bonjour, merci pour l’info, je vais tester, amities

Pourquoi Vivaldi fait un pas de côté sur l’IA ?

Alors que Chrome, Edge, Comet (Perplexity), Safari ou encore Firefox intègrent de plus en plus d’assistants artificiels, le navigateur Vivaldi choisit une autre voie. Dans une tribune publiée sur son blog officiel, son cofondateur et PDG Jon von Tetzchner affirme ne pas vouloir transformer l’acte de naviguer sur le Web en une simple consommation passive de résumés générés par des IA.

Pour Vivaldi, naviguer sur Internet doit rester une démarche active et humaine : chercher, comparer, explorer et se forger sa propre opinion. Vivaldi veut rester un navigateur pour explorer, et non un assistant pour consommer, estime son PDG. L’intégration d’assistants génératifs dans les barres d’adresse, comme le fait Google avec Gemini ou Microsoft avec Edge Copilot, représenterait selon lui une dérive majeure. Ces systèmes, en résumant automatiquement les pages, réduisent le nombre de clics vers les sources originales et fragilisent les éditeurs et créateurs de contenus.

Des études récentes de Pew, citées par Vivaldi, confirment cet effet : les utilisateurs cliquent presque deux fois moins sur les résultats traditionnels lorsqu’un résumé d’IA est affiché. Un choix qui menace l’équilibre économique de tout un écosystème déjà fragilisé par la domination des géants du cloud.

La bataille pour le contrôle du Web

Tetzchner rappelle que la prochaine phase des “guerres des navigateurs” ne se jouera plus seulement sur la vitesse d’affichage ou le nombre d’onglets, mais sur qui contrôle l’accès à l’information. Les IA intégrées redessinent la chaîne de valeur : elles captent l’attention des utilisateurs, monétisent leurs interactions et font écran entre eux et les sources.

En refusant pour l’instant d’ajouter un agent conversationnel, un moteur de suggestions automatiques ou un remplissage intelligent des formulaires, Vivaldi se positionne comme un navigateur pour “esprits curieux, chercheurs et utilisateurs attachés à leur autonomie”.

Tetzchner ne ferme pas totalement la porte à l’intelligence artificielle. Il admet que le machine learning peut avoir des usages utiles – à condition qu’il respecte la vie privée, ne détourne pas l’attention des utilisateurs et n’alimente pas la désinformation. Mais pour l’instant, Vivaldi préfère attendre des solutions plus rigoureuses et transparentes, plutôt que de céder à l’effet de mode.

Choix cohérent : quid de l’open source ?

Le choix de Vivaldi est aussi cohérent avec son discours récurrent sur la vie privée. Contrairement à Chrome ou Edge, l’entreprise assure ne pas collecter ni revendre les données de navigation. Son modèle repose sur une communauté fidèle et un positionnement de niche, loin des logiques publicitaires.

Cependant, il faut rappeler que si Vivaldi repose sur le moteur Chromium – le même que Chrome –, il n’est pas pour autant open source. Le code source de son interface utilisateur reste propriétaire, ce qui distingue le projet de navigateurs comme Firefox, qui tente de prendre le dossier de l’IA sous l’aspect ouvert et open source. Cette réalité peut surprendre, tant le discours de l’entreprise met en avant ouverture et indépendance.

– Source :

https://goodtech.info/vivaldi-navigateur-sans-ia/

–> Utilisateur de Vivaldi depuis plusieurs années, je dois dire qu’ils ne me décoive pas pour l’instant.

hello la communauté,

je suis a la recherche, soit de la derniere version d’epubor ou un autre logiciel permettant de convertir les dernieres versions de livre en AZW ( klndle) en epub ?
j’utilise la version Epubor ultimate V3.015.1211 mais ca ne fonctionne plus pour certains livres Kindle…

merci pour votre aide.

Édité par Violence : Renommage du topic pour coller au standard de la section.

En bref :

– Fini de mentir à votre boss : cette barre de progression pour rsync révèle ENFIN où en sont vos transferts de téraoctets.

– Les admins système cachaient ce secret : comment transformer rsync muet en tableau de bord professionnel avec rsyncy.

