Vos serveurs web classiques, les censeurs les trouvent en 3 clics. Même avec un VPN foireux, même caché derrière CloudFlare, même en priant très fort, alors imaginez que vous voulez publier un truc sur le web sans que personne ne puisse remonter jusqu’à vous ? Et bien en fait c’est hyper simple avec torserv qui lance automatiquement votre site comme service caché Tor.

Il s’agit d’un serveur web statique durci qui intègre nativement Tor. Pas de base de données MySQL qui traîne, pas de PHP qui fuite, juste vos fichiers HTML, CSS et JavaScript servis proprement. Le truc génial, c’est la configuration zéro. Vous lancez le binaire et hop, votre site devient accessible via une adresse .onion automatiquement générée.

J’ai découvert torserv après avoir passé 2 heures à galérer avec une config manuelle d’Apache + Tor pour un petit projet perso car configurer un service caché à la main, c’est pas de la tarte. Faut éditer torrc, créer les bons répertoires, gérer les permissions, redémarrer les services… Avec torserv, tout ça disparaît. Vous pointez sur votre dossier web et c’est parti.

Et le pire dans tout ça ? C’est que même après avoir fait votre config manuelle parfaite, vous êtes jamais sûr à 100% de pas avoir laissé trainer une faille. Un header Apache qui balance votre version, un module PHP mal configuré, un log qui enregistre les requêtes… Avec torserv, ces soucis n’existent pas. Le code est minimaliste par design.

Pour comprendre l’intérêt, faut savoir comment fonctionnent les services cachés Tor. Contrairement à un site normal où votre serveur a une IP publique visible, un service .onion reste planqué dans le réseau Tor. Les visiteurs passent alors par plusieurs relais chiffrés, et même eux ne connaissent pas votre vraie localisation.

Mais torserv va plus loin.

Il embarque directement le binaire Tor, donc pas besoin d’installer quoi que ce soit sur votre machine. Et le serveur intégré écrit en Go gère tout : il lance Tor en tâche de fond, génère les clés cryptographiques pour votre .onion, et sert vos fichiers avec les bons headers de sécurité. Tout ça dans un seul exécutable de moins de 20 Mo.

Le petit bonus sympa c’est que torserv ajoute du jitter temporel sur les réponses (50-200ms aléatoires) et du padding sur la taille des fichiers. Ça complique sérieusement l’analyse de trafic pour ceux qui voudraient identifier votre site par ses caractéristiques réseau.

Et les cas d’usage sont nombreux. Vous pouvez par exemple héberger des documents sensibles sans passer par un cloud public. Parfait pour le journalisme d’investigation, l’activisme dans certains pays, ou même pour une entreprise qui veut éviter les fuites via des plateformes externes.

– Mais y’a d’autres trucs cools à faire :

Partage temporaire de fichiers : Vous lancez torserv le temps de partager des docs, puis vous coupez tout. Aucune trace. Blog personnel vraiment privé : Pour publier vos pensées sans que Google indexe tout Backup décentralisé : Pour héberger vos sauvegardes chiffrées accessibles uniquement via Tor

Maintenant, si vous voulez tester, vous devez télécharger le binaire depuis GitHub, vous le lancez dans le dossier contenant vos fichiers web, et torserv génère automatiquement votre adresse .onion. En 5 minutes chrono vous avez un site web invisible.

– Concrètement, ça donne ça :

wget https://github.com/torserv/torserv/releases/download/latest/torserv-linux-amd64.zip unzip torserv-linux-amd64.zip cd TorServ ./torserv

Et boom, vous avez un truc du genre : http://xxxxxxxxxx.onion qui s’affiche dans votre terminal. Copiez-collez dans Tor Browser et voilà.

Ce qui m’a surpris pendant mes tests, c’est la performance. J’avais des aprioris sur la lenteur du réseau Tor, mais pour du contenu statique, ça reste très correct. Évidemment, on est pas sur de l’hébergement classique, mais pour des documents, des pages simples, ça fait le taf. Et puis l’avantage, c’est que votre bande passante n’est pas plombée puisque le trafic transite par les relais Tor.

Et la sécurité intégré à torserv, ce n’est pas que du marketing. Le serveur limite les requêtes, filtre les tentatives d’exploitation, et expose le minimum de surface d’attaque. Bref, contrairement à Apache ou nginx avec leurs 50 000 modules, torserv fait juste ce qu’il doit faire : servir des fichiers statiques de manière sécurisée. Moins de complexité, moins de failles potentielles.

