Searxly · Maximum · mécanisme complet
▲ Plongée en profondeur

Comment c'est conçu pour ne rien laisser fuir.

Une idée, poussée jusqu'au bout : votre vraie identité ne doit jamais quitter la machine — et vous ne devriez pas avoir à nous faire confiance pour ça. Voici le routage, le kill switch, les surfaces d'empreinte exactes que nous brouillons, l'anti-forensique, et une carte honnête de là où s'arrêtent les garanties d'un navigateur WebKit.

L'idée centrale

Un interrupteur que vous ne pouvez pas éteindre.

Searxly standard vous laisse monter la confidentialité en Maximum quand vous le choisissez. Maximum supprime le choix : l'app démarre en confidentialité Maximum via Tor et y reste. Chaque requête part soit par Tor — soit ne part pas du tout.

SUR VOTRE MACRecherche · clés · IA · coffreExécuté et classé localement ; chiffré au repos
LA SEULE VOIETor intégré · SOCKS5hVérifié par signature · noms d'hôte résolus au proxy
LE MONDE VOITUn nœud de sortie TorJamais votre IP. Si Tor est bas → bloqué
100%Trafic via Tor
SOCKS5hPas de fuite DNS
1 circuitPar onglet
0Fonctions hors appareil
Le mécanisme, couche par couche

Six défenses. Chacune échoue fermée.

Le comportement réel — ce qu'il fait, la fuite qu'il supprime, et, s'il y en a une, la limite honnête.

01
Routage

Tor toujours actif, via SOCKS5h

Un client Tor est intégré et lancé via l'assistant sandboxé de l'app. Le magasin de données de chaque WebView et l'amont du moteur de recherche local empruntent le proxy SOCKS de Tor en mode SOCKS5h — le « h » signifie que les noms d'hôte sont résolus au proxy, de sorte que votre Mac n'émet jamais une requête DNS qui pourrait révéler ce que vous visitez.

Une seule porte (PrivacyGate) décide du sort de chaque requête sortante. En Maximum elle n'autorise le trafic que via Tor ; dès que Tor n'est pas vérifié comme actif, les chargements de page, les fetch natifs et les recherches sont refusés plutôt qu'envoyés depuis votre vraie adresse. Il n'y a délibérément aucun chemin clearnet « juste cette fois ».

Arrête exposition IP réelle & DNSModèle de Tor une sortie hostile peut lire le clair — utilisez HTTPS / .onion
02
Identité

Un circuit frais pour chaque onglet

Tor traite une paire nom d'utilisateur/mot de passe SOCKS comme clé d'isolation de flux. Maximum donne à chaque onglet son propre jeton aléatoire, de sorte que deux onglets ouverts sur le même site empruntent des circuits différents et sortent de nœuds différents — fermant la corrélation cross-onglet que l'isolation par destination seule laisse ouverte.

Sur les réseaux qui bloquent Tor, des ponts à transport enfichable (obfs4 et Snowflake, tous deux servis par le lyrebird intégré) déguisent la connexion, et si une poignée de main directe s'arrête, Maximum bascule automatiquement sur Snowflake.

Arrête corrélation cross-onglet same-site · censure
03
Empreinte

Brouillée, et fondue dans la foule

Un script de durcissement est injecté dans chaque page avant que ses propres scripts ne s'exécutent, dans chaque frame. Les lectures à haute entropie sont perturbées à chaque lecture, l'énumération est plafonnée, et l'affichage est normalisé à une valeur commune — et chaque shim est masqué en code natif pour que Function.prototype.toString ne puisse pas révéler la manipulation.

Canvas 2D — getImageData / toDataURL / toBlob bruités
WebGL 1&2 — getParameter & readPixels farbled
Audio — AudioBuffer & analyser bruités
OffscreenCanvas — même défense en lecture
Fonts — bruit measureText + plafond FontFaceSet.check
Viewport — inner/client/visualViewport letterboxed
Temps & locale — fuseau → UTC, langue masquée
WebRTC — RTCPeerConnection retiré
Arrête liaison d'empreinte cross-site · fuite IP WebRTCLimite une sonde offsetWidth & l'en-tête Accept-Language laissent encore fuir quelques bits — plafond WebKit
04
Traces

Navigation amnésique, en RAM seule

Activez le mode amnésique et toute la session vit en mémoire : l'historique et les instantanés d'onglets ouverts ne sont jamais écrits, cookies et cache utilisent un magasin non persistant, et les nouvelles entrées d'historique de recherche sont abandonnées. Quittez, et c'est parti. C'est un mode « démarrer dedans » — le drapeau est figé une fois au lancement, pour que vous ne vous retrouviez jamais à moitié amnésique.

Ce que vous possédez délibérément — favoris, mots de passe enregistrés, vos réglages — est conservé. L'amnésie oublie ce que vous avez fait, pas ce que vous possédez.

Arrête traces de session sur disque après la quitte
05
Forensique

L'anti-forensique que l'OS ne vous donne pas

macOS étiquette normalement chaque téléchargement avec l'URL exacte d'où il vient (kMDItemWhereFroms — le « where-from » du Finder) et écrit vos fenêtres ouvertes sur disque pour les restaurer. Maximum retire l'étiquette d'URL source des fichiers enregistrés — tout en gardant le drapeau de quarantaine Gatekeeper intact — et désactive la restauration d'état des fenêtres, pour que votre navigation ne soit pas silencieusement enregistrée là où le mode amnésique ne peut pas atteindre.

