解释下“连过 SSH 本身就是特征”:比如说你想让 REALITY 伪装成外宾,GFW 却看到你连上同一 IP 的 SSH 传了一堆数据,这合适吗?其它协议同理。最佳实践是 SSH 也走代理,或者用 VPS 商家的 Web 终端。好消息是 GFW 尚未明显针对这一特征,坏消息是它可能是先藏着、默默监测。
👀38👍23😁7⚡2🔥2❤1
2. 他的项目(已被隐藏的)README 的说法错误百出,就是一个智商检测器,我是不敢碰了,怕被拉低水平
3. 前脚刚污蔑 REALITY 开 0-RTT 不安全,后脚自己开了能被重放的 0-RTT,6
❤31😁10👀6👍2🔥2⚡1
2. TLS 的 0-RTT 当然不安全,所以我根本就没有把它当成备选项,毕竟我们有一堆更好的方案
3. 他那东西搁谁看都是一个不安全版的 REALITY,在抄袭的基础上把一些不安全的东西放出来就沾沾自喜
4. 他又要说 REALITY 抄袭 ShadowTLS,首先它们的原理天差地别,完全是两种东西,他是揣着明白装糊涂。其次我 21 年初就提出了 ShadowTLS 的原理,你甚至可以去向 v2fly 求证,我还公开预告过,不是都给你看链接了?
5. 提醒一下他的“对比”故意避开了很多最关键的原理性异同,大多仅浮于形,避免暴露他换皮为主的事实,再给 REALITY 扣上个帽子,然而他拉来的“证据”ShadowTLSv3,其释出时间还晚于 REALITY,不尴尬吗?
👍29👀11😁5❤4🔥2
2. 就是因为你自己的研究不到位,弄出了很多不安全的设计,还觉得它是安全的,所以你的 README 才会错误百出。其实我之前就看过了,我的评价是
GitHub
关于通过源ip特征和主动访问识别reality的可能性 · Issue #2358 · XTLS/Xray-core
今天在群里看到有人提出了一个关于识别reality的方法 我根据我的理解和知识储备想了一下: 使用reality,对外的特征应该是做为目标域名的一个节点 此时如果使用的是访问量较为高的域名 比如www.microsoft.com,那么通过源ip特征,应该可以做为识别reality的一个很有意义的参考: 如果该ip确实是微软域名的一个节点,那么访问量应该很多,而且访问的源ip应该来自全国各地,...
👍17❤16👀10🔥2⚡1😁1
3. 简单来说因为 QUIC 支持连接迁移,所以偷别人的话能被 重定向精准识别,都不能用端口转发的借口来洗。所以 REALITY 支持 QUIC 后不会建议你去偷别人,而是偷自己当成 TUIC / Hysteria 来用。https://github.com/XTLS/Xray-core/discussions/1903#discussioncomment-5543921
4. 有位群友发现了华点,而且他也知道 TLS 的 0-RTT 不防重放,还拿来重点宣传。TLS 栈想开它不是轻轻松松,这有什么好得意的?哦对了,again,开它能被 重定向精准识别。
5. 既然对应上了他说的三个“最主要的点”,那我就补上:你的“不会每次都请求伪装站”的相关说法,一个主动探测就能精准识别。就是像以上这些东西,以及错误的说法充斥着你的项目,你让我怎么敢碰?
4. 有位群友发现了华点,而且他也知道 TLS 的 0-RTT 不防重放,还拿来重点宣传。TLS 栈想开它不是轻轻松松,这有什么好得意的?哦对了,again,开它能被 重定向精准识别。
5. 既然对应上了他说的三个“最主要的点”,那我就补上:你的“不会每次都请求伪装站”的相关说法,一个主动探测就能精准识别。就是像以上这些东西,以及错误的说法充斥着你的项目,你让我怎么敢碰?
GitHub
让reality支持quic? · XTLS Xray-core · Discussion #1903
有没有必要让reality支持quic来模拟http3? 还是说现在已经支持了?
👍20❤7👀2
我想说经历得不多就先多看,我搞出的新东西还少吗?Xray 一开始的周更你没经历过吧?我一直都是想法太多以至于实现一直在后面追,
我经常会指出一些问题,都是真实存在的风险,
👍68🔥6❤5⚡4
😁32👍5🔥5❤2
To https://t.me/projectXray/2661381
1. 自签证书不防主动探测,我只能说 good luck with that
2. 请给出信源,目前伊朗的情况研究到最后都是无脑封锁或限速
3. 不成立,why should we care?
1. 自签证书不防主动探测,我只能说 good luck with that
2. 请给出信源,目前伊朗的情况研究到最后都是无脑封锁或限速
3. 不成立,why should we care?
