Este artigo faz uma análise honesta dos recursos do Feroot.
Como você está no site do cside, reconhecemos nossa parcialidade. Dito isso, construímos nossos argumentos de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor, análise técnica objetiva e nas experiências próprias ou de nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse a página de produto deles.
| Critério | cside | Feroot | Por que isso importa | Quais são as consequências |
|---|---|---|---|---|
| Abordagens utilizadas | Monitoramento baseado em script + análise do lado do servidor + Crawler + Free CSP Endpoint | Detecção baseada em JS | ||
| Proteção em tempo real | Full support |
Partial support |
Ataques podem ocorrer entre as varreduras ou em dados amostrados excluídos; é necessária análise ativa na própria página. | A detecção tardia leva a vazamentos de dados ativos. |
| Análise completa do payload | Full support |
No support |
Garante visibilidade profunda dos comportamentos maliciosos dentro do código do script. | Ameaças passam despercebidas a menos que já sejam conhecidas por feeds de ameaças. |
| Detecção dinâmica de ameaças | Full support |
Partial support |
Identifica ataques que mudam de acordo com o usuário, o horário ou a localização. | Detecção falha de ataques direcionados. |
| Detecção de ameaças no nível do DOM | Full support |
Partial support |
Rastreia alterações no DOM e observa o comportamento do script em tempo de execução. | Ataques sofisticados baseados em DOM permanecem indetectados. |
| 100% de rastreamento histórico e forense | Full support |
No support |
Necessário para resposta a incidentes, auditoria e conformidade. | Análise de causa raiz incompleta e lacunas de conformidade. |
| Proteção contra evasão | Full support |
No support |
Impede a evasão via ofuscação do DOM ou técnicas de contorno. | Ameaças furtivas continuam sem ser detectadas. |
| Certeza de que o script visto pelo usuário é monitorado | Full support |
No support |
Garante que a análise corresponda ao que realmente é executado no navegador. | Lacunas entre os scripts revisados e os scripts executados. |
| Análise de scripts impulsionada por IA | Full support |
No support |
Detecta ameaças novas ou em evolução usando modelagem de comportamento. | Regras e feeds manuais causam detecção lenta e propensa a erros. |
| PCI DSS validado por QSA | Full support |
No support |
Auditorias independentes de QSA são a forma mais confiável de garantir a conformidade com o PCI. | Depender de afirmações de marketing pode resultar em reprovação na auditoria. |
| SOC 2 Type II | Full support |
Full support |
Demonstra controles de segurança consistentes ao longo do tempo. | A falta de controles verificados aumenta o risco do fornecedor. |
| Dashboard de PCI validado por QSA | Full support |
No support |
Permite revisão rápida de scripts e justificativa com um clique ou via IA. | A pesquisa manual é demorada e ineficiente. |
| Preços | Full support |
No support |
Preços previsíveis e públicos melhoram o planejamento orçamentário. | Preços ocultos causam incerteza e custos inesperados. |
| Integrações de tickets (Linear, Jira) | Full support (Linear e Jira) |
No support |
Integrações nativas com ferramentas de tickets para desenvolvedores permitem que os alertas de segurança fluam diretamente para os fluxos de trabalho existentes | Sem integrações nativas de tickets, as equipes precisam criar tickets manualmente para as descobertas de segurança, retardando os tempos de resposta |
| Velocidade de implementação | Rápida | Rápida | Ambos são implantados por meio de um simples script na página. | A implementação rápida permite proteção imediata. |
Avaliações de usuários: Feroot vs cside
Veja como usuários reais avaliaram o cside e o Feroot com base em sua experiência com a precisão da detecção, a qualidade do suporte e a confiabilidade geral.
| Plataforma | cside | Feroot |
|---|---|---|
| Google Maps | ★★★★★ (5/5) | ★★☆☆☆ (2.3/5) |
| G2 | ★★★★★ (4,8/5) | ★★★★☆ (4.6/5) |
| SourceForge | ★★★★★ (4,9/5, 37 avaliações e classificações exibidas) | Sem avaliações |
Você pode ver as avaliações do cside no Sourceforge (25 avaliações nativas do SourceForge mais 12 classificações verificadas de terceiros exibidas lá, 37 avaliações e classificações no total) ou no G2.
