Na průměrném firemním webu běží 2 200 skriptů třetích stran. Většina firem nedokáže pojmenovat ani deset z nich.
Tyto skripty (Google Analytics, Facebook Pixel, chat widgety, platební brány, heatmapy, A/B testing, reklamní pixely) běží v prohlížeči vašeho zákazníka se stejnými oprávněními jako váš vlastní kód. Můžou číst formuláře. Můžou posílat data kamkoli. A vy o tom nevíte, protože váš server vidí jen to, co běží na serveru. Co se děje v prohlížeči, to je jiný svět.
Je to, jako kdybyste dali klíče od kanceláře padesáti brigádníkům přes agenturu. Každý z nich má přístup ke všemu. Vy jste potkali jednoho, možná dva. Zbytek znáte jen podle jména na papíře.
Jak vypadá útok, o kterém se nedozvíte
Útoky ve stylu Magecart fungují už roky a pořád patří mezi nejčastější hrozby pro weby s platbami. Útočník nekompromituje váš web přímo. Stačí mu kompromitovat jednu z knihoven, na které závisí některý z vašich externích skriptů (chat widget, analytics, platební formulář). Do knihovny přidá pár řádků JavaScriptu, které potichu kopírují údaje z platebních formulářů a posílají je na externí server.
Žádný výpadek. Žádná chybová stránka. Zákazník zaplatí normálně. Jediný rozdíl je, že jeho číslo karty, CVV a jméno teď zná i někdo další.
A nejsou to jen karty. Stejný princip funguje na session tokeny (session hijacking), přihlašovací údaje, nebo prostě na přesměrování vybraných návštěvníků na phishingové stránky. Někdy útočník neukradne nic, jen váš web těží kryptoměny v prohlížeči návštěvníků. Web je pomalejší, ale „funguje".
Ve všech těchto případech web vypadá normálně. Dozvíte se to až z bankovního reportu o podvodných transakcích. Nebo se nedozvíte vůbec.
Co s tím dělat
Dvě věci, které by měl mít každý web s přihlašováním nebo platbami: Content Security Policy (CSP) a Subresource Integrity (SRI).
CSP je HTTP hlavička, která prohlížeči říká, odkud smí načítat skripty. Pokud skript pochází z neautorizované domény, prohlížeč ho zablokuje. Háček je v tom, že většina webů CSP nemá vůbec. A ty, co ho mají, často používají unsafe-inline nebo unsafe-eval, čímž celou ochranu negují. Dobře nastavený CSP navíc není jednorázová věc. Mění ho každý nový widget.
SRI přidává hash k externím skriptům. Pokud se obsah skriptu změní (například po kompromitaci CDN), prohlížeč ho odmítne spustit. Jednoduché a účinné pro statické závislosti.
Ale i s oběma potřebujete vědět, co se na vašem webu děje. Otevřete si Developer Tools v prohlížeči, záložku Network, a podívejte se, kolik externích domén váš web kontaktuje. Budete překvapeni.
A teď k tomu, proč o tom píšu právě teď
- března 2026 Cloudflare zpřístupnil funkci Advanced Client-Side Security všem zákazníkům. Dosud byla jen pro enterprise plány. Teď ji může zapnout kdokoli s doménou za Cloudflare.
Jejich systém denně analyzuje 3,5 miliardy JavaScriptových skriptů kombinací grafových neuronových sítí (GNN) a velkých jazykových modelů (LLM). GNN mapuje vztahy mezi skripty a detekuje anomálie. Vrstva LLM potom vyhodnocuje, jestli jde o reálnou hrozbu, nebo planý poplach. Díky té druhé vrstvě klesl počet falešných hlášení 200násobně. Konkrétně LLM snížila false positives z 0,3 % na 0,1 % a u unikátních skriptů z 1,39 % na 0,007 %.
To stačí na to, aby to bylo použitelné, aniž by vás zaplavily falešné poplachy. Dosud byl s detekčními nástroji problém právě v tom, že spouštěly planý poplach u každého druhého skriptu.
Pokud vás téma kybernetické bezpečnosti zajímá hlouběji, psali jsme o tom, jak AI mění phishing a deepfake útoky a jaké phishingové kampaně aktuálně cílí na slovenské firmy. Na straně infrastruktury s tím souvisí i bezpečnost CI/CD pipelines.
Pokud máte web s třetími skripty, a máte, stojí za to vědět, co dělají. Uděláme vám bezpečnostní check a nastavíme CSP.