's, waardoor tijd-gebonden, geo-gerichte of gebruiker-specifieke aanvallen worden gemist. cside's hybride proxy handelt elk verzoek van echte bezoekers in real-time af, waarbij edge-case payloads worden gevangen op het moment dat ze worden afgeleverd. Wij bieden continue bescherming gebaseerd op echte gebruikerservaring, terwijl Reflectiz periodieke snapshots biedt die dynamische bedreigingen missen.

Waarom voldoen scanner-gebaseerde tools niet aan de PCI DSS 4.0.1 script-integriteitsintentie?

De PCI SSC-richtlijnen voor vereiste 6.4.3 benadrukken mechanismen die script-integriteit *in de browser* afdwingen—zoals Subresource Integrity (SRI), Content Security Policy (CSP) en eigen script- of tagbeheersystemen die kwaadaardige scriptuitvoering kunnen voorkomen. Scanner-only tools, waaronder Reflectiz, werken buiten de browser van de gebruiker en kunnen niet voorkomen dat scripts worden geladen of hun gedrag tijdens runtime controleren. Ze kunnen bewijs bijdragen, maar zijn per definitie niet geschikt om de PCI DSS-intentie van het voorkomen van kwaadaardige scriptuitvoering te vervullen.

Kunnen aanvallers cside's bescherming omzeilen zoals ze dat kunnen met Reflectiz's crawlerdetectie?

Nee, omdat cside's kernanalyse plaatsvindt op onze infrastructuur gecombineerd met client-side intelligentie, volledig onzichtbaar voor aanvallers. Aanvallers kunnen Reflectiz's crawlers gemakkelijk detecteren omdat ze van niet-menselijke bronnen komen en kunnen hen schone versies van gecompromitteerde scripts serveren. Aangezien cside elk verzoek van echte gebruikers via onze proxy verwerkt, kunnen aanvallers onze analyse niet onderscheiden van legitiem verkeer. Onze bescherming is onzichtbaar voor aanvallers, terwijl crawler-gebaseerde benaderingen gemakkelijk worden geïdentificeerd en misleid.

Welk forensisch bewijs levert cside vergeleken met Reflectiz's crawlerrapporten?

Reflectiz biedt periodieke scanrapporten die laten zien wat hun crawlers hebben waargenomen tijdens geplande bezoeken, maar cside legt elke script-payload vast en archiveert die aan echte gebruikers wordt geserveerd. Dit geeft je compleet forensisch bewijs van daadwerkelijke aanvallen in plaats van alleen snapshots van wat crawlers zagen. Onze benadering biedt onveranderlijk bewijs van bedreigingen die werden geblokkeerd voordat ze gebruikers bereikten, niet alleen wat zichtbaar was tijdens het scannen.

Hoe vergelijken de compliance-mogelijkheden tussen cside en Reflectiz?

cside biedt superieure PCI DSS-compliance met continue monitoring en onveranderlijke payload-archieven die zowel vereisten 6.4.3 als 11.6.1 dekken. Reflectiz's crawler-benadering biedt periodieke inventarisrapporten maar mist de real-time monitoring en uitgebreide forensische bewijsvoering die toezichthouders vereisen. Onze continue bescherming creëert de complete audit trail die compliance officers nodig hebben voor grondige documentatie.

Waarom is cside's real-time bescherming beter dan Reflectiz's periodieke scanning?

Real-time bescherming vangt aanvallen op het moment dat ze aan gebruikers worden geleverd, terwijl periodieke scanning bedreigingen mist die verschijnen tussen scans of specifieke gebruikerssegmenten targeten. Moderne aanvallers gebruiken voorwaardelijke logica om detectie door crawlers te vermijden en serveren kwaadaardige code alleen aan echte gebruikers. cside's continue monitoring zorgt ervoor dat geen aanval ongedetecteerd blijft, terwijl crawler-gebaseerde benaderingen inherente blinde vlekken hebben die geavanceerde aanvallers uitbuiten.

Hoe is cside geprijsd?

Onze prijzen volgen simpelweg paginaweergaven en zijn openbaar beschikbaar op onze website voor het self-service plan. Paginaweergave-statistieken zouden beschikbaar moeten zijn voor elke website-eigenaar via hun analytics-tools. We hanteren geen 'voor jou mijn vriend speciale prijs'-model, prijzen zijn eenvoudig, voorspelbaar en volumekortingen voor grote volumes zijn beschikbaar.

Reflectiz vs cside

TL;DR: cside vs Reflectiz:

Reflectiz is een scanner-gebaseerde, agent-less oplossing. Het crawlt periodiek je site vanaf cloud-IP's.
cside combineert real-time in-browser scriptgedragmonitoring en een optionele 'gatekeeper'-engine om te zorgen voor volledige zichtbaarheid op het gedrag dat de gebruiker ziet.
Client-side scriptaanvallen zijn vaak dynamisch en sterk voorwaardelijk (geo, User-Agent, tijdgebonden, willekeurig, expliciet cloud IP-adressen vermijdend).
cside kan kwaadaardige acties door scripts in real-time detecteren en voorkomen. Volledige scriptcontext wordt bewaard voor forensics maar slaat geen door gebruikers ingevoerde data of PII op.
Kortom: cside ziet en beschermt echte gebruikers in real-time. Waar Reflectiz snapshots maakt voor een compliance-checkbox. Reflectiz ziet wat aanvallers hen laten zien; cside ziet wat aanvallers daadwerkelijk naar je gebruikers sturen.
Onafhankelijk onderzoek door ISACA, beveiligingsonderzoekers bij Google en Oracle maar ook academisch onderzoek door Bournemouth University concludeert consequent dat scanner-gebaseerde client-side beveiliging geen gelijke tred kan houden met moderne, dynamische browser-side bedreigingen.

Waarom we deze vergelijking schreven

Dit artikel legt uit hoe Reflectiz en cside client-side beveiliging anders benaderen en waarom dat verschil er in de praktijk toe doet.