– Pendant que vous galérez avec rsync aveugle, cette alternative libre affiche vitesse, ETA et progression en temps réel.

Vous venez de lancer un bon gros rsync en prod pour migrer 3 téraoctets de données et votre boss vous sur-saoule toutes les 10 minutes avec des : “Alors, ça en est où ?” en boucle et vous, en bonne victime, vous répondez “Ça avance chef, ça avance…”.

On peut faire mieux non ? Et oui, avec rsyncy qui vous permet au lieu d’avoir un rsync muet qui vous laisse dans le noir, de profiter d’une vraie barre de progression visuelle. Comme ça, vous voyez le pourcentage d’avancement, la vitesse de transfert, le volume copié, le temps écoulé, l’ETA, le nombre de fichiers traités… Bref, toutes les infos pour répondre factuellement à votre hiérarchie et prendre des décisions éclairées de grand professionnel qui aura bientôt une augmentation de salaire ^^.

L’installation est super simple. Vous avez plusieurs options selon votre setup :

# One-liner universel curl https://laktak.github.io/rsyncy.sh|bash # Sur macOS avec Homebrewbrew install rsyncy # Avec Gogo install github.com/laktak/rsyncy/v2@latest # Avec pipx (version Python) pipx install rsyncy

– Et une fois installé, vous pouvez soit lancer rsyncy directement avec les mêmes arguments que rsync :

rsyncy -a /source/ /destination/

– Soit piper la sortie de votre rsync habituel vers rsyncy :

rsync -a --info=progress2 -hv /source/ /destination/ | rsyncy

Ce qui est top, c’est qu’avec ce paramètre, rsyncy ajoute automatiquement les arguments nécessaires pour avoir le maximum d’informations comme ça y’a plus besoin de vous rappeler des bonnes options.

– La barre de progression affichera quelque chose comme ça :

Et là, vous avez tout… la barre visuelle, le pourcentage, les données transférées, la vitesse actuelle, le temps écoulé et le nombre de fichiers traités. C’est clair, net et précis.

– Pour les environnements où les couleurs posent problème (certains logs, scripts automatisés), vous pouvez les désactiver avec :

NO_COLOR=1 rsyncy /source/ /destination/

Pour les devs qui veulent debugger ou enregistrer leurs transferts rsync, l’auteur recommande d’utiliser “ pipevcr ”, un autre de ses outils qui permet d’enregistrer et rejouer des flux de données. Pratique pour tester rsyncy sans lancer de vrais transferts.

Voilà, comme ça avec rsyncy, vous savez exactement où vous en êtes et vous pouvez estimer si vous allez respecter votre fenêtre de maintenance, prévenir si ça va déborder, ou rassurer tout le monde que tout se passe bien.

– Sources : Laurent-Biagiotti-linkedin

https://github.com/laktak/rsyncy

https://korben.info/rsyncy-barre-progression-visuelle-rsync.html

+1 , le plus important ici n’est pas le clickjacking mais la façon d’y arriver.

Comme commenté ailleurs :

Je suis très sceptique sur une énième offre mail “pro”. Qui ne va vraisemblablement pas se démarquer de la concurrence, déjà en place, déjà payante.

https://thunderbird.topicbox.com/groups/planning/T437cd854afcb1395

The message from Ryan Sipes, Managing Director of Product at Thunderbird, outlines the expansion of Thunderbird's offerings with new web services called "Thunderbird Pro" and "Thundermail." These services aim to enhance the Thunderbird experience and provide a fully open-source alternative to ecosystems like Gmail and Office365. Here's a summary of the key points: Purpose: Thunderbird aims to reduce user loss to other rich ecosystems by offering its own integrated services, promoting open-source and privacy-respecting alternatives. New Services: Thunderbird Appointment: A scheduling tool that allows users to share a link for others to book meetings. It's designed to be simpler and open-source compared to existing tools. Thunderbird Send: A reimagined version of Firefox Send for sharing files, with a focus on direct sharing methods. Thunderbird Assist: An AI-powered feature in partnership with Flower AI, offering optional AI capabilities with a focus on privacy. Thundermail: An email service built on the Stalwart stack, aiming to provide a next-generation email experience that is fully open-source. Cost and Access: Initially, these services will be free for consistent community contributors, while other users may need to pay. Free tiers with limitations may be introduced later. Community Involvement: Users are encouraged to test these services, contribute to their development, and provide feedback. The goal is to create a collaborative environment where everyone can help build and improve these tools. Future Vision: Thunderbird aims to expand its offerings beyond email management, integrating calendar, contacts, and more, all while maintaining a focus on open standards and user privacy. The message emphasizes the importance of community involvement and the potential for these services to enhance the overall Thunderbird experience.

