常见问题
这些都是来自真实集成场景的真实问题。如果这里没有你想问的,联系页面会得到真正了解这个产品的人的回复。
它能与 Tor 配合使用吗?
可以。来自 Tor 出口节点的流量会以中等风险等级起步——这是一条已知的匿名路由——但我们仍然会读取会话的完整信息。如果你的应用明确欢迎 Tor 用户,例如新闻报道、敏感搜索或针对受害幸存者的服务流程,你可以告诉 Noxtica 不将 Tor 信号计入评分,同时保持其他所有信号有效。无论哪种方式,该信号仍会出现在结果中。由你来决定它是否计入分数。
关于为什么 Tor 用户不会被自动拦截的完整推理,请参阅 threat-categories 文档中的隐私浏览器处理。
那些注重隐私的浏览器呢——Brave、LibreWolf、Tor?
都能正常工作。每一种隐私浏览器都有我们从总体数据中识别出的独特形态。防追踪功能不会破坏验证;它们只是产生不同但仍然一致的画像。我们将保护级别作为一个诚实的信号标记出来,而不是悄悄地惩罚用户。
这正是原则 03(误报不是可接受的损失)的实践。拦截一个 Brave 用户,意味着你失去了一位特意选择隐私浏览器的客户。这种代价与收益并不划算,校准结果也反映了这一点。
它会给我的页面增加多少负载?
非常少。首次加载体积很小,因为重量级的测量只有在页面真正请求评分时才会启动。一切都在后台加载,绝不延迟你的页面变为可用状态。回访用户发送的信号更轻。实际上,用户完全感受不到它的存在。
我们需要运行后端吗?
需要。采集器在浏览器中运行并生成一个密封的结果;实际的验证在你的服务器上通过我们的 API 进行。由于完整的信息都包含在密封的结果中,验证非常快速——不需要重新采集数据,也不需要在请求处理期间进行额外的网络查询。验证通常在几毫秒内完成。
后端之所以必要,原因在于:仅在浏览器中做出的判定极易被伪造。密封的结果是一个保证,证明采集后没有任何内容被篡改;而在你自己可信的后端验证这个保证,才是整个系统值得信赖的根本所在。
你们是否符合隐私法规的要求?
我们在你的数据处理协议下作为子处理者,并可应要求提供我们自己的协议。我们将所处理的数据视为个人数据,因为它可能重新识别回访用户,并对此施加完整的一套控制措施。基础设施位于欧盟境内,不会转移到欧盟以外。可应要求通过后台管理进行硬删除,我们可在一天内完成协议签署。我们的子处理者名单见 /subprocessors。
数据保护官通常会问到的几个具体问题:
- 合法性基础:对于大多数集成,我们建议采用”合法利益”基础用于欺诈防范。也支持同意流程。
- 数据最小化:我们存储的是经过混淆的单向摘要,而不是原始值。我们无法从中还原出原始信号。
- 删除权:硬删除在存储层强制执行,而非作为软标记。一旦删除,数据将不可恢复。
- 数据主体访问请求:我们提供一种方式,返回与特定访客关联的所有数据,范围限定在你的账户内。
你们的误报率是多少?
取决于你设置的阈值。在我们保守的默认配置下,我们针对数百万真实、经过验证的会话所做的内部基准测试,测得的误报率远低于 0.5%。只对最极端的等级采取行动时,误报率接近于零。这两个数字持续更新,并在运营者控制台中公开显示,按浏览器系列和国家拆分,让你清楚地看到误判来自哪里。
我们的衡量方法:我们维护一个每季度更新的带标签参考集,由真实人类会话和已知自动化会话混合构建而成。每次评分变更在发布前都会针对完整集合进行基准测试。
如果你想在自己的流量上运行基准测试,运营者控制台可以导出你的会话记录,包含每条会话的风险等级、每个评分的原因,以及你自己的结果标签,让你计算出自己的误报率。
如果你们的服务宕机会怎样?
采集器仍然正常工作。结果会在本地排队,等连接恢复后再发送。如果在你设置的超时时间内验证服务仍不可达,Noxtica 会返回一个安全的中性结果,并附带明确的”不可用”标记,这样你的代码就可以回退到更宽松的策略——例如改为发起验证挑战而不是直接拦截。我们公布 99.95% 的可用性目标,并在 status.noxtica.com 提供公开的状态页。最近的实际运行时间高于这一目标。
“不可用”标记是你的回退逻辑的触发信号。注册表单可以发起软验证挑战,支付表单可以直接拦截,只读 API 可以简单放行——合适的默认值取决于你在该入口对风险的容忍度。
我可以本地部署吗?
可以。采集器和验证器以已签名的独立镜像形式提供给企业版客户。相同的画像格式、相同的信号、相同的风险等级,无需云端依赖。你可以按自己的节奏拉取更新,气隙(air-gapped)环境也可通过离线更新包支持。欢迎与我们沟通。
本地部署通常由受监管行业提出——银行、医疗、政府——这些行业的数据驻留要求排除了托管式验证器。权衡在于运维层面:你负责维护验证器、拉取更新、运行校准基准测试。我们提供软件和操作手册;你的团队负责运行。
你们如何处理嵌入式组件和框架?
采集器会检测到它正在嵌入框架中运行,并相应调整测量内容——部分信号仍然有效,只是细节会减少。我们将嵌入上下文作为诚实的信号暴露出来,绝不自动将其视为风险。真正重要的是嵌入框架与主页面之间存在相互矛盾的情况,因为这是一种已知的自动化破绽。由你来决定嵌入框架对你的应用意味着什么。
合法的嵌入使用非常常见——结账组件、第三方工具、内容预览——将框架直接视为风险会拦截真实用户。真正重要的是矛盾:一个真实的嵌入框架会从其父页面继承一致的状态,而由自动化驱动的框架往往不会。
采集器通过网络发送什么内容?
页面被评分时:一个密封的结果,几千字节,发送到你自己的端点。你的服务器验证时:仅该结果本身。没有额外的遥测数据,没有分析信标,不从其他地方加载字体,整个流程中没有任何第三方调用。密封的结果是唯一的载荷——你可以在本地打开它,清楚地看到里面有什么。
你可以在集成期间通过浏览器的网络面板确认这一切。采集器发出的唯一请求是发往你自己的同源端点。采集期间不会有任何内容从浏览器发送到 Noxtica;验证稍后由你的后端以服务器对服务器的方式进行。
我可以自定义风险阈值吗?
可以。默认值有意设置得保守(详见原则 03)。你可以在运营者控制台中按密钥调整每个等级的触发点。调整是在阈值层面,而非模型内部——我们不希望个别客户以偏离校准基准的方式调整模型。
如果你需要更深度的调整,那是一个企业版层面的沟通。对于可以针对你自己的流量重新运行校准基准的本地部署,我们支持这一点。
Noxtica 与 CAPTCHA 有什么区别?
CAPTCHA 要求用户证明自己是人类。Noxtica 要求浏览器描述它是什么,然后将这个描述与更广泛的总体进行对比评估。两者是互补关系,而非替代关系。
许多集成使用 Noxtica 来决定是否展示 CAPTCHA。可疑的会话会收到验证挑战;干净的会话则不会。这种组合将绝大多数真实用户从 CAPTCHA 流程中解放出来——他们根本就不会看到它。