Wie es so gebaut ist, dass nichts leckt.
Eine Idee, bis an die Grenze: Ihre echte Identität soll die Maschine nie verlassen — und Sie sollen uns nicht darauf vertrauen müssen, dass sie es nicht tut. Hier sind das Routing, der Kill-Switch, die exakten Fingerprint-Oberflächen, die wir verwürfeln, die Anti-Forensik und eine ehrliche Karte, wo die Garantien eines WebKit-Browsers enden.
Ein Schalter, den Sie nicht ausschalten können.
Standard-Searxly lässt Sie den Datenschutz auf Maximum heben, wenn Sie wollen. Maximum entfernt die Wahl: die App startet in Maximum Privacy über Tor und bleibt dort. Jede Anfrage geht entweder durch Tor — oder geht gar nicht.
Sechs Verteidigungen. Jede scheitert geschlossen.
Das tatsächliche Verhalten — was es tut, welches Leck es entfernt, und, wo es eine gibt, die ehrliche Kante.
Immer-an Tor, über SOCKS5h
Ein Tor-Client ist gebündelt und wird über den sandboxed Helper der App gestartet. Jeder WebView-Datenspeicher und der Upstream der lokalen Suchmaschine fahren über Tors SOCKS-Proxy im SOCKS5h-Modus — das „h“ bedeutet, dass Hostnamen am Proxy aufgelöst werden, sodass Ihr Mac nie eine DNS-Anfrage stellt, die verraten könnte, was Sie besuchen.
Ein einziges Tor (PrivacyGate) entscheidet über das Schicksal jeder ausgehenden Anfrage. In Maximum erlaubt es Traffic nur durch Tor; sobald Tor nicht als up verifiziert ist, werden Seitenladungen, native Fetches und Suchen abgelehnt, statt von Ihrer echten Adresse gesendet. Es gibt bewusst keinen Clearnet-Pfad „nur diesmal“.
Ein frischer Circuit für jeden Tab
Tor behandelt ein SOCKS-Benutzername/Passwort-Paar als Stream-Isolationsschlüssel. Maximum gibt jedem Tab sein eigenes Zufallstoken, sodass zwei Tabs auf der selben Site verschiedene Circuits nehmen und über verschiedene Nodes exitieren — und so die Cross-Tab-Korrelation schließen, die Isolation nur nach Ziel offen lässt.
Auf Netzen, die Tor blockieren, tarnen Pluggable-Transport-Bridges (obfs4 und Snowflake, beide vom gebündelten lyrebird bereitgestellt) die Verbindung, und wenn ein direkter Handshake stecken bleibt, fällt Maximum automatisch auf Snowflake zurück.
Verwürfelt und in der Menge aufgelöst
Ein Härtungsskript wird in jede Seite injiziert bevor ihre eigenen Skripte laufen, in jedem Frame. Hochentropie-Auslesungen werden pro Lesevorgang gestört, Enumeration ist gedeckelt, und die Anzeige wird auf einen gemeinsamen Wert normalisiert — und jeder Shim ist nativ-code-maskiert, damit Function.prototype.toString die Manipulation nicht verraten kann.
Amnesisches, RAM-only Browsing
Schalten Sie den Amnesie-Modus ein und die ganze Session lebt im Speicher: Verlauf und Open-Tab-Snapshots werden nie geschrieben, Cookies und Cache nutzen einen nicht-persistenten Store, und neue Suchverlaufseinträge werden verworfen. Beenden, und es ist weg. Es ist ein „damit starten“-Modus — das Flag wird einmal beim Start festgehalten, damit Sie nie halb-amnesisch enden.
Was Sie bewusst besitzen — Lesezeichen, gespeicherte Passwörter, Ihre Einstellungen — bleibt. Amnesie vergisst, was Sie getan haben, nicht was Sie besitzen.
Anti-Forensik, die das OS Ihnen nicht gibt
macOS markiert normalerweise jeden Download mit der exakten URL, von der er kam (kMDItemWhereFroms — Finders „where-from“) und schreibt Ihre offenen Fenster auf Disk, um sie wiederherzustellen. Maximum entfernt das Quell-URL-Tag von gespeicherten Dateien — behält aber das Gatekeeper-Quarantäne-Flag — und deaktiviert die Fensterzustands-Wiederherstellung, damit Ihr Browsing nicht still dort protokolliert wird, wo der Amnesie-Modus nicht hinkommt.
Ein Runtime und ein Updater, denen Sie vertrauen können
Bevor die Tor-Binary je ausgeführt wird, wird ihre Code-Signatur verifiziert gegen dasselbe Team, das die App signiert hat — eine ausgetauschte oder gepatchte Binary wird abgelehnt, und Tor startet nicht. Es ist die eine Substitution, die still das ganze Modell knacken könnte, also scheitert sie geschlossen.
