Blog

Não implante scripts em todo o site

Scripts de terceiros são frequentemente implantados em todo o site, geralmente injetados nas tags head em frameworks web como Next.js por meio do arquivo '_document.js'. Essa implementação ampla, embora conveniente para desenvolvedores e muitas vezes recomendada pelos guias de integração, faz com que esses scripts sejam executados em todo o site. É mais simples de implementar, mas também introduz riscos de segurança e problemas de desempenho que costumam ser ignorados. O recente vazamento de dados da Kaiser Permanente mostra os perigos de ter scripts de terceiros mal gerenciados

Jul 22, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Não implante scripts em todo o site — por que a injeção indiscriminada de scripts é arriscada

Scripts de terceiros são frequentemente implantados em todo o site, geralmente injetados nas tags head em frameworks web como Next.js por meio do arquivo '_document.js'. Essa implementação ampla, embora conveniente para desenvolvedores e muitas vezes recomendada pelos guias de integração, faz com que esses scripts sejam executados em todo o site. É mais simples de implementar, mas também introduz riscos de segurança e problemas de desempenho que costumam ser ignorados.

O recente vazamento de dados da Kaiser Permanente mostra os perigos de ter scripts de terceiros mal gerenciados. Como escrevemos em nossa análise completa do incidente:

Em 29 de abril, a gigante da saúde Kaiser Permanente divulgou um vazamento de dados que impactou 13,4 milhões de membros atuais e antigos do plano de saúde. O incidente teve origem no gerenciamento inadequado de scripts de terceiros. A Kaiser Permanente utilizava códigos de rastreamento para monitorar como seus membros navegavam pelo site e pelos aplicativos móveis. Algumas dessas páginas continham dados sensíveis de saúde, o que levou os scripts de terceiros a transmitir inadvertidamente informações a fornecedores terceiros que não deveriam ter acesso a elas. Embora a violação não tenha sido resultado de um sequestro de script, ela evidencia uma falha grave no gerenciamento de scripts de terceiros.

Mas o problema vai além do vazamento de informações potencialmente sensíveis para fornecedores terceiros. Ele reflete a realidade de que scripts de terceiros são amplamente utilizados, mas raramente examinados ou monitorados. E menos ainda protegidos.

Os riscos de implantar scripts de terceiros em todo o site

Já que abordamos os motivos pelos quais as pessoas costumam implantar scripts globalmente, vamos analisar alguns dos problemas que eles introduzem.

1. Acesso não controlado a dados

Foi exatamente isso que aconteceu no caso da Kaiser Permanente. Scripts de terceiros implantados globalmente frequentemente têm acesso a dados sensíveis nas páginas web. Isso pode incluir entradas do usuário, informações de sessão e outros dados confidenciais. Sem controles rigorosos, esses scripts podem vazar dados para partes não autorizadas, de forma inadvertida ou maliciosa. No caso da Kaiser Permanente e de outras organizações de saúde, os scripts de terceiros geralmente não são compatíveis com a Lei de Portabilidade e Responsabilidade de Seguros de Saúde (HIPAA), tornando um vazamento de dados para esses fornecedores um incidente grave.

2. Ataques à cadeia de suprimentos

Invasores podem comprometer a cadeia de suprimentos web ao atacar serviços de terceiros e injetar código malicioso nos scripts. Esses scripts comprometidos podem então propagar malware, roubar dados ou realizar outras ações prejudiciais em todos os sites onde estão implantados. Isso já é grave por si só, mas fica ainda pior quando os scripts são implantados globalmente e têm acesso a mais dados e usuários.

É claro que o cside protege contra isso.

3. Aplicações Web de Página Única (SPAs)

SPAs não lidam bem com scripts. A menos que o desenvolvedor force um recarregamento completo ao navegar para uma página sensível, todos os scripts carregados anteriormente permanecem presentes. Qualquer script de terceiros carregado inicialmente continua em execução e pode acessar dados sensíveis durante toda a sessão do usuário — exceto quando a página é completamente recarregada —, aumentando o risco de vazamentos de dados e acessos não autorizados.

4. Riscos de Conformidade e Regulatórios

As organizações precisam cumprir diversas regulamentações de proteção de dados, como GDPR, HIPAA e PCI DSS 4.0. O gerenciamento inadequado de scripts de terceiros pode levar ao descumprimento dessas normas, resultando em multas pesadas e consequências legais.

Com o PCI DSS 4.0 exigindo o monitoramento de scripts de terceiros até março de 2025, o momento de começar e implementar o cside é agora. Além de garantir a conformidade, ele vai além ao introduzir bloqueio autônomo para uma proteção ainda mais eficaz.

5. Problemas de Desempenho e Estabilidade

Talvez menos crítico, mas definitivamente perceptível: scripts de terceiros mal otimizados deixam os sites mais lentos. Qualquer instabilidade ou problema no serviço de terceiros pode impactar diretamente a funcionalidade e a disponibilidade do site hospedeiro. Um site que carrega em 1 segundo tem uma taxa de conversão 3x maior do que um site que leva 5 segundos para carregar.

Proteja-se contra esses problemas

Assim como as diretrizes do PCI DSS 4.0, somos defensores do monitoramento contínuo de segurança e incentivamos todos os proprietários de sites a adotá-lo. Acreditamos que aplicá-lo a todas as páginas é a abordagem mais eficaz.

Você pode fazer isso usando nosso plano gratuito. É self-service para deixar você em conformidade e seguro em minutos. E estamos sempre à disposição para ajudar quando necessário.

Nosso script reescreve as origens dos outros scripts do seu site para canalizá-los pelo proxy do cside. Ele também realiza detecções no lado do navegador. Isso permite que o cside medeie o fluxo de requisições entre o usuário e o script de terceiros sem adicionar latência. Em alguns casos, pode até melhorar o desempenho ao fazer cache de scripts estáticos.

Isso garante visibilidade total sobre os scripts servidos, em 100% das sessões e em todas as páginas.

Para saber mais sobre como nossa abordagem se diferencia, leia aqui.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Back to top

Don't just take our word for it, ask AI

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.

Como Bloquear o CCBot (o Crawler de IA da Common Crawl)

O CCBot alimenta os conjuntos de dados da Common Crawl usados para treinar o GPT-3, o BLOOM, o LLaMA e muitos outros modelos de IA. Saiba como bloqueá-lo e o que o bloqueio realmente faz.