Un message pour les utilisateurs du pod diaspora #psyco.
Je viens d'installer un outil appelé "Anubis", qui devrait permettre de limiter l'arrivée de robots créant des comptes pour simplement poster de la publicité.
Lors du prochain accès à diaspora, vous verrez peut-être une nouvelle page s'afficher quelques secondes qui permet de savoir si vous êtes humain, mais cela ne devrait se produire que très rarement. Je vais laisser tourner ce systeme à partir de maintenant, tant qu'il n'y a pas de plaîntes :)
Merci !
Note to diaspora users on the #psyco pod.
I just have installed a tool called "Anubis" which should hopefully limit the amount of bots creating accounts and posting ads.
When accessing diaspora, you may see an extra page for a few seconds that detects if you're a real human, but it should not happen often. I will let it run from now on, unless I get complaints :)
Thank you!
like this
reshared this
clou clou ✻
in reply to Tom Ruth • • •Tom Ruth likes this.
Anne
in reply to Tom Ruth • • •Tom Ruth likes this.
Tom Ruth
in reply to Tom Ruth • • •like this
ST20, phle 📚🧩🧶✨♇ ✱, Canårđø-2.žerø, clou clou ✻ and clarice overhere like this.
🍉 Mlah Lalalah
in reply to Tom Ruth • • •Le Shoshin
in reply to Tom Ruth • • •ST20
in reply to Tom Ruth • • •justman.fr/articles/protegez-v…
like this
Le Shoshin, 🍉 Mlah Lalalah and Tom Ruth like this.
Le Shoshin
in reply to Tom Ruth • • •@ST20 Ok j'ai fais analyse le tout et il semble y avoir des failles quand même.
L'article présente Anubis, un concept de "pot de miel" (honeypot) pour piéger les bots et les scrapers IA en utilisant des liens invisibles qui, une fois consultés, bannissent l'adresse IP de l'intrus.
Bien que l'idée soit séduisante sur le papier, elle présente plusieurs failles majeures qui pourraient gravement pénaliser un utilisateur réel (humain) ou nuire au site lui-même. Voici les points critiques :
C'est le danger principal. Un utilisateur humain peut déclencher le piège sans aucune intention malveillante :
Navigation au clavier / Lecteurs d'écran : Les personnes malvoyantes utilisent des outils qui parcourent tous les liens d'une page. Si le lien "invisible" est présent dans le DOM (le code
... show more@ST20 Ok j'ai fais analyse le tout et il semble y avoir des failles quand même.
L'article présente Anubis, un concept de "pot de miel" (honeypot) pour piéger les bots et les scrapers IA en utilisant des liens invisibles qui, une fois consultés, bannissent l'adresse IP de l'intrus.
Bien que l'idée soit séduisante sur le papier, elle présente plusieurs failles majeures qui pourraient gravement pénaliser un utilisateur réel (humain) ou nuire au site lui-même. Voici les points critiques :
C'est le danger principal. Un utilisateur humain peut déclencher le piège sans aucune intention malveillante :
Navigation au clavier / Lecteurs d'écran : Les personnes malvoyantes utilisent des outils qui parcourent tous les liens d'une page. Si le lien "invisible" est présent dans le DOM (le code de la page), un lecteur d'écran pourrait le lire et l'utilisateur pourrait cliquer dessus par erreur.
Extensions de navigateur : Certaines extensions (bloqueurs de pubs, outils de traduction, ou gestionnaires de pré-chargement de pages) explorent les liens en arrière-plan pour accélérer la navigation. Un utilisateur pourrait être banni simplement parce que son navigateur a "anticipé" le clic sur le mauvais lien.
Clic accidentel via CSS : Si le masquage CSS (display: none ou opacity: 0) échoue à cause d'un bug de rendu ou d'un chargement lent de la feuille de style, l'utilisateur verra le lien et pourrait cliquer dessus.
Anubis bannit par adresse IP. C'est une méthode risquée en 2026 :
Entreprises et Universités : Des centaines d'utilisateurs partagent souvent une seule IP publique. Si un seul robot (ou un collègue curieux) déclenche Anubis, tous les employés de l'entreprise se retrouvent bannis du site.
Réseaux Mobiles (4G/5G) : Les opérateurs utilisent souvent le CGNAT. Bannir une IP mobile peut potentiellement bloquer des dizaines d'utilisateurs légitimes qui n'ont rien fait de mal.
Googlebot et les autres moteurs de recherche sont, par définition, des scrapers (bienveillants).
Si Anubis n'est pas parfaitement configuré pour exclure tous les noms de domaine des moteurs de recherche, votre site pourrait bannir les robots de Google ou Bing.