We zijn duidelijk bevooroordeeld - je bent op de cside-website - maar de vergelijking is gebaseerd op:

Openbaar beschikbare technische informatie
Gedocumenteerde branche-aanvallen (zoals Polyfill en Magecart-stijl campagnes)
PCI DSS 4.0.1-richtlijnen
Onze eigen en onze klanten hun real-world ervaringen

We hebben Reflectiz uitgenodigd om deze pagina te beoordelen en eventuele feitelijke correcties te delen. Op het moment van schrijven hebben ze geen wijzigingen aangeleverd.

Reflectiz vergelijken met cside

Criteria	cside	Reflectiz	Waarom het belangrijk is	Wat de gevolgen zijn
Gebruikte benaderingen	Actieve client-side detecties + optionele mogelijkheid tot proxy + scanner	Scanner	Hybride zichtbaarheid biedt dieper, gelaagd inzicht in browsergedrag.	Scanner-only oplossingen missen real-time aanvallen en scriptwijzigingen na het laden. Het past een statisch beveiligingsconcept toe op een dynamisch probleem.
Ziet het script dat de gebruiker krijgt			Client-side scripts zijn dynamisch. Een kwaadwillende kan specifieke apparaten, IP's, landen of tijdzones targeten. Continue beveiliging is noodzakelijk voor een dynamische beveiligingsuitdaging.	Een scanner is een momentopname vanuit een niet-menselijke omgeving. Kwaadwillenden zullen waarschijnlijk geen kwaadaardige content serveren aan niet-menselijke endpoints. Periodieke scans zijn een oplossing voor een statisch beveiligingsprobleem, niet een dynamisch beveiligingsprobleem.
Real-time bescherming			Live respons op runtime-bedreigingen is essentieel voor client-side veiligheid. cside is op de pagina, wat resulteert in actieve detectie van bedreigingen.	Geen real-time aanwezigheid op de pagina betekent dat real-time per definitie niet kan worden bereikt. Een periodieke crawl is een periodieke crawl.
Volledige payload-analyse			Laat je precies zien wat een script doet, niet alleen waar het vandaan komt, maar vermijdt gevoelige informatie omdat de scripts al openbaar toegankelijk zijn.	Een scanner ziet alleen een momentopname-analyse. Kwaadwillenden staan erom bekend IP-adressen van scanners te vermijden. Er is geen garantie dat de payload die door de scanner wordt beoordeeld is wat een echte gebruiker zou krijgen.
Dynamische dreigingsdetectie			Past zich aan nieuwe bedreigingen aan door gedrag over alle echte menselijke sessies te analyseren.	Statische systemen raken achterop naarmate aanvalsmethoden evolueren. De beperkte zichtbaarheid die een periodieke crawl biedt, zal geen dynamiek vastleggen.
DOM-niveau dreigingsdetectie			Identificeert scriptgedrag binnen de DOM.	Kan DOM-manipulatie detecteren op de periodieke scans die het uitvoert, wat een gedeeltelijk beeld creëert.
100% historische tracking & forensics			Volledige historie stelt je in staat incidenten met precisie te traceren.	Zonder forensics is root cause-analyse incompleet of onmogelijk.
Bypass-bescherming			Blokkeert ontwijkingstechnieken die door aanvallers worden gebruikt om detectie te vermijden. Beschermt API's die kunnen worden gebruikt om beveiligingsacties te onderscheppen.	Aanvallers kunnen zich verbergen voor beveiligingstools en ongedetecteerd handelen. Het enige dat nodig is om een scanner te omzeilen is basis 'als cloud-IP, serveer schone scripts', wat client-side aanvallen routinematig hebben.
AI-gedreven scriptanalyse			Markeert kwaadaardige logica zelfs wanneer verduisterd of vermomd.	Handmatige reviews missen verborgen of polymorfe malware.
QSA-gevalideerd PCI-dashboard			Geeft duidelijke PCI-audit trails en status voor compliance teams. Download de cside VikingCloud-whitepaper hier.	Maakt PCI-validatie moeilijker, trager en riskanter.
PCI-specifieke UI met geautomatiseerde beoordelingsmogelijkheden			Vermindert compliance-tijd met dashboards gemaakt voor PCI-doelen terwijl een accurate beveiligingshouding behouden blijft.	Generieke tools vereisen meer handmatig werk om bewijs te extraheren.
SOC 2 Type II			Toont rigoureuze operationele volwassenheid en betrouwbaarheid.	Gebrek aan SOC2 Type 2-compliance kan beveiligingsevaluaties van de klant beïnvloeden en kan bedrijven blootstellen aan door leveranciers veroorzaakte incidenten.
Prijzen			Openbare en voorspelbare prijzen maken betere budgetplanning en besluitvorming mogelijk.	Verborgen prijzen die sterk fluctueren van de ene klant naar de andere creëren onzekerheid en kunnen leiden tot onverwachte kosten.
Onboarding			Snelle self-service onboarding zorgt dat bescherming direct werkt.	Reflectiz-onboarding is zo complex dat zij het voor je moeten doen, waarbij ze moeten omgaan met botdetecties, CAPTCHA's en andere technische barrières die implementatie vertragen.

Samengevat:

cside biedt real-time detectie, blokkering, script-payload logging, dynamische gedragsanalyse en een QSA-gevalideerd PCI-dashboard.
Reflectiz vertrouwt primair op periodieke scans, die gerichte, voorwaardelijke aanvallen die alleen aan echte gebruikers worden geleverd niet kunnen zien.
cside kan veel soorten client-side aanvallen voorkomen of detecteren die elke scanner-architectuur, inclusief Reflectiz, per definitie niet zal zien.

Gebruikersrecensies: Reflectiz vs cside

Hier is hoe echte gebruikers cside en Reflectiz hebben beoordeeld op basis van hun ervaring met detectienauwkeurigheid, ondersteuningskwaliteit en algemene betrouwbaarheid.

Platform	cside	Reflectiz
G2	★★★★★ (4.9/5)	★★★★☆ (4.7/5)
SourceForge	★★★★★ (4.9/5)	★★★★☆ (4.7/5)

Je kunt de gebruikersrecensies voor cside bekijken op Sourceforge of G2.

