Blog

Respondendo às Afirmações Incorretas da Reflectiz Sobre o cside

Entenda por que as afirmações da Reflectiz baseadas em scanner sobre o cside são incorretas e como a segurança client-side em tempo real do cside oferece proteção mais profunda, análise forense completa de payloads e conformidade com o PCI DSS 4.0.1.

Dec 08, 2025 • 11 min read

Simon Wijckmans Founder & CEO

Imagem de destaque do post - afirmações incorretas da Reflectiz sobre o cside

TL;DR:

A Reflectiz publicou uma página de comparação afirmando que o cside é ineficaz.

Nenhuma dessas afirmações resiste a uma análise técnica.

A Reflectiz é uma solução de scanner/crawler. Eles chamam isso de 'agentless', o que, na era dos browsers agênticos, é um termo confuso. Eles varrem seu site periodicamente a partir de IPs de nuvem. Esse método é ineficaz contra a maioria das ameaças client-side. Atacantes simplesmente servem scripts limpos para scanners de segurança e atacam os demais. Scanners veem o que os atacantes permitem que vejam, porque os atacantes identificam o scanner. O cside vê o que os atacantes realmente enviam para seus usuários, porque o cside roda dentro da aplicação.
Não confie apenas na nossa palavra — isso é um fato básico de design. Pesquisas independentes da ISACA, de pesquisadores de segurança do Google e da Oracle, além de pesquisas acadêmicas da Bournemouth University, concluem consistentemente que scanners são incapazes de acompanhar as ameaças client-side dinâmicas modernas.
O cside não acessa dados de clientes. Ver quais campos um script tenta acessar não significa que o conteúdo inserido nesses campos está exposto ao cside.
Para implementar o cside, você cola 1 script no seu código. Já a Reflectiz precisa contornar a detecção de bots, requer credenciais de usuário e frequentemente quebra quando os fluxos de checkout ou o inventário de produtos mudam.
O cside não afeta suas estatísticas de marketing porque nunca interage com a exfiltração de dados. Um scanner que age como um usuário afeta a análise, pois tenta simular o comportamento de um usuário.
O cside não é apenas uma solução de proxy. Temos um modo direto, o Gatekeeper e também um scanner para sites onde alterações de código não são possíveis.
O cside realiza análise dinâmica e comportamental profunda que ferramentas de scanner não conseguem igualar.

Este post detalha algumas das alegações e explica por que elas são imprecisas.

Introdução

A segurança web enfrenta novos desafios. Ataques à cadeia de suprimentos estão constantemente em evidência, e uma parte importante dessa cadeia são as dependências que executam no browser do usuário, onde você não tem visibilidade. Esses ataques evoluíram significativamente nos últimos anos. À medida que o cenário de ameaças evoluiu, abordagens fáceis de contornar tornaram-se irrelevantes.

Isso leva a um resultado previsível: atacantes não servem ataques para scanners de segurança.

Recentemente, a Reflectiz publicou comparações afirmando que o cside é de alguma forma menos poderoso do que o scanner deles. Essas afirmações não refletem fatos tecnológicos básicos. Elas apresentam uma compreensão incorreta da segurança client-side como disciplina e de como o cside funciona.

Como contexto importante: o cside possui atestação SOC2 tipo 2 e PCI SAQ-D. A Reflectiz não possui nenhum dos dois — não há evidência validada por terceiros de que a empresa opera de forma segura.

A precisão importa, especialmente no contexto de segurança. Quando uma solução de segurança oportunista coloca usuários em risco, todos saímos perdendo.

As Afirmações Imprecisas da Reflectiz Sobre o cside

Afirmação falsa: o cside coleta dados sensíveis de clientes

A Reflectiz sugere que o cside coleta dados sensíveis de usuários, como senhas e informações de cartão de crédito. Na realidade, o cside monitora o comportamento dos scripts e não tem acesso algum às entradas do usuário. O conceito de ver dados ou ver quais scripts tentam acessar quais campos de entrada ou APIs é uma dimensão completamente diferente.

O cside não monitora dados inseridos pelo usuário. Não temos visibilidade sobre o que um usuário digita.
O cside monitora os eventos de um script.

Pode parecer repetitivo, mas:

Não interagimos com os dados que um usuário envia por meio de um formulário em um site. O cside monitora o que os scripts tentam acessar.

Nossas soluções monitoram as APIs do browser que um script tenta usar, quais campos de formulário ele está buscando e para onde os dados estão sendo enviados.

Tudo isso ocorre sem tocar nas entradas do usuário.

Até mesmo a solução Gatekeeper atua como um 'pure conduit', ou seja, somos um provedor de passagem do conteúdo do script do servidor de terceiros para o usuário. Podemos fazer parte da URL de onde o script vem, mas não do fluxo de exfiltração. O destino para onde os dados são enviados é monitorado puramente como um endpoint.

