هل يعمل مع Tor؟

تحصل مخارج Tor افتراضيًا على مخاطر medium من إشارة IP (datacenter_asn + قوائم مخارج معروفة)، لكن البصمة نفسها تُحسب رغم ذلك. إن سمح تطبيقك صراحةً بـ Tor — صحافة، بحث حسّاس، مسارات للناجين من الإساءة — فاضبط tor_policy: 'allow' في استدعاء verify لتخفيف التسجيل المعتمد على IP مع الإبقاء على كل الإشارات الأخرى نشطة. يبقى العَلَم في الاستجابة على أي حال؛ وأنت من يقرر ما إذا كان يُحتسب في الدرجة.

وماذا عن متصفحات الخصوصية — Brave وLibreWolf وTor؟

كلها تعمل. لكل منها بصمات مميزة — farbling في Brave، وملفات LibreWolf وTor Browser معروفة في بيانات المجتمع لدينا. ميزات منع التتبع لا تكسر التحقق؛ بل تنتج بصمات مختلفة (متّسقة مع ذلك). نضع عَلَمًا على مستوى الحماية كإشارة صادقة بدل معاقبة المستخدم في صمت.

ما حجم حزمة JS؟

نحو 55 KB brotli، ونحو 167 KB minified. تحمِّل الـ SDK المسبارات الثقيلة (canvas، audio، webgl، تعداد الخطوط) بشكل كسول فقط عند استدعاء collect()، لذا فإن أوّل parse نحو 12 KB brotli. تُحمَّل بصيغة async ولا تحجب DOMContentLoaded ولا LCP أبدًا. الزيارات المخزّنة في الكاش بحجم نحو 150 بايت.

هل نحتاج إلى تشغيل خلفية؟

نعم — الـ SDK تجمع في المتصفح وتُصدر رمزًا موقَّعًا؛ ويحدث التحقق على الخادم عبر REST API الخاصة بنا. يحتوي الرمز على البصمة الكاملة مضمَّنة ويُتحقَّق منه بشكل تشفيري (ES256، kid: nox-2026-01)، لذا فإن verify() لا يقوم بأي عمليات DNS أثناء الطلب. زمن verify بـ p99 أقل من 5 مللي ثانية لأنه فحص توقيع زائد بحث في الكاش، لا إعادة جمع.

الامتثال لـ GDPR / CCPA؟

نحن مُعالِج فرعي بموجب DPA الخاصة بك، وDPA الخاصة بنا متاحة عند الطلب. نعالج البصمات بوصفها «بيانات شخصية» لأنها قد تعيد التعرف على زائر عائد — تنطبق ضوابط المادة 28 كاملةً. لا تحويلات لدول ثالثة؛ والبنية التحتية مقيمة في الاتحاد الأوروبي (توجيه Cloudflare داخل الاتحاد فقط). حذف نهائي عند الطلب عبر الـ backoffice. يمكننا توقيع DPA خلال 24 ساعة. قائمة المعالجين الفرعيين موجودة على /subprocessors.

ما معدل الإيجابيات الخاطئة لديكم؟

يعتمد على العتبة التي تُطلق منها. مع الإعدادات الافتراضية (risk ≥ high → challenge)، يقيس مرجع المقارنة الداخلي لدينا — أمام مجموعة حقيقة-أرضية تضم 4.2 مليون جلسة مستخدم حقيقية — نحو 0.4٪ إيجابيات خاطئة. وعند risk = critical فقط، تنخفض نسبة الـ FP إلى نحو 0.07٪. كلا الرقمين يُحدَّثان باستمرار ويظهران في لوحة المُشغِّل مفصَّلَين حسب عائلة المتصفح والدولة، حتى ترى من أين تأتي الإخفاقات.

ماذا يحدث إذا تعطّلت خدمتكم؟

تظل الـ SDK تجمع — تُصَفّ الرموز في localStorage وتُرسَل بشكل غير متزامن. إذا تجاوز نقطة verify مهلة الزمن لديك، تُعيد الـ SDK { risk: 'medium', confidence: 0.5, error: 'unavailable' } ليتمكّن الكود من الرجوع إلى سياسة متضائلة (challenge بدل block مثلاً). نُعلن SLA بنسبة 99.95٪ ولدينا صفحة حالة عامة على status.noxtica.com. زمن التشغيل في الـ 90 يومًا الأخيرة: 99.98٪.