"Ik ben blij dat we hun product hebben gevonden en het heeft ons geholpen bij het behalen van PCI-compliancedoelen die voorheen een beetje overweldigend leken. cside's product was precies wat we zochten voor een fractie van de prijs die andere concurrenten boden." - Anonieme Review, Sourceforge (Citaat uit Sourceforge Review van cside)

Onafhankelijke QSA-validatie: Reflectiz vs cside

Onafhankelijke QSA-validatie is een belangrijke indicator of de beveiligingsclaims van een leverancier technisch zijn geverifieerd. Hier is hoe Reflectiz en cside vergelijken op externe beoordelingen.

cside:

Beoordeeld en goedgekeurd door VikingCloud, een van de grootste Qualified Security Assessor (QSA) bedrijven.
Onderhoudt SAQ-D-certificering
Erkend door compliance-consultants en gebruikt door QSA-partners tijdens PCI-gereedheidsbeoordelingen.

Reflectiz:

Geen openbaar beschikbare QSA-goedkeuring of certificering vermeld op hun site of documentatie.
Vertrouwt op zelf-geattesteerde claims in plaats van validatie door derden.

Wat is Reflectiz?

Reflectiz is een scanner-gebaseerde, agent-less tool die zich richt op compliance en privacy voor client-side dependencies op websites. In plaats van code in je gebruikersbrowsers te draaien, crawlt het je site vanaf externe infrastructuur, analyseert welke scripts worden geladen en rapporteert problemen die het vindt.

Hoe Reflectiz werkt (Scanner-architectuur)

Reflectiz gebruikt wat het een "eigen browser" noemt om geselecteerde pagina's en pagina's ontdekt via de sitemap te crawlen. In de praktijk betekent dit:

Verzoeken komen vanaf cloud- of datacenter IP-bereiken, niet van echte gebruikers.
Pagina's worden periodiek gecontroleerd, niet continu en niet real-time.
Het ziet de scripts die op dat moment aan zijn crawler worden geserveerd, niet noodzakelijkerwijs wat echte gebruikers in de loop van de tijd zien.

Dit agent-less, scanner-only ontwerp heeft enkele voordelen (geen codewijzigingen vereist) maar is niet eenvoudiger te implementeren omdat captcha's en botdetectie moeten worden omzeild of de scanner moet worden toegestaan. Maar ook inloggegevens en sessietokens moeten worden gebruikt. Dit creëert ook een eenvoudig platform voor het detecteren van de scanner dat een kwaadwillende kan gebruiken om de kwaadaardige actie niet uit te voeren wanneer de beveiligingsscan wordt uitgevoerd. Het concept van een website-scanner voor dynamische aanvallen introduceert een inherente blinde vlek wanneer scripts zich anders gedragen voor verschillende gebruikers, locaties, apparaten of tijden. Wat precies is hoe veel moderne client-side aanvallen werken.

Hoewel scanners eenvoudig te bouwen en goedkoop te bedienen zijn, kunnen ze worden gebruikt voor statische beveiligingsbehoeften, maar er is een fundamenteel ontwerpprobleem met deze benadering in de context van dynamische scripts.

Dit maakt het onwaarschijnlijk dat kwaadaardig gedrag door kwaadwillende actoren wordt gedetecteerd.

Een client-side asset is zeer dynamisch. Het serveert doelbewust specifieke content aan specifieke apparaten, locaties, tijden van de dag enz. Met een combinatie van HTTP-headers en andere externe signalen of het willekeurig maken van responses.

Kwaadwillenden gebruiken dit in hun voordeel. De meeste gerichte client-side aanvallen worden gesampled of alleen uitgevoerd onder specifieke omstandigheden, en zeker niet tegen een cloud IP-adres…

Er zijn talloze voorbeelden hiervan: de Polyfill-aanval leidde alleen gebruikers om op specifieke mobiele apparaten in bepaalde Europese landen, oudere Magecart-stijl aanvallen vertoonden een vergelijkbaar patroon.

Een crawler kan proberen gebruikersactiviteit na te bootsen, maar het is per definitie geen gebruikersactiviteit. Dus krijgt het niet de exacte payload van wat alle gebruikers ontvangen. Er zijn veel aanwijzingen die achterblijven die aangeven dat een scanner een scanner is en geen mens, zelfs doelbewust gebouwde residential proxies zijn gemakkelijk te detecteren. Kwaadwillenden die grote logo-leveranciers targeten, zullen de moeite investeren om scanners te vermijden en goedaardige content aan die scanners te serveren. We hebben in detail uitgelegd hoe bypasses worden ontworpen in onze blogpost, How to Bypass JavaScript Agents, CSP, and Crawlers.

Een leverancier die alleen een crawler aanbiedt, zou deze intelligence van een andere bron moeten kopen.

cside biedt een crawler voor gevallen waarin een klant geen wijzigingen aan hun code kan aanbrengen, maar het grote verschil is dat we de threat intelligence gebruiken die we zien van alle andere websites die onze on-site diensten gebruiken. Hoewel deze benadering nog steeds geen aanval zal elimineren, is het zeker veel capabeler in het detecteren van aanvallen dan het kopen van threat intel op de open markt.

Illustratie van hoe scanners/bots/crawlers/agent-less oplossingen verschillende payloads zien dan echte menselijke gebruikers

Hoe cside werkt (Real-User Monitoring + Gatekeeper + Scanner)

cside's client-side dependency beveiligingsoplossingen zijn gebouwd op een eenvoudig principe: om gebruikers te beschermen, moet je precies zien wat hun browsers zien. Anders dan scanner-only tools die een site crawlen vanaf cloud-IP's, analyseert cside scriptgedrag in echte gebruikerssessies en verifieert script-integriteit in real-time en kan optioneel onze eigen 'gatekeeper'-infrastructuur gebruiken. Omdat de meeste moderne aanvallen voorwaardelijk of gericht zijn, is deze echte-gebruiker zichtbaarheid essentieel.