Telegram
Anshi in Project X
⠕⠎ ⡔⠕⡐⢑ ⡅⢤⠣ ⡢⠣⠑⢈⡔⠑⣈⠉⠪⣐⢁⠨⠌ ⠬⠒⠜⠰⢐⠒⠢⠤ ⣄⠃ ⣠⠔⠖ ⡈⢰ ⠥⠘⠓⡒⠉⠣⣂⡂⠃⢨⡐⠪ ⠍⣈⡒⠙⣄⡈⠋⠡⣠⠚⡨⡉⢘⡨⡆⣄⡉⢈
👍34❤8⚡4
Project X Channel
To https://t.me/projectXray/2661381 1. 自签证书不防主动探测,我只能说 good luck with that 2. 请给出信源,目前伊朗的情况研究到最后都是无脑封锁或限速 3. 不成立,why should we care?
根据 Aryan K. 的建议附上了回复的是哪一条消息;该回复对事不对人,请 Anshi 不要有心理压力,如果我说错了欢迎来 debate ;本频道不止有 Xray 的更新信息,就像在 Project X 群你甚至可以聊 Xray ,如果只想接收更新信息,建议使用 GitHub 的 Watch 功能
👍28😁7❤5
让你“偷别人”的 REALITY 更以假乱真
众所周知,IP 地址的使用权经常易主,所以不妨查一下上一个指向/存在于你 VPS IP 的域名,选择它作为目标网站。
众所周知,IP 地址的使用权经常易主,所以不妨查一下上一个指向/存在于你 VPS IP 的域名,选择它作为目标网站。
👍56😁26👀6❤3🔥2
Project X Channel
让你“偷别人”的 REALITY 更以假乱真 众所周知,IP 地址的使用权经常易主,所以不妨查一下上一个指向/存在于你 VPS IP 的域名,选择它作为目标网站。
补充说明:由于目标域名确实刚解析过该 IP,而你又很快用 REALITY 接上了,所以在外界看来该 IP 似乎并没有易主,有助于应对“收集所有解析 IP”类的威胁。该方法非常简单且广泛可用,若你开到了白名单域名解析过的 IP 就中大奖了。
👍60❤4🎉4🔥2⚡1👀1
感谢群友 b c 的测试,我们简单研究了河南新上的 SNI 黑名单,发现启用 TCP Timestamps 选项即可避免它的 RST 攻击式阻断,但若传播太广就
https://github.com/XTLS/Xray-core/issues/2426#issuecomment-1672957790
https://github.com/XTLS/Xray-core/issues/2426#issuecomment-1672957790
GitHub
河南新上的SNI/HOST黑名单墙 · Issue #2426 · XTLS/Xray-core
新开个issue,防止在别人的帖子回复时,打扰到别人.......
👍67❤14🔥3⚡2😁2
Forwarded from 风向旗参考快讯
MIT评论:无处不在的键盘软件成为数亿中国用户的隐私噩梦
对于数亿中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。 不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。
研究人员发现,并非每个单词都会传输到云端。“如果你输入nihao [中文‘你好’] 或类似的内容,[应用程序] 可以回答这个问题,而无需使用云数据库,”Knockel 说。“但如果你输入的内容更复杂,坦率地说,更有趣,它就必须访问云数据库。”
除了输入内容外,Knocker 和他的公民实验室同事还获得了其他信息,例如用户设备的技术标识符、进行输入的应用程序,甚至设备上安装的应用程序列表。
研究人员指出,许多恶意行为者都会有兴趣利用这样的漏洞并窃听击键,从获取私人信息(如街道地址和银行帐号)的网络犯罪分子到政府黑客。 一旦键盘应用程序遭到破坏,即使是其他离线应用程序(例如内置笔记本应用程序)也可能构成安全风险。
其他政府似乎也一直在关注加密数据传输的漏洞。例如,爱德华·斯诺登 (Edward Snowden) 2012 年泄露的一份文件显示,由加拿大、美国、英国、澳大利亚和新西兰组成的五眼情报联盟一直在谨慎地利用中国流行程序 UC 浏览器中的类似漏洞,拦截某些传输。
除了成为国家行为者的目标之外,通过键盘应用程序获取的击键信息还可以通过其他方式被出售、泄露或黑客攻击。2021年,有报道称广告商可以通过搜狗以及百度键盘和类似应用程序访问个人信息,并用其推送定制广告。
正如诺克尔指出的那样,使用搜狗和类似的应用程序总是会带来安全风险,特别是在中国,因为所有中国应用程序都必须在政府要求的情况下交出数据。
—— 麻省理工科技评论 (节选)
对于数亿中国人来说,他们在新笔记本电脑或智能手机上下载的第一个软件始终是相同的:键盘应用程序。然而,他们中很少有人意识到,这可能会让他们输入的所有内容都容易受到监视。
