Les opérateurs de services onions doivent pratiquer une sécurité opérationnelle et une administration système correctes pour maintenir la sécurité.
Pour des suggestions en matière de sécurité, veuilles consulter le document « Tor Hidden (Onion) Services Best Practices » de Riseup.
Aussi, voici quelques problèmes d’anomymat que vous devriez garder en tête :
- Comme indiqué ici, veillez à ne pas laisser votre serveur web révéler des informations d'identification sur vous, votre ordinateur ou votre localisation.
Par exemple, les lecteurs peuvent probablement déterminer si c’est thttpd ou Apache, et apprendre des choses sur votre système d’exploitation.
- Si votre ordinateur n'est pas en ligne tout le temps, votre Service Onion ne le sera pas non plus.
Cela donne des informations à un adversaire en observation.
- Il est généralement préférable d'héberger les Services Onion sur un client Tor plutôt que sur un relais Tor, car la disponibilité du relais et d'autres propriétés sont visibles publiquement.
- Plus un Service Onion est en ligne longtemps, plus le risque que son emplacement soit découvert est élevé.
Les attaques les plus importantes consistent à créer un profil de la disponibilité du Service Onion et à faire correspondre les modèles de trafic générés.
- Une autre question commune est d’utiliser HTTPS ou non sur son site onion.
Consultez cet article sur le blog de Tor pour en savoir plus sur ces questions.
- Pour protéger votre service onion des attaques avancées, vous devriez utiliser l'addon Vanguards, lire le blog de Tor à propos de Vanguards et le README de sécurité de Vanguards.