Ons team heeft decennia besteed aan het werken in browserbeveiliging en draagt actief bij aan standaardenorganisaties zoals de W3C, en helpt de toekomst van client-side beveiliging vorm te geven. Deze achtergrond informeerde cside's architectuur: een systeem dat real-user gedragsmonitoring, een optionele gatekeeper-laag en een intelligence-gedreven scanner combineert. Samen bieden deze benaderingen de meest complete technische dekking die mogelijk is voor dynamische scriptbedreigingen.

Waarom een meerlaagse benadering noodzakelijk is

Browsers waren niet ontworpen met client-side beveiliging in gedachten. Browsers' native functionaliteit zoals CSP en SRI helpen maar dekken alleen niet het hele aanvalsoppervlak. Ze voeren vrijelijk scripts van derden uit, bieden aanvallers veel signalen om mensen van scanners te onderscheiden en bieden geen native mechanisme voor continue integriteitsvalidatie.

Vanwege deze beperkingen is één enkele techniek nooit genoeg. cside gebruikt gelaagde modi die elkaar aanvullen:

Gedragsdetectie in de browser van de bezoeker
Optionele onderschepping van niet-vertrouwde scripts van derden voor levering
Scannen wanneer geen codewijzigingen mogelijk zijn, versterkt door real-user intelligence

Dit zorgt ervoor dat cside ziet wat echte gebruikers zien, zelfs wanneer aanvallen gericht, intermitterend of ontworpen zijn om crawlers te vermijden.

De verschillende modi van cside

Direct Mode - Makkelijkst

We draaien een lichtgewicht gedragsdetectie-engine direct in de browser van de gebruiker en fetchen dezelfde scripts zelf voor verificatie.

Geen verkeersomleiding (tenzij je een script specificeert dat je wilt dat wij serveren)
Geen toegevoegde latentie
Slechts één script-tag toe te voegen aan je site

Direct Mode geeft onmiddellijke monitoring en integriteitscontroles, zonder je leveringspad te wijzigen.

Gatekeeper Mode - Veiligst

Gatekeeper plaatst cside tussen niet-vertrouwde scripts van derden en je gebruikers, maar alleen voor de scripts die jij kiest.

We inspecteren en blokkeren optioneel kwaadaardige script-payloads in real-time
We onderhouden volledige historische payload-records voor forensics en compliance
Gatekeeper verbetert vaak prestaties door cachinggedrag en kan niet-vertrouwde scripts vastleggen

Deze modus biedt de sterkste beveiligingsgaranties beschikbaar voor dynamische scriptomgevingen. Vermindert de afhankelijkheid van de browser en gebruikt de 'gatekeeper' als een extra service om scriptacties te detecteren.

Scan Mode - Snelst

Als je het cside-script niet kunt toevoegen, vallen we terug op scannen.

Anders dan traditionele scanners wordt onze detectie-engine aangedreven door threat intelligence geleerd van miljarden echte gebruikerssessies over duizenden sites.

Scan Mode is geen vervanging voor real-user monitoring, maar het biedt betekenisvolle bescherming wanneer codewijzigingen nog niet mogelijk zijn.

Waarom Scanners real-world aanvallen missen


// Illustratieve pseudo-logica; niet bedoeld voor productie of misbruik.
const CLOUD_ASNS = new Set([
// Veelvoorkomende Cloud-provider ASN's. Voeg meer toe indien nodig
16509, // AMAZON-02
14618, // AMAZON-AES
24940, // HETZNER
212317, // HETZNER
398657, // MICROSOFT AZURE DEDICATED
]);
export default {
async fetch(request) {
// server voegt netwerkinfo toe aan het verzoek
const asn = request.xyz?.asn;
<span class="kw">const</span> body = CLOUD_ASNS
  ? <span class="str">`console.log("we're good");\n`</span>
  : <span class="str">`console.log("we're bad");\n`</span>;

<span class="kw">return new</span> Response(body, {
  headers: {
    <span class="str">"content-type"</span>: <span class="str">"application/javascript; charset=utf-8"</span>,
    <span class="str">"cache-control"</span>: <span class="str">"no-store"</span>,
  },
});

},
};

Het bovenstaande voorbeeld kan op elk type webserver draaien, inclusief eenvoudige PaaS-platforms die gratis kunnen worden gedraaid zonder creditcardinformatie en/of traceerbaarheid naar de kwaadwillende.

Wat het bovenstaande script doet is vrij eenvoudig. Wanneer een verzoek wordt gedaan vanaf een cloudprovider, serveer een schoon script. Elk ander verzoek krijgt een slecht script.

Natuurlijk kan de kwaadwillende meer logica toevoegen. Zoals, serveer het slechte script alleen aan 5% van de verzoeken en als de developer tools gesloten zijn. Wat het moeilijker maakt om te detecteren door handmatige beoordeling.

Reflectiz kan stellen 'maar we scannen vanaf verschillende locaties en verschillende user agents'.

Ten eerste kunnen we niet verifiëren of dat waar is.

Ten tweede kunnen kwaadwillenden het omgekeerde doen en alleen menselijke IP-adressen targeten, de IPv4-webspace omvat 4,3 miljard IP-adressen. Geen scanner kan het niveau van entropie nauwkeurig fabriceren dat je gebruikers gecombineerd natuurlijk zullen hebben. Kunstmatig gedrag is geen menselijk gedrag.

Het gebruik van een residential proxy om te lijken op een normale residentiële gebruiker zal waarschijnlijk geen significant verschil maken. Een kwaadwillende kan nog steeds het gebruik van een residential proxy detecteren en/of zoeken naar basisindicatoren door paginatijden te timen, te controleren hoe selectors worden benaderd, schermformaten en alle factoren combineren in een vergelijkingsboom om mismatches te detecteren tussen UserAgent, gebruikt besturingssysteem door de TCP-pakketindicatoren te controleren enz.

