Este artigo faz uma análise honesta dos recursos do Report URI.
Como você está no site da cside, reconhecemos nossa parcialidade. Dito isso, construímos nossos argumentos de forma honesta e baseamos nossa análise em informações publicamente disponíveis, informações do setor e nossas próprias experiências ou as de nossos clientes.
Se você quiser verificar as afirmações deles por conta própria, acesse as páginas de produto deles.
| Critério | cside | Report URI | Por que importa | Quais são as consequências |
|---|---|---|---|---|
| Abordagens utilizadas | Monitoramento por script + análise do lado do servidor | Apenas relatórios CSP | ||
| Proteção em tempo real | Full support |
Ataques podem ocorrer entre as varreduras ou nos dados excluídos quando há amostragem | Detecção atrasada = violações de dados ativas | |
| Análise completa de payload | Full support |
Garante visibilidade profunda sobre comportamentos maliciosos dentro do próprio código do script | As ameaças passam despercebidas a menos que a origem seja conhecida em um feed de ameaças | |
| Detecção dinâmica de ameaças | Full support |
Identifica ataques que mudam de acordo com o usuário, horário ou localização | Detecção perdida de ataques direcionados | |
| Detecção de ameaças no nível do DOM | Full support |
Rastreia mudanças no DOM e observa como os scripts se comportam durante a execução | Incapaz de identificar ataques sofisticados baseados em DOM | |
| 100% de rastreamento histórico e forense | Full support |
Necessário para resposta a incidentes, auditoria e conformidade | Necessário para resposta a incidentes, auditoria e conformidade | |
| Página de status pública & transparência de disponibilidade | Full support |
No support |
Você pode verificar de forma independente a disponibilidade ao vivo e o histórico de incidentes antes e depois de comprar, em vez de ficar sabendo das indisponibilidades primeiro pelos seus próprios usuários | O Report URI publica documentos de conformidade para download, mas não tem página de status ao vivo nem um SLA de disponibilidade publicado, então não há uma visão em tempo real da disponibilidade |
| Proteção contra evasão | Full support |
Impede que atacantes contornem os controles via ofuscação do DOM ou evasão | Ameaças furtivas continuam sem ser detectadas | |
| Certeza de que o script visto pelo usuário é monitorado | Full support |
Alinha a análise com o que realmente é executado no navegador | Lacunas entre o que é revisado e o que é realmente executado | |
| Análise de scripts impulsionada por IA | Full support |
Detecta ameaças novas ou em evolução por meio de modelagem de comportamento | Dependência de atualizações manuais, feeds de ameaças ou regras = detecção lenta e propensa a erros | |
| Dashboard PCI validado por QSA | Full support |
A forma mais confiável de garantir que uma solução está em conformidade com o PCI é realizar uma auditoria minuciosa por um QSA independente | Sem a validação de um QSA, você depende inteiramente de afirmações de marketing, o que poderia resultar em reprovação em uma auditoria | |
| SOC 2 Tipo II | Full support |
Demonstra controles de segurança operacional consistentes ao longo do tempo | Carece de validação verificada de controles de segurança, tornando-o um fornecedor arriscado | |
| UI específica para PCI | Full support |
Uma interface fácil para revisão rápida e justificativa de scripts com um clique ou automação por IA | Tarefas tediosas e pesquisa manual sobre o que todos os scripts fazem, o que leva horas ou dias | |
| Integrações com sistemas de tickets (Linear, Jira) | Full support (Linear e Jira) |
Integrações nativas com ferramentas de tickets para desenvolvedores permitem que alertas de segurança fluam diretamente para os fluxos de trabalho existentes | Sem integrações nativas de tickets, as equipes precisam criar tickets manualmente para as descobertas de segurança, retardando os tempos de resposta |
O que é o Report URI?
O Report URI é uma plataforma de relatórios que coleta relatórios de violações de segurança gerados pelo navegador e ajuda as equipes a monitorar e ajustar suas políticas de segurança web e de e-mail. Ele oferece suporte principalmente a relatórios de Content Security Policy (CSP), que é de longe o caso de uso mais comum, ao lado de seu serviço de segurança de e-mail SMTP.
