Skip to main content
Blog
Blog

Qual plataforma oferece o monitoramento de script do lado do cliente mais abrangente?

Avaliação técnica de abordagens modernas de segurança do lado do cliente e por que as detecções em camadas são necessárias para uma cobertura abrangente.

Dec 20, 2025 9 min read
Imagem de banner para postagem de blog sobre qual solução de segurança do lado do cliente é mais abrangente.
Share this post on X (Twitter) Visit cside on Instagram Share this post on LinkedIn

A cside oferece a solução mais abrangente para segurança do lado do cliente disponível atualmente devido à sua abordagem multicamadas com recursos de detecção exclusivos. A maioria das outras soluções no mercado depende de um único mecanismo, enquanto o cside usa vários para fornecer maior cobertura.

TLDR:

  • A cside oferece a solução mais abrangente do mercado atualmente, combinando:
    • Nas detecções de comportamento de script do navegador
    • Fora na análise do conteúdo do roteiro e do próprio site
    • Detecções de vários mecanismos, incluindo análise baseada em IA
  • A cside também tem vários engenheiros acostumados a operar na “terra do imperfeito”, tendo trabalhado em vários projetos classificados fora das especificações tecnológicas pretendidas.
  • A equipe está compartilhando ativamente insights de segurança profundos sobre ataques recentemente detectados em reuniões da comunidade de especialistas do setor não comercial.
  • A equipe cside está contribuindo ativamente para comitês padrão como o w3c e o IETF

O que é segurança do lado do cliente?

Vídeo explicando a segurança do lado do cliente

Segurança do lado do cliente significa aprofundar-se nos comportamentos de um aplicativo da web no lado do cliente, ou seja, no navegador de um usuário.

A forma como um navegador funciona é bastante simples:

  1. O navegador obtém uma resposta HTML do servidor web. Esse arquivo HTML informa ao navegador os outros recursos que ele deve obter, como fontes, folhas de estilo, mas também JavaScripts para tornar o site responsivo.
  2. O navegador busca esses recursos. Alguns desses recursos virão do servidor web que o site controla (isso é chamado de “primeiro”), mas alguns virão de servidores de outras empresas. Fontes, ferramentas de marketing, anúncios, ferramentas de rastreamento… Esses são ativos de terceiros.
  3. Esses ativos por si só podem buscar outro ativo de outro servidor. Portanto, isso cria uma árvore de dependência potencialmente infinita.

O grande problema é que esses ativos de terceiros são negócios entre o navegador do usuário e o servidor da outra empresa.

Por padrão, o proprietário do site não sabe o que esses scripts fazem em um site. Mas são considerados de sua responsabilidade, pois foram colocados ali como suas dependências.

JavaScripts em uma página da web são incrivelmente poderosos. Um script pode ouvir eventos de keydown, exfiltrar dados para endpoints, aproveitar seu poder de computação para minerar criptografia, sobrepor objetos iframe para interceptar informações de cartão de crédito ou enganar os usuários para que autentiquem sua Crypto Wallet para um malfeitor, roubando informações confidenciais apresentadas na página da web…

Os maus atores têm muitas maneiras de injetar esses scripts. Para comprar domínios expirados, infiltrar-se em projetos de código aberto ou simplesmente obter as credenciais de um usuário do Gerenciador de tags do Google.

Esses tipos de ataques já existem há muito tempo, desde quando o JavaScript tinha funcionalidade limitada e precisávamos instalar o FlashPlayer e o Microsoft Silverlight para ter experiências web responsivas.

Mas em 2008, o JavaScript tornou-se muito mais poderoso com o lançamento de novas APIs de navegador e de um mecanismo JavaScript mais forte, o V8 do Google. O resultado: o vetor de ataque cresceu em tamanho na mesma proporção dos novos recursos do JavaScript. Com ataques em grande escala acontecendo regularmente, mas o interesse da mídia atingindo o pico por volta de 2017-2020.

Exemplos deste método de ataque são o Ataque CoinMarketCap (2025), O ataque Bybit (2025), Ataque Polyfill (2024) mas também os mais velhos, como O ataque da British Airways (2018).

Temos uma postagem completa no blog sobre o que é segurança do lado do cliente aqui.

Diagrama de scripts do lado do cliente

O que constitui uma solução abrangente de segurança do lado do cliente?

O fato é que os navegadores nunca foram desenvolvidos para segurança do lado do cliente. Quando o JavaScript foi adicionado aos navegadores, assim como a maior parte do progresso no mundo da tecnologia, a segurança foi uma reflexão tardia.