Onafhankelijk onderzoek bevestigt scannerbeperkingen

Onafhankelijk onderzoek toont consequent aan dat scanner-gebaseerde client-side beveiliging geen gelijke tred kan houden met moderne, dynamische browser-side bedreigingen. Branche-analyse van ISACA bevestigt dat traditioneel scannen risico's niet aanpakt die exclusief tijdens runtime in de browser van de gebruiker optreden, terwijl academische studies aantonen dat crawlers en black-box scanners routinematig DOM-gebaseerde kwetsbaarheden, dynamische uitvoeringspaden en voorwaardelijke malware ontworpen om geautomatiseerde tools te ontwijken missen (bijv. https://arxiv.org/abs/1410.4207, https://arxiv.org/abs/2004.06292).

Aanvullend onderzoek benadrukt wijdverbreide false negatives vanwege moderne anti-bot ontwijkingstactieken (https://arxiv.org/abs/2212.12308).

In contrast tonen onafhankelijke evaluaties van runtime-bescherming inclusief RASP-gefocust onderzoek (https://en.wikipedia.org/wiki/Runtime_application_self-protection) aan dat real-time monitoring veel effectiever is in het detecteren en blokkeren van bedreigingen die scanners nooit observeren.

Real-world breach-analyses (British Airways, Ticketmaster, Newegg, Polyfill[.]io en anderen) bevestigen verder dat aanvallers opzettelijk kwaadaardige scripts alleen aan echte gebruikers leveren onder specifieke geolocatie-, timing- en apparaatcondities, wat ervoor zorgt dat scanners de payload nooit zien.

Collectief valideren deze bronnen dat continue, real-time browsermonitoring de enige betrouwbare manier is om moderne client-side supply-chain en JavaScript-gebaseerde aanvallen te detecteren, terwijl scanner-only tools inherente blinde vlekken achterlaten.

Enkele aanvalsmethoden die worden gebruikt om scanner-gebaseerde detecties te vermijden:

Geofenced aanvallen

Wat ze zijn: Geofenced aanvallen serveren alleen een kwaadaardig script aan gebruikers in specifieke locaties of IP-bereiken (bijvoorbeeld bepaalde mobiele provider-bereiken in het VK of de EU) en serveren een goedaardig script aan iedereen anders.

Waarom scanners ze missen:

Scanners, crawlers en "agent-less" tools draaien bijna altijd vanaf cloud-provider IP's of bekende proxy-bereiken.
Aanvallers kunnen gemakkelijk een lijst van cloud-ASN's onderhouden en vermijden kwaadaardige payloads te sturen naar die IP's.
Als gevolg ziet de scanner herhaaldelijk het "schone" script en observeert nooit de echte aanval.

Waarom cside ze detecteert:

cside observeert scripts terwijl ze worden uitgevoerd in echte gebruikersbrowsers, op echte residentiële en mobiele netwerken.
Als een script zich kwaadaardig gedraagt voor een echte gebruiker, kan cside het gedrag detecteren, en in gatekeeper-modus zelfs de payload blokkeren voordat deze wordt uitgevoerd.

Met andere woorden, Reflectiz ziet wat aanvallers hun scanners laten zien; cside ziet wat aanvallers daadwerkelijk naar je gebruikers sturen.

User-Agent gerichte aanvallen

Dit zijn aanvallen waarbij een kwaadaardige payload alleen wordt geïnjecteerd op bepaalde browsers, bijvoorbeeld Selenium, Safari, Chromium of een specifiek besturingssysteem.

De meeste scanners, crawlers en in dit geval 'agent-less' oplossingen komen van een reeks voorspelbare User-Agent strings. Ze emuleren zelden mobiele apparaatheaders.

En in de zeldzame gevallen dat een scanner zijn User-Agents wijzigt, komt de agent meestal niet overeen met de daadwerkelijke verzoek-payloads. Scanners draaien meestal op Linux-gebaseerde besturingssystemen, wat betekent dat een kwaadwillende op basis van het TCP-verzoekpakket zal opmerken welk besturingssysteem daadwerkelijk wordt gebruikt. Wat ertoe leidt dat de kwaadaardige payload niet naar de scanner wordt gestuurd omdat Linux zelden door een echte menselijke gebruiker wordt gebruikt.

Waarom cside's benadering hier het beste werkt: we detecteren gedrag in de browser en onze gatekeeper kan als afschrikmiddel fungeren. Als we de kwaadaardige payload niet zien, kreeg je gebruiker ook niet de kwaadaardige payload. We zoeken constant naar aanvallen terwijl ze worden uitgevoerd en samplen geen detecties.

Tijdgebonden aanvallen

Dit zijn aanvallen die alleen op specifieke tijden van de dag worden uitgevoerd. Bijvoorbeeld: na kantooruren wanneer de beveiligingsteams niet aanwezig zijn. Scanners draaien periodiek, dus een tijdgebonden benadering kan gemakkelijk resulteren in het scannen van het goedaardige script, maar niet het kwaadaardige script.

Waarom cside's benadering hier het beste werkt: we detecteren daadwerkelijk gedrag in de browser actief terwijl het gebeurt. We samplen geen detecties, we zijn daar waar je gebruiker is.

Gecloakte of voorwaardelijke code-uitvoering

Dit zijn aanvallen die gebruikersacties gebruiken om een kwaadaardig script te injecteren. De volledige omvang van browser-API's kan hier worden gebruikt, bijvoorbeeld controleren op muisbewegingen, een bepaald ritme in toetsenbordinvoer vereisen, cookie-bestaan verifiëren, timinganalyse (gebruikt om headless browsers te detecteren)...

Vaak wordt deze methode gebruikt om de kwaadaardige payload slechts één keer te serveren, zodat een beveiligingsonderzoeker de kwaadaardige payload niet opnieuw zou kunnen vinden. Dit is bijzonder uitdagend omdat developer tools op browsers vaak geen eerdere states van voor het openen van developer tools opslaan. Wat een refresh noodzakelijk maakt.

Een scanner zal nooit in staat zijn om echt gebruikersgedrag te emuleren op dezelfde manier als een echte gebruiker dat zou doen.

Waarom cside's benadering hier het beste werkt: een echte gebruiker voldoet natuurlijk aan deze vereisten en we kijken altijd naar een kwaadaardige actie, of developer tools nu geopend zijn of niet. In theorie kan een kwaadwillende kijken naar onze scriptaanwezigheid op de webpagina en de goedaardige scriptinhoud serveren, maar in dat geval zou je gebruiker geen slachtoffer worden van de aanval, wat onze oplossing effectief laat werken als het tegengif.