@duJambon a dit dans Pull print est maintenant disponible dans Universal Print :

En entreprise, il est parfois délicat de laisser trainer trop longtemps certains documents.

C’est même une faute grave selon les informations que tu imprimes

@Aurel Passe à Librewolf si tu veux garder une base FF stable, solide et maintenu correctement.

Mais ne confonds pas le type de mise a jour : fonctionnalité, sécurité, bugfix, etc .

Ce n’est pas la même chose…

C’est juste qu’ils englobent tout les types de correctif en une mise à jour.

Ce n’est pas un prétexte de sécurité pour incorporer de l’IA loin de là.

Plus besoin de cela, l’IA à terme sera partout qu’on le veuille ou non.

@tanjerine a dit dans [Web Services] TempMail : un service de mail jetable sécurisé, votre rempart contre les spams et la surveillance numérique :

autrement une adresse poubelle sur gmail

Mon adresse principale sur gmail EST DEJA une poubelle :lol: Je n’y vais que pour effacer le bordel.

Si vous bossez dans la sécu ou que vous êtes juste curieux de comprendre comment fonctionnent les vulnérabilités, je vais vous parler d’un outil qui va vous changer la vie : Sploitus. C’est comme Google mais pour trouver des exploits sécu et avec un crâne-pieuvre en logo.

Créé par Anton “Bo0om” Lopanitsyn, un chercheur en sécurité web basé à Moscou, Sploitus est devenu LA référence pour trouver rapidement des exploits, des proof-of-concepts et des outils de hacking. Le site indexe en temps réel tout ce qui sort dans le domaine de la sécurité offensive et ça, c’est vraiment pratique quand vous devez vérifier si un système est vulnérable.

Sur sploitus.com, vous avez une barre de recherche toute simple dans laquelle vous pouvez chercher par nom de logiciel, par CVE (Common Vulnerabilities and Exposures), par type d’exploit ou même par auteur. Et le moteur va alors fouiller dans sa base de données massive et vous sortir tous les exploits pertinents.

Ce qui est cool avec Sploitus, c’est qu’il agrège plusieurs sources. On y trouve des exploits venant d’Exploit-DB, de GitHub, de Packet Storm, et plein d’autres plateformes. Comme ça au lieu de perdre du temps à chercher sur 15 sites différents, vous avez tout centralisé au même endroit et cerise sur le gâteau, les résultats sont triables par date ou par score de pertinence.

Pour chaque exploit, vous avez donc accès à pas mal d’infos utiles : la description détaillée, le code source (quand il est dispo), les plateformes affectées, et surtout un lien vers la source originale. C’est super important ça, parce que vous pouvez vérifier l’authenticité de l’exploit et voir s’il y a des mises à jour ou des commentaires de la communauté.

Le site propose aussi des flux RSS et Atom si vous voulez suivre en temps réel les nouveaux exploits qui sortent. C’est donc super pratique si comme moi, vous faites de la veille techno ou pour surveiller les vulnérabilités qui touchent vos systèmes. Y’a même un mode sombre pour ceux qui préfèrent coder la nuit (ou qui veulent juste faire plus hacker ^^).

Ah et petit détail sympa, des développeurs ont créé des scripts Python pour interroger Sploitus en ligne de commande. Le projet sploitus-search sur GitHub permet par exemple d’intégrer les recherches Sploitus directement dans vos outils de pentest. C’est super pratique par exemple pendant les CTF ou les audits de sécurité.