– Voici ce qu’il propose :

Scrubbing EXIF automatique : Vos photos sont nettoyées de toutes métadonnées avant d’être servies Headers durcis : Pas de User-Agent, pas de Referer, pas d’ETag qui traîne Localhost only : Le serveur n’écoute que sur 127.0.0.1, impossible d’y accéder depuis ailleurs que votre propre machine Pas de logs : Rien, nada, que dalle. Même sous la torture, votre serveur ne balance rien

Après vous l’aurez compris, c’est du statique uniquement, donc oubliez WordPress, les formulaires dynamiques ou les API. Si vous avez besoin d’interactivité, faudra regarder ailleurs. Et puis, c’est plutôt récent comme projet, donc ça n’a pas encore la maturité d’un Apache.

– Autres trucs chiants :

Pas de HTTPS : Mais bon, avec Tor c’est déjà chiffré de bout en bout, donc on s’en fout Pas de compression : Gzip et compagnie sont désactivés pour éviter les attaques BREACH PDF bloqués : Par sécurité, torserv refuse de servir des PDF (trop de métadonnées potentielles) Taille max des fichiers : Évitez les vidéos de 2 GB, ça va ramer sévère

Comparé aux autres solutions, torserv a ses avantages. OnionShare c’est bien pour du partage ponctuel, mais c’est GUI only et moins flexible et SecureDrop c’est overkill pour la plupart des usages.

Je trouve donc que Torserv trouve le bon équilibre car il est assez simple pour être utilisé par n’importe qui, et assez sécurisé pour tenir la route face aux menaces courantes. Et pour du professionnel avec de gros besoins, partez plutôt sur une infrastructure dédiée mais pour 90% des cas d’usage (partage de docs, mini-site personnel…etc) c’est exactement ce qu’il vous faut.

Attention quand même, l’anonymat total n’existe pas. Même avec Tor et torserv, vos habitudes de rédaction, vos heures de publication, le style de vos contenus peuvent vous trahir. L’OPSEC (operational security) reste crucial. Et évidemment, côté légalité, respectez les lois de votre pays car Tor c’est pas un permis pour tout faire.

Un dernier conseil, si vous êtes vraiment parano (et vous avez peut-être raison), utilisez l’option --new-key qui génère une nouvelle adresse .onion à chaque lancement. Comme ça, même si quelqu’un trouve votre site, il pourra plus y accéder la prochaine fois. C’est radical mais efficace.

– Sources :

https://github.com/torserv/torserv

https://korben.info/torserv-serveur-web-anonyme-tor-zero-config.html

@Violence a dit dans [Aide] Cherche programme pour remplacer TeamViewer :

Et c’est une bonne chose :lol:

@duJambon essaie de me perdre, mais je résiste en étant monomaniaque :mouhaha:

@Violence j’ai rien dit à mes imac, mais ils vont le prendre le suppositoire. :ahah:

Peut être un incompatibilité codec/conteneur avec PGS

Tu as eu une MAJ de MPV dernièrement ? Si oui, peut être tester un downgrade

En tt cas, cette issue est très peu documentée.

Si votre site web est devenu le buffet à volonté préféré des bots de sociétés IA, débarquant par milliers, se servant dans votre bande passante et repartant sans même dire vous laisser un mot sur l’oreiller, alors j’ai une solution pour vous ! Ça s’appelle Anubis et c’est un outil qui vérifie si vos visiteurs sont de vrais humains ou des aspirateurs à données déguisés.

Car oui, personne n’est épargné ! Par exemple, le bon vieux site kernel.org a dû mettre en place une protection contre ces scrapers qui menaçaient sa disponibilité et ce n’est pas un cas isolé. Codeberg, ScummVM, FreeCAD et même certains sites de l’ONU ont adopté la même solution pour rester en ligne face à cette nouvelle forme de DDoS “légitime”.

Bref, pendant que vous lisez ces lignes, une bataille fait rage avec d’un côté, les développeurs qui maintiennent des sites utiles à la communauté et de l’autre, des armées de robots envoyés par les géants de l’IA pour aspirer tout le contenu possible afin d’entraîner leurs modèles.

Bien sûr, Cloudflare et autres services similaires peuvent vous aider, mais ils créent une dépendance à des intermédiaires centralisés, contraires à l’esprit même du web. Et franchement, si vous hébergez un petit projet open-source, vous n’avez probablement pas envie de payer pour une protection contre un problème que vous avez pas créé.

Heureusement, Anubis est là et s’inspire d’une idée plutôt ancienne : Hashcash
Il s’agit d’une idée remontant aux années 2000 pour lutter contre le spam email. Le principe est simple et génial à la fois : imposer un petit coût “computationnel” à chaque requête. Grosso merdo, comme mettre un péage sur une route qui serait insignifiant pour un conducteur occasionnel, mais super ruineux pour une entreprise qui fait passer des milliers de camions par jour.

