Apakah ini bekerja dengan Tor?

Tor exit secara default mendapat risiko medium dari sinyal IP (datacenter_asn + daftar exit yang dikenal), tapi fingerprint itu sendiri tetap dihitung. Jika aplikasi Anda secara eksplisit mengizinkan Tor — jurnalisme, pencarian sensitif, alur untuk penyintas — set tor_policy: 'allow' pada panggilan verify untuk menekan skoring berbasis IP sambil menjaga semua sinyal lain tetap aktif. Flag-nya tetap ada di response; Anda yang memutuskan apakah ia ikut dihitung.

Bagaimana dengan browser privasi — Brave, LibreWolf, Tor?

Semuanya bekerja. Masing-masing punya fingerprint khas — farbling Brave, profil LibreWolf dan Tor Browser sudah dikenal di data populasi kami. Fitur anti-tracking tidak merusak verifikasi; mereka hanya menghasilkan fingerprint berbeda (tetap konsisten). Kami menandai tingkat proteksi sebagai sinyal jujur, bukan diam-diam menghukum pengguna.

Berapa ukuran bundle JS?

~55 KB brotli, ~167 KB minified. SDK memuat probe berat (canvas, audio, webgl, font enumeration) secara lazy hanya saat collect() dipanggil, jadi parse awal sekitar 12 KB brotli. Dimuat async, tidak pernah memblokir DOMContentLoaded atau LCP. Kunjungan ter-cache adalah beacon ~150 byte.

Kepatuhan GDPR / CCPA?

Kami adalah sub-prosesor di bawah DPA Anda, DPA kami sendiri tersedia atas permintaan. Kami memperlakukan fingerprint sebagai 'data pribadi' karena bisa mengidentifikasi ulang pengunjung yang kembali — kontrol Artikel 28 berlaku penuh. Tidak ada transfer ke negara ketiga; infrastruktur berdomisili di EU (Cloudflare hanya routing EU). Hard-delete atas permintaan via backoffice. Kami bisa menandatangani DPA dalam 24 jam. Daftar sub-prosesor ada di /subprocessors.

Berapa false-positive rate Anda?

Tergantung pada ambang yang Anda picu. Dengan default (risk ≥ high → challenge), benchmark internal kami terhadap kumpulan ground-truth 4,2 juta sesi pengguna nyata mengukur ~0,4% false positive. Pada risk = critical saja, rate FP turun ke ~0,07%. Kedua angka diperbarui terus-menerus dan terlihat di dashboard operator, dibagi per keluarga browser dan negara agar Anda bisa melihat dari mana datangnya miss.

Apa yang terjadi kalau layanan Anda down?

SDK tetap mengumpulkan — token diantrikan di localStorage dan dikirim secara asinkron. Jika endpoint verify tidak terjangkau melebihi timeout Anda, SDK mengembalikan { risk: 'medium', confidence: 0.5, error: 'unavailable' } sehingga kode Anda dapat jatuh ke policy degraded (challenge bukannya block, misalnya). Kami mempublikasikan SLA 99,95% dan halaman status publik di status.noxtica.com. Uptime 90 hari terakhir: 99,98%.

Bisakah saya menjalankannya on-prem?

Bisa — collector dan verifier dikirim sebagai image Docker bertanda untuk pelanggan Enterprise. Format fingerprint sama, string flag sama, tingkat risiko sama; tanpa ketergantungan cloud. Update ditarik oleh registry Anda dengan irama Anda. Instalasi air-gapped didukung dengan bundle offline update bobot. Mari bicarakan.

Bagaimana Anda menangani iframe?

SDK mendeteksi konteks iframe dan menyesuaikan koleksi — sebagian sinyal (canvas, webgl) tetap bekerja tetapi dengan entropi yang berkurang. Kami menampilkan iframe_context: true sebagai flag, tidak pernah sebagai risiko otomatis. Ketidaksesuaian nilai antar konteks iframe dan jendela utama menghasilkan cross_context_mismatch (+5 per ketidaksesuaian, dibatasi +30) karena itu sinyal otomasi yang dikenal. Apa makna iframe untuk aplikasi Anda, Anda yang menentukan.

Apa yang SDK kirim lewat jaringan?

Pada collect(): token bertanda (~2-4 KB JSON, ditandatangani ES256). Pada verify() dari server Anda: hanya token-nya. Tidak ada telemetri tambahan, tidak ada beacon analytics, tidak ada font dari CDN. Tidak ada panggilan pihak ketiga di mana pun pada call path. Token adalah satu-satunya payload — dan Anda bisa men-decode-nya secara lokal untuk melihat persis apa yang kami kirim.

Pertanyaan yang Sering Diajukan

Q: Apakah kami perlu menjalankan backend?

Ya — SDK mengumpulkan di browser dan menerbitkan token bertanda; verifikasi dilakukan di server lewat REST API kami. Token sudah memuat fingerprint lengkap dan diverifikasi secara kriptografis (ES256, kid: nox-2026-01), jadi verify() tidak melakukan lookup DNS saat request. Latensi p99 verify di bawah 5 ms karena ini cek signature plus cache lookup, bukan re-collect.

Pertanyaan nyata dari integrasi nyata. Jika pertanyaan Anda tidak ada di sini, halaman kontak akan dijawab langsung oleh orang yang mengenal produk ini.

Apakah ini berfungsi dengan Tor?

Ya. Lalu lintas dari exit point Tor dimulai dengan level risiko sedang — ini adalah rute anonim yang sudah dikenal — tapi kami tetap membaca gambaran lengkap dari sesi tersebut. Jika aplikasi Anda secara eksplisit menyambut pengguna Tor, seperti jurnalisme, pencarian sensitif, atau alur untuk penyintas pelecehan, Anda bisa memberi tahu Noxtica untuk berhenti menghitung sinyal Tor ke dalam skor sambil tetap mengaktifkan semua sinyal lainnya. Sinyal tetap terlihat dalam hasil bagaimanapun juga. Anda yang memutuskan apakah itu dihitung.

Untuk penjelasan lengkap mengapa pengguna Tor tidak diblokir otomatis, lihat Penanganan browser privasi di dokumen threat-categories.

Bagaimana dengan browser yang berfokus privasi — Brave, LibreWolf, Tor?

Semuanya berfungsi. Setiap browser privasi memiliki bentuk khas yang kami kenali dari data populasi kami. Fitur pencegahan pelacakan tidak merusak verifikasi; fitur itu hanya menghasilkan profil yang berbeda, tapi tetap konsisten. Kami memperlakukan tingkat perlindungan sebagai sinyal yang jujur, bukan diam-diam menghukum pengguna karena memilihnya.

Ini adalah prinsip 03 (false positive bukan kerugian yang dapat diterima) dalam praktiknya. Memblokir pengguna Brave berarti kehilangan pelanggan yang secara khusus memilih browser privasi. Imbal baliknya tidak sepadan, dan kalibrasi mencerminkan hal itu.

Seberapa besar dampaknya pada halaman saya?

Sangat kecil. Pemuatan pertama itu kecil karena pengukuran berat hanya berjalan ketika halaman benar-benar meminta skor. Semua berjalan di latar belakang dan tidak pernah menunda halaman Anda dari menjadi bisa digunakan. Pengunjung yang kembali mengirim sinyal yang bahkan lebih kecil. Dalam praktiknya, pengguna tidak pernah menyadari kehadirannya.

Apakah kami perlu menjalankan backend?

Ya. Kolektor berjalan di browser dan menghasilkan hasil yang disegel; verifikasi sesungguhnya terjadi di server Anda melalui API kami. Karena gambaran lengkap tersimpan di dalam hasil yang disegel, memverifikasinya sangat cepat — tidak ada pengumpulan data baru dan tidak ada pencarian jaringan tambahan saat permintaan sedang berjalan. Hasilnya diperiksa dalam beberapa milidetik.

Alasan backend diperlukan: keputusan yang dibuat murni di browser sangat mudah dipalsukan. Hasil yang disegel adalah jaminan bahwa tidak ada yang dimanipulasi setelah pengumpulan, dan memverifikasi jaminan itu di backend tepercaya Anda sendiri adalah yang membuat seluruh sistem bisa diandalkan.

Apakah Anda patuh terhadap regulasi privasi?

Kami bertindak sebagai sub-processor di bawah perjanjian pemrosesan data Anda, dan kami memiliki DPA kami sendiri yang tersedia atas permintaan. Kami memperlakukan data yang kami tangani sebagai data pribadi, karena data tersebut bisa mengidentifikasi ulang pengunjung yang kembali, dan menerapkan serangkaian kontrol penuh yang itu implikasikan. Infrastruktur berada di EU tanpa transfer ke luar wilayah tersebut. Hard-delete tersedia atas permintaan melalui backoffice, dan kami bisa menandatangani perjanjian dalam sehari. Daftar subprocessor kami ada di /subprocessors.

Beberapa hal spesifik yang sering ditanyakan oleh petugas perlindungan data:

Dasar hukum: kami merekomendasikan dasar kepentingan sah untuk pencegahan penipuan pada sebagian besar integrasi. Alur persetujuan juga didukung.
Minimisasi data: yang kami simpan adalah ringkasan tersamar satu arah, bukan nilai mentah. Kami tidak bisa merekonstruksi sinyal asli dari ringkasan tersebut.
Hak untuk dihapus: penghapusan diterapkan di lapisan penyimpanan, bukan sebagai tanda lunak. Setelah dihapus, data hilang selamanya.
Permintaan akses subjek: kami menyediakan cara untuk mengembalikan semua yang terkait dengan pengunjung tertentu, dibatasi pada akun Anda.

Berapa tingkat false positive Anda?

Tergantung di mana Anda menetapkan ambang batas. Dengan default konservatif kami, benchmark internal kami terhadap jutaan sesi nyata yang terverifikasi mengukur jauh di bawah setengah persen. Jika hanya bertindak pada tier paling ekstrem, tingkatnya mendekati nol. Kedua angka ini terus diperbarui dan terlihat di dasbor operator, dipecah berdasarkan keluarga browser dan negara sehingga Anda bisa melihat dengan tepat dari mana setiap ketidaktepatan berasal.

Cara pengukurannya: kami menjaga set referensi berlabel sesi manusia nyata dan sesi otomatis yang diketahui, diperbarui setiap kuartal. Setiap perubahan pada penilaian di-benchmark terhadap set lengkap sebelum dirilis.

Jika Anda ingin menjalankan benchmark pada lalu lintas Anda sendiri, dasbor operator mengekspor sesi Anda beserta level risiko, alasan di balik setiap skor, dan label hasil Anda sendiri sehingga Anda bisa menghitung tingkat Anda sendiri.

Apa yang terjadi jika layanan Anda mati?

Kolektor tetap bekerja. Hasil diantrekan secara lokal dan dikirim saat koneksi kembali. Jika verifikasi tidak bisa dijangkau melewati batas waktu Anda, Noxtica mengembalikan hasil yang aman dan netral dengan tanda “tidak tersedia” yang jelas, sehingga kode Anda bisa beralih ke kebijakan yang lebih lunak — tantangan daripada blokir, misalnya. Kami mempublikasikan target ketersediaan 99,95% dan halaman status publik di status.noxtica.com. Uptime terkini berjalan lebih tinggi dari itu.

Tanda “tidak tersedia” adalah isyarat untuk fallback Anda. Formulir pendaftaran mungkin melakukan soft-challenge, formulir pembayaran mungkin memblokir, dan API read-only mungkin cukup mengizinkan — default yang tepat tergantung pada toleransi risiko Anda untuk permukaan tersebut.

Bisakah saya menjalankan ini secara on-prem?

Ya. Kolektor dan verifier dikirim sebagai image mandiri yang ditandatangani untuk pelanggan Enterprise. Format profil, sinyal, dan tier risiko sama persis — tanpa ketergantungan cloud. Anda menarik pembaruan sesuai jadwal Anda sendiri, dan instalasi air-gapped didukung dengan paket pembaruan offline. Bicarakan dengan kami soal ini.

On-prem biasanya diminta oleh industri yang teregulasi — perbankan, layanan kesehatan, pemerintahan — di mana aturan residensi data menghalangi penggunaan verifier yang dihosting. Konsekuensinya bersifat operasional: Anda memelihara verifier, menarik pembaruan, dan menjalankan benchmark kalibrasi. Kami menyediakan perangkat lunak dan panduan pelaksanaan; tim Anda yang mengoperasikannya.

Kolektor mendeteksi saat berjalan di dalam frame tertanam dan menyesuaikan apa yang diukur — beberapa sinyal tetap bekerja, hanya dengan detail yang lebih sedikit. Kami menampilkan konteks tertanam sebagai sinyal yang jujur, bukan sebagai risiko otomatis. Yang justru penting adalah ketika frame tertanam dan halaman utama saling bertentangan, karena itu adalah tanda otomasi yang sudah dikenal. Anda yang memutuskan apa arti frame tertanam bagi aplikasi Anda.

Penggunaan frame tertanam yang sah itu umum — widget checkout, alat pihak ketiga, pratinjau konten — dan memperlakukan frame sebagai risiko otomatis akan memblokir pelanggan nyata. Kontradiksinya adalah sinyal yang penting: frame tertanam yang asli mewarisi state yang konsisten dari induknya, sementara yang digerakkan otomasi sering tidak.

Apa yang kolektor kirimkan melalui jaringan?

Saat halaman dinilai: satu hasil tersegel, beberapa kilobyte, dikirim ke endpoint Anda sendiri. Saat server Anda memverifikasinya: hanya hasil tersebut. Tidak ada telemetri tambahan, tidak ada beacon analitik, tidak ada font yang diambil dari tempat lain, tidak ada panggilan pihak ketiga di mana pun dalam jalur tersebut. Hasil tersegel adalah satu-satunya payload — dan Anda bisa membukanya secara lokal untuk melihat persis apa yang ada di dalamnya.

Anda bisa mengonfirmasi semua ini di panel jaringan browser Anda selama integrasi. Satu-satunya permintaan yang dibuat kolektor adalah ke endpoint same-origin Anda sendiri. Tidak ada yang dikirim ke Noxtica dari browser selama pengumpulan; verifikasi terjadi belakangan, dari backend Anda, secara server-to-server.

Bisakah saya menyesuaikan ambang batas risiko?

Ya. Default-nya konservatif secara sengaja (lihat prinsip 03). Anda bisa menyesuaikan tempat setiap tier terpicu, per key, di operator console. Penyesuaiannya ada di level ambang batas, bukan di internal model — kami tidak ingin pelanggan individual mengubah model dengan cara yang menyimpang dari benchmark kalibrasi.

Jika Anda memerlukan penyesuaian yang lebih dalam, itu adalah percakapan Enterprise. Kami mendukungnya untuk deployment on-prem, di mana benchmark bisa dijalankan ulang terhadap lalu lintas Anda sendiri.

Apa perbedaan antara Noxtica dan CAPTCHA?

CAPTCHA meminta pengguna untuk membuktikan bahwa mereka manusia. Noxtica meminta browser untuk mendeskripsikan dirinya, lalu menimbang deskripsi itu terhadap populasi yang lebih luas. Keduanya saling melengkapi, bukan saling menggantikan.

Banyak integrasi menggunakan Noxtica untuk memutuskan apakah perlu menampilkan CAPTCHA sama sekali. Sesi yang mencurigakan mendapat tantangan; yang bersih tidak. Kombinasi ini menghapus CAPTCHA dari sebagian besar pengguna nyata, yang tidak pernah melihatnya.

Bacaan terkait

Getting started — panduan integrasi langkah demi langkah.
Browser runtime — apa yang dilakukan kolektor saat pengumpulan.
Backend integration — cara verifikasi bekerja di server Anda.
Threat categories — apa yang kami tangkap dan mengapa.

Pertanyaan yang Sering Diajukan

Apakah ini berfungsi dengan Tor?

Bagaimana dengan browser yang berfokus privasi — Brave, LibreWolf, Tor?

Seberapa besar dampaknya pada halaman saya?

Apakah kami perlu menjalankan backend?

Apakah Anda patuh terhadap regulasi privasi?

Berapa tingkat false positive Anda?

Apa yang terjadi jika layanan Anda mati?

Bisakah saya menjalankan ini secara on-prem?

Bagaimana Anda menangani widget tertanam dan frame?

Apa yang kolektor kirimkan melalui jaringan?

Bisakah saya menyesuaikan ambang batas risiko?

Apa perbedaan antara Noxtica dan CAPTCHA?

Bacaan terkait