Maintenant, parlons un peu de l’aspect légal et éthique, parce que c’est aussi très important. Sploitus a eu par le passé quelques soucis avec des plaintes DMCA, notamment concernant un exploit WordPress, mais globalement, le site reste dans la légalité en tant que moteur de recherche qui indexe du contenu public.

CEPENDANT, les exploits référencés sur Sploitus sont des outils puissants qui peuvent causer des dégâts considérables s’ils sont mal utilisés. L’utilisation de ces exploits sur des systèmes dont vous n’êtes pas propriétaire ou sans autorisation explicite est illégale et peut vous valoir de sérieux problèmes judiciaires. Et ne comptez pas sur moi pour vous apporter des oranges en prison !

– Ces outils sont donc destinés aux professionnels de la sécurité pour :

Tester la sécurité de leurs propres systèmes Effectuer des audits autorisés Comprendre les vulnérabilités pour mieux s’en protéger Faire de la recherche en sécurité informatique

Voilà, donc si vous débutez dans le domaine, je vous conseille fortement de vous former d’abord aux bases de la sécurité informatique et de toujours travailler dans un environnement de test isolé.

D’ailleurs, Sploitus n’est pas le seul dans son genre. Vous avez aussi Exploit-DB qui propose SearchSploit en ligne de commande pour les recherches hors ligne, ou encore la base de données CVE officielle du MITRE. Mais l’avantage de Sploitus, c’est vraiment cette agrégation de sources multiples et cette interface web simple et efficace.

Voilà… Et n’oubliez jamais que le but de ce genre d’outils, c’est de sécuriser les systèmes, pas de les compromettre.

– Source :

https://korben.info/sploitus-google-exploits-outils-hacking.html

@Violence oui j’ai tout la pack fait 70go

Si vous avez toujours voulu fouiller le dark web sans y passer 3 heures à chercher dans le noir, j’ai déniché un outil Python qui fait le boulot pour vous : Darkdump.

Créé par Josh Schiavone, Darkdump est une interface OSINT (Open Source Intelligence) qui permet de mener des investigations sur le deep web. En gros, vous tapez un mot-clé, et l’outil va scraper les sites .onion correspondants pour en extraire des emails, des métadonnées, des mots-clés, des images, des liens vers les réseaux sociaux, et j’en passe.

Darkdump utilise Ahmia.fi (un moteur de recherche pour le dark web) pour trouver les sites .onion pertinents, puis il les scrape quand vous êtes connecté via Tor. Bref, c’est Google pour le dark web, en ligne de commande et avec des super-pouvoirs.

– Pour l’installer, rien de plus simple :

git clone https://github.com/josh0xA/darkdumpcd darkdumppython3 -m pip install -r requirements.txtpython3 darkdump.py --help

Mais attention, avant de vous lancer, il faut configurer Tor correctement. Sur Linux ou Mac, installez Tor (sudo apt install tor ou brew install tor), puis éditez votre fichier /etc/tor/torrc pour ajouter :

ControlPort 9051HashedControlPassword [VotreMotDePasseHashé]

Pour générer le hash du mot de passe, utilisez tor --hash-password "mon_mot_de_passe". Ensuite, démarrez le service Tor et vous êtes prêt à explorer les profondeurs du web.

Ce qui est cool avec Darkdump, c’est sa flexibilité. Vous pouvez l’utiliser de plusieurs façons. Voici quelques exemples données dans la doc officielle :

Rechercher 10 liens et scraper chaque site : python3 darkdump.py -q "hacking" -a 10 --scrape --proxy Juste récupérer 25 liens sans scraper (pas besoin de Tor) : python3 darkdump.py -q "free movies" -a 25 Chercher et télécharger les images : python3 darkdump.py -q "marketplaces" -a 15 --scrape --proxy -i

L’outil peut extraire pas mal de trucs intéressants comme des documents (PDF, DOC, XLS, PPT…), des adresses email, des métadonnées, et même des liens vers des profils de réseaux sociaux. C’est super pour les chercheurs en sécurité ou encore les journalistes d’investigation.