Résultat : Votre site disparaît des résultats de recherche, ce qui est une pénalité fatale pour un utilisateur qui essaierait de vous trouver.
Les scrapers d'IA actuels sont de plus en plus sophistiqués :
Analyse du rendu (Headless Browsers) : Les robots avancés simulent un écran humain. S'ils voient qu'un lien est masqué par display: none ou positionné en dehors de l'écran (ex: -9999px), ils l'ignoreront.
Analyse sémantique : Une IA peut comprendre que le lien "Ne pas cliquer ici" est un piège.
Le danger : Le piège ne bloque que les "mauvais" robots basiques, mais pénalise les humains qui font des erreurs de manipulation.
Anne likes this.
Tom Ruth
in reply to Tom Ruth • • •Désolé mais l'analyse ne parle pas du tout la même chose. Il n'y a ni lien invisibles, ni ban d'addresse IP.
Je vais décrire le procédé, ultra simplifié, pour que ce que soit compréhensible pour tout public:
Anubis va simplement analyser le "User-Agent" présent dans chaque requête faite à diaspora, qui contient, pour faire simple, le nom du navigateur (Chrome, Firefox, etc), ou bien de l'outil utilisé pour charger diaspora (googlebot, etc).
Si celui-ci est détecté comme un navigateur, alors un calcul simple est effectué. Si le calcul est résolu -> c'est un vrai ordinateur. Sinon, c'est généralement un programme (robot), et son accès est refusé.
Donc il n'y a quasiment aucun risque de faux-positif. Au contraire, beaucoup de robots utilisent un vrai navigateur et passent à travers les mailles du filet.
like this
nadloriot, Le Shoshin, N. E. Felibata 👽 and Striped Guys like this.
Le Shoshin
in reply to Tom Ruth • • •Le Shoshin
in reply to Tom Ruth • • •J'ai trouvé l'origine de la confusion.
📌 1) Le lien à l’origine de la confusion
🔗 Le texte qui a créé le malentendu est l’article suivant envoyer dans cette conversation :
➡️ justman.fr/articles/protegez-v…
Cet article décrit un outil de protection contre les scrapers d’IA basé sur un défi de preuve de travail (proof-of-work) que les bots doivent résoudre pour accéder au site.
📊 2) Ce que dit vraiment la source (Justman)
L’article explique notamment :
🔹 que l’outil :
agit comme un reverse proxy qui demande un challenge mathématique (preuve de travail) avant l’accès au contenu ;
🔹 que les bots classiques « n’arrivent même pas à comprendre » ou à exécuter
... show moreJ'ai trouvé l'origine de la confusion.
📌 1) Le lien à l’origine de la confusion
🔗 Le texte qui a créé le malentendu est l’article suivant envoyer dans cette conversation :
➡️ justman.fr/articles/protegez-v…
Cet article décrit un outil de protection contre les scrapers d’IA basé sur un défi de preuve de travail (proof-of-work) que les bots doivent résoudre pour accéder au site.
📊 2) Ce que dit vraiment la source (Justman)
L’article explique notamment :
🔹 que l’outil :
agit comme un reverse proxy qui demande un challenge mathématique (preuve de travail) avant l’accès au contenu ;
🔹 que les bots classiques « n’arrivent même pas à comprendre » ou à exécuter JavaScript, ce qui les bloque ;
🔹 que l’outil serait très méfiant envers certains User-Agent précis comme « Mozilla », ce qui suffirait à stopper la plupart des robots ;
🔹 que la logique repose sur des technologies modernes (ES6, Web Workers) et nécessiterait JavaScript activé pour fonctionner.
👉 Ce résumé est complet et détaillé — mais il reflète une lecture particulière de l’outil, qui n’est pas toujours conforme à ce qu’il fait aujourd’hui.
📍 3) Ce que révèle la source officielle
Le dépôt principal du projet décrit Anubis ainsi :
➡️ Anubis est une sorte de “Web AI Firewall” qui impose un challenge aux requêtes HTTP pour protéger des scrapers automatisés.
Le challenge est configuré par des règles qui peuvent être personnalisées, et l’administrateur peut définir précisément quelles requêtes doivent être soumises au challenge.
🔎 4) Où il y a eu confusion ou interprétation excessive
🟡 Confusion 1 — Niveau de filtrage
L’article Justman laisse entendre que un simple User-Agent contenant « Mozilla » suffit à bloquer automatiquement.
➡️ Dans le projet officiel, ce type de règle n’est qu’un exemple configurable, et non une obligation stricte ou universelle.
🟡 Confusion 2 — JavaScript requis
L’article suggère que JavaScript est indispensable.
