Váš web môže byť kompromitovaný aj bez výpadku

Na priemernom firemnom webe beží 2 200 skriptov tretích strán. Väčšina firiem nevie pomenovať ani desať z nich.

Tie skripty (Google Analytics, Facebook Pixel, chat widgety, platobné brány, heatmapy, A/B testing, reklamné pixely) bežia v prehliadači Vášho zákazníka s rovnakými oprávneniami ako Váš vlastný kód. Môžu čítať formuláre. Môžu posielať dáta kamkoľvek. A Vy o tom neviete, lebo Váš server vidí len to, čo beží na serveri. Čo sa deje v prehliadači, to je iný svet.

Je to ako keby ste dali kľúče od kancelárie päťdesiatim brigádnikom cez agentúru. Každý z nich má prístup ku všetkému. Vy ste stretli jedného, možno dvoch. Zvyšných poznáte len z mena na papieri.

Ako vyzerá útok, o ktorom sa nedozviete

Magecart-štýlové útoky fungujú roky a stále sú jednou z najčastejších hrozieb pre weby s platbami. Útočník nekompromituje Váš web priamo. Stačí mu kompromitovať jednu z knižníc, na ktorej závisí niektorý z Vašich externých skriptov (chat widget, analytics, platobný formulár). Do knižnice pridá pár riadkov JavaScriptu, ktorý potichu kopíruje údaje z platobných formulárov a posiela ich na externý server.

Žiadny výpadok. Žiadna chybová stránka. Zákazník zaplatí normálne. Jediný rozdiel je, že jeho číslo karty, CVV a meno teraz pozná aj niekto ďalší.

A nie sú to len karty. Rovnaký princíp funguje na session tokeny (session hijacking), prihlasovacie údaje, alebo jednoducho na presmerovanie vybraných návštevníkov na phishingové stránky. Niekedy útočník neukradne nič, len Váš web ťaží kryptomeny v prehliadači návštevníkov. Web je pomalší, ale „funguje."

Spoločný znak: web vyzerá normálne. Dozviete sa to z bankového reportu o podvodných transakciách. Alebo sa nedozviete vôbec.

Čo s tým robiť

Dve veci, ktoré by mal mať každý web s prihlasovaním alebo platbami: Content Security Policy (CSP) a Subresource Integrity (SRI).

CSP je HTTP hlavička, ktorá prehliadaču hovorí, odkiaľ smie načítavať skripty. Ak skript pochádza z neautorizovanej domény, prehliadač ho zablokuje. Problém: väčšina webov CSP nemá vôbec. A tí, čo ho majú, často používajú unsafe-inline alebo unsafe-eval, čím celú ochranu negujú. Dobre nastavený CSP nie je jednorázová vec, každý nový widget ho mení.

SRI pridáva hash k externým skriptom. Ak sa obsah skriptu zmení (napríklad po kompromitácii CDN), prehliadač ho odmietne spustiť. Jednoduché a účinné pre statické závislosti.

Ale aj s oboma potrebujete vedieť, čo sa na Vašom webe deje. Otvorte si Developer Tools v prehliadači, záložku Network, a pozrite sa, koľko externých domén Váš web kontaktuje. Budete prekvapení.

A teraz k tomu, prečo o tom píšem práve teraz

30. marca 2026 Cloudflare sprístupnil funkciu Advanced Client-Side Security všetkým zákazníkom. Doteraz bola len pre enterprise plány. Teraz ju môže zapnúť ktokoľvek s doménou za Cloudflare.

Prečo je to zaujímavé: ich systém denne analyzuje 3,5 miliardy JavaScript skriptov kombináciou grafových neurónových sietí (GNN) a veľkých jazykových modelov (LLM). GNN mapuje vzťahy medzi skriptami a deteguje anomálie. LLM vrstva potom vyhodnocuje, či ide o reálnu hrozbu alebo false positive. Výsledok: 200-násobné zníženie falošných poplachov. Konkrétne LLM znížila false positives z 0,3 % na 0,1 %, a pri unikátnych skriptoch z 1,39 % na 0,007 %.

To je dosť na to, aby to bolo použiteľné bez toho, aby Vás zaplavili falošné alarmy. Doteraz bol problém s detekčnými nástrojmi práve ten, že kričali wolf pri každom druhom skripte.

Ak Vás téma kybernetickej bezpečnosti zaujíma hlbšie, písali sme o tom, ako AI mení phishing a deepfake útoky a aké phishingové kampane aktuálne cielia na slovenské firmy. Na strane infraštruktúry súvisí aj bezpečnosť CI/CD pipelines.

Ak máte web s tretími skriptami, a máte, stojí za to vedieť, čo robia. Spravíme Vám bezpečnostný check a nastavíme CSP.