多伦多大学附属研究小组公民实验室最近发布的一份报告显示,最受欢迎的中文键盘应用程序之一的搜狗存在巨大的安全漏洞。搜狗的加密系统可以被利用来拦截和解密人们正在输入的内容。 不能保证这是该应用程序中的唯一漏洞,研究人员也没有检查中国市场上其他流行的键盘应用程序,这意味着这款无处不在的软件将继续对数亿人构成安全风险。
研究人员发现,并非每个单词都会传输到云端。“如果你输入nihao [中文‘你好’] 或类似的内容,[应用程序] 可以回答这个问题,而无需使用云数据库,”Knockel 说。“但如果你输入的内容更复杂,坦率地说,更有趣,它就必须访问云数据库。”
除了输入内容外,Knocker 和他的公民实验室同事还获得了其他信息,例如用户设备的技术标识符、进行输入的应用程序,甚至设备上安装的应用程序列表。
研究人员指出,许多恶意行为者都会有兴趣利用这样的漏洞并窃听击键,从获取私人信息(如街道地址和银行帐号)的网络犯罪分子到政府黑客。 一旦键盘应用程序遭到破坏,即使是其他离线应用程序(例如内置笔记本应用程序)也可能构成安全风险。
其他政府似乎也一直在关注加密数据传输的漏洞。例如,爱德华·斯诺登 (Edward Snowden) 2012 年泄露的一份文件显示,由加拿大、美国、英国、澳大利亚和新西兰组成的五眼情报联盟一直在谨慎地利用中国流行程序 UC 浏览器中的类似漏洞,拦截某些传输。
除了成为国家行为者的目标之外,通过键盘应用程序获取的击键信息还可以通过其他方式被出售、泄露或黑客攻击。2021年,有报道称广告商可以通过搜狗以及百度键盘和类似应用程序访问个人信息,并用其推送定制广告。
正如诺克尔指出的那样,使用搜狗和类似的应用程序总是会带来安全风险,特别是在中国,因为所有中国应用程序都必须在政府要求的情况下交出数据。
—— 麻省理工科技评论 (节选)
😁73👍23👀15⚡4🔥3❤2
Xray-core v1.8.4 已被标记为 Latest,该版本修复了 v1.8 系列的一些问题,且两天的测试期间无人报告新问题,建议所有人升至该版本,标记为 Latest 仅为了方便拉取。该版本由 Go 1.21 编译,手动编译需要使用 Go 1.20+。
v1.8.5 主要会加入 Vision Seed 支持,Xray 的开发目标主要为 anti-censorship,由于其特殊性,我们的 z 版本还会包含作为 anti-censorship 功能的 bug fix,v1.8 系列加了 Seed 才完整,我们希望每一个 y 版本至少在可预见的一段时期内稳定可用。
v1.8.5 主要会加入 Vision Seed 支持,Xray 的开发目标主要为 anti-censorship,由于其特殊性,我们的 z 版本还会包含作为 anti-censorship 功能的 bug fix,v1.8 系列加了 Seed 才完整,我们希望每一个 y 版本至少在可预见的一段时期内稳定可用。
GitHub
Release Xray-core v1.8.4 · XTLS/Xray-core
Note
此为最后一个支持 win 7 的版本
因为 golang 1.21 已放弃支持一些过老的系统
其余不再支持的系统名单详见 https://tip.golang.org/doc/go1.20
Features
路由 attr 支持正则表达式 用以更好替代 Starlark #2258 @yuhan6665
配置文件支持后缀名 jsonc #2398 @flowerinsnowdh
...
此为最后一个支持 win 7 的版本
因为 golang 1.21 已放弃支持一些过老的系统
其余不再支持的系统名单详见 https://tip.golang.org/doc/go1.20
Features
路由 attr 支持正则表达式 用以更好替代 Starlark #2258 @yuhan6665
配置文件支持后缀名 jsonc #2398 @flowerinsnowdh
...
❤114🎉35👍28🔥6⚡5😁3👀2
Project X Channel pinned «Xray-core v1.8.4 已被标记为 Latest,该版本修复了 v1.8 系列的一些问题,且两天的测试期间无人报告新问题,建议所有人升至该版本,标记为 Latest 仅为了方便拉取。该版本由 Go 1.21 编译,手动编译需要使用 Go 1.20+。 v1.8.5 主要会加入 Vision Seed 支持,Xray 的开发目标主要为 anti-censorship,由于其特殊性,我们的 z 版本还会包含作为 anti-censorship 功能的 bug fix,v1.8 系列加了 Seed 才完整,我们希望每一个…»