Maintenant, parlons un peu d’Ahmia.fi, le moteur qui fait tourner tout ça. Contrairement à ce qu’on pourrait croire, vous n’avez pas besoin de Tor pour accéder à l’interface d’Ahmia… vous pouvez y aller directement depuis votre navigateur normal. Par contre, pour visiter les sites .onion qu’il trouve, là il vous faudra Tor Browser.

Le moteur de recherche Ahmia

Ce qui est bien avec Ahmia, c’est qu’ils filtrent le contenu illégal comme ça c’est pas le far west total. Ils essaient tant bien que mal de garder ça propre et légal.

En 2025, Ahmia reste donc l’un des moteurs de recherche du dark web les plus fiables, aux côtés de Torch, DuckDuckGo (version Tor), Haystak et Not Evil. Chacun a ses spécificités, mais Ahmia reste le préféré pour sa politique de filtrage du contenu illégal.

Bon, évidemment, je dois faire mon speech de prévention et Josh Schiavone lui-même précise : Il n’est pas responsable de l’utilisation que vous faites de son outil. Ne l’utilisez donc pas pour naviguer sur des sites illégaux selon les lois de votre pays. C’est un outil pour la recherche légitime, l’OSINT, la cybersécurité, pas pour faire n’importe quoi.

D’ailleurs, petite anecdote, la v3 de Darkdump a été mise à jour récemment, et apparemment il y a même des forks qui commencent à apparaître avec des mises à jour complètes. La communauté OSINT est active sur ce projet, ce qui est bon signe pour sa pérennité. Voilà, donc pour ceux qui veulent aller plus loin dans l’OSINT sur le dark web, Darkdump n’est qu’un logiciel parmi d’autres et fait partie d’une boîte à outils plus large qui comprend des trucs comme OnionScan, TorBot, ou encore Dark Web OSINT Tools. Mais pour débuter, c’est vraiment l’un des plus simples et des plus efficaces.

Ça ne transformera pas le dark web en votre terrain de jeu, mais au moins vous verrez où vous mettez les pieds. Et dans un monde où l’information est de plus en plus fragmentée et cachée, c’est pratique, mais souvenez-vous, avec un grand pouvoir vient une grande responsabilité donc utilisez-le à bon escient !

– Sources :

https://github.com/josh0xA/darkdump

https://korben.info/darkdump-outil-osint-fouille-dark-web.html

@michmich a dit dans [Multi Apps] Deskflow : Un logiciel Open Source pour partager votre souris et clavier entre plusieurs PC :

Question pour le bêtisier de Noël :ahah:

ça marche avec un clavier filaire? :ahah:

:moque:

@Violence a dit dans Firefox face à ses contradictions : un navigateur pertinent, une gouvernance incohérente, un avenir incertain :

Le local, c’est très bien mais faut penser à la sauvegarde !

Oui, c’est clair, c’est pour ça que je trouve facile Clippings puisque tu reçois la notification de rappel de sauvegarde en fichier .json

@Mister158 c’est vrai que ça va pas de soi, après nous, nous sommes du menu-fretin, ses opposants, j’imagine utilisent autre chose. :ahah:

Perso, jamais utilisé.

Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

J’ai découvert torserv après avoir passé 2 heures à galérer avec une config manuelle d’Apache + Tor pour un petit projet perso car configurer un service caché à la main, c’est pas de la tarte. Faut éditer torrc, créer les bons répertoires, gérer les permissions, redémarrer les services… Avec torserv, tout ça disparaît. Vous pointez sur votre dossier web et c’est parti.

Et le pire dans tout ça ? C’est que même après avoir fait votre config manuelle parfaite, vous êtes jamais sûr à 100% de pas avoir laissé trainer une faille. Un header Apache qui balance votre version, un module PHP mal configuré, un log qui enregistre les requêtes… Avec torserv, ces soucis n’existent pas. Le code est minimaliste par design.

Pour comprendre l’intérêt, faut savoir comment fonctionnent les services cachés Tor. Contrairement à un site normal où votre serveur a une IP publique visible, un service .onion reste planqué dans le réseau Tor. Les visiteurs passent alors par plusieurs relais chiffrés, et même eux ne connaissent pas votre vraie localisation.

