Còn các trình duyệt riêng tư — Brave, LibreWolf, Tor thì sao?

Tất cả đều hoạt động. Mỗi cái có vân tay đặc trưng — farbling của Brave, profile của LibreWolf và Tor Browser đều có trong dữ liệu quần thể của chúng tôi. Tính năng chống theo dõi không phá xác minh; chúng chỉ tạo vân tay khác (vẫn nhất quán). Chúng tôi gắn cờ mức bảo vệ như một tín hiệu trung thực, thay vì âm thầm trừng phạt người dùng.

Kích thước bundle JS là bao nhiêu?

~55 KB brotli, ~167 KB minified. SDK tải lazy các probe nặng (canvas, audio, webgl, liệt kê font) chỉ khi gọi collect(), nên parse ban đầu khoảng ~12 KB brotli. Tải async, không bao giờ chặn DOMContentLoaded hay LCP. Lượt truy cập đã cache là beacon ~150 byte.

Chúng tôi có cần chạy backend không?

Có — SDK thu thập trong trình duyệt và phát ra một token đã ký; xác minh diễn ra phía server qua REST API của chúng tôi. Token nhúng sẵn vân tay đầy đủ và được xác minh bằng mật mã (ES256, kid: nox-2026-01), nên verify() không thực hiện lookup DNS khi có request. Độ trễ p99 verify dưới 5 ms vì đó là kiểm tra chữ ký cộng với cache lookup, không phải thu thập lại.

Tuân thủ GDPR / CCPA?

Chúng tôi là sub-processor theo DPA của bạn, DPA riêng của chúng tôi có sẵn theo yêu cầu. Chúng tôi xử lý vân tay như 'dữ liệu cá nhân' vì chúng có thể tái nhận dạng một khách quay lại — các kiểm soát đầy đủ của Điều 28 được áp dụng. Không chuyển sang nước thứ ba; hạ tầng đặt tại EU (Cloudflare định tuyến chỉ EU). Hard-delete theo yêu cầu qua backoffice. Chúng tôi có thể ký DPA trong 24 giờ. Danh sách sub-processor ở /subprocessors.

Tỉ lệ false-positive của bạn là bao nhiêu?

Phụ thuộc ngưỡng bạn kích hoạt. Với mặc định (risk ≥ high → challenge), benchmark nội bộ của chúng tôi đối với tập ground-truth 4,2 triệu phiên người dùng thực đo được ~0,4% false positive. Chỉ ở risk = critical, tỉ lệ FP giảm xuống ~0,07%. Cả hai con số được cập nhật liên tục và hiện trong dashboard vận hành, chia theo họ trình duyệt và quốc gia để bạn thấy lỗi đến từ đâu.

Chuyện gì xảy ra nếu dịch vụ của bạn down?

SDK vẫn thu thập — token được xếp hàng trong localStorage và gửi bất đồng bộ. Nếu endpoint verify không thể tiếp cận quá timeout của bạn, SDK trả về { risk: 'medium', confidence: 0.5, error: 'unavailable' } để code của bạn có thể fallback sang policy giảm chất lượng (challenge thay vì block, chẳng hạn). Chúng tôi công bố SLA 99,95% và trang trạng thái công khai tại status.noxtica.com. Uptime 90 ngày gần nhất: 99,98%.

Tôi có thể chạy on-prem không?

Có — collector và verifier được phân phối dưới dạng image Docker đã ký cho khách Enterprise. Cùng định dạng vân tay, cùng chuỗi cờ, cùng tầng rủi ro; không phụ thuộc cloud. Update được registry của bạn kéo về theo nhịp của bạn. Cài đặt air-gapped được hỗ trợ với bundle offline cập nhật trọng số. Hãy nói chuyện với chúng tôi.

Bạn xử lý iframe như thế nào?

SDK phát hiện ngữ cảnh iframe và điều chỉnh việc thu thập — một số tín hiệu (canvas, webgl) vẫn hoạt động nhưng với entropy giảm. Chúng tôi expose iframe_context: true như một cờ, không bao giờ như rủi ro tự động. Sai khác giá trị giữa iframe và cửa sổ chính tạo ra cross_context_mismatch (+5 mỗi sai khác, cap +30) vì đó là dấu hiệu tự động hóa đã biết. Iframe nghĩa là gì với app của bạn, bạn quyết định.

SDK gửi gì qua mạng?

Khi collect(): token đã ký (~2-4 KB JSON, ký ES256). Khi verify() từ server của bạn: chỉ token. Không telemetry thêm, không beacon analytics, không font tải từ CDN. Không cuộc gọi bên thứ ba ở bất kỳ đâu trong call path. Token là payload duy nhất — và bạn có thể decode nó cục bộ để thấy chính xác chúng tôi gửi gì.