Voici comment ça marche concrètement :

Un visiteur arrive sur votre site protégé par Anubis Le serveur lui présente un challenge mathématique à savoir trouver un nombre qui, ajouté à une chaîne de caractères spécifique et passé dans une fonction SHA-256, donne un hash avec un certain nombre de zéros au début Le navigateur du visiteur calcule alors ce hash en parallèle grâce aux Web Workers (du JavaScript qui travaille en arrière-plan sans bloquer l’interface) Une fois trouvé, le résultat est envoyé au serveur qui vérifie sa validité Si c’est bon, un cookie spécial est généré pour autoriser les visites futures sans avoir à repasser le test

Pour un navigateur moderne sur un PC normal, ce calcul prend quelques secondes, ce qui en fait une petite friction acceptable. Mais pour un scraper industriel qui doit traiter des millions de pages… c’est une autre histoire. Et ce système est totalement configurable puisqu’il permet d’ajuster la difficulté (nombre de zéros requis, par défaut 4-5), d’utiliser un algorithme intentionnellement lent pour punir les bots identifiés, et de créer des règles personnalisées via des expressions régulières et un langage d’expression appelé CEL.

Voici par exemple une règle permettant d’autoriser les requêtes API tout en bloquant le reste :

- name: allow-api-requests action: ALLOW expression: all: - '"Accept" in headers' - 'headers["Accept"] == "application/json"' - 'path.startsWith("/api/")'

Ou encore, bloquer spécifiquement les bots d’Amazon :

- name: amazonbot user_agent_regex: Amazonbot action: DENY

La bonne nouvelle, c’est qu’Anubis est ridiculement simple à mettre en place. Un VPS basique avec Docker suffit amplement et l’outil consommera moins de 32 Mo de RAM en moyenne, autant dire rien du tout à l’échelle d’un serveur récent.

La méthode la plus simple pour mettre Anubis en place, c’est comme d’hab : Docker Compose. 5 lignes de config et vous êtes protégé :

services: anubis-nginx: image: ghcr.io/techarohq/anubis:latest environment: BIND: ":8080" DIFFICULTY: "4" TARGET: "http://nginx" SERVE_ROBOTS_TXT: "true" ports: - 8080:8080 nginx: image: nginx volumes: - "./www:/usr/share/nginx/html"

Et si vous préférez les packages natifs, sachez qu’Anubis est disponible pour Debian, Ubuntu, RHEL et autres distributions populaires. Les plus bidouilleurs peuvent même l’installer depuis les sources.

La configuration avec les serveurs web les plus courants est bien documentée :

Nginx : ajoutez Anubis comme un upstream et redirigez tout le trafic à travers lui Apache : similaire à Nginx, avec quelques spécificités liées à Apache Et même Traefik ou Caddy pour les plus modernes d’entre vous

Une fois tout configuré, vérifiez quand même que tout fonctionne correctement en visitant votre site. Et si vous voyez la jolie page de challenge la première fois, puis accédez normalement au site après, c’est que tout est bon !

Si vous hésitez, sachez que avantages d’Anubis sont nombreux :

C’est gratuit et open-source, contrairement aux solutions payantes qui vous factureront à la requête Ultra-léger, avec une consommation minimale de ressources Vous gardez le contrôle total : pas d’intermédiaire entre vous et vos visiteurs Personnalisable à l’extrême : ajustez précisément les règles selon vos besoins Respectueux de la vie privée : aucun partage de données avec des tiers

Mais il y a aussi des arguments plus émotionnels, et tout aussi valables :

L’indépendance : vous restez maître de votre infrastructure La résistance : vous participez à un mouvement de défense du web ouvert La communauté : vous soutenez un projet porté par des valeurs éthiques La satisfaction intellectuelle : c’est quand même une solution élégante à un problème complexe, avouez-le

Par contre, sachez que :

Anubis nécessite JavaScript côté client Et qu’il peut potentiellement bloquer certains bots ou utilisateurs légitimes si mal configuré

Mais comparé aux alternatives commerciales, le rapport bénéfice/contrainte penche largement en faveur d’Anubis.

Bref, si vous en avez marre de voir votre bande passante dévorée par des bots trop gourmands, c’est le moment d’agir. Quelques minutes de configuration aujourd’hui pourraient vous épargner des heures de maintenance demain.

Et si vous avez des questions sur l’installation ou la configuration, n’hésitez pas à consulter la documentation officielle. Et un grand merci à Lorenper pour le partage !

– Source :

https://korben.info/anubis-protection-site-web-bots-ia.html

Salut,
Recherche google avec “yt-dlp”.

