1 points par GN⁺ 2025-08-21 | 1 commentaires | Partager sur WhatsApp
  • Impossible d’accéder au site lock.cmpxchg8b.com
  • L’accès est indisponible en raison d’un retard de réponse du serveur
  • Le message inclut des indications pour vérifier la connexion réseau ainsi que l’état du routeur ou du modem
  • Il recommande aussi de vérifier les paramètres du proxy
  • Il s’agit simplement d’un problème de connexion, sans explication directe liée à l’accès au noyau Linux

Avis d’impossibilité d’accès au site

  • Le site lock.cmpxchg8b.com ne répond pas
  • Une information indique un problème de délai d’attente de connexion (timeout)
  • Il est recommandé de redémarrer les équipements réseau (routeur, modem, etc.)
  • Il est demandé de revérifier les paramètres autorisant l’accès au réseau
  • Le message inclut aussi une recommandation de modifier les paramètres du proxy dans le navigateur Chromium et de privilégier une connexion directe
  • Il n’y a pas d’explication technique directe indiquant que l’accès au noyau lui-même est bloqué, ni de lien avec une image de personnage spécifique (fille-chat animée)

1 commentaires

 
GN⁺ 2025-08-21
Commentaires Hacker News
  • Comme c’est un endroit fréquenté en grande partie par des gens très à l’aise avec la technique, je me demande si beaucoup ne comprennent vraiment pas le fonctionnement ou l’intention de protections comme Anubis, ou s’ils font semblant de ne pas comprendre pour les minimiser
    Il va de soi que les développeurs de bots de scraping IA finiront par trouver un moyen de contourner la chose, mais l’important est que cela ait été efficace pendant un certain temps
    Quand les développeurs de bots trouveront de nouvelles méthodes de contournement, de nouveaux outils de « preuve qu’on n’est pas un bot » apparaîtront à leur tour
    Au fond, c’est simple : si appliquer une nouvelle méthode permet de protéger un site ne serait-ce qu’un ou deux mois, c’est déjà un résultat satisfaisant
    C’est bien mieux que d’avoir à se demander s’il faut bloquer des réseaux entiers tout en encaissant des dizaines de requêtes par seconde
    Par exemple, si l’on met dans un formulaire une question comme « combien font 7+2 ? », bien sûr qu’un collecteur peut calculer la réponse, mais c’est quand même à un humain de lui dire « comment s’y prendre »

    • J’aurais aimé pouvoir voir, chiffres à l’appui, quel effet le PoW (Proof-of-Work) d’Anubis a réellement eu sur un site
      J’ai un petit site sur un serveur personnel, donc je ne regarde pas très attentivement les logs ou les statistiques, mais mon site pourrait lui aussi subir un crawling agressif un jour
      Ce qu’on peut voir dans les documents publics actuels, c’est surtout la performance du PoW lui-même, pas à quel point il a réellement été efficace sur un site
      Idéalement, ce serait formidable d’avoir des stats par type de bot, du genre « le bot d’OpenAI représentait 17 % des requêtes totales, puis on est passé de 900 000 requêtes par jour à 0 »
      Quand on cherche, on tombe surtout sur une foule de billets de blog disant « Anubis a bloqué le crawling », mais il manque des données réelles
      En complément, j’ai trouvé ce PDF dans le fil ci-dessous, mais il n’y a pas d’analyse du nombre réel de clients bloqués
      J’aimerais qu’il y ait davantage de données variées

    • Alors même qu’on voit aujourd’hui très souvent l’écran de chargement intermédiaire de Cloudflare sur les sites, des gens se plaignent qu’on n’utilise pas davantage de protections comme Anubis
      Je trouve cela un peu ironique

    • J’ai trouvé Anubis inefficace dès le départ
      D’abord, les scrapers faisaient déjà tourner des navigateurs complets en attendant que la page soit totalement stabilisée, donc contourner cette approche n’est pas difficile
      Ensuite, si une IA a besoin d’environ 5 secondes de calcul à 1600 W pour lire une page, mon téléphone n’a sûrement pas l’efficacité d’un serveur, donc cela peut prendre encore plus de 5 secondes
      Traiter tout cela en même temps fait aussi chauffer l’appareil, ce qui rend l’ensemble d’autant plus inefficace

    • À mon avis, ce n’est pas le PoW en lui-même qui bloque les scrapers IA, mais la procédure inhabituelle d’accès au site créée par Anubis
      Si c’est bien le cas, Anubis pourrait très bien se passer du PoW, afin que les visiteurs humains légitimes n’aient pas à regarder un écran de chargement pendant plusieurs secondes en gaspillant les ressources de leur appareil

    • Une vérification simple comme 7+2 ne limite que les utilisateurs qui veulent soumettre quelque chose, alors qu’Anubis affecte tous les utilisateurs même lorsqu’ils ne font que lire le site