Existe uma separação fundamental entre as ações do script e as ações do usuário em um browser, especialmente quando se trata de inserção de dados. São literalmente dimensões diferentes. Essa é uma escolha de design essencial para preservar a privacidade do cliente e a conformidade regulatória.

Vale lembrar: o cside possui atestação SOC2 tipo 2 e PCI SAQ-D. A Reflectiz não possui nenhum dos dois. A intenção de um fornecedor sem nenhuma verificação de segurança por terceiros fazer afirmações sobre as práticas de coleta de dados de outros é, no mínimo, questionável.

Afirmação falsa: a implantação do cside leva semanas

A maioria dos clientes implanta o cside em minutos adicionando um único script ao seu site. Nada mais é necessário. O cside suporta configurações adicionais, como o Gatekeeping seletivo de scripts não confiáveis ou scripts que operam em áreas extra sensíveis. Essas opções são fornecidas para flexibilidade, não porque a plataforma exige isso.

Não há configuração de DNS ou SSL e nenhuma migração de infraestrutura.

A sugestão de que o cside requer longos ciclos de integração não tem nenhuma base na forma como o produto é usado na prática.

Por outro lado, o scanner da Reflectiz precisa implementar lógica para contornar captchas. Às vezes, você até precisará colocar os IPs deles na lista de permissões da sua solução de detecção de bots e fornecer credenciais de usuário para acessar as páginas de pagamento. Além disso, os sites mudam. Durante períodos de promoção, o fluxo será diferente do dia a dia normal de compras. Essas mudanças podem quebrar as varreduras deles. Embora não precisar adicionar um script possa parecer mais fácil, esse não é o quadro completo. Muitas vezes, manter o que é necessário para varrer a página de forma confiável ao longo do tempo exige esforço significativo e contínuo.

Afirmação falsa: o cside é apenas uma solução de proxy

A Reflectiz enquadra o cside como puramente uma arquitetura de proxy, sugerindo flexibilidade de design limitada e possíveis problemas de desempenho ou confiabilidade.

O 'modo gatekeeper' do cside é opcional. É um dos vários mecanismos disponíveis para organizações que desejam controle adicional sobre os scripts carregados em seu ambiente. Muitos clientes não utilizam o serviço de Gatekeeping. Em vez disso, dependem do monitoramento de comportamento em runtime.

Rotular o cside como "uma solução de proxy" ignora a maior parte da plataforma.

Afirmação falsa: o cside pode causar indisponibilidade ou prejudicar a análise

O cside usa um design fail-open. Se o serviço cside ficar indisponível, o site do cliente carrega normalmente. Não há bloqueio da execução de scripts nem impacto na funcionalidade da página. Se o cside cair, o script que faria o tráfego fluir para ou através do cside simplesmente não seria servido. Essa é uma arquitetura básica de dead-man switch — simples, mas altamente eficiente em cenários de falha.

Escrevemos um post completo sobre isso aqui.

Os sistemas de análise não são afetados porque o cside não interage com os dados enviados a eles. Monitorar o comportamento de scripts não é o mesmo que interceptar ou modificar fluxos de dados.

A sugestão de que a análise seria prejudicada reflete uma incompreensão da arquitetura do cside. O que de fato afeta os dados de análise é um scanner que tenta se comportar como um usuário. Você verá essas requisições chegando, elas adicionarão itens ao carrinho para chegar à página de pagamento — e então o pagamento é abandonado, o que distorce suas métricas. Esse é um dos problemas que você enfrentará ao usar uma solução baseada em scanner.

Afirmação falsa: a Reflectiz detecta mais scripts do que o cside

A Reflectiz afirma detectar de 20 a 50 por cento mais scripts do que o cside. Nenhuma metodologia, fonte ou documentação acompanha essa afirmação.

Eles também afirmam que o cside não tem visibilidade sobre iframes, o que é incorreto. Coletamos URLs de iframes e revisamos o conteúdo dentro da sessão do iframe usando uma verificação assíncrona. Além disso, iframes maliciosos geralmente são injetados por meio de tags de script pai. O foco em iframes não é tão relevante no mundo real, pois o objeto iframe em um ataque raramente está presente de forma nativa. Geralmente é uma sub-requisição de um script.

Mais importante ainda, a detecção de scripts em um ambiente de nuvem não equivale a proteção eficaz no tráfego do mundo real. Scanners perdem por design exatamente os tipos de ameaças que os atacantes modernos utilizam:

Ataques direcionados por user-agent
Ataques que visam apenas web-views
Injeções condicionais
Ataques direcionados geograficamente
Ataques com janela de tempo

O cside monitora o comportamento dos scripts no browser usando análise de ações em tempo real. Se um payload malicioso aparecer apenas para usuários de uma determinada região ou apenas para usuários que atendam a condições específicas, o cside verá. Um scanner não verá.

Os scripts que você precisa se preocupar não vão cair em uma armadilha de scanner.

Existe uma lacuna arquitetural inegável entre o problema central e como um scanner funciona. Não se trata de comparar "número de scripts detectados". Trata-se de saber se uma ferramenta, por design, consegue observar as condições em que os ataques realmente ocorrem.

Por Que Essas Distorções Importam

Quando fornecedores fazem afirmações imprecisas sobre como as ferramentas concorrentes funcionam, eles induzem ao erro organizações que dependem de informações precisas para proteger seus usuários.

A Reflectiz optou pelo caminho de menor esforço para o cliente, o que certamente agrada a alguns. Essa abordagem tem prós e contras. Eles escolheram a abordagem de menor esforço, mas essa abordagem, por outro lado, é fácil de contornar. O problema é que eles afirmam ser os mais precisos, e isso é objetivamente falso.

Decisões de segurança devem ser baseadas em arquitetura, não em afirmações de marketing incorretas.

Ferramentas de Scanner Não Detectam Ameaças Client-Side Modernas

Um crawler tira snapshots periódicos de um site e tenta classificar scripts por URL ou assinaturas conhecidas. Os atacantes de hoje:

Injetam payloads apenas em ações específicas do usuário
Servem código diferente para diferentes regiões geográficas
Modificam o comportamento dinamicamente após identificar o usuário
Dividem a lógica maliciosa em vários scripts
Acionam payloads apenas em condições de checkout ou pagamento onde o usuário está autenticado, evitando credenciais usadas em cenários de automação.

Esses comportamentos são invisíveis para scanners. Para se aprofundar, confira nosso artigo sobre como contornar ferramentas de scanner.

Pesquisas independentes da ISACA, de pesquisadores de segurança do Google e da Oracle, além de pesquisas acadêmicas da Bournemouth University, concluem consistentemente que a segurança client-side baseada em scanner não consegue acompanhar as ameaças dinâmicas modernas do lado do browser.

O cside foi projetado com essas realidades em mente. O esforço extra significativo que fazemos para construir uma plataforma de comportamento em runtime não é à toa — é porque vimos scanners falharem repetidamente. Observamos o que os scripts realmente fazem quando executados em páginas reais por usuários reais, porque sabemos que essa é a única forma de detectar um ataque em andamento.

Essa é a única abordagem defensável para segurança client-side em escala moderna.

Ilustração explicando como um agente malicioso pode injetar um script malicioso para o usuário, mas um benigno para a ferramenta de scanner.

Conclusão

As afirmações feitas pela Reflectiz são obviamente geradas por IA, com pouca preocupação com precisão ou legitimidade.

A Reflectiz optou por construir uma solução que pudesse implementar para seus clientes de forma mais simples, facilitando a adoção. Construir um scanner é muito mais barato e fácil do que construir um serviço de runtime. Essas são escolhas de design legítimas. O problema é que eles afirmam que sua solução, projetada para ser fácil, é mais precisa. E isso simplesmente não é verdade. A escolha tecnológica de um scanner é uma verificação pontual no tempo. Para um problema estático, isso pode ser aceitável. Mas a segurança client-side é um problema dinâmico.

É importante que informações precisas sejam compartilhadas, mesmo em avaliações de concorrentes. Isso também depende de reconhecer que os atacantes se adaptam rapidamente e exploram os pontos cegos criados por ferramentas desatualizadas. O cside foi projetado para eliminar esses pontos cegos por meio de visibilidade em tempo real, alinhada com a forma como os ataques modernos operam.

Escolhendo Entre cside e Reflectiz

Preferiríamos não ter que escrever este artigo, mas as informações enganosas que a Reflectiz publicou sobre nós eram por demais absurdas para ignorar. Temos um post mais detalhado sobre a comparação entre nossas soluções, que você pode encontrar aqui: cside vs Reflectiz Com o tempo, acho que todo profissional se depara com um concorrente que prefere investir seu tempo e energia espalhando desinformação e usando táticas agressivas para desacreditar os outros em vez de melhorar seu próprio produto. Esta é uma dessas situações.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A Reflectiz depende de um scanner que rastreia sites a partir de ambientes não humanos, criando uma perspectiva falsa sobre os sites. Um agente malicioso detecta scanners com facilidade e evita servir conteúdo malicioso para eles. Os ataques que um scanner consegue identificar são os mais óbvios, mas muito fica de fora. O cside é uma ferramenta de runtime que opera como parte da aplicação web. Mantemos visibilidade total sobre as ações dos scripts e o payload dos scripts (sem acesso a entradas sensíveis do usuário) e ainda mantemos um arquivo para análise forense e melhoria das detecções.

