Saídas Tor recebem por padrão um risco medium do sinal de IP (datacenter_asn + listas de exits conhecidos), mas a fingerprint em si continua sendo calculada. Se sua aplicação permite Tor explicitamente — jornalismo, busca sensível, fluxos para sobreviventes de abuso — defina tor_policy: 'allow' na chamada verify para suprimir o scoring baseado em IP mantendo todos os outros sinais ativos. O flag permanece na resposta de qualquer jeito; você só decide se ele entra na pontuação.

Qual é o tamanho do bundle JS?

~55 KB brotli, ~167 KB minified. O SDK carrega lazy os probes pesados (canvas, audio, webgl, font enumeration) só quando collect() é chamado, então o parse inicial é ~12 KB brotli. Carregado async, nunca bloqueia DOMContentLoaded ou LCP. Visitas em cache são beacons de ~150 bytes.

Conformidade com GDPR / CCPA?

Somos sub-operador sob seu DPA, com nosso próprio DPA disponível mediante pedido. Tratamos fingerprints como 'dado pessoal' porque podem re-identificar um visitante recorrente — controles completos do Artigo 28 aplicáveis. Sem transferências para terceiros países; infraestrutura residente na UE (Cloudflare roteamento somente UE). Hard delete a pedido pelo backoffice. Assinamos DPAs em 24h. A lista de sub-operadores está em /subprocessors.

Qual a taxa de falsos positivos de vocês?

Depende do limiar em que você dispara. Com os defaults (risk ≥ high → challenge), nosso benchmark interno contra um conjunto ground-truth de 4,2M sessões reais mede ~0,4% de falsos positivos. Em risk = critical only, a taxa FP cai para ~0,07%. Ambos os números são atualizados continuamente e visíveis no dashboard do operador, discriminados por família de navegador e país para você ver de onde vêm os erros.

O que acontece se o serviço de vocês cair?

O SDK continua coletando — tokens são enfileirados em localStorage e postados de forma assíncrona. Se o endpoint verify estiver inalcançável além do seu timeout, o SDK devolve { risk: 'medium', confidence: 0.5, error: 'unavailable' } para seu código cair em uma política degradada (challenge em vez de block, por exemplo). Publicamos SLA de 99,95% e uma página de status pública em status.noxtica.com. Uptime dos últimos 90 dias: 99,98%.

Posso rodar isto on-prem?

Sim — o coletor e o verificador são entregues como imagens Docker assinadas para clientes Enterprise. Mesmo formato de fingerprint, mesmas strings de flag, mesmos níveis de risco; sem dependência de nuvem. Atualizações são puxadas pelo seu registry no seu ritmo. Instalações air-gapped têm suporte com bundle offline de update de pesos. Fale com a gente.

Como vocês lidam com iframes?

O SDK detecta o contexto iframe e ajusta a coleta — alguns sinais (canvas, webgl) ainda funcionam mas com entropia reduzida. Expomos iframe_context: true como flag, nunca como risco automático. Divergências de valor entre iframe e janela principal produzem cross_context_mismatch (+5 por divergência, capeado em +30) porque é um indicador conhecido de automação. Você decide o que iframes significam para sua app.

O que o SDK envia pela rede?

Em collect(): o token assinado (~2-4 KB JSON, assinado em ES256). Em verify() do seu servidor: apenas o token. Sem telemetria adicional, sem beacons de analytics, sem fontes carregadas de CDN. Sem chamadas de terceiros em lugar nenhum do caminho. O token é o único payload — e você pode decodificá-lo localmente para ver exatamente o que enviamos.

Perguntas Frequentes

Q: E os navegadores focados em privacidade — Brave, LibreWolf, Tor?

Todos funcionam. Cada um tem fingerprints distintivas — o farbling do Brave, os perfis de LibreWolf e Tor Browser são conhecidos nos nossos dados populacionais. Recursos de prevenção de tracking não quebram a verificação; só geram fingerprints diferentes (ainda consistentes). Sinalizamos o nível de proteção como um sinal honesto em vez de penalizar o usuário em silêncio.

Q: Precisamos rodar um backend?

Sim — o SDK coleta no navegador e emite um token assinado; a verificação acontece no servidor via nossa REST API. O token traz a fingerprint completa embutida e é verificado criptograficamente (ES256, kid: nox-2026-01), por isso verify() não faz DNS lookup durante uma requisição. A latência p99 de verify fica abaixo de 5 ms porque é uma checagem de assinatura mais um cache lookup, não uma re-coleta.

Perguntas reais vindas de integrações reais. Se a sua não estiver aqui, a página de contato recebe uma resposta de verdade de alguém que conhece o produto.

Funciona com o Tor?

Sim. Tráfego de nós de saída do Tor começa com um nível de risco moderado — é uma rota de anonimização conhecida — mas ainda lemos o quadro completo da sessão. Se a sua aplicação explicitamente aceita usuários do Tor, como jornalismo, buscas sensíveis ou fluxos para sobreviventes de abuso, você pode dizer à Noxtica para não contar o sinal do Tor no score enquanto mantém todos os outros sinais ativos. O sinal continua visível no resultado de qualquer forma. Você decide se ele conta.

Para o raciocínio completo sobre por que usuários do Tor não são bloqueados automaticamente, veja Tratamento de navegadores de privacidade no documento de categorias de ameaça.

E quanto a navegadores focados em privacidade — Brave, LibreWolf, Tor?

Todos funcionam. Cada navegador de privacidade tem um perfil característico que reconhecemos a partir dos nossos dados populacionais. Recursos de prevenção de rastreamento não quebram a verificação; eles apenas produzem um perfil diferente, ainda consistente. Tratamos o nível de proteção como um sinal honesto, em vez de penalizar silenciosamente o usuário por escolhê-lo.

Isso é o princípio 03 (falsos positivos não são perdas aceitáveis) na prática. Bloquear um usuário do Brave custa a você um cliente que escolheu especificamente um navegador de privacidade. O custo-benefício não compensa, e a calibração reflete isso.

Quanto ele adiciona à minha página?

Muito pouco. A primeira carga é pequena porque as medições mais pesadas só são acionadas quando a página pede efetivamente um score. Tudo carrega em segundo plano e nunca atrasa a usabilidade da sua página. Visitantes de retorno enviam um sinal ainda menor. Na prática, o usuário nunca percebe que está lá.

Precisamos rodar um backend?

Sim. O coletor roda no navegador e produz um resultado selado; a verificação real acontece no seu servidor via nossa API. Como o quadro completo viaja dentro daquele resultado selado, verificá-lo é rápido — não há nova coleta de dados nem buscas extras de rede enquanto uma requisição está em andamento. O resultado é verificado em poucos milissegundos.

O motivo pelo qual o backend é necessário: um veredicto feito puramente no navegador é trivialmente falsificável. O resultado selado é a garantia de que nada foi adulterado após a coleta, e verificar essa garantia no seu próprio backend confiável é o que torna todo o sistema confiável.

Vocês estão em conformidade com regulamentações de privacidade?

Atuamos como sub-processador sob o seu acordo de processamento de dados, e temos o nosso próprio disponível mediante solicitação. Tratamos os dados que processamos como dados pessoais, porque poderiam re-identificar um visitante recorrente, e aplicamos o conjunto completo de controles que isso implica. A infraestrutura fica na UE sem transferências para fora dela. Exclusão definitiva disponível mediante solicitação pelo backoffice, e podemos assinar acordos em um dia. Nossa lista de subprocessadores está em /subprocessors.

Alguns pontos específicos que encarregados de proteção de dados costumam perguntar:

Base legal: recomendamos base de legítimo interesse para prevenção de fraude na maioria das integrações. Fluxos de consentimento também são suportados.
Minimização de dados: o que armazenamos é um resumo embaralhado e unidirecional, não os valores brutos. Não conseguimos reconstruir os sinais originais a partir dele.
Direito ao apagamento: a exclusão é aplicada na camada de armazenamento, não como uma flag lógica. Uma vez excluído, o dado some definitivamente.
Solicitações de acesso do titular: fornecemos uma forma de retornar tudo associado a um determinado visitante, com escopo restrito à sua conta.

Qual é a sua taxa de falso positivo?

Depende de onde você define o seu limiar. Com os nossos padrões conservadores, nosso benchmark interno contra milhões de sessões reais e verificadas mede bem abaixo de meio por cento. Reserve ação apenas para o nível mais extremo e a taxa cai próxima de zero. Ambos os números são mantidos atualizados e visíveis no painel do operador, detalhados por família de navegador e país para que você veja exatamente de onde vêm os erros.

Como medimos: mantemos um conjunto de referência rotulado de sessões humanas reais e sessões automatizadas conhecidas, atualizado a cada trimestre. Toda alteração no scoring é avaliada contra o conjunto completo antes de ser lançada.

Se quiser rodar o benchmark no seu próprio tráfego, o painel do operador exporta suas sessões com seus níveis de risco, as razões por trás de cada score, e o seu próprio rótulo de resultado para que você possa calcular a sua própria taxa.

O que acontece se o seu serviço cair?

O coletor continua funcionando. Os resultados são enfileirados localmente e enviados quando a conexão retornar. Se a verificação estiver inacessível além do seu timeout, a Noxtica retorna um resultado neutro e seguro com uma marcação clara de “indisponível”, para que seu código possa recorrer a uma política mais suave — desafiar em vez de bloquear, por exemplo. Publicamos uma meta de disponibilidade de 99,95% e uma página pública de status em status.noxtica.com. O uptime recente tem ficado acima disso.

A marcação de “indisponível” é o sinal para o seu fallback. Um formulário de cadastro pode aplicar um soft-challenge, um formulário de pagamento pode bloquear, e uma API somente leitura pode simplesmente permitir — o padrão certo depende da sua tolerância a risco para aquela superfície.

Posso rodar isso on-premise?

Sim. O coletor e o verificador são distribuídos como imagens autocontidas e assinadas para clientes Enterprise. Mesmo formato de perfil, mesmos sinais, mesmos níveis de risco, sem dependência de nuvem. Você puxa atualizações no seu próprio ritmo, e instalações air-gapped são suportadas com um bundle de atualização offline. Fale conosco sobre isso.

O on-premise é geralmente solicitado por setores regulados — bancário, saúde, governo — onde as regras de residência de dados descartam um verificador hospedado. O custo é operacional: você mantém o verificador, puxa as atualizações e roda os benchmarks de calibração. Fornecemos o software e o manual de operação; sua equipe opera.

Como vocês lidam com widgets embarcados e frames?

O coletor detecta quando está rodando dentro de um frame embarcado e ajusta o que mede — alguns sinais ainda funcionam, apenas com menos detalhe. Expomos o contexto embarcado como um sinal honesto, nunca como risco automático. O que importa é quando o frame embarcado e a página principal se contradizem, porque isso é um indício conhecido de automação. Você decide o que frames embarcados significam para a sua aplicação.

O uso legítimo de frames embarcados é comum — widgets de checkout, ferramentas de terceiros, pré-visualizações de conteúdo — e tratar frames como risco automático bloquearia clientes reais. A contradição é o sinal que importa: um frame embarcado genuíno herda um estado consistente do seu pai, enquanto um conduzido por automação frequentemente não.

O que o coletor envia pela rede?

Quando a página é avaliada: um resultado selado, alguns kilobytes, enviado ao seu próprio endpoint. Quando seu servidor o verifica: apenas aquele resultado. Sem telemetria adicional, sem beacons de analytics, sem fontes carregadas de outro lugar, sem chamadas de terceiros em nenhum ponto do caminho. O resultado selado é o único payload — e você pode abri-lo localmente para ver exatamente o que está dentro.

Você pode confirmar tudo isso no painel de rede do seu navegador durante a integração. A única requisição que o coletor faz é para o seu próprio endpoint de mesma origem. Nada vai para a Noxtica a partir do navegador durante a coleta; a verificação acontece depois, de servidor para servidor, a partir do seu backend.

Posso personalizar os limiares de risco?

Sim. Os padrões são conservadores de propósito (veja princípio 03). Você pode ajustar onde cada nível dispara, por chave, no console do operador. O ajuste é no nível do limiar, não nos internos do modelo — não queremos que clientes individuais remodelem o modelo de formas que se desviem do benchmark de calibração.

Se você precisar de ajuste mais profundo, essa é uma conversa Enterprise. Suportamos isso para implantações on-premise, onde o benchmark pode ser re-executado contra o seu próprio tráfego.

Qual é a diferença entre a Noxtica e um CAPTCHA?

Um CAPTCHA pede ao usuário que prove ser humano. A Noxtica pede ao navegador que descreva o que ele é, depois avalia essa descrição contra a população mais ampla. Os dois são complementares, não substitutos.

Muitas integrações usam a Noxtica para decidir se mostrar um CAPTCHA. Uma sessão suspeita recebe o desafio; uma limpa não. Essa combinação remove o CAPTCHA da grande maioria dos usuários reais, que nunca chegam a vê-lo.

Leitura relacionada

Primeiros passos — o passo a passo da integração.
Browser runtime — o que o coletor faz no momento da coleta.
Integração com o backend — como a verificação funciona no seu servidor.
Categorias de ameaça — o que detectamos e por quê.