هل يمكنني تشغيل هذا محليًا؟

نعم — يُسلَّم المُجمِّع والمُتحقِّق بصورة Docker موقَّعة لعملاء Enterprise. صيغة البصمة نفسها، وسلاسل الأعلام نفسها، ومستويات المخاطر نفسها؛ من دون أي تبعية للسحابة. تُسحَب التحديثات من السجلّ الخاص بك بإيقاعك. التركيب في بيئات معزولة (air-gapped) مدعوم عبر حزمة تحديث أوزان دون اتصال. تحدّث إلينا.

كيف تتعاملون مع iframe؟

تكتشف الـ SDK سياق iframe وتعدّل الجمع — لا تزال بعض الإشارات (canvas، webgl) تعمل لكن بإنتروبيا أقل. نكشف iframe_context: true كعَلَم، لا كمخاطر تلقائية. تفاوتات القيم بين iframe والنافذة الرئيسية تُنتج cross_context_mismatch (+5 لكل تفاوت، بحد أقصى +30) لأنها علامة معروفة على الأتمتة. وأنت من يقرّر ماذا تعني الـ iframes لتطبيقك.

ماذا ترسل الـ SDK عبر الشبكة؟

في collect(): الرمز الموقَّع (نحو 2-4 KB JSON، موقَّع بـ ES256). في verify() من خادمك: الرمز فقط. لا قياس عن بُعد إضافي، ولا beacons تحليلات، ولا خطوط تُحمَّل من CDN. لا نداءات لطرف ثالث في أي مكان في مسار الاستدعاء. الرمز هو الحمولة الوحيدة — ويمكنك فك تشفيره محليًا لترى بالضبط ما نرسله.

الأسئلة الشائعة

أسئلة حقيقية من عمليات تكامل حقيقية. إذا لم يكن سؤالك هنا، صفحة التواصل تحظى برد حقيقي من شخص يعرف المنتج.

هل يعمل هذا مع Tor؟

نعم. حركة المرور من نقاط خروج Tor تبدأ بمستوى خطر متوسط — إنه مسار إخفاء معروف — لكننا نقرأ الصورة الكاملة للجلسة. إذا كان تطبيقك يرحّب صراحةً بمستخدمي Tor — كالصحافة أو البحث الحساس أو مسارات الناجين من الإساءة — يمكنك إخبار Noxtica بعدم احتساب إشارة Tor في الدرجة مع إبقاء كل إشارة أخرى نشطة. تبقى الإشارة ظاهرة في النتيجة في كلتا الحالتين. أنت تقرر ما إذا كانت تُحتسب.

للاطلاع على التعليل الكامل لعدم حظر مستخدمي Tor تلقائياً، راجع التعامل مع متصفحات الخصوصية في مستند فئات التهديد.

ماذا عن المتصفحات الموجّهة للخصوصية — Brave وLibreWolf وTor؟

جميعها تعمل. لكل متصفح خصوصية شكل مميز نتعرف عليه من بيانات مجتمعنا. ميزات منع التتبع لا تكسر عملية التحقق؛ بل تُنتج ملفاً شخصياً مختلفاً لكنه ما زال متسقاً. نتعامل مع مستوى الحماية كإشارة صادقة بدلاً من معاقبة المستخدم بصمت على اختياره.

هذا هو المبدأ 03 (الإيجابيات الكاذبة ليست خسائر مقبولة) على أرض الواقع. حجب مستخدم Brave يكلفك عميلاً اختار تحديداً متصفح خصوصية. المقايضة لا تستحق، والمعايرة تعكس ذلك.

كم يُضيف هذا إلى ثقل صفحتي؟

القليل جداً. التحميل الأول صغير لأن القياسات الثقيلة تعمل فقط حين تطلب الصفحة درجة فعلية. كل شيء يُحمَّل في الخلفية ولا يؤخر استخدام الصفحة. الزوار العائدون يُرسلون إشارة أصغر حجماً. في الممارسة العملية، المستخدم لا يلاحظ أنها موجودة.

هل نحتاج إلى تشغيل خادم خلفي؟

نعم. يعمل الجامع في المتصفح وينتج نتيجة مختومة؛ التحقق الفعلي يحدث على خادمك عبر API. ولأن الصورة الكاملة تسافر داخل تلك النتيجة المختومة، فالتحقق سريع — لا جمع بيانات جديد ولا بحث شبكي إضافي أثناء معالجة الطلب. تُفحص النتيجة في بضعة مللي ثوانٍ.