"Fico feliz por termos encontrado o produto deles, que nos ajudou a atingir metas de conformidade com o PCI que antes pareciam um pouco assustadoras. O produto do cside era exatamente o que procurávamos, por uma fração do preço que outros concorrentes ofereciam." - Avaliação anonimizada, Sourceforge (Citação da avaliação do cside no Sourceforge)
O que é o Feroot?
O Feroot compete apenas com a solução de segurança do lado do cliente e o PCI Shield do cside. Outros serviços, como detecção de VPN, detecção de agentes de IA e Privacy Watch, não fazem parte do escopo deles.
O Feroot foi fundado para criar uma solução de segurança do lado do cliente que protege dependências, de forma semelhante ao cside, mas foi fundado em 2017. Eles combinam duas abordagens para entregar suas promessas de segurança.
Como o Feroot funciona
A oferta do Feroot é dividida em dois produtos: "PageGuard" e "Inspector".
Feroot PageGuard
A página do PageGuard diz:
"O PageGuard implanta permissões e políticas de segurança em aplicações web baseadas em JavaScript para protegê-las continuamente contra atividades maliciosas do lado do cliente, malware e scripts de terceiros."
E:
"O PageGuard sobrescreve determinado código JavaScript principal e essencial para proteger sua aplicação web contra ameaças cibernéticas do lado do cliente."
Está claro que eles seguem em grande parte a mesma abordagem da maioria dos nossos concorrentes. Eles usam permissões e um formulário em uma lista de permissões (allow-list) na qual você pré-aprova quais scripts podem ser executados em quais páginas.
Há alguns problemas com essa abordagem.
Se apenas a origem do script for verificada usando uma allow-list, não há como saber qual código está sendo servido.
O PageGuard não teria detectado o maior ataque do lado do cliente de 2024, o ataque Polyfill. Nele, um domínio mudou de proprietário e, de repente, o código do script foi alterado. Se apenas a origem do script for verificada usando uma allow-list, não há como saber qual código está sendo servido. Depender exclusivamente disso não é seguro.
Feroot Inspector
O "Inspector" deles implanta usuários sintéticos disfarçados de clientes honeypot, para simular o comportamento de usuários reais. Os usuários sintéticos do Inspector conseguem completar tarefas de usuários reais e são capazes de identificar scripts maliciosos e ações não autorizadas em ativos web JavaScript. Essa é uma abordagem de certa forma semelhante à do Reflectiz.
Na prática, isso é um scanner/crawler que faz verificações periódicas nas páginas. Um crawler pode ser facilmente evitado servindo scripts maliciosos apenas para endereços de IP residenciais. Com base em vários parâmetros, como diferentes user agents, diferentes scripts do lado do cliente são servidos.
Um crawler sozinho não consegue atender aos requisitos do PCI DSS, já que um dos requisitos é implementar 'um mecanismo para impedir scripts não autorizados'.
Como o cside vai além
O cside oferece uma abordagem altamente flexível para a segurança do lado do cliente. Seja monitorando comportamentos de scripts no lado do cliente e verificando os scripts mais a fundo do nosso lado por meio de relatórios do lado do cliente em nosso mecanismo, o cside obtém o quadro completo. Ele analisa o código das dependências servidas em tempo real, ajudando você a impedir que comportamentos indesejados causem grande impacto no negócio.
Nossa abordagem nos permite não apenas identificar ataques avançados e altamente direcionados e alertar sobre eles; o cside também torna possível bloquear ataques antes que eles toquem o navegador do usuário. Ele também atende a múltiplos frameworks de conformidade, incluindo PCI DSS 4.0.1, HIPAA, GDPR, CPRA...
Fornecemos até análise forense profunda, inclusive caso um atacante tente contornar nossas detecções. Também armazenamos dados sobre ataques não detectados, o que nos permite aprimorar as detecções. Isso dá a você o controle de que precisa em um formato fácil de usar.
Lidando com as limitações dos navegadores, sabemos que esta é a maneira mais segura de monitorar e proteger suas dependências em todo o seu site. Passamos anos no espaço de segurança do lado do cliente antes de iniciar o cside. Conhecemos as limitações dos navegadores e investimos tempo contribuindo com órgãos de padronização para tornar as capacidades de segurança nativamente suportadas melhores e mais fáceis de usar.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.