Per-sessie dynamische payloads

Dit zijn aanvallen waarbij de kwaadwillende automatisch unieke kwaadaardige payloads genereert voor elke echte gebruiker met technieken zoals het wrappen van scripts met dynamische sleutels, polymorfe JavaScript, A/B-teststijl logica... Vaak worden de authenticatie-indicatoren van de gebruiker als voorwaarde gebruikt om de kwaadaardige payloads te injecteren.

Waarom cside's benadering hier het beste werkt: we draaien actief in de browser terwijl scripts hun acties uitvoeren. Wat resulteert in het detecteren van de kwaadaardige acties terwijl ze gebeuren. Onze optionele gatekeeper-benadering houdt zelfs kopieën van payloads bij, wat je volledige forensische mogelijkheden geeft.

Intermitterende supply-chain vergiftiging

Dit is een extreem veelvoorkomende methode die wordt gebruikt bij Magecart-stijl aanvallen. Een kwaadwillende kan simpelweg de aanval samplen om de kwaadaardige scriptinhoud aan slechts 1% van de gebruikers te serveren. Deze methode maakt het veel moeilijker voor een bezoeker om de aanval op te merken omdat de volledig willekeurige injectie van het script het reproduceren van de aanval veel moeilijker maakt.

Waarom cside's benadering hier beter werkt: of een aanval nu 0,1% van de gebruikers of elke gebruiker target, we monitoren actief de scriptacties.

Aanvallers die technieken combineren

Als een kwaadwillende 5% van de tijd een kwaadaardig script injecteert, na kantooruren alleen naar residentiële IP's in het VK, zal geen scanner het kwaadaardige script kunnen betrappen. En voor een kwaadwillende die een high-value target aanvalt, is dit een lage-inspanning actie. Reflectiz's claims dat ze "20-50%" meer aanvallen detecteren is een ononderbouwde en technisch onwaarschijnlijke bewering zoals hierboven uitgelegd.

De realiteit is simpel: wanneer een scan wordt uitgevoerd, maar de scan gemakkelijk kan worden gedetecteerd, verwacht dat de scan andere resultaten ziet dan echte gebruikers...

Hoe Reflectiz scripts blokkeert

Reflectiz onderscheidt zich door zichzelf te positioneren als een eenvoudig proces om te onboarden zonder de applicatie te beïnvloeden.

Het is correct dat een scanner (of in moderne tijden een agent genoemd) de webprestaties niet beïnvloedt. Het is echter niet noodzakelijkerwijs sneller te implementeren. Integendeel, hun team biedt aan de scanner voor je te implementeren omdat de complexiteit ernstig kan zijn. Veel websites vereisen cookies of sessietokens om bij de betaalpagina's te komen. Die waarden hebben een vervaltijd. Crucialer, zonder een codewijziging te doen of iets aan de website toe te voegen, is het niet mogelijk om een kwaadwillende te blokkeren.

Reflectiz biedt optioneel een client-side script aan om scripts te blokkeren die door zijn klanten zijn gedefinieerd. Je moet uiteindelijk toch een script toevoegen als je scripts wilt blokkeren. Dus dat verslaat het hele "agent-less je hoeft geen code te wijzigen concept". Het feit dat je een script nodig hebt om te blokkeren bewijst ook wat we hier hebben gezegd: een client-side script is noodzakelijk als je daadwerkelijk wilt handelen op een bedreiging. Hun blokkeermogelijkheden zijn beperkt tot het blokkeren van domeinen. Andere leveranciers, waaronder cside, blokkeren gedrag, URL's, hashes en in het geval van cside kunnen zelfs terugdraaien naar veilige versies van scripts.

PCI DSS 4.0.1 en client-side script-integriteit

PCI DSS-compliance is niet zo subjectief als het zou moeten zijn. QSA's hebben persoonlijke visies. Een pass door de ene QSA kan een fail zijn bij een andere. De PCI SSC brengt echter nuttige documentatie uit met suggesties.

Over vereisten 6.4.3 wordt de volgende richtlijn gedeeld:

De integriteit van scripts kan worden afgedwongen door verschillende mechanismen, waaronder maar niet beperkt tot:

• Sub-resource integrity (SRI), waarmee de browser van de consument kan valideren dat een script niet is gemanipuleerd.

• Een CSP, die de locaties beperkt waarvan de browser van de consument een script kan laden en accountdata naar kan verzenden.

• Eigen script- of tagbeheersystemen, die kwaadaardige scriptuitvoering kunnen voorkomen.

Zoals je kunt zien, worden scanner-gebaseerde benaderingen niet genoemd. Dat is natuurlijk omdat ze niet in staat zijn om te voorkomen dat scripts worden geladen of scriptgedrag tijdens runtime te analyseren, waardoor het onmogelijk is om beveiliging te garanderen.

Als je QSA aftekent op een benadering, maar er toch een aanval plaatsvindt, bevind je je in non-compliance remediatie. In dergelijke scenario's hebben creditcardmerken de macht om te eisen dat een van hun vertrouwde QSA's een nieuwe beoordeling doet.

Die QSA's zullen veel specifieker zijn over de technologiekeuze en gebruikte benaderingen, aangezien hun rol op dat moment is om ervoor te zorgen dat er geen hoeken worden afgesneden.

Dus waarom zou je het risico nemen?

Incorrecte claims van Reflectiz over cside adresseren

Gezien de hoeveelheid valse claims, hebben we een speciale blogpost gemaakt over hen die je hier kunt lezen.

Een van de kernmanagementprincipes van cside is actie ondernemen om een veiliger web te maken. Daarom dragen we bij aan standaardenorganisaties zoals de w3c en de PCI SSC.

Wanneer we vergelijken met leveranciers, doen we dat op een technische manier en focussen op de objectieve ontwerpprincipes die zij hebben gevolgd.