Câu hỏi thường gặp

Q: Có hoạt động với Tor không?

Các Tor exit mặc định nhận rủi ro medium từ tín hiệu IP (datacenter_asn + danh sách exit đã biết), nhưng vân tay vẫn được tính. Nếu ứng dụng của bạn cho phép Tor một cách rõ ràng — báo chí, tìm kiếm nhạy cảm, luồng cho người sống sót sau lạm dụng — đặt tor_policy: 'allow' trong gọi verify để chặn việc tính điểm dựa trên IP, trong khi vẫn giữ tất cả tín hiệu khác hoạt động. Cờ vẫn nằm trong response; bạn chỉ quyết định nó có cộng vào điểm hay không.

Câu hỏi thật từ các tích hợp thật. Nếu câu hỏi của bạn chưa có ở đây, trang liên hệ sẽ nhận được phản hồi thực sự từ ai đó hiểu rõ sản phẩm.

Cái này có hoạt động với Tor không?

Có. Lưu lượng từ các điểm thoát Tor bắt đầu ở mức rủi ro trung bình — đó là một tuyến ẩn danh đã biết — nhưng chúng tôi vẫn đọc toàn bộ bức tranh của phiên. Nếu ứng dụng của bạn cho phép người dùng Tor một cách rõ ràng — như báo chí, tìm kiếm nhạy cảm, hay luồng dành cho người sống sót sau lạm dụng — bạn có thể yêu cầu Noxtica không tính tín hiệu Tor vào điểm số trong khi vẫn giữ mọi tín hiệu khác hoạt động. Tín hiệu vẫn hiển thị trong kết quả dù thế nào. Bạn quyết định liệu nó có được tính hay không.

Để hiểu đầy đủ lý do tại sao người dùng Tor không bị tự động chặn, xem Xử lý trình duyệt riêng tư trong tài liệu threat-categories.

Còn các trình duyệt tập trung vào quyền riêng tư — Brave, LibreWolf, Tor thì sao?

Tất cả đều hoạt động. Mỗi trình duyệt riêng tư có hình dạng đặc trưng mà chúng tôi nhận ra từ dữ liệu population. Các tính năng chặn theo dõi không làm hỏng việc xác minh; chúng chỉ tạo ra một hồ sơ khác, vẫn nhất quán. Chúng tôi coi mức độ bảo vệ là tín hiệu trung thực thay vì lặng lẽ trừng phạt người dùng vì đã chọn nó.

Đây là nguyên tắc 03 (cảnh báo nhầm không phải là tổn thất chấp nhận được) được áp dụng thực tế. Chặn người dùng Brave khiến bạn mất một khách hàng đã chọn một trình duyệt riêng tư một cách có chủ đích. Sự đánh đổi không đáng, và chuẩn chỉnh phản ánh điều đó.

Nó thêm bao nhiêu vào trang của tôi?

Rất ít. Lần tải đầu tiên nhỏ vì các phép đo nặng chỉ khởi động khi trang thực sự yêu cầu điểm số. Mọi thứ tải ở nền và không bao giờ làm chậm trang của bạn. Các khách truy cập quay lại gửi tín hiệu còn nhỏ hơn nữa. Trong thực tế, người dùng không bao giờ nhận ra sự hiện diện của nó.

Chúng tôi có cần chạy một backend không?

Có. Collector chạy trong trình duyệt và tạo ra kết quả niêm phong; việc xác minh thực sự diễn ra trên server của bạn thông qua API của chúng tôi. Vì toàn bộ bức tranh được chứa trong kết quả niêm phong đó, việc xác minh nhanh chóng — không cần thu thập dữ liệu mới và không cần tra cứu mạng thêm trong khi yêu cầu đang xử lý. Kết quả được kiểm tra trong vài mili-giây.

Lý do backend là cần thiết: một phán quyết được đưa ra hoàn toàn trong trình duyệt thì bị làm giả một cách tầm thường. Kết quả niêm phong là sự đảm bảo rằng không có gì bị can thiệp sau khi thu thập, và việc xác minh đảm bảo đó trong backend đáng tin cậy của chính bạn là điều làm cho toàn bộ hệ thống trở nên đáng tin.

Bạn có tuân thủ các quy định về quyền riêng tư không?