Como o Report URI funciona
As empresas precisam configurar seus cabeçalhos HTTP de segurança para apontar para seu endpoint exclusivo do Report URI. Por exemplo, com uma Content Security Policy (CSP), elas incluem uma diretiva report-uri ou report-to no cabeçalho que informa aos navegadores para onde enviar os dados de violação.
O CSP é quase tudo o que o Report URI oferece. Embora seja um sistema de segurança comumente usado, ele muitas vezes não é forte o suficiente para lidar com ataques do lado do cliente.
Um CSP funciona como um firewall que só confia em fontes de scripts pré-aprovadas, não em seu conteúdo. Se a fonte permanecer a mesma, mas o conteúdo mudar, como no maior ataque do lado do cliente de 2024 – Polyfill – um CSP não o detectará.
Escrevemos um artigo aprofundado sobre Por que o CSP não funciona em relação a oferecer a melhor solução de segurança do lado do cliente:
O CSP opera em um modelo de lista de permissões, que autoriza recursos de domínios confiáveis, mas não consegue bloquear scripts ou recursos individuais provenientes desses domínios.
O Report URI não bloqueia nada por conta própria. Ele apenas recebe relatórios do navegador e dá às equipes visibilidade sobre violações e configurações incorretas. Tudo depende do comportamento nativo do navegador.
O Report URI também oferece segurança de e-mail. O SMTP-TLSRPT é um padrão de relatórios que permite que servidores de e-mail enviem relatórios sobre problemas de criptografia no transporte de e-mail (ou seja, falhas de STARTTLS). Se você estiver usando MTA-STS (Mail Transfer Agent Strict Transport Security), os navegadores ou servidores receptores podem gerar relatórios sobre falhas de entrega ou ataques de downgrade e enviá-los para um endpoint especificado.
Então, assim como acontece com o CSP para navegadores, você adiciona um cabeçalho (ou registro DNS TXT) ao seu domínio de e-mail que aponta para um endpoint do Report URI, e ele coletará e exibirá esses relatórios SMTP.
O Report URI também oferece suporte a outros mecanismos de relatórios do navegador, como falhas de Subresource Integrity (SRI), Network Error Logging (NEL), políticas Cross-Origin (COOP e COEP) e uso de recursos obsoletos.
Os recursos mais próximos dos da cside seriam o Script Watch do Report URI, que rastreia a presença e as mudanças de JavaScript de terceiros no seu site, e o Data Watch, que detecta quando campos de formulário sensíveis podem estar expostos a código de terceiros.
Como a cside vai além
O Report URI faz uma coisa bem: coletar e visualizar relatórios de violações de segurança gerados pelo navegador. Mas relatório não é proteção. A cside previne ataques. Ela não apenas avisa que eles aconteceram.
Quando uma violação de CSP é disparada, o script malicioso já tentou ser executado. O Report URI dá visibilidade sobre o que seu CSP bloqueou (ou deixou de bloquear), mas não consegue analisar payloads de scripts, detectar ameaças inéditas ou impedir ataques que escapam das regras da sua política. A cside atua em um nível diferente. Analisamos o código real de cada script em nossa infraestrutura e bloqueamos payloads maliciosos antes que eles cheguem ao navegador.
O Report URI é útil para ajuste e monitoramento de políticas. É por isso que a cside inclui um endpoint gratuito de relatórios CSP como recurso integrado. Você obtém tudo o que o Report URI oferece para a coleta de violações de CSP, além de análise de payload, bloqueio em tempo real e arquivos forenses por cima.
Para equipes que precisam de mais do que visibilidade, a cside oferece a camada de prevenção que o Report URI nunca foi projetado para ser. Mantemos registros imutáveis de cada versão de script servida aos usuários, fornecendo às equipes de resposta a incidentes e aos auditores de PCI DSS o código de ataque real, e não um relatório de que uma política foi violada.
A cside também publica uma página de status pública em status.cside.com, um portal de confiança público em trust.cside.com e um SLA de disponibilidade de 99.9%, para que você mesmo possa verificar nossa confiabilidade e histórico de incidentes. O Report URI publica documentos de conformidade para download, mas não tem página de status ao vivo nem um SLA de disponibilidade publicado.
Cadastre-se ou agende uma demonstração para começar.
Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.