---
title: "Como bloquear encurtadores de URL que escondem o link"
description: "Um link encurtado esconde o destino até carregar, então um filtro por nome é cego a ele. Por que a camada de tela, e não a lista de bloqueio, é a resposta."
url: https://tkot.com/journal/bloquear-encurtadores-de-url-que-escondem-o-link/
canonical: https://tkot.com/journal/bloquear-encurtadores-de-url-que-escondem-o-link/
author: "Arya Stark"
published: 2026-06-10
updated: 2026-06-10
category: "Loopholes"
tags: ["encurtador de url", "portas laterais", "dns", "bloquear pornografia"]
lang: pt-br
---

# Como bloquear encurtadores de URL que escondem o link

> **TL;DR** Um link encurtado esconde o destino verdadeiro atrás de um embrulho neutro, então um filtro por nome não consegue dizer para onde ele leva até a página já estar carregando. Você pode bloquear os domínios de encurtador dedicados no DNS, mas a resposta durável é julgar o destino depois que ele resolve: o DNS filtrado pega o endereço desembrulhado, e uma camada de tela no aparelho pega o conteúdo se o endereço era desconhecido. A TKO'T junta as duas, então um link escondido ainda bate numa parede quando aterrissa.

Um encurtador de URL é um link com a etiqueta arrancada. O endereço curto não entrega nada sobre para onde leva, que é exatamente a função dele numa recaída: um filtro por nome lê o embrulho de aparência inofensiva, não acha nada na lista de bloqueio, e deixa passar, e o destino real só se revela quando a página começa a carregar. Bloquear os encurtadores em si ajuda um pouco; o conserto durável é parar de tentar julgar o link pelo nome e julgar o destino depois que ele resolve, que é a abordagem em camadas em que a [TKO'T](/#download) é construída, de graça. Defesa apenas, nomeando o truque só para fechá-lo.

## Por que uma lista de bloqueio é cega a um link embrulhado

A filtragem por nome decide no endereço: este domínio está na lista ou não. Um encurtador entrega um domínio que não é o real, então a decisão é tomada com informação falsa e sai errada. Quando o link curto redireciona para o destino verdadeiro, o pedido já está em andamento. É o mesmo ponto cego estrutural dos [links de tradutor e de cache](/journal/bloquear-tradutores-e-paginas-em-cache): o endereço que o filtro vê não é o endereço que importa, então o filtro não consegue ajudar. Você não conserta isso colecionando mais domínios de encurtador; eles são infinitos, e um novo aparece sempre que o último é bloqueado.

## Como bloquear encurtadores de URL que escondem sites proibidos

Você bloqueia o link encurtado julgando para onde ele de fato vai, o que acontece em duas camadas depois que o embrulho cai. A primeira: o DNS pega o endereço desembrulhado. Quando um link curto redireciona, o aparelho ainda tem que procurar o endereço do destino real, e um [filtro de DNS](https://developers.cloudflare.com/1.1.1.1/setup/) vê essa busca, não o embrulho, mesmo quando um navegador tenta o próprio [DNS cifrado](https://datatracker.ietf.org/doc/html/rfc8484) e você fixou o resolvedor. Então, se o destino é um domínio adulto conhecido, o bloqueio de DNS o para no instante em que o redirecionamento resolve, não importa quão disfarçado o link original era. O encurtador compra ao link uns poucos milissegundos de anonimato; o DNS fecha a porta assim que ele aterrissa.

A segunda: a camada de tela pega o destino desconhecido. Se o destino é novo em folha ou não está em nenhuma lista, o DNS deixa passar, e é aí que a [detecção na tela, no aparelho](/journal/bloqueadores-que-leem-a-tela-nao-so-urls), assume: ela julga o que de fato renderiza, então um link escondido para uma página explícita desconhecida ainda bate numa janela fechada em menos de 80 milissegundos. Entre as duas, o disfarce para de importar, porque nenhuma das camadas dependeu de ler o link.