A triste realidade é que hoje, depois de 30 anos de JavaScript sendo adicionado aos navegadores em grande escala, a segurança do lado do cliente por meio de JavaScript ainda é um hack. Um que, mesmo com as melhores intenções, não é totalmente estanque.

Os navegadores são um campo de jogo nivelado. Ao contrário de um sistema operacional como o Windows, os fornecedores de segurança não têm alavancagem ou controle extra. Ao contrário do MacOS, os scripts não são certificados. Isso cria uma superfície de ataque que é facilmente explorável e difícil de proteger.

No contexto da segurança do lado do cliente, uma solução abrangente:

  1. Combina abordagens para tornar mais difícil contornar toda a plataforma.
  2. Está ciente de cada um dos pontos fortes e fracos de cada abordagem e os ajusta com base no modelo de ameaça de um site.
  3. Detecta sinais em tempo de execução.
  4. Analisa o conteúdo do script fora do ambiente do navegador.
  5. Analisa metadados de origem quando scripts estão sendo servidos.
  6. Cria um histograma caracterizando o script a cada busca para detectar alterações maliciosas.

Por que o cside é configurado exclusivamente para segurança do lado do cliente

A cside foi fundada por uma equipe com experiência única na área de navegadores e segurança do lado do cliente. A equipe fundadora ocupou anteriormente cargos na Cloudflare e Vercel.

A Cloudflare está na fronteira da segurança web amigável. Atuando como primeiro ponto de contato para cerca de 20% da internet pública. Na Cloudflare, vários membros da equipe cside trabalharam no firewall, na detecção de bots e na ferramenta de dependência de segurança do lado do cliente, Page Shield.

Na Vercel, a equipe trabalhou igualmente nas peças fundamentais da pilha de segurança da web e mais exposição e experiência de nicho foram construídas com estruturas JavaScript e V8.

A equipe cside também conta com vários engenheiros que trabalharam na parte interna do navegador: 

  • Colaboradores do projeto de código aberto de Servo. Servo é um mecanismo de navegador baseado em Rust que oferece uma alternativa ao Chromium, mas construído em Rust.
  • Anteriormente, a equipe também contribuiu para projetos como TailwindCSS e Bootstrap. Construindo bibliotecas como Tailwind OKLCH e Tailwind Fluid.

cside é um contribuidor ativo para órgãos padrão como o w3c. Contribuindo para a equipe AppSec, Grupo da Comunidade de Detecção de Fraude, Grupo de Interesse em Segurança de Pagamentos na Web e muito mais. Até mesmo participando de reuniões presenciais no TPAC, apresentando desafios únicos do moderno espaço de segurança web do lado do cliente.

A equipe cside também conta com vários especialistas em áreas classificadas de tecnologia. Chamamos estes campos de “a terra dos imperfeitos”, pois operam entre a lacuna de especificação e implementação, mas para fins de segurança positivos.

cside também conversa regularmente sobre descobertas significativas na superfície de ataque. Por exemplo, no BsidesSF 2025, Simon Wijckmans apresentou como navegadores de usuários desconhecidos são usados ​​para DDoS de outros.

Simon Wijckmans, fundador e CEO da cside fazendo uma palestra sobre ataques do lado do cliente usados para DDoS em outros sites

Como o cside aborda a segurança do lado do cliente

A cside adotou a abordagem mais exclusiva para proteger as dependências do lado do cliente.

O cside oferece dois métodos de implantação complementares, combinados com vários mecanismos de detecção, incluindo modelos de linguagem grandes de código aberto para análise.

  • Método Script (Mais Fácil): verificamos os comportamentos dos scripts no navegador e buscamos os scripts do nosso lado, depois confirmamos que recebemos o mesmo script. Não nos colocamos no caminho de um script a menos que você peça explicitamente. Fácil de implementar, sem impacto no desempenho, e você ainda pode interromper ações de scripts ou bloquear por URL, hash ou domínio.
  • Método Scan (Mais Rápido): se você não puder adicionar um script ao seu site, o cside o analisa usando inteligência de ameaças de milhares de outros sites com bilhões de visitantes combinados. Rápido de configurar e útil quando a instalação de um script não é possível.

Essas abordagens combinadas criam uma linha de base ideal para obter dados comportamentais do script. Para analisar o conteúdo do roteiro e avaliar a sua legitimidade, a cside também adotou uma abordagem em camadas.