Chúng tôi hoạt động như một bên xử lý phụ theo thỏa thuận xử lý dữ liệu của bạn, và chúng tôi có thỏa thuận riêng sẵn sàng theo yêu cầu. Chúng tôi xử lý dữ liệu chúng tôi xử lý như dữ liệu cá nhân, vì nó có thể tái nhận dạng một khách truy cập quay lại, và áp dụng toàn bộ các biện pháp kiểm soát điều đó ngụ ý. Hạ tầng đặt tại EU và không chuyển ra ngoài. Xóa cứng có sẵn theo yêu cầu thông qua backoffice, và chúng tôi có thể ký thỏa thuận trong một ngày. Danh sách bên xử lý phụ của chúng tôi nằm tại /subprocessors.

Một vài chi tiết cụ thể mà các cán bộ bảo vệ dữ liệu thường hỏi:

Cơ sở pháp lý: chúng tôi khuyến nghị cơ sở lợi ích hợp pháp cho phòng ngừa gian lận đối với hầu hết các tích hợp. Luồng đồng ý cũng được hỗ trợ.
Tối thiểu hóa dữ liệu: những gì chúng tôi lưu trữ là tóm tắt được mã hóa một chiều, không phải giá trị thô. Chúng tôi không thể tái tạo các tín hiệu gốc từ nó.
Quyền xóa: việc xóa được thực thi ở lớp lưu trữ, không phải là cờ mềm. Một khi đã xóa, dữ liệu biến mất hoàn toàn.
Yêu cầu truy cập của chủ thể: chúng tôi cung cấp cách trả về mọi thứ liên quan đến một khách truy cập nhất định, trong phạm vi tài khoản của bạn.

Tỷ lệ cảnh báo nhầm của bạn là bao nhiêu?

Phụ thuộc vào nơi bạn đặt ngưỡng. Với cấu hình mặc định thận trọng của chúng tôi, điểm chuẩn nội bộ đo trên hàng triệu phiên người thật đã xác minh đo được dưới nửa phần trăm. Dành hành động chỉ cho cấp cao nhất và tỷ lệ giảm gần bằng không. Cả hai con số đều được cập nhật liên tục và hiển thị trong bảng điều khiển operator, phân tách theo nhóm trình duyệt và quốc gia để bạn có thể thấy chính xác lỗi đến từ đâu.

Cách chúng tôi đo lường: chúng tôi duy trì một tập tham chiếu được gán nhãn gồm các phiên người thật và các phiên tự động đã biết, được làm mới hàng quý. Mỗi thay đổi đối với việc chấm điểm đều được đánh giá chuẩn trên toàn bộ tập trước khi phát hành.

Nếu bạn muốn chạy đánh giá chuẩn trên lưu lượng của riêng mình, bảng điều khiển operator xuất các phiên của bạn với mức rủi ro, lý do đằng sau mỗi điểm số, và nhãn kết quả của chính bạn để bạn có thể tính tỷ lệ của riêng mình.

Điều gì xảy ra nếu dịch vụ của bạn ngừng hoạt động?

Collector tiếp tục hoạt động. Kết quả được xếp hàng cục bộ và gửi khi kết nối phục hồi. Nếu xác minh không thể truy cập sau thời gian chờ của bạn, Noxtica trả về kết quả trung lập, an toàn với dấu hiệu “không có sẵn” rõ ràng, để code của bạn có thể chuyển về chính sách mềm hơn — challenge thay vì chặn, ví dụ. Chúng tôi công bố mục tiêu khả dụng 99.95% và trang trạng thái công khai tại status.noxtica.com. Thời gian hoạt động gần đây đã cao hơn con số đó.

Dấu hiệu “không có sẵn” là tín hiệu cho chính sách dự phòng của bạn. Một form đăng ký có thể soft-challenge, một form thanh toán có thể chặn, và một API chỉ đọc có thể đơn giản cho phép — chính sách mặc định đúng phụ thuộc vào khẩu vị rủi ro của bạn cho bề mặt đó.

Tôi có thể tự host cái này không?

Có. Collector và verifier được phát hành dưới dạng các image tự chứa, đã ký cho khách hàng Enterprise. Cùng định dạng hồ sơ, cùng tín hiệu, cùng các cấp rủi ro, không phụ thuộc cloud. Bạn kéo bản cập nhật theo lịch trình của riêng mình, và các cài đặt air-gapped được hỗ trợ với gói cập nhật offline. Hãy trao đổi với chúng tôi về điều này.

Tự host thường được yêu cầu bởi các ngành được quản lý chặt — ngân hàng, y tế, chính phủ — nơi các quy tắc về cư trú dữ liệu loại trừ một verifier được lưu trữ. Sự đánh đổi mang tính vận hành: bạn duy trì verifier, kéo bản cập nhật, và chạy các điểm chuẩn chuẩn chỉnh. Chúng tôi cung cấp phần mềm và hướng dẫn; đội ngũ của bạn vận hành nó.