## Bloquear os encurtadores dedicados também, como faxina

Há um caso estreito para bloquear domínios de encurtador direto: um punhado de serviços existe sobretudo para ofuscar destinos, e o bloqueio por categoria no DNS consegue remover esses sem muito dano colateral. Trate como faxina, não como a estratégia, já que os encurtadores comuns estão tecidos em links legítimos por toda parte, e bani-los todos quebra a navegação normal, do mesmo jeito que regras amplas demais também quebram a [busca do dia a dia que depende do SafeSearch](https://support.google.com/websearch/answer/510). Trave o DNS para a escolha segurar, a mesma [disciplina de manter no lugar](/journal/travar-o-dns-para-nao-conseguir-mudar-de-volta) de sempre, e deixe as camadas que julgam o destino fazerem o trabalho de fato.

## A regra que vale para todo disfarce de endereço

O encurtador é só uma versão de um truque que se repete: esconder para onde o tráfego vai para enganar um filtro que decide pelo endereço. Um tradutor faz isso buscando a página e servindo do próprio domínio. Um cache mostra a cópia de ontem. Um gerador de IA cria um domínio que não existia ontem. O encurtador embrulha o endereço numa etiqueta neutra. São disfarces diferentes do mesmo movimento, e todos perdem para a mesma defesa, porque nenhum deles consegue esconder duas coisas: a busca de DNS que o destino real precisa, e os pixels que precisam aparecer na tela para o conteúdo ser consumido.

Por isso a regra é a mesma em toda entrada do [mapa das portas laterais](/journal/o-mapa-completo-das-portas-laterais): quando um truque esconde o endereço, pare de brigar no endereço. Julgue o destino depois que ele resolve e o conteúdo quando ele renderiza, e uma etiqueta arrancada não protege nada. Você não precisa de uma lista de cada disfarce novo; precisa de duas camadas que olham para onde todos eles, no fim, têm que chegar.

## Perguntas frequentes (FAQ)

### Tem como bloquear encurtadores de URL por inteiro para eu não esconder links ruins?

Você pode bloquear no DNS o punhado de encurtadores dedicados a ofuscar, mas banir todos os encurtadores quebra links legítimos em todo lugar, então o conserto durável é julgar o destino em vez do embrulho. Um filtro de DNS pega o endereço real quando o link curto redireciona, e uma camada de tela no aparelho pega o conteúdo se aquele endereço era desconhecido. A TKO'T roda as duas, de graça, então um link escondido bate numa parede quando aterrissa.

### Por que meu filtro não sabe para onde um link encurtado leva?

Porque um filtro por nome decide no endereço que recebe, e um encurtador lhe dá um embrulho neutro que não revela nada sobre o destino verdadeiro. A decisão é tomada com informação falsa antes de o redirecionamento resolver. O conserto não é uma lista maior de encurtadores, é avaliar para onde o link de fato vai, na busca de DNS e na tela renderizada. O nome do link nunca foi a informação certa.

### O filtro de DNS pega um link encurtado para um site bloqueado?

Em geral sim, assim que ele redireciona: o aparelho ainda tem que procurar o endereço do destino real, e o filtro de DNS vê essa busca em vez do embrulho, então um destino adulto conhecido é bloqueado no momento em que o link curto resolve. A brecha é um destino novo em folha que o DNS não classificou, que é exatamente o que a camada de tela no aparelho está ali para cobrir. As duas juntas fecham o disfarce.

### E se o link encurtado leva a um site novo que o DNS não conhece?

Aí a camada de tela é a rede de segurança: ela julga o que de fato renderiza em vez do endereço, então um destino explícito desconhecido ainda bate numa janela fechada, não importa como o link foi disfarçado. É por isso que julgar o destino precisa das duas camadas, o DNS para os endereços conhecidos e a detecção na tela para tudo que é novo ou escondido. Uma sozinha sempre deixa o lado que a outra cobre.

### Devo só bloquear todo encurtador de link para garantir?

Não, os encurtadores comuns estão embutidos em links legítimos por toda a web, então um banimento geral quebra a navegação normal e é desligado em uma semana. Bloqueie no DNS só os serviços dedicados a ofuscar, como faxina, e confie em julgar o destino e o conteúdo para o resto. O objetivo é um filtro que você mantém, não um tão amplo que você desliga.

---

Source: https://tkot.com/journal/bloquear-encurtadores-de-url-que-escondem-o-link/
Author: Arya Stark