سبب ضرورة الخادم الخلفي: حكم صادر من المتصفح وحده يسهل تزويره. النتيجة المختومة هي الضمان بأن شيئاً لم يُعبَث به بعد الجمع، والتحقق من هذا الضمان في خادمك الموثوق هو ما يجعل النظام بأكمله جديراً بالثقة.

هل أنتم متوافقون مع اللوائح التنظيمية للخصوصية؟

نعمل كمعالج فرعي بموجب اتفاقية معالجة البيانات الخاصة بك، ولدينا اتفاقيتنا الخاصة المتاحة عند الطلب. نتعامل مع البيانات التي نعالجها كبيانات شخصية، لأنها قد تُعيد التعرف على زائر عائد، ونطبق مجموعة الضوابط الكاملة التي يستلزمها ذلك. تبقى البنية التحتية في الاتحاد الأوروبي دون نقل خارجه. الحذف النهائي متاح عند الطلب عبر Backoffice، ويمكننا توقيع الاتفاقيات في غضون يوم. قائمة معالجينا الفرعيين على /subprocessors.

بعض التفاصيل التي يسأل عنها مسؤولو حماية البيانات:

الأساس القانوني: نوصي بأساس المصلحة المشروعة للوقاية من الاحتيال لمعظم عمليات التكامل. كما تُدعم مسارات الموافقة أيضاً.
تقليل البيانات: ما نحتفظ به ملخص مشفَّر أحادي الاتجاه، لا قيم خام. لا نستطيع إعادة بناء الإشارات الأصلية منه.
حق المحو: يُفرَض الحذف على مستوى طبقة التخزين، لا كعلامة ناعمة. بمجرد الحذف تختفي البيانات نهائياً.
طلبات وصول صاحب البيانات: نوفر طريقة لإعادة كل البيانات المرتبطة بزائر معين، محددة بحسابك.

ما معدل الإيجابيات الكاذبة لديكم؟

يعتمد على مكان ضبط عتبتك. بإعداداتنا الافتراضية المحافظة، يقيس معيارنا الداخلي على ملايين الجلسات الحقيقية المتحقق منها أقل من نصف بالمئة. احجز الإجراء للمستوى الأعلى فقط وسينخفض المعدل قرب الصفر. كلا الرقمين مُحدَّث ومرئي في لوحة المشغّل، مُفصَّل حسب عائلة المتصفح والبلد حتى ترى بالضبط مصدر أي فوارق.

كيف نقيسه: نحتفظ بمجموعة مرجعية موسومة من الجلسات البشرية الحقيقية والجلسات الآلية المعروفة، تُجدَّد كل ربع سنة. كل تغيير على التقييم يُقاس مقابل المجموعة الكاملة قبل الطرح.

إذا أردت إجراء القياس على حركة مرورك الخاصة، تُصدِّر لوحة المشغّل جلساتك مع مستويات خطرها والأسباب وراء كل درجة وتسمية النتيجة الخاصة بك حتى تحسب معدلك بنفسك.

ماذا يحدث إذا توقفت خدمتكم؟

يستمر الجامع في العمل. تُخزَّن النتائج محلياً وتُرسَل حين يعود الاتصال. إذا تعذّر الوصول إلى التحقق بعد انقضاء مهلتك، تُعيد Noxtica نتيجة آمنة محايدة مع علامة «غير متاح» واضحة، حتى تستطيع شيفرتك التراجع إلى سياسة أخف — تحديٌّ بدلاً من حجب، مثلاً. ننشر هدف توافر 99.95% وصفحة حالة عامة على status.noxtica.com. وقت التشغيل الفعلي مؤخراً كان أعلى من ذلك.

علامة «غير متاح» هي الإشارة لسياسة التراجع. قد يُطبّق نموذج التسجيل تحدياً ناعماً، وقد يحجب نموذج الدفع، وقد تسمح واجهة API للقراءة فقط — الافتراضي الصحيح يعتمد على تحمّلك للمخاطر على ذلك السطح.

هل يمكنني التشغيل الذاتي على خادمي؟

نعم. يُشحَن الجامع والمُتحقق كصور موقَّعة ذاتية الاكتفاء لعملاء Enterprise. صيغة الملف الشخصي ذاتها، والإشارات ذاتها، ومستويات الخطر ذاتها، دون أي اعتمادية سحابية. تسحب التحديثات وفق جدولك الخاص، وعمليات التثبيت المعزولة عن الشبكة مدعومة بحزمة تحديث غير متصلة. تحدث إلينا بشأنها.