Mais torserv va plus loin.

Il embarque directement le binaire Tor, donc pas besoin d’installer quoi que ce soit sur votre machine. Et le serveur intégré écrit en Go gère tout : il lance Tor en tâche de fond, génère les clés cryptographiques pour votre .onion, et sert vos fichiers avec les bons headers de sécurité. Tout ça dans un seul exécutable de moins de 20 Mo.

Le petit bonus sympa c’est que torserv ajoute du jitter temporel sur les réponses (50-200ms aléatoires) et du padding sur la taille des fichiers. Ça complique sérieusement l’analyse de trafic pour ceux qui voudraient identifier votre site par ses caractéristiques réseau.

Et les cas d’usage sont nombreux. Vous pouvez par exemple héberger des documents sensibles sans passer par un cloud public. Parfait pour le journalisme d’investigation, l’activisme dans certains pays, ou même pour une entreprise qui veut éviter les fuites via des plateformes externes.

– Mais y’a d’autres trucs cools à faire :

Partage temporaire de fichiers : Vous lancez torserv le temps de partager des docs, puis vous coupez tout. Aucune trace. Blog personnel vraiment privé : Pour publier vos pensées sans que Google indexe tout Backup décentralisé : Pour héberger vos sauvegardes chiffrées accessibles uniquement via Tor

Maintenant, si vous voulez tester, vous devez télécharger le binaire depuis GitHub, vous le lancez dans le dossier contenant vos fichiers web, et torserv génère automatiquement votre adresse .onion. En 5 minutes chrono vous avez un site web invisible.

– Concrètement, ça donne ça :

wget https://github.com/torserv/torserv/releases/download/latest/torserv-linux-amd64.zip unzip torserv-linux-amd64.zip cd TorServ ./torserv

Et boom, vous avez un truc du genre : http://xxxxxxxxxx.onion qui s’affiche dans votre terminal. Copiez-collez dans Tor Browser et voilà.

Ce qui m’a surpris pendant mes tests, c’est la performance. J’avais des aprioris sur la lenteur du réseau Tor, mais pour du contenu statique, ça reste très correct. Évidemment, on est pas sur de l’hébergement classique, mais pour des documents, des pages simples, ça fait le taf. Et puis l’avantage, c’est que votre bande passante n’est pas plombée puisque le trafic transite par les relais Tor.

Et la sécurité intégré à torserv, ce n’est pas que du marketing. Le serveur limite les requêtes, filtre les tentatives d’exploitation, et expose le minimum de surface d’attaque. Bref, contrairement à Apache ou nginx avec leurs 50 000 modules, torserv fait juste ce qu’il doit faire : servir des fichiers statiques de manière sécurisée. Moins de complexité, moins de failles potentielles.

– Voici ce qu’il propose :

Scrubbing EXIF automatique : Vos photos sont nettoyées de toutes métadonnées avant d’être servies Headers durcis : Pas de User-Agent, pas de Referer, pas d’ETag qui traîne Localhost only : Le serveur n’écoute que sur 127.0.0.1, impossible d’y accéder depuis ailleurs que votre propre machine Pas de logs : Rien, nada, que dalle. Même sous la torture, votre serveur ne balance rien

Après vous l’aurez compris, c’est du statique uniquement, donc oubliez WordPress, les formulaires dynamiques ou les API. Si vous avez besoin d’interactivité, faudra regarder ailleurs. Et puis, c’est plutôt récent comme projet, donc ça n’a pas encore la maturité d’un Apache.

– Autres trucs chiants :

Pas de HTTPS : Mais bon, avec Tor c’est déjà chiffré de bout en bout, donc on s’en fout Pas de compression : Gzip et compagnie sont désactivés pour éviter les attaques BREACH PDF bloqués : Par sécurité, torserv refuse de servir des PDF (trop de métadonnées potentielles) Taille max des fichiers : Évitez les vidéos de 2 GB, ça va ramer sévère

Comparé aux autres solutions, torserv a ses avantages. OnionShare c’est bien pour du partage ponctuel, mais c’est GUI only et moins flexible et SecureDrop c’est overkill pour la plupart des usages.