O requisito 6.4.3 do PCI DSS exige um mecanismo para impedir o carregamento de scripts não autorizados. Nenhum scanner consegue alterar o conteúdo do site, é claro. Portanto, o argumento de venda de 'sem necessidade de alteração de código' não vai atender aos requisitos por design. Usando CSP ou um script como o cside, você ainda consegue bloquear scripts — mas qual seria o propósito de usar um scanner nesse caso?

A análise do cside é realizada por meio da nossa infraestrutura combinada com inteligência client-side, que é invisível para os atacantes. Sempre seremos desafiados por agentes maliciosos e, no mundo do JavaScript, as abordagens para tentar contornar detecções são inúmeras. Mas é muito mais difícil do que simplesmente servir payloads maliciosos para humanos e não para scanners. Detectar um scanner automatizado é muito simples. A maioria dos usuários reais não se origina de endereços IP de nuvem. A maioria dos usuários reais não possui um user agent que conflita com os detalhes reais do pacote TCP, indicando que é uma máquina Linux em vez de um iPhone.

A Reflectiz só vê o que escaneia, e isso serve principalmente para requisitos de conformidade com o PCI DSS. O cside captura e arquiva cada payload de script servido a usuários reais. Isso inclui payloads que foram bloqueados antes de chegar aos usuários. O resultado é que o cside simplesmente tem mais dados sobre como os scripts se comportam em ambientes de usuários reais, permitindo que melhoremos nossas detecções e que você compreenda o escopo do incidente (prevenido).

O cside oferece um dashboard desenvolvido especificamente para atender a cada um dos requisitos client-side à risca, conforme aprovado pela VikingCloud, que inclusive publicou um whitepaper sobre a solução. Um scanner como a Reflectiz fornece relatórios periódicos de inventário de scripts e não possui dados sobre comportamentos em tempo real. Eles nem conseguem bloquear um script sem adicionar o script deles à página — e impedir o carregamento de scripts não autorizados é um requisito explícito. Portanto, é improvável que um avaliador com expertise técnica aprove uma solução como a Reflectiz ou, em caso de não conformidade, pode ficar evidente que a implementação original nunca foi realmente conforme.

A proteção em tempo real identifica ataques no momento em que são entregues aos usuários. A varredura periódica não consegue detectar ataques que aparecem entre as varreduras ou que afetam apenas segmentos específicos de usuários. Atacantes modernos utilizam lógica condicional para evitar detecção, servindo código malicioso apenas para usuários humanos sob condições específicas. O monitoramento contínuo do cside garante que ataques direcionados e condicionais sejam sempre visíveis. Ferramentas baseadas em scanner perdem essas ameaças por design, pois só enxergam uma visão estreita e previsível do site.

O modelo de preços do cside está alinhado com a atividade do seu site, ou seja, o volume de visitantes. Os preços do nosso plano self-service estão disponíveis publicamente na nossa página de preços.

O cside monitora as ações dos scripts: quais campos de dados eles buscam, para onde os dados estão sendo enviados e quais APIs estão tentando interceptar. Os dados inseridos pelo usuário são uma dimensão diferente, portanto o cside não interage com eles. O cside nunca interage com os dados reais que são acessados ou enviados. Apenas registramos essas ações.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Melhores Soluções de Prevenção Contra Tomada de Conta Comparadas (2026)

Suítes antifraude, ferramentas de fingerprinting e MFA comparadas pelo que cobrem na cadeia de ataque de ATO. Encontre a combinação certa para o seu perfil de risco.

Como Impedir Agentes de IA de Criar Contas Falsas (Guia)

Agentes de IA criam contas falsas usando navegadores reais, IPs residenciais e identidades geradas. Veja os sinais de detecção para impedi-los.

Como Bloquear Bots de Scraping de Conteúdo Baseados em Agentes de IA (Guia)

Bots de scraping usam navegadores reais, IPs residenciais e extração com LLM para capturar seus preços e conteúdo. Veja como pará-los.

Banner escuro da cside mostrando um ataque de cadeia de fornecimento npm do tipo worm

O efeito bola de neve: como o Mini Shai-Hulud transforma npm numa rede de distribuição de worm

O Mini Shai-Hulud transformou pacotes npm num ciclo de roubo de credenciais. Veja como a vaga AntV se espalhou.

Porque os CAPTCHAs já não são uma defesa fiável contra bots

Os CAPTCHAs já não são uma defesa principal fiável contra bots. Veja porque falham e como aumentar o custo para atacantes.

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.