Hello, je pense que ce n’est peut être plus d’actualité, mais sous Android, il y a ‘Lien vers Windows’ qui est linké avec ton compte Microsoft pour prendre la main sur ton pc, j’imagine que ça permet l’inverse aussi.
Sinon TeamViewer perso je peux utiliser autant la souris que tout le reste, sachant que la configuration de la chromecast se fait via Google Home, une fois la main prise sur le téléphone Android, plus qu’a confirmer par téléphone avec tes parents les chiffres/lettres qui s’affichent sur la télé 😉

@duJambon a dit dans [Extensions] YouTube No Translation: extensions anti-traduction automatique pour YouTube :

en Suisse on parle 4 langues

24h de Goggle en romanche, chiche! :ahah:

Windows 25, mouai assez bof j’ai vu des Ressources Theme bien mieux fait que celui-ci. Je trouve aussi qu’il utilise bien trop d’outils tiers pour un résultat assez mitigé.

Concernant le menu Démarrer, personnellement il me convient très bien car je n’y vais presque jamais. Si il s’améliore comme ça à l’air d’être le cas vu els dernières Builds, je prends. Le seul truc qui m’intéresserais, ça serait la customisation de l’Orb de démarrage, c’est le seul truc qui fait que j’utilisais SIB quand je faisais du theming Windows… Avoir un menu Démarrer à la XP ou WIN7, je m’en carre l’oignon, c’est un peu de la branlette. J’ai toujours considéré le menu Démarrer comme une perte de temps à l’utilisation.

J’utilise soit les raccourcis de ma barre de tâche, soit les raccourcis claviers bien plus efficace, soit le Alt+Space de Powertoys et rien d’autre.

J’utilise Brave, à part le mode fenêtré, il fait tout ce que fait Wetube apparemment.
Sauf qu’il me permet de visiter les sites sans pub aussi.

Ba on va dire que le serveur le supporte largement, mais largement. C’est sur qu’il faut doser, si t’es limite tu évites sinon lâche les chevaux.

L’intérêt d’un WAF n’est plus à faire non plus… N’importe quel adminsys compétent te le dira.
Puis bon, on est plus sur du pentium 4. On peut faire relativement pas mal de choses.

Si ta machine le supporte, il n’y a aucune raison valable de se priver de sécurité, bien au contraire. Ce serait suicidaire de ne pas le faire.

@Ern-Dorr a dit dans [Browser] Vivaldi :

@Violence Intéressant en effet mais il ne faut pas s’emballer : pour que cela fonctionne il faut avoir un compte Proton et c’est la version Gratuite de Proton qui est intégré. Toutes les infos :

https://www.macg.co/logiciels/2025/03/proton-vpn-integre-par-defaut-dans-vivaldi-pour-une-navigation-plus-confidentielle-300603

Oui c’est stipulé dans l’article du topic @Ern-Dorr 😁

Mais il n’y pas de version gratuite ou quoi. L’application même bureautique sous Windows a toujours été gratuite, c’est tjrs le cas ici.

Il y a tjrs eu besoin d’un compte que ce soit en gratuit ou payant donc tu peux t’emballer sans trop de problèmes car tu peux utiliser les 2 😁

Voici une énorme liste de ressources d’administration système gratuites et open source.

Le gros plus est que la plupart des apps et services de cette liste peuvent être dockerisés.

Enjoy 🙂

https://github.com/awesome-selfhosted/awesome-selfhosted?tab=readme-ov-file

Voici une liste énorme de services réseau et d’applications web libres pouvant être hébergés sur votre(vos) serveur(s). Les logiciels non libres sont répertoriés sur la page « Non libres ».

Le gros plus est que la plupart des apps et services de cette liste peuvent être dockerisés

Enjoy 🙂

https://github.com/awesome-selfhosted/awesome-selfhosted?tab=readme-ov-file

@mekas Hello, Je suis notamment sur un iMac late 2012 et tous les certificats Racines courent jusqu’à au moins 2030 donc ce n’est pas cela le problème. Cela vient peut-être de Firefox lui même qui se la joue obsolète avec des Mac anciens.
Sinon avec Safari, Chrome ou DuckDuckGo ton amie pourra visionner toutes les videos qu’elle veux.

f4a67f6c-2d66-4c0d-a8ec-cd554b06e8e7-Live Long & Prosper.jpg 

Tu peux essayer ShanaEncoder (l’appli windows est en anglais).
Il te permet de convertir une liste de vidéos dans un format choisi et personnalisable.
c’est gratuit. Le site est en coréen, mais en traduisant la page avec Google translate, on s’y retrouve.
Sinon en batch, il y a ffmpeg…