Je trouve donc que Torserv trouve le bon équilibre car il est assez simple pour être utilisé par n’importe qui, et assez sécurisé pour tenir la route face aux menaces courantes. Et pour du professionnel avec de gros besoins, partez plutôt sur une infrastructure dédiée mais pour 90% des cas d’usage (partage de docs, mini-site personnel…etc) c’est exactement ce qu’il vous faut.

Attention quand même, l’anonymat total n’existe pas. Même avec Tor et torserv, vos habitudes de rédaction, vos heures de publication, le style de vos contenus peuvent vous trahir. L’OPSEC (operational security) reste crucial. Et évidemment, côté légalité, respectez les lois de votre pays car Tor c’est pas un permis pour tout faire.

Un dernier conseil, si vous êtes vraiment parano (et vous avez peut-être raison), utilisez l’option --new-key qui génère une nouvelle adresse .onion à chaque lancement. Comme ça, même si quelqu’un trouve votre site, il pourra plus y accéder la prochaine fois. C’est radical mais efficace.

– Sources :

https://github.com/torserv/torserv

https://korben.info/torserv-serveur-web-anonyme-tor-zero-config.html

@Violence a dit dans [Aide] Cherche programme pour remplacer TeamViewer :

Et c’est une bonne chose :lol:

@duJambon essaie de me perdre, mais je résiste en étant monomaniaque :mouhaha:

@Violence j’ai rien dit à mes imac, mais ils vont le prendre le suppositoire. :ahah:

Peut être un incompatibilité codec/conteneur avec PGS

Tu as eu une MAJ de MPV dernièrement ? Si oui, peut être tester un downgrade

En tt cas, cette issue est très peu documentée.

Si votre site web est devenu le buffet à volonté préféré des bots de sociétés IA, débarquant par milliers, se servant dans votre bande passante et repartant sans même dire vous laisser un mot sur l’oreiller, alors j’ai une solution pour vous ! Ça s’appelle Anubis et c’est un outil qui vérifie si vos visiteurs sont de vrais humains ou des aspirateurs à données déguisés.

Car oui, personne n’est épargné ! Par exemple, le bon vieux site kernel.org a dû mettre en place une protection contre ces scrapers qui menaçaient sa disponibilité et ce n’est pas un cas isolé. Codeberg, ScummVM, FreeCAD et même certains sites de l’ONU ont adopté la même solution pour rester en ligne face à cette nouvelle forme de DDoS “légitime”.

Bref, pendant que vous lisez ces lignes, une bataille fait rage avec d’un côté, les développeurs qui maintiennent des sites utiles à la communauté et de l’autre, des armées de robots envoyés par les géants de l’IA pour aspirer tout le contenu possible afin d’entraîner leurs modèles.

Bien sûr, Cloudflare et autres services similaires peuvent vous aider, mais ils créent une dépendance à des intermédiaires centralisés, contraires à l’esprit même du web. Et franchement, si vous hébergez un petit projet open-source, vous n’avez probablement pas envie de payer pour une protection contre un problème que vous avez pas créé.

Heureusement, Anubis est là et s’inspire d’une idée plutôt ancienne : Hashcash
Il s’agit d’une idée remontant aux années 2000 pour lutter contre le spam email. Le principe est simple et génial à la fois : imposer un petit coût “computationnel” à chaque requête. Grosso merdo, comme mettre un péage sur une route qui serait insignifiant pour un conducteur occasionnel, mais super ruineux pour une entreprise qui fait passer des milliers de camions par jour.