عادةً ما يطلب التشغيل الذاتي الصناعاتُ الخاضعة للتنظيم — البنوك والرعاية الصحية والحكومة — حيث تستبعد قواعد إقامة البيانات مُتحققاً مستضافاً. المقايضة تشغيلية: أنت تُصون المُتحقق، وتسحب التحديثات، وتُشغّل معايير المعايرة. نوفر البرمجيات ودليل التشغيل؛ فريقك يُشغّلها.

كيف تتعاملون مع الأطر المضمنة (iframes)؟

يكتشف الجامع حين يعمل داخل إطار مضمَّن ويُعدّل ما يقيسه — بعض الإشارات ما زالت تعمل لكن بتفاصيل أقل. نعرض سياق الإطار المضمَّن كإشارة صادقة، لا كخطر تلقائي. ما يهم هو حين يتناقض الإطار المضمَّن والصفحة الرئيسية مع بعضهما، لأن ذلك علامة معروفة على الأتمتة. أنت تقرر ما تعنيه الأطر المضمَّنة لتطبيقك.

الاستخدام المشروع للأطر المضمَّنة شائع — أدوات الدفع وأدوات الطرف الثالث ومعاينات المحتوى — ومعاملة الأطر كخطر تلقائي ستحجب عملاء حقيقيين. التناقض هو الإشارة التي تهم: الإطار المضمَّن الحقيقي يرث حالة متسقة من الصفحة الأم، بينما الآلي في الغالب لا يفعل.

ماذا يُرسل الجامع عبر الشبكة؟

حين تُقيَّم الصفحة: نتيجة مختومة واحدة، بضعة كيلوبايتات، تُرسَل إلى نقطة نهايتك. حين يتحقق خادمك منها: تلك النتيجة فحسب. لا قياسات بُعد إضافية، ولا منارات تحليلات، ولا خطوط تُسحب من مكان آخر، ولا استدعاءات لطرف ثالث في أي مكان من المسار. النتيجة المختومة هي الحمولة الوحيدة — ويمكنك فتحها محلياً لترى بالضبط ما بداخلها.

يمكنك التحقق من كل هذا في لوحة الشبكة بمتصفحك أثناء التكامل. الطلب الوحيد الذي يُجريه الجامع هو إلى نقطة نهايتك ذات المصدر نفسه. لا شيء يذهب إلى Noxtica من المتصفح أثناء الجمع؛ التحقق يحدث لاحقاً، من خادم إلى خادم، من خادمك الخلفي.

هل يمكنني تخصيص عتبات الخطر؟

نعم. الإعدادات الافتراضية محافظة عن قصد (راجع المبدأ 03). يمكنك تعديل مكان تشغيل كل مستوى، لكل مفتاح، في لوحة المشغّل. التضبيط على مستوى العتبة لا على مستوى داخليات النموذج — لا نريد لعملاء بعينهم إعادة تشكيل النموذج بطرق تبتعد عن معيار المعايرة.

إذا كنت بحاجة إلى تضبيط أعمق، فذلك محادثة على مستوى Enterprise. ندعمه لعمليات التشغيل الذاتي حيث يمكن إعادة تشغيل المعيار على حركة مرورك الخاصة.

ما الفرق بين Noxtica و CAPTCHA؟

يطلب CAPTCHA من المستخدم إثبات أنه إنسان. تطلب Noxtica من المتصفح وصف ما هو عليه، ثم توازن تلك الوصف مقابل المجتمع الأوسع. الاثنان مكمّلان لا بديل أحدهما للآخر.

كثير من عمليات التكامل تستخدم Noxtica لتقرر ما إذا كان يجب عرض CAPTCHA أصلاً. الجلسة المشبوهة تحصل على التحدي؛ الجلسة النظيفة لا تحصل عليه. هذا المزيج يُزيل CAPTCHA من الغالبية العظمى من المستخدمين الحقيقيين الذين لا يرونه أبداً.

قراءات ذات صلة

البدء — شرح التكامل خطوة بخطوة.
بيئة تشغيل المتصفح — ما يفعله الجامع وقت الجمع.
تكامل الخادم الخلفي — كيف يعمل التحقق على خادمك.
فئات التهديد — ما الذي نكشفه ولماذا.