  • Je pense que l’objectif principal d’Anubis est de contrôler les attaques Sybil des crawlers ou le crawling parallèle
    Les modes d’accès sont les suivants :

    • Client avec JS et cookies → le serveur peut appliquer un rate limiting à l’aide des cookies. Les humains sont rarement touchés, mais les crawlers voient leur vitesse fortement réduite ou se font bloquer. Bien sûr, ils peuvent changer d’identité (cookie), mais cela leur impose alors un coût de résolution de puzzle
    • Client sans état avec seulement JS → là aussi, chaque accès a un coût élevé, donc c’est efficace
    • (Sans JS → accès impossible)
      L’idée centrale est d’empêcher qu’une surcharge du serveur soit causée par des accès simultanés excessifs
      Même si un crawler envoie plusieurs requêtes en parallèle, chaque requête entraîne un coût et des limites supplémentaires, ce qui évite désormais qu’un serveur s’effondre sous des milliers de requêtes de bots par seconde comme auparavant
      C’est là l’effet concret d’Anubis
    • JS n’est pas strictement nécessaire
      Il suffit d’avoir un script capable de passer Anubis et de résoudre le challenge pour le contourner
  • Autrefois, je trouvais ce genre d’approche procédurale non seulement agaçante, mais je doutais aussi de son utilité réelle pour authentifier des humains
    Ce type de défi peut être automatisé facilement et à bas coût
    J’ai même créé une extension de navigateur qui retire "Mozilla" du User Agent sur les sites où tourne Anubis
    Comme la plupart n’utilisent ni JS ni cookies, ils ne peuvent même pas passer le challenge, et pour quelques GitLab auto-hébergés qui autorisent JS et cookies, je ne veux pas que les ressources de mon ordinateur servent au minage

    • Il faut faire attention quand on touche à l’en-tête User Agent, car cela crée presque immédiatement un identifiant qui vous est propre
      Le fingerprinting du navigateur fonctionne particulièrement bien sur les utilisateurs qui ont des valeurs d’en-tête inhabituelles
      Si l’on utilise simplement Safari sans modification, on partage la même valeur avec des millions d’utilisateurs, mais dès qu’on modifie le User Agent, on se transforme en identifiant unique

    • Je me demande, sur un site vraiment « collant », s’il ne serait pas carrément possible de miner en arrière-plan du Monero ou d’autres cryptomonnaies
      J’aimerais qu’un navigateur affiche un avertissement du type : « Ce site utilise excessivement votre ordinateur en arrière-plan. Voulez-vous l’arrêter ? »

    • On peut aussi se demander si modifier la valeur du User Agent ne risque pas de casser d’autres fonctions
      La plupart des chaînes User Agent des navigateurs sont déjà remplies de « mensonges » standardisés, donc ça fait un peu peur d’y toucher

    • Je trouve l’extension que cette personne a créée intéressante
      Cela me fait me demander s’il serait possible de forcer l’encodage texte d’une page en japonais

    • Si les bots IA peuvent eux aussi modifier le User Agent de la même façon, est-ce qu’on n’aboutit pas simplement au même résultat ?

  • Concernant le débat sur le fait qu’Anubis soit ou non un personnage chat, le nom Anubis renvoie de toute façon au dieu égyptien, généralement représenté comme un chacal ou un chien
    Comme son nom l’indique, c’est le gardien de l’au-delà
    Techniquement, « fille-chien » ou « fille-chacal » serait plus exact

    • Plaisanterie faite, cela m’a beaucoup rassuré

    • Mais il est dommage que les traits visuels originels d’Anubis n’y soient pas

  • Je pense que les fournisseurs de services IA disposent de fait de ressources de calcul dans des datacenters, donc une approche PoW finit surtout par pénaliser les utilisateurs individuels qui ont moins de moyens
    Mais dans la réalité, Anubis semble être accepté comme le moins mauvais des mauvais choix encore utilisables
    Si la théorie et la réalité divergent, c’est soit que j’oublie quelque chose, soit que la théorie est fausse

    • En réponse, quelqu’un signale un lien HN indiquant que les bots IA avaient déjà trouvé des contournements en quelques semaines, ce qui a fait disparaître l’efficacité du système (https://news.ycombinator.com/item?id=44914773)
  • J’ai reconnu l’écran d’Anubis au premier coup d’œil, et j’espère que la fille-chat d’animation de ce projet ne disparaîtra pas

    • À une époque où Internet est devenu trop corporate et trop austère, ça fait plaisir de voir qu’il reste encore ce genre de touche mignonne

    • Comme Anubis vient à l’origine du dieu égyptien à tête de chien, en voyant l’illustration je me suis dit que c’était plutôt une « fille-chien »