Collector phát hiện khi nó đang chạy bên trong một frame nhúng và điều chỉnh những gì nó đo lường — một số tín hiệu vẫn hoạt động, chỉ với ít chi tiết hơn. Chúng tôi đưa ngữ cảnh nhúng ra như một tín hiệu trung thực, không bao giờ là rủi ro tự động. Điều quan trọng là khi frame nhúng và trang chính mâu thuẫn nhau, vì đó là một dấu hiệu tự động hóa đã biết. Bạn quyết định các frame nhúng có ý nghĩa gì với ứng dụng của bạn.

Việc nhúng hợp pháp phổ biến — widget thanh toán, công cụ bên thứ ba, xem trước nội dung — và coi các frame là rủi ro tự động sẽ chặn khách hàng thật. Mâu thuẫn là tín hiệu quan trọng: một frame nhúng chính thực kế thừa trạng thái nhất quán từ trang mẹ, trong khi một frame do tự động hóa điều khiển thường không.

Collector gửi gì qua mạng?

Khi trang được chấm điểm: một kết quả niêm phong, vài kilobyte, gửi đến endpoint của chính bạn. Khi server của bạn xác minh nó: chỉ riêng kết quả đó. Không có telemetry thêm, không có beacon phân tích, không có font được kéo từ nơi khác, không có lời gọi bên thứ ba ở bất kỳ đâu trong đường dẫn. Kết quả niêm phong là payload duy nhất — và bạn có thể mở nó cục bộ để xem chính xác những gì bên trong.

Bạn có thể xác nhận tất cả điều này trong tab mạng của trình duyệt khi tích hợp. Yêu cầu duy nhất mà collector thực hiện là đến endpoint same-origin của chính bạn. Không có gì đi đến Noxtica từ trình duyệt trong quá trình thu thập; xác minh diễn ra sau đó, server-to-server, từ backend của bạn.

Tôi có thể tùy chỉnh ngưỡng rủi ro không?

Có. Các ngưỡng mặc định thận trọng theo mục đích (xem nguyên tắc 03). Bạn có thể điều chỉnh nơi mỗi cấp kích hoạt, theo từng key, trong bảng điều khiển operator. Việc tinh chỉnh ở mức ngưỡng thay vì ở bên trong của mô hình — chúng tôi không muốn từng khách hàng riêng lẻ định hình lại mô hình theo những cách lệch khỏi điểm chuẩn chuẩn chỉnh.

Nếu bạn cần tinh chỉnh sâu hơn, đó là một cuộc trò chuyện Enterprise. Chúng tôi hỗ trợ điều đó cho các triển khai tự host, nơi điểm chuẩn có thể được chạy lại trên lưu lượng của bạn.

Sự khác biệt giữa Noxtica và CAPTCHA là gì?

CAPTCHA yêu cầu người dùng chứng minh họ là người thật. Noxtica yêu cầu trình duyệt mô tả nó là gì, sau đó cân nhắc mô tả đó so với population rộng hơn. Hai thứ bổ trợ cho nhau, không thay thế nhau.

Nhiều tích hợp dùng Noxtica để quyết định có nên hiển thị CAPTCHA hay không. Một phiên đáng ngờ nhận thử thách; một phiên sạch thì không. Sự kết hợp đó loại bỏ CAPTCHA khỏi phần lớn người dùng thật, những người không bao giờ thấy nó.

Đọc thêm

Bắt đầu — hướng dẫn tích hợp từng bước.
Browser runtime — những gì collector làm tại thời điểm thu thập.
Tích hợp Backend — cách xác minh hoạt động trên server của bạn.
Threat categories — những gì chúng tôi bắt và tại sao.

Câu hỏi thường gặp

Cái này có hoạt động với Tor không?

Còn các trình duyệt tập trung vào quyền riêng tư — Brave, LibreWolf, Tor thì sao?

Nó thêm bao nhiêu vào trang của tôi?

Chúng tôi có cần chạy một backend không?

Bạn có tuân thủ các quy định về quyền riêng tư không?

Tỷ lệ cảnh báo nhầm của bạn là bao nhiêu?

Điều gì xảy ra nếu dịch vụ của bạn ngừng hoạt động?

Tôi có thể tự host cái này không?

Bạn xử lý widget nhúng và frame như thế nào?

Collector gửi gì qua mạng?

Tôi có thể tùy chỉnh ngưỡng rủi ro không?

Sự khác biệt giữa Noxtica và CAPTCHA là gì?

Đọc thêm