Arrête provenance d'URL & état des fenêtres écrits sur disqueLimite journaux de plantage système & base de quarantaine vivent hors du sandbox
06
Chaîne d'approvisionnement

Un runtime et un updater en qui vous pouvez avoir confiance

Avant que le binaire Tor ne soit jamais exécuté, sa signature de code est vérifiée contre la même équipe qui a signé l'app — un binaire substitué ou patché est refusé, et Tor ne démarre pas. C'est la seule substitution qui pourrait discrètement vaincre tout le modèle, donc elle échoue fermée.

Les mises à jour sont tout aussi soigneuses. La vérification et le téléchargement empruntent Tor et sont vérifiés avec la clé de signature Ed25519 de l'app, de sorte que même mettre à jour ne révèle jamais à un serveur clearnet que ce Mac exécute Searxly Maximum.

Arrête runtime altéré · un chemin de mise à jour qui vous trahit
Auto-test de confidentialité
Récupérer mon IP — via Tor
check.torproject.org sur la voie Tor fail-closed
IsTor: trueExit: 185.220.…IP réelle masquée
Si Tor n'était pas actif, le test ne peut tout simplement pas s'exécuter — même voie que tout le reste
Regardez-le travailler

Une preuve, pas une promesse de confidentialité.

L'affirmation la plus forte est celle que vous n'avez pas à croire. Maximum livre trois choses que vous pouvez vérifier vous-même, dans l'app :

  • Un registre réseau live — chaque requête, la voie qu'elle a prise, et un décompte en cours « rien n'a quitté votre IP réelle », tenu en mémoire seule
  • Un auto-test en un geste qui récupère votre adresse via Tor et confirme qu'elle revient comme sortie Tor — sur la même voie fail-closed, pour qu'il ne puisse pas fuir en vérifiant
  • Un contrôle d'intégrité du runtime qui montre que le binaire Tor intégré est celui que Searxly a signé
Surface d'attaque, soustraite

La fonction la plus sûre est celle qui n'y est pas.

Tout ce qui pourrait envoyer des données hors de votre Mac est retiré de cette édition — pas désactivé, retiré — pour qu'on ne puisse pas le réactiver, l'exploiter, ni le faire fuir par accident. Le binaire pont est même exclu du bundle quand il n'est pas nécessaire.

Pas de VPN géré

Pas de tunnel payant, pas de compte de nœud de sortie, pas d'identité de facturation. Tor est le seul chemin réseau, et il n'exige rien de vous.

Pas de portefeuille

Le portefeuille en auto-conservation et tout son trafic RPC et de marché sont partis. Rien on-chain, rien indexé par adresse, rien à empreindre.

Pas de backend IA

Searxly ne livre aucun modèle ni aucune IA cloud. La seule intelligence est celle que vous apportez ; le serveur Agentic Tools qui lui expose des outils est local, loopback seul et désactivé par défaut.

Pas de télémétrie ni de feedback

Pas d'analytique, pas de balises de plantage, pas de webhook de feedback, pas de compte. Il ne reste tout simplement plus de code qui appelle la maison.

Honnête sur les limites

Là où s'arrêtent les garanties d'un navigateur WebKit.

La sécurité n'est pas du marketing. Maximum élève longuement le coût de vous suivre — mais il est bâti sur WebKit, pas sur un moteur patché, et nous préférons tracer le bord plutôt que le cacher.

01

Ce n'est pas le Tor Browser

Le Tor Browser livre un moteur durci et patché, affiné pendant des années pour une empreinte uniforme. Maximum utilise le WebKit d'Apple, donc certaines surfaces ne peuvent être qu'émoussées depuis JavaScript, pas éliminées. Pour les modèles de menace les plus durs — un adversaire étatique ciblé — le Tor Browser reste la référence, et nous le disons.

02

Quelques bits d'empreinte restent

Les lectures canvas, audio et police sont brouillées et l'énumération est plafonnée, mais un script qui mesure la géométrie réelle d'un élément pleine largeur, ou qui lit l'en-tête Accept-Language que WebKit envoie, peut encore récupérer quelques bits. Le letterboxing et le masquage de locale réduisent cela ; ils ne le mettent pas à zéro. Seul un moteur modifié le ferme complètement.

03

L'OS garde quelques notes

Le mode amnésique et le retrait de provenance des téléchargements couvrent ce que l'app et le Finder enregistrent. Les rapports de plantage système et la base de quarantaine macOS sont écrits par le système d'exploitation hors du sandbox de l'app — une app sandboxée peut minimiser ce qu'elle confie, mais elle ne peut pas entrer et nettoyer ce que l'OS stocke ailleurs.

04

Tor, c'est Tor

Vous héritez du propre modèle de Tor : une sortie malveillante peut voir le trafic non chiffré (donc restez sur HTTPS et .onion), et Tor est plus lent que le web clair. Maximum fait ce compromis délibérément — il préfère être lent et privé que rapide et traçable.

▲ Searxly Maximum

Conçu pour qu'il n'y ait rien à croire.

Toujours actif, fail-closed, et ouvert à l'inspection. Voir l'aperçu et le prix, ou lire comment le reste de l'architecture est construit — chaque couche documentée de la même façon honnête.

Bientôt · sans compte · sans télémétrie · source publiée pour revue