    • Ce n’est pas le seul projet à avoir un personnage d’animation comme mascotte
      ComfyUI utilise aussi officiellement une mascotte de type fille-renard, et c’est devenu le standard de fait pour les interfaces de génération basées sur Stable Diffusion

    • Si les scrapers IA rendent cette protection immédiatement inutile simplement en implémentant sérieusement le PoW ou en retirant "Mozilla" du User Agent, alors le projet lui-même pourrait bien disparaître prochainement

  • À propos de l’explication selon laquelle « un CAPTCHA présente un problème difficile pour les ordinateurs et facile pour les humains », je me demande si ceux qui disent cela ont déjà vraiment essayé de résoudre des CAPTCHA du genre « choisissez les cases où se trouve un rabbin orthodoxe »

    • L’épisode des CAPTCHA RapidShare de 2008 était assez amusant
      Lien connexe 1
      Lien connexe 2
      Lien connexe 3

    • Réponse humoristique disant que, pour ce type de CAPTCHA, on ne pourrait même pas les résoudre le samedi

    • Aujourd’hui, il existe aussi beaucoup de services bon marché qui résolvent les CAPTCHA à votre place
      Les entreprises d’IA avec un trafic massif peuvent même obtenir des remises supplémentaires, et des extensions de navigateur comme NopeCHA réussissent à environ 99 %, ce qui évite de devoir les résoudre soi-même
      Au final, utiliser des CAPTCHA difficiles ne fait que compliquer la vie des vrais clients
      Bien sûr, cela suppose qu’on ne puisse pas résoudre les CAPTCHA soi-même avec une IA. De nos jours, c’est tout à fait possible aussi

    • Au bout du compte, les ordinateurs finissent par devenir bons à tout
      Les CAPTCHA du début des années 2000 étaient réellement difficiles pour les ordinateurs

  • Je pense qu’on pourrait aussi stocker l’identifiant du token JWT exécuté par Anubis, suivre le nombre ou la vitesse des requêtes émises avec chaque token, puis annuler le token ou appliquer des réponses retardées ou des limitations au-delà d’un certain seuil
    Même si un bot résout le challenge, dès qu’il conserve le token et commence à envoyer des requêtes trop rapidement, il se retrouve immédiatement limité
    On pourrait aussi envisager de limiter l’émission de plusieurs tokens depuis une même IP

  • Quand je tombe de temps en temps sur un écran comme celui d’Anubis, je me demande si je ne vais pas être redirigé vers un site douteux ou un imageboard bizarre
    Je trouve aussi curieux que kernel.org utilise la version gratuite plutôt qu’une version payante sans animation
    Ça me donne presque envie de plaisanter en me demandant si la Linux Foundation, avec toutes ses BMW, est vraiment à ce point à court d’argent

    • Maintenant que l’animation est plus grand public et que Netflix gagne des milliards par an avec cela, je trouve étonnant que certains partent encore dans des idées bizarres rien qu’en voyant ce type d’illustration d’anime assez innocent

    • Anubis n’est en réalité pas un projet original mais un clone de Kiwiflare, donc l’impression n’est pas totalement fausse
      Lien à propos de Kiwiflare

    • Je me demande même s’il y a vraiment besoin d’une version débrandée
      L’open source est généralement plus facile à distribuer précisément parce qu’il n’y a pas de licence séparée ou de page de téléchargement dédiée
      Si c’est un projet dont on dépend, il suffit souvent de faire un don, sans nécessairement devoir le débrander
      Au contraire, à moins de vouloir absolument enlever la marque, la marque d’origine peut inspirer confiance
      Par exemple, si la mascotte d’Anubis apparaît, je peux être davantage enclin à faire confiance au JavaScript et à l’activer, alors que sans marque je pourrais soupçonner du code venant d’une société de CAPTCHA bizarre
      Cela dit, LKML n’a jamais beaucoup prêté attention au design, donc au fond cela change peu de chose

  • Les méthodes de vérification humaine, comme compter des réponses à des questions faciles uniquement pour des humains, peuvent aussi être étonnamment efficaces contre les filtres LLM
    Par exemple, certains forums demandent à l’inscription de compter le nombre de lettres d’un mot-clé précis ou de donner le diamètre d’une pièce automobile, et cela fonctionnait vraiment bien

    • Sur les petits forums, le simple fait d’adapter intelligemment la procédure d’inscription peut faire chuter fortement les inscriptions de spam
      J’ai autrefois modifié un forum qui recevait beaucoup d’inscriptions de spam pour demander d’ajouter 1 à un nombre à 6 chiffres, et l’effet a été spectaculaire

    • C’est une méthode éprouvée
      Sur un ancien forum de jeu appelé moparscape, on demandait ce qu’était « mopar », et je devais le rechercher à chaque fois

    • Mais il faut aussi garder à l’esprit que ce genre de questions peut être difficile pour une partie des utilisateurs ordinaires