Voici comment ça marche concrètement :

Un visiteur arrive sur votre site protégé par Anubis Le serveur lui présente un challenge mathématique à savoir trouver un nombre qui, ajouté à une chaîne de caractères spécifique et passé dans une fonction SHA-256, donne un hash avec un certain nombre de zéros au début Le navigateur du visiteur calcule alors ce hash en parallèle grâce aux Web Workers (du JavaScript qui travaille en arrière-plan sans bloquer l’interface) Une fois trouvé, le résultat est envoyé au serveur qui vérifie sa validité Si c’est bon, un cookie spécial est généré pour autoriser les visites futures sans avoir à repasser le test

Pour un navigateur moderne sur un PC normal, ce calcul prend quelques secondes, ce qui en fait une petite friction acceptable. Mais pour un scraper industriel qui doit traiter des millions de pages… c’est une autre histoire. Et ce système est totalement configurable puisqu’il permet d’ajuster la difficulté (nombre de zéros requis, par défaut 4-5), d’utiliser un algorithme intentionnellement lent pour punir les bots identifiés, et de créer des règles personnalisées via des expressions régulières et un langage d’expression appelé CEL.

Voici par exemple une règle permettant d’autoriser les requêtes API tout en bloquant le reste :

- name: allow-api-requests action: ALLOW expression: all: - '"Accept" in headers' - 'headers["Accept"] == "application/json"' - 'path.startsWith("/api/")'

Ou encore, bloquer spécifiquement les bots d’Amazon :

- name: amazonbot user_agent_regex: Amazonbot action: DENY

La bonne nouvelle, c’est qu’Anubis est ridiculement simple à mettre en place. Un VPS basique avec Docker suffit amplement et l’outil consommera moins de 32 Mo de RAM en moyenne, autant dire rien du tout à l’échelle d’un serveur récent.

La méthode la plus simple pour mettre Anubis en place, c’est comme d’hab : Docker Compose. 5 lignes de config et vous êtes protégé :

services: anubis-nginx: image: ghcr.io/techarohq/anubis:latest environment: BIND: ":8080" DIFFICULTY: "4" TARGET: "http://nginx" SERVE_ROBOTS_TXT: "true" ports: - 8080:8080 nginx: image: nginx volumes: - "./www:/usr/share/nginx/html"

Et si vous préférez les packages natifs, sachez qu’Anubis est disponible pour Debian, Ubuntu, RHEL et autres distributions populaires. Les plus bidouilleurs peuvent même l’installer depuis les sources.

La configuration avec les serveurs web les plus courants est bien documentée :

Nginx : ajoutez Anubis comme un upstream et redirigez tout le trafic à travers lui Apache : similaire à Nginx, avec quelques spécificités liées à Apache Et même Traefik ou Caddy pour les plus modernes d’entre vous

Une fois tout configuré, vérifiez quand même que tout fonctionne correctement en visitant votre site. Et si vous voyez la jolie page de challenge la première fois, puis accédez normalement au site après, c’est que tout est bon !

Si vous hésitez, sachez que avantages d’Anubis sont nombreux :

C’est gratuit et open-source, contrairement aux solutions payantes qui vous factureront à la requête Ultra-léger, avec une consommation minimale de ressources Vous gardez le contrôle total : pas d’intermédiaire entre vous et vos visiteurs Personnalisable à l’extrême : ajustez précisément les règles selon vos besoins Respectueux de la vie privée : aucun partage de données avec des tiers

Mais il y a aussi des arguments plus émotionnels, et tout aussi valables :

L’indépendance : vous restez maître de votre infrastructure La résistance : vous participez à un mouvement de défense du web ouvert La communauté : vous soutenez un projet porté par des valeurs éthiques La satisfaction intellectuelle : c’est quand même une solution élégante à un problème complexe, avouez-le

Par contre, sachez que :

Anubis nécessite JavaScript côté client Et qu’il peut potentiellement bloquer certains bots ou utilisateurs légitimes si mal configuré

Mais comparé aux alternatives commerciales, le rapport bénéfice/contrainte penche largement en faveur d’Anubis.

Bref, si vous en avez marre de voir votre bande passante dévorée par des bots trop gourmands, c’est le moment d’agir. Quelques minutes de configuration aujourd’hui pourraient vous épargner des heures de maintenance demain.

Et si vous avez des questions sur l’installation ou la configuration, n’hésitez pas à consulter la documentation officielle. Et un grand merci à Lorenper pour le partage !

– Source :

https://korben.info/anubis-protection-site-web-bots-ia.html