Helaas wordt deze gedragscode niet door alle leveranciers gevolgd. Het delen van valse statistieken, verzinnen van claims en zichzelf tegenspreken in dezelfde blogpost. Hoewel we de onwaarheidsgetrouwe claims van Reflectiz graag zouden negeren, is het belangrijk om de zaken recht te zetten.

Om de record recht te zetten over de beschuldigingen van Reflectiz:

Incorrecte claim: cside heeft toegang tot al je klantdata, wachtwoorden, creditcardnummers en PII De manier waarop onze oplossing werkt is vrij eenvoudig: we laten de scripts door onze infrastructuur lopen op een 'strictly conduit' manier. Dit betekent dat we de scriptinhoud aan onze kant analyseren. Deze scripts zijn al openbaar toegankelijk en bevatten geen gevoelige informatie. In de browser controleren we vervolgens hoe een script zich gedraagt. Met welke invoervelden het probeert te interacteren, welke browser-API's het probeert te benaderen, de verbindingen die het opent naar andere diensten... Het monitoren van de acties die het script onderneemt heeft niets te maken met de content die een gebruiker typt. We bevinden ons in een totaal andere dimensie. Dit is een categorisch valse bewering. Reflectiz heeft alleen data over de scans die zij hebben gedaan. Wat deel van het probleem is, ze hebben geen echte-gebruiker context over hoe scripts zich gedragen.
Incorrecte claim: cside wordt een data custodian cside interacteert puur met de scriptinhoud en hun acties en interacteert op geen enkele manier met daadwerkelijke gebruikersdata. Daarom zijn we geen data custodian. Zelfs bij het gebruik van onze gatekeeper-oplossing handelt cside als 'strictly conduit', wat betekent dat we niet de serverende partij zijn en puur fungeren als leidingwerk om een dienst van een andere oplossingsprovider te leveren. Als een SOC2 Type 2-geauditeerd Amerikaans bedrijf met een team dat grotendeels in Europa is gevestigd en heeft gewerkt aan gedistribueerde systemen, is privacywetgeving een gebied waar we veel directe ervaring mee hebben.
Incorrecte claim: Het duurt weken om cside te implementeren De meeste van onze klanten onboarden binnen minuten. Het duurt geen weken tot maanden om cside te implementeren, in tegenstelling tot de claims van Reflectiz. Je kunt informatie over onze implementatiestappen op onze docs-site vinden. Het enige wat je hoeft te doen is een script kopiëren en plakken. Aan de andere kant doet Reflectiz onboarding voor je omdat het omzeilen van captcha's om een pagina te scannen een lastige taak is die opnieuw moet worden gedaan wanneer dingen op de webpagina veranderen. Met een scanner, als je website verandert, moet er meer werk worden gedaan. Het eindigt nooit. Wij weten dat, omdat we ook een scanner-gebaseerde optie aanbieden en AI-redeneermodellen hebben geïmplementeerd om hierbij te helpen.
Incorrecte claim: cside biedt alleen een proxy-gebaseerde oplossing

cside biedt een reeks opties en proxyt nooit al het verkeer. Het feit is: browsers waren niet gebouwd voor client-side beveiliging, dus meerdere benaderingen aanbieden is de beste weg vooruit.

Direct Mode - Makkelijkst: We controleren scriptgedrag in de browser en fetchen de scripts aan onze kant. We verifiëren vervolgens dat we hetzelfde script hebben gekregen. We plaatsen onszelf niet in het pad van een script tenzij je ons daar expliciet om vraagt. Slechts één script om aan de site toe te voegen, het duurt seconden.
Gatekeeper Mode - Veiligst: We controleren scriptgedrag en cside plaatst zichzelf in het midden tussen de ongecontroleerde derde partij en de eindgebruiker - alleen scripts die je nog niet vertrouwde. Slechts één script om aan de site toe te voegen, het duurt seconden.
Scan mode - Snelst: Als je geen script aan de site kunt toevoegen, zal cside deze scannen. We zullen de cside threat intel verzameld door duizenden andere websites met gecombineerd miljarden bezoekers gebruiken om je site zo goed mogelijk te beveiligen.

De mix van het bovenstaande brengt ons het dichtst bij volledige dekking die technisch vandaag mogelijk is. Gezien de meeste client-side scripts caching toestaan via hun respectieve cache-control headers, maakt cside wanneer het in 'gatekeeper mode' is, scriptlevering vaak sneller.

Incorrecte claim: cside gebruikt een basis LLM-deobfuscatiemethode cside gebruikt een reeks deobfuscatiemechanismen om zwaar verduisterde code menselijk leesbaar te maken. We hebben zelfs jarenlang bijgedragen aan open source versies... Deobfuscatie is een complex onderwerp, per definitie is deobfuscatie een kat-en-muisspel. Open source deobfuscatieprojecten zijn breed beschikbaar. Bovenop deobfuscatie, in gevallen waarin een kwaadaardig script probeert kwaadaardig gedrag te verbergen op een moeilijk te deobfusceren manier, zijn onze zelf-gehoste (niet openbaar toegankelijke) LLM's verrassend capabel in het vastleggen van het kwaadaardige gedrag. Beveiliging draait om lagen, deze extra laag is behoorlijk effectief gebleken.
Incorrecte claim: cside voegt catastrofaal downtime-risico toe Als cside down zou gaan, falen we open omdat het script op de webpagina dat de controles doet niet zou serveren. Websites van klanten worden nooit beïnvloed door onze infrastructuurstatus, we bouwden onze diensten om deze zorg vanaf dag 1 te dekken omdat we wisten waar we aan begonnen. We hebben een gedetailleerde blogpost over hoe cside downtime-incidenten afhandelt. We hebben ook een reeks failsafe-mechanismen, inclusief onze eigen IP-bereiken die ons in staat stellen verkeer naar verschillende cloudproviders te routeren indien nodig.
Incorrecte claim: cside detecteert minder componenten door adblockers cside wordt niet geblokkeerd door adblockers. Ze citeren een claim voor 2024 in een Brave community-blogpost gerelateerd aan een testdomein. Elk client-side gefetcht asset kan worden geblokkeerd door een adblocker maar op dit moment is dat niet het geval voor cside. Reflectiz' eigen client-side script dat nodig is voor blokkering zou kunnen worden gestopt door een adblocker, waardoor ze worden tegengehouden in het blokkeren van scripts op sites. Ze claimen 30%, Brave heeft 1,3% marktaandeel. Deze statistieken worden niet ondersteund door enig bewijs of openbaar beschikbare data en zijn in conflict met het marktaandeel van Brave.
Incorrecte claim: cside beïnvloedt je analytics-data cside corrumpeert geen analytics-data. De manier waarop analytics-scripts gedragsdata exfiltreren wordt op geen enkele manier beïnvloed door onze client-side controles of gatekeeper-benadering. Deze claim is ook ononderbouwd en negeert basis technische feitelijkheden over hoe analytics-tools werken. Een geweldige manier om te ontdekken hoe analytics-tools werken is door de innerlijke werking van open source tools zoals Posthog te bekijken. Analytics-tools vertrouwen nooit verzoek-headers omdat corporate VPN's, hotel-WiFi en zelfs sommige ISP's met deze waarden rommelen.