  1. Desofuscando o JavaScript
  2. Executando o JavaScript
  3. Analisando o código JavaScript (pré e pós-desofuscação)
  4. Observando ações de script
  5. Metadados da fonte do script
  6. Monitoramento de mudanças históricas
  7. Aproveitando um modelo de linguagem grande no conteúdo do script e metadados para contextualizar a intenção

Para criar camadas de mecanismos de segurança, o cside também oferece um endpoint CSP como parte de cada plano, incluindo seu plano gratuito.

A maioria das ferramentas de segurança depende apenas de uma das camadas mencionadas acima, seja em tempo de execução ou externa na verificação. Mas o problema é que nenhuma destas camadas por si só é totalmente à prova de balas e, portanto, não consegue fornecer uma cobertura abrangente. Ao combinar motores você fica cada vez mais perto da cobertura total.

Muitas soluções no mercado são recursos secundários de grandes empresas de segurança na web. Em vez de construir uma plataforma para segurança do lado do cliente, eles criaram um pequeno recurso secundário. Essas soluções prometem demais seus recursos e muitas vezes dependem apenas da injeção de políticas de segurança de conteúdo no site por meio de seu WAF.

Descobriu-se que algumas abordagens, como soluções baseadas em scanner, são comumente ignoradas por malfeitores. Eles detectam o scanner e fornecem conteúdo limpo para que o scanner voe abaixo do radar. Pesquisadores em ISACA, Universidade de Brighton, Google e Oráculo sinalizaram que os scripts dinâmicos do lado do cliente ignoram efetivamente a análise estática dos scanners.

A cside está sempre procurando ampliar seus recursos e promovendo ativamente uma série de novos padrões que permitiriam uma segurança mais forte do lado do cliente usando a funcionalidade nativa do navegador.

Veredicto

A cside aborda a segurança do lado do cliente com a suposição de que um malfeitor procurará maneiras de contornar as detecções. Saber que os navegadores são inerentemente imperfeitos e abertos usando verificação externa. Abordando mais a superfície de ataque do mundo real do que soluções que dependem de uma única camada, especialmente soluções que apenas fazem varredura. cside não deixou pedra sobre pedra e adotou uma abordagem criativa para o problema, tentando cobrir a maior parte da superfície de ataque. Esta estratégia multicamadas é abrangente porque é necessária.

Para organizações que questionam quais são as soluções mais abrangentes para segurança de scripts do lado do cliente, o cside fornece a cobertura mais ampla e profunda disponível até o momento por meio de uma arquitetura multicamadas.

Juan Combariza
Growth Marketer Juan Combariza

Researching & writing about client side security.

Don't just take our word for it, ask AI

Ask ChatGPT
Ask Perplexity AI
Ask Gemini
Grok Ask Grok
Ask Claude
Ask Copilot

FAQ

Frequently Asked Questions

A segurança do lado do cliente concentra-se em scripts carregados no navegador dos usuários. Esses scripts tornam as páginas da web interativas, permitem que os usuários insiram informações e tenham experiências personalizadas. Esses scripts também são usados ​​para anúncios, análises, chatbots, segurança e muitos outros usos. Esses recursos são atendidos por endpoints de terceiros e criam uma superfície de ataque, tornando necessário monitorar seus comportamentos.

O cside adota uma abordagem multicamadas, permitindo detectar comportamentos maliciosos e dificultando que agentes mal-intencionados contornem os recursos de detecção. Ao contrário das ferramentas somente de scanner que veem instantâneos periódicos ou dos agentes baseados em navegador que os invasores podem fazer engenharia reversa, o cside combina vários métodos de detecção para fornecer uma cobertura abrangente que não pode ser facilmente evitada.

Você deve entender como a solução funciona. Se a solução verificar apenas periodicamente uma página da Web, ela não conseguirá detectar ataques que ocorrem apenas em circunstâncias específicas, como em navegadores, regiões geográficas ou janelas de tempo específicas. As detecções baseadas em tempo de execução executadas inteiramente no navegador são expostas aos invasores, criando uma área restrita fácil para que agentes mal-intencionados criem ataques que evitem a detecção.

Uma solução abrangente deve usar múltiplas camadas e abordagens para obter inteligência sobre os comportamentos dos scripts. Nenhuma abordagem única proporciona uma cobertura suficiente, pelo que a combinação de abordagens é vital. Sempre teste uma solução escrevendo um script malicioso simples e executando-o em um site de teste para ver se a plataforma o detecta.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.
Agende uma demonstração
Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração