Uma das portas laterais mais silenciosas também é uma das mais difíceis para um filtro normal: material explícito embalado como documento. Um quadrinho sobe como PDF para um site de compartilhamento, um vídeo fica numa pasta de nuvem compartilhada, um conjunto de imagens se esconde num slide, tudo em domínios que o seu filtro confia porque centenas de milhões de pessoas os usam para trabalho legítimo todo dia. O endereço está limpo; o arquivo não. Você não consegue banir um gigante de armazenamento sem quebrar a própria vida, então uma lista de domínios perde aqui por desenho, e é justo por isso que a TKO’T julga o conteúdo na tela, de graça, em vez de julgar só o endereço. Defesa apenas: isto fecha a porta, não cataloga o que está atrás dela.

Por que o truque do cavalo de Troia vence os filtros de domínio

Uma lista de bloqueio trabalha por reputação: domínios sabidamente ruins são recusados, o resto passa. Plataformas de documento e de nuvem têm reputação impecável porque são genuinamente úteis, então o filtro as deixa passar, e qualquer arquivo que alguém colocou dentro pega carona. A plataforma não fez nada de errado e o filtro fez o seu trabalho; a brecha é estrutural. É a mesma lição de toda entrada do mapa das portas laterais: quando o endereço é legítimo, a camada de endereço não ajuda, e você tem que julgar a coisa em si.

Conteúdo desenhado e quadrinho piora isso, porque costuma escapar de classificadores de imagem ajustados para material fotográfico, e se espalha justo por esses canais de documento e de arquivo. A conclusão honesta é que você nunca vai enumerar os arquivos; só dá para guardar a superfície onde todos eles renderizam.

Como bloquear sites de PDF e documentos com quadrinhos adultos

Bloquear sites de PDF com quadrinhos adultos funciona em duas camadas que se completam, não em uma. A primeira mira nos repositórios de documento e nos sites de compartilhamento de PDF que existem sobretudo como rota de bypass: esses um filtro de categoria no DNS mata sem dano colateral, a mesma abordagem que funciona para tradutores-proxy e páginas em cache, com o SafeSearch forçado para a busca não entregar o arquivo direto. A segunda camada é a decisiva, porque os repositórios grandes e legítimos vão continuar acessíveis: a detecção na tela, no aparelho, lê o que de fato é exibido, uma página de quadrinho aberta, um PDF rolando, e fecha a janela em menos de 80 milissegundos, sem interesse em qual domínio confiável serviu o arquivo. O disfarce é irrelevante na hora de renderizar, porque o disfarce era o domínio, e a camada de tela nunca checou o domínio.

Um arquivo explícito num link de drive não tem domínio para bloquear, porque a pasta vive num serviço legítimo e o conteúdo só se revela quando aberto, então a única resposta boa é julgar o que renderiza. A camada de tela julga o vídeo enquanto ele toca, não importa a pasta de onde veio, e o mesmo vale para um link estilo Google Drive passado adiante: você não consegue bloquear o link por domínio sem perder o serviço de verdade. Se um serviço de compartilhamento específico é, para você, só uma rota de recaída e você nunca precisa dele, bloqueie no DNS também; fora isso, a detecção na hora de renderizar é o que resolve o caso geral. E embaixo de tudo, a resistência a violação importa: uma camada de conteúdo que você consegue desligar, ou contornar com DNS cifrado no navegador, é uma camada que você vai derrotar à meia-noite.

Como bloquear a Pasta Segura do Android que esconde um navegador

A Pasta Segura no Android é um espaço isolado do sistema que pode guardar uma segunda cópia de um navegador, invisível para um bloqueador comum rodando do lado de fora, e a honestidade aqui é que nenhum app que você controla bloqueia esse espaço de dentro. O caminho que de fato fecha essa porta é no nível da conta: num aparelho gerenciado por uma conta de controle que outra pessoa administra, uma política de administrador de dispositivo pode proibir a criação da Pasta Segura, e sem ela o esconderijo do segundo navegador deixa de existir. A TKO’T roda no Mac e no iPhone, não no Android, então num Android use essa rota nativa, com a conta gestora na mão de alguém de confiança. O princípio é o de sempre nas portas laterais: feche o esconderijo no nível em que ele é criado, não tente caçar o que ele guarda.

A tela lê o que abre no visualizador, seja qual for o formato

A força da camada de tela é que ela não se importa com o formato do arquivo, só com os pixels que aparecem. Um leitor de PDF, um player de vídeo, uma página de quadrinho aberta num visualizador de imagens: tudo isso, no fim, vira a mesma coisa, conteúdo desenhado na tela. A camada de tela julga esse resultado renderizado e fecha a janela, sem precisar saber se a origem era um documento, uma planilha ou um vídeo, e sem nenhuma lista de arquivos para manter atualizada. É por isso que a abordagem cobre uma categoria inteira, e não um punhado de sites: a cobertura deixou de ser uma lista de endereços e virou uma regra sobre o que pode ficar visível.

Isso é o que separa um setup sério de um filtro que só conhece sites de tube. Os sites de tube são a parte fácil, qualquer lista pega eles. As portas que importam são as que se escondem atrás de domínios respeitáveis, documento, nuvem, arquivo, tradução, e a única coisa que todas têm em comum é que o conteúdo precisa renderizar para ser consumido. Guarde essa superfície, e o formato do disfarce deixa de ser problema seu.

Perguntas frequentes (FAQ)

Como bloquear sites de PDF e documentos que hospedam quadrinhos explícitos?

Duas camadas: bloqueie no DNS os hosts de documento que só servem ao bypass, e confie na detecção na tela, no aparelho, para os arquivos explícitos carregados pelas plataformas grandes que você não pode banir. O vigia de tela da TKO’T fecha a janela num quadrinho ou PDF explícito conforme ele renderiza, não importa o domínio confiável que serviu, que é a única abordagem que pega de forma confiável o cavalo de Troia do documento. Mantenha as plataformas legítimas acessíveis para o trabalho real.

Você não consegue bloquear o link por domínio sem perder o serviço legítimo, então julgue o conteúdo: uma camada de tela, no aparelho, fecha a janela quando uma imagem ou vídeo explícito renderiza, seja qual for o link de drive que entregou. Se um serviço de compartilhamento é, para você, só uma rota de bypass que você nunca usa, bloqueie ele no DNS também; mas a camada na hora de renderizar é o que resolve o caso geral, sem quebrar os arquivos de trabalho na mesma nuvem.

Como bloquear a Pasta Segura do Android que esconde um navegador?

Nenhum app que você controla bloqueia a Pasta Segura de dentro, então a rota honesta é no nível da conta: num aparelho gerenciado por uma conta de controle de outra pessoa, uma política de administrador de dispositivo proíbe a criação da Pasta Segura, e o esconderijo do segundo navegador some. A TKO’T cobre Mac e iPhone, não Android, então num Android use o controle nativo com a conta gestora na mão de alguém de confiança. Feche o esconderijo no nível em que ele é criado, em vez de caçar o que está dentro.

Por que um filtro de pornografia normal não pega PDFs e documentos explícitos?

Porque um filtro normal julga o endereço, e domínios de documento e de nuvem são legítimos e confiáveis, então o arquivo passa pegando carona na boa reputação da plataforma. O filtro está funcionando certo; a brecha é que ele nunca inspeciona o arquivo. Só uma camada que avalia o conteúdo renderizado, em vez do domínio de origem, fecha essa rota, e é por isso que a cobertura na tela é a metade inegociável de um setup sério.

Bloquear esses hosts quebra meus arquivos de trabalho?

Não precisa quebrar, e é esse o ponto de usar a camada certa: um bloqueador de tela só reage a conteúdo explícito, então documentos comuns de trabalho na mesma nuvem abrem normalmente. Reserve o bloqueio por DNS para os sites de documento que só servem ao bypass e que você nunca precisa de forma legítima, e mantenha as plataformas grandes acessíveis. Você perde os arquivos explícitos, não os seus documentos de verdade.