Updates sind genauso vorsichtig. Check und Download fahren über Tor und werden mit dem Ed25519-Signierschlüssel der App verifiziert, sodass selbst das Aktualisieren einem Clearnet-Server nie verrät, dass dieser Mac Searxly Maximum ausführt.
Beweis, kein Privacy-Versprechen.
Die stärkste Behauptung ist eine, die Sie nicht glauben müssen. Maximum liefert drei Dinge, die Sie selbst in der App prüfen können:
- ✓Ein live Network Ledger — jede Anfrage, die Spur, die sie nahm, und ein laufendes „nichts hat Ihre echte IP verlassen“-Zählwerk, nur im Speicher gehalten
- ✓Ein Ein-Tipp- Selbsttest, der Ihre Adresse über Tor abruf und bestätigt, dass sie als Tor-Exit zurückkommt — über dieselbe fail-closed Spur, sodass er beim Prüfen nicht lecken kann
- ✓Eine Runtime-Integritätsprüfung, die zeigt, dass die gebündelte Tor-Binary die von Searxly signierte ist
Das sicherste Feature ist das, das nicht da ist.
Alles, was Daten von Ihrem Mac schicken könnte, ist aus dieser Edition entfernt — nicht ausgeschaltet, entfernt — damit es nicht wieder aktiviert, ausgenutzt oder versehentlich lecken kann. Die Bridge-Binary wird sogar aus dem Bundle ausgeschlossen, wenn sie nicht gebraucht wird.
Kein verwaltetes VPN
Kein bezahlter Tunnel, kein Exit-Node-Konto, keine Abrechnungsidentität. Tor ist der einzige Netzwerkpfad, und er braucht nichts von Ihnen.
Keine Wallet
Die Selbstverwahrungswallet und all ihr RPC- und Markt-Traffic sind weg. Nichts on-chain, nichts adress-getaggt, nichts zum Fingerprinten.
Kein KI-Backend
Searxly liefert kein Modell und keine Cloud-KI. Die einzige Intelligenz ist die, die Sie mitbringen; der Agentic-Tools-Server, der ihr Werkzeuge exponiert, ist lokal, loopback-only und standardmäßig aus.
Keine Telemetrie und kein Feedback
Keine Analytik, keine Crash-Beacons, kein Feedback-Webhook, kein Konto. Es ist schlicht kein Code mehr übrig, der nach Hause telefoniert.
Wo die Garantien eines WebKit-Browsers enden.
Sicherheit ist kein Marketing. Maximum hebt die Kosten, Sie zu tracken, ein gutes Stück — aber es ist auf WebKit gebaut, nicht auf einer gepatchten Engine, und wir zeichnen die Kante lieber, als sie zu verstecken.
Es ist nicht der Tor Browser
Der Tor Browser liefert eine gehärtete, gepatchte Engine, über Jahre auf einen einheitlichen Fingerprint abgestimmt. Maximum nutzt Apples WebKit, daher können manche Oberflächen nur aus JavaScript abgestumpft, nicht eliminiert werden. Für die härtesten Bedrohungsmodelle — einen gezielten staatlichen Gegner — bleibt der Tor Browser die Referenz, und wir sagen das.
Einige Fingerprint-Bits bleiben
Canvas-, Audio- und Font- Auslesungen sind gefarbelt und Enumeration ist gedeckelt, aber ein Skript, das die echte Geometrie eines Vollbreitenelements misst, oder den Accept-Language-Header liest, den WebKit sendet, kann noch ein paar Bits gewinnen. Letterboxing und Locale-Maskierung verengen das; sie setzen es nicht auf null. Nur eine modifizierte Engine schließt es vollständig.
Das OS behält einige Notizen
Amnesie-Modus und der Download-Provenienz-Strip decken ab, was die App und der Finder protokollieren. System-Crash-Reports und die macOS-Quarantäne-Datenbank schreibt das Betriebssystem außerhalb der App-Sandbox — eine sandboxed App kann minimieren, was sie übergibt, aber sie kann nicht hineingreifen und löschen, was das OS anderswo speichert.
Tor ist Tor
Sie erben Tors eigenes Modell: ein bösartiger Exit kann unverschlüsselten Traffic sehen (also bei HTTPS und .onion bleiben), und Tor ist langsamer als das klare Web. Maximum macht diesen Handel bewusst — es will lieber langsam und privat sein als schnell und nachverfolgbar.
Gebaut, damit es nichts zu vertrauen gibt.
Immer an, fail-closed und offen zur Prüfung. Sehen Sie den Überblick und den Preis, oder lesen Sie, wie der Rest der Architektur gebaut ist — jede Schicht genauso ehrlich dokumentiert.
Demnächst · kein Konto · keine Telemetrie · Quellcode zur Prüfung veröffentlicht