Os operadores de serviços Onion precisam praticar segurança operacional adequada e administração de sistema para manter a segurança.
Para algumas sugestões de segurança, leia o documento "Melhores práticas de serviços ocultos (Onion) do Tor" do Riseup.
Além disso, aqui estão mais algumas questões de anonimato que você deve ter em mente:
- Conforme mencionado aqui, tenha cuidado para não deixar seu servidor web revelar informações de identificação sobre você, seu computador ou sua localização.
Por exemplo, os leitores provavelmente conseguirão determinar se é thttpd ou Apache e aprender algo sobre seu sistema operacional.
- Se o seu computador não estiver online o tempo todo, o seu Onion Service também não estará.
Isso vaza informações para um adversário observador.
- Geralmente, é uma ideia melhor hospedar o Onion Services em um cliente Tor em vez de um relé Tor, já que o tempo de atividade do relé e outras propriedades são visíveis publicamente.
- Quanto mais tempo um Onion Service estiver online, maior o risco de sua localização ser descoberta.
Os ataques mais proeminentes são a criação de um perfil da disponibilidade do Onion Service e a correspondência de padrões de tráfego induzidos.
- Outro problema comum é se você deve usar HTTPS no seu onionsite ou não.
Dê uma olhada em este post no Tor Blog para saber mais sobre esses problemas.
- Para proteger seu Onion Service de ataques avançados, você deve usar o complemento Vanguards, ler o blog Tor sobre Vanguards e o README de segurança do Vanguards.