➡️ Il est vrai que les premières versions utilisaient JavaScript, mais une option récente supporte des challenges sans JavaScript.
🟡 Confusion 3 — Effet sur les humains ou sur le SEO
L’article laisse croire à une difficulté générale accrue ou à des blocages involontaires.
➡️ Dans la pratique, ce ne sont pas des caractéristiques intrinsèques de l’outil, mais des configurations possibles.
🕰️ 5) Le facteur « trop vieux ou dépassé »
📅 L’article indique une mise à jour au 02/09/2025, mais il couvre également des éléments de 2025 qui peuvent ne plus être totalement mis à jour avec les versions du logiciel publiées après.
Entre-temps, le projet a continué à évoluer — par exemple :
➡️ prise en charge de challenges sans JavaScript
➡️ configurations plus granulaires côté filtrage
➡️ Cela signifie que certaines affirmations de l’article, bien qu’exprimées avec conviction, ne reflètent plus nécessairement l’état actuel du logiciel.
🧠 6) Conclusion neutre
✅ La source officielle (le dépôt GitHub) montre un outil de protection active contre les scrapers qui ajoute un défi technique avant l’accès.
⚠️ L’article qui a été cité mélange parfois des interprétations, des exemples et des généralisations qui ne sont pas strictement valides pour toutes les configurations ou versions.
⏳ Le décalage temporel entre l’article et les évolutions du projet explique en partie la confusion.
Tom Ruth
in reply to Tom Ruth • • •Diego* (diaspora.psyco.fr)
in reply to Tom Ruth • • •like this
Tom Ruth, N. E. Felibata 👽 and iam-elegance like this.
Anne
in reply to Tom Ruth • • •harryhaller
in reply to Tom Ruth • • •Je ne vois aucun nouveau message de @kuchinster here.
Regardez:
- diaspora.psyco.fr/people/tZbOp…
- diaspora-fr.org/people/tZbOpEz…
13 jours manquent.
diaspora* - Sign in
diaspora* social networkTom Ruth
in reply to Tom Ruth • • •J'ai désactivé l'outil en attendant d'y voir plus clair.
Tom Ruth
in reply to Tom Ruth • • •Trouvé !
Bon du coup cela n'impactait que les messages des utilisateurs d'un seul type de pods (Hubzilla et Friendica, à ma connaissance). Ceux-ci utilisent un outil différent pour la fédération entre pods et ont un "user-agent" similaire à un navigateur. Aucun souci avec les pods diaspora*.
J'avais réglé ce problème il y a quelques jours (après que @Diego* (psyco.fr) m'en ait parlé), en désactivant Anubis sur tous les chemins API lié à la fédération. Mais j'ai complètement oublié de redémarrer le service... du coup depuis tout ce temps les nouvelles règles n'étaient pas prises en compte 😭 Désolé, ma faute.
like this
harryhaller and N. E. Felibata 👽 like this.
Tom Ruth
in reply to Tom Ruth • • •like this
Canårđø-2.žerø and N. E. Felibata 👽 like this.
harryhaller
in reply to Tom Ruth • • •Tom Ruth likes this.
Tom Ruth
in reply to Tom Ruth • • •Np. A vrai dire maintenant que je vois à peu près ce qui est bloqué, je suis un peu déçu et je vois que ça n'endiguera pas vraiment les faux comptes.
Cependant, énormément d'autres requêtes de robots/crawlers sont bloquées et peuvent soulager le serveur.
Je regarde déjà si il est possible d'avoir moins de fois le "challenge" (la page avant d'accéder au site), une fois qu'on est déjà "vérifié". Je trouve moi aussi que ça apparaît trop souvent. Mais je vais encore observer tout ça, je prendrai une décision plus tard sur "continuer à l'utiliser ou non".
like this
Canårđø-2.žerø and ST20 like this.
ST20
in reply to Tom Ruth • • •like this
Tom Ruth and Le Shoshin like this.
Tom Ruth
in reply to Tom Ruth • • •Je désactive Anubis à partir de maintenant.
J'ai remarqué d'autres soucis, notamment lorsque l'on poste un message ou un commentaire, si l'on a pas de chance, le même mécanisme est déclenché et bloque parfois l'action.
Il y a trop de règles et exceptions à configurer pour un site comme Diaspora, et à mon avis ça va à l'encontre du but recherché.
like this
Canårđø-2.žerø, Le Shoshin, Anne, jamais+37 phil, redj 18, Aladár Mézga and nadloriot like this.
eeepee
in reply to Tom Ruth • • •iam-elegance
in reply to Tom Ruth • • •Striped Guys
in reply to Tom Ruth • • •Anne
in reply to Tom Ruth • • •N. E. Felibata 👽 likes this.