Iets dat natuurlijk wel analytics-data beïnvloedt is een scanner die zich enigszins als een gebruiker gedraagt. Je zult die verzoeken zien binnenkomen, ze zullen een winkelwagen vullen om bij de betaalpagina te komen. En dan wordt de betaling verlaten, wat je statistieken zal scheeftrekken.

Incorrecte claim: cside-prijzen zijn verkeergebaseerd Onze prijzen zijn gebouwd om eenvoudig te zijn, gebaseerd op paginaweergaven naar relevante beschermde pagina's (niet overall verkeer) en zijn openbaar op onze website. We hanteren geen "voor jou mijn vriend speciale prijs"-model. We zijn een van de weinige leveranciers met openbare prijzen op onze webpagina's. cside's betaalde plannen beginnen bij $999 per jaar, wat goedkoper is dan de meeste concurrenten, en we controleren de applicatie actief en scannen deze niet alleen periodiek. Het scannen van een pagina is natuurlijk veel goedkoper dan op de pagina zijn en elk scriptgedrag monitoren.
Incorrecte claim: cside heeft geen zichtbaarheid in iframes Incorrect. We verzamelen iframe-URL's en beoordelen de inhoud binnen de iframe-sessie met een async-controle. Bovendien worden kwaadaardige iframes meestal geïnjecteerd via parent script-tags. De focus op iframes is niet zo relevant in de echte wereld omdat het iframe-object in een aanval zelden native aanwezig is. Het is meestal een subrequest van scripts.
Incorrecte claim: cside detecteert minder scripts dan Reflectiz Zoals hierboven uitgelegd, is het ongelooflijk onwaarschijnlijk dat een scanner-gebaseerde architectuur gerichte of geavanceerde kwaadaardige scripts kan detecteren. Reflectiz claimt 20-50% meer aanvallen te vangen maar onderbouwde deze claim niet met data, noch is dat een statistiek die enige leverancier kan maken als de tegenpartij in kwestie geen aanvalsstatistieken publiekelijk deelt.
Incorrecte claim: met cside moet je omgaan met complexe DNS- en SSL-setups Dit is incorrect, cside is gewoon een script op de webpagina. Deze beweringen weerspiegelen misverstanden over hoe moderne client-side technologieën werken.

Conclusie

De meeste beweringen in hun blogpost over cside zijn ongegrond en onnauwkeurig. We hebben contact opgenomen met Reflectiz om deze claims te rectificeren, maar tot nu toe hebben we geen data ontvangen die deze claims ondersteunen, noch hebben ze meegewerkt aan de correctie van deze claims.

We veroordelen leveranciers die desinformatie over anderen verspreiden in een poging tot commercieel gewin. Vooral als het gaat om onderwerpen gerelateerd aan de beveiliging van consumenten online. Wanneer opportunisme en oplossingen met gemakkelijke bypasses het harde werk van anderen in diskrediet brengen, worden we allemaal een beetje minder veilig online.

Je hoeft ons niet op ons woord te geloven, vraag het aan [ChatGPT](https://chatgpt.com/share/6913d1c7-ef3c-8010-8ef0-8da3304a1303), vraag het aan [ClaudeAI](https://claude.ai/share/78da56c0-2dcb-4462-9cd2-292526f39b90) of vraag het aan [Perplexity](https://www.perplexity.ai/search/how-is-this-blogpost-https-www-yyy3tpBjTh.KHzm_LyRHeQ#0).

Hoe cside verder gaat

cside biedt een zeer flexibele benadering van client-side beveiliging. Of we nu scriptgedrag client-side monitoren en de scripts dieper controleren aan onze kant via client-side rapportage op onze engine, cside krijgt het volledige plaatje. Het analyseert de geserveerde dependencies-code in real-time en helpt je ongewenst gedrag te voorkomen dat grote zakelijke impact veroorzaakt.

Onze benadering stelt ons in staat om niet alleen geavanceerde, zeer gerichte aanvallen te detecteren en hierover te waarschuwen, cside maakt het ook mogelijk om aanvallen te blokkeren voordat ze de browser van de gebruiker bereiken. Het voldoet ook aan meerdere compliance-frameworks, waaronder PCI DSS 4.0.1, HIPAA, GDPR, CPRA...

We bieden zelfs diepgaande forensics, inclusief als een aanvaller onze detecties probeert te omzeilen. We slaan zelfs data op over gemiste aanvallen, wat ons in staat stelt om detecties beter te maken. Dit geeft je de controle die je nodig hebt in een eenvoudig te gebruiken formaat.

Omgaand met de beperkingen van browsers, weten we dat dit de veiligste manier is om je dependencies over je hele website te monitoren en te beschermen. We hebben jaren in de client-side security-ruimte doorgebracht voordat we cside startten. We kennen de beperkingen van browsers en investeren tijd in bijdragen aan standaardenorganisaties om native ondersteunde beveiligingsmogelijkheden beter en gemakkelijker te gebruiken te maken.

Aanmelden of boek een demo om te beginnen.