12 de junho de 2026

Repensar a privacidade em volta da sua instalação de Usenet

SSL sozinho não é uma estratégia de privacidade. Onde a sua instalação realmente vaza metadados em 2026 — e o que vale a pena corrigir.

A maioria dos usuários de Usenet resolveu a sua questão de privacidade há anos: conexão por SSL, pronto. Essa resposta bastava em 2012. Em 2026, os vazamentos interessantes não estão na conexão NNTP — estão em tudo ao redor dela.

SSL é o básico, não uma estratégia

NNTP criptografado esconde o conteúdo dos artigos do seu ISP, nada mais. O seu provedor continua vendo o que você baixa e quando, vinculado a uma conta paga. Se isso importa depende da política de logs e da jurisdição do provedor — duas coisas que vale a pena reler, porque mudam em silêncio. A guarda de logs de conexão é uma questão diferente da retenção de artigos, e os provedores raramente anunciam a primeira.

O seu indexador vê mais do que o seu provedor

Um indexador conhece as suas buscas, os seus downloads, os seus padrões de uso da API e, normalmente, o seu endereço de e-mail. Esse perfil é muito mais rico do que qualquer coisa que um provedor NNTP tenha. Consequências práticas:

Trate contas de indexadores como as contas sensíveis que são: aliases de e-mail únicos, senhas únicas.
Preste atenção ao que a sua automação envia. O user agent e a chave de API de cada requisição *arr identificam a sua casa com a precisão de um cookie.
Se um indexador morre ou é apreendido, o banco de dados dele não desaparece. Assuma que tudo o que você já buscou está lá.

A questão da VPN, respondida com precisão

Uma VPN faz pouco pela conexão NNTP em si — ela já é criptografada, e o seu provedor sabe de qualquer forma quem você é, porque você o paga. Onde uma VPN ajuda de verdade é em todo o resto: navegação nos indexadores, tráfego de API e impedir que o seu ISP monte uma etiqueta arrumada de «esta casa usa Usenet» a partir de metadados SNI e DNS. Se for rotear só uma coisa pela VPN, roteie o lado web, não o lado de downloads.

E a parte chata que todo mundo pula: verifique vazamentos de DNS e IPv6 na máquina que roda a sua stack, não no seu laptop. Um SABnzbd perfeitamente tunelado ao lado de um Prowlarr vazando é o modo de falha clássico.

Self-hosting corta nos dois sentidos

Rodar a sua própria stack mantém os dados da sua biblioteca fora de nuvens de terceiros — esse é o ganho. Mas auto-hospedado não significa silencioso. Verificações de atualização, consultas de metadados e beacons de analytics telefonam todos para fora, cada um deles um pequeno registro com carimbo de tempo de que a sua stack existe. A maioria das ferramentas permite desativar o analytics; poucas vêm com ele desligado de fábrica. Audite uma vez, anote, audite de novo após atualizações maiores.

Nada disso é motivo para paranoia. É motivo para uma hora de configuração deliberada — que vale mais do que qualquer quantidade de marketing de VPN.