下个版本我们会为 XMUX 预设非无限的默认值，把 SplitHTTP 和 HTTP 合并为 XHTTP 传输层（相当于 SplitHTTP 支持了 REALITY，HTTP 也有了默认的 header padding 和 XMUX），XHTTP 允许通过 path 配置参数以方便 GUI 客户端与分享。

https://github.com/XTLS/Xray-core/releases/tag/v24.9.30

https://t.me/projectXray/3985580

有没有一种可能，正经选项已经加完了，但最流行的 GUI 客户端比如 v2rayN&G 并没有加上这些选项，其次每加一个选项都要更新分享链接标准、等待各个 GUI 跟进更是灾难。允许通过 path 配置参数（或者像 seed 单独出一个聚合选项）是合适的解决方案，而不是你以为的屎山。

https://t.me/projectXray/3985663

人家就做过点贡献就不该被喷就“说这些不是没有道理”，真的好搞孝啊，他喷我的时候又没见你出来论贡献😅何况 XHTTP 本来就是 Xray 的协议，有些人都能说出应该是客户端适配内核而不是内核适配客户端，没见有人说出其它内核若要加该协议应适配 Xray 而不是 Xray 顾虑其它内核，又搞孝了😅

https://t.me/projectXray/3986173

还是那句话，有没有一种可能，Xray 是第一个用 ws header 加 early data 的，用哪个 header name、怎么配置自然是我定的，破坏 tm 和其它项目的兼容性？其它项目都是后来才支持 ws header early data。至于 REALITY，有没有一种可能，当时其它项目都把 VLESS 列为 deprecated，我加个 Xray 版本号又说不考虑其它项目？

https://t.me/projectXray/3987393

有时候真的很心累，我给那些面板说 不要搞明文 HTTP 以避免被记录，总有人跳出来说随机路径防主动探测，这都什么跟什么，感觉在对一群牛弹琴😅

💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX

https://t.me/projectXtls/370

我发起这个 PR 的核心意图是给这些面板说：**不要搞明文 HTTP 以避免被记录**

我不懂为什么这个难以理解，为什么不断有人提 irrelevant 的“随机路径”

甚至有支持这些面板的 end-users 给我点 thumbs-down，不知道你们有没有注意到，APT-ZERO 是第一个，你们正在追寻他

多少有点搞笑，不是，是太搞笑了

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX

我推荐 SSH 端口转发的原因是，**每个桌面操作系统都内置了 SSH，只需要一条命令即可开启端口转发，并不困难**

自签 TLS 证书的特征过于明显，并且要占用 443 端口，会和 REALITY 冲突（非自签可能也是），所以我不推荐

至于 @mmmray 提到的订阅，我认为客户端应要求正常的 HTTPS，毕竟订阅可以是独立的地址，不需要和节点们在同一机器上

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX

在这里建议再多，至今也没有一个面板遵循安全建议，就差把那行 SSH 端口转发命令贴上来了。**协议设计得再好，GFW 还是能通过明文 HTTP 拿到你的对称密码来解密流量、拿私钥来中间人攻击，或者直接封锁服务器，然后小白们又会叫“Xray 被封了”。**

我觉得非 core 开发者，以及数量最多的、这些面板最广泛的支持者们（小白）是因为缺乏专业知识而没有意识到问题的严重性。

或许我应该直接给他们说：**你一次 HTTP 明文，只要 GFW 想，你后续的代理流量对它来说都是明文，TLS、REALITY 形同虚设。**

现在意识到这个问题有多严重了吗？

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX

> 虽然我觉得这样管太宽不好

不是管太宽，**这就是目前 Xray 生态中最大的安全漏洞，因为用面板的人是最多的，可视化的东西对新手来说是最简单的**

想象一下，你是一个新手，翻出来一段时间后想自建，YouTube 上基本都是教你用面板，然后 http//ip，bingo

很难想象去年我第一次看到这样的视频时，看到 http://ip 时有多震惊，我都没想过还能有这种操作

保守估计 80% 以上的 Xray 服务端都是这样搭的，~~再这样下去我可要写 panel-killer 了，把你上 pornhub 的记录都列出来~~

Reply to this message to post a comment on GitHub.

但是这个明显太偏向世界了吧

💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX

> what's wrong with you?
> instead of removing them, help them or give them the solutions
> you act like dictators

这位朋友更是重量级，是看不懂字还是，**这个 PR 的目的不就是让他们改？怎么改已经说了，况且只列出安全的面板是我们的权利**

就你这智商和理解能力也配给我点 thumbs down？鉴定为 APT-ZERO 二号，blocked @zoheirkabuli

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX

我一直认为，言论应当自由，但是不让你在我眼前疯狂拉屎也是我的自由，以前我最讨厌 ban 人，现在我，~~质疑，理解，成为~~

> 面板干啥本来就不是核心开发者该管的事
> 干你自己的事不就行了么
> 就这点气量还在那天天做梦统领翻墙社区呢

如果这些面板不用 Xray，那我确实没权力管，**但是你弄个 based on Xray，然后搞明文 HTTP，并且有那么多人用，那我不得不管**

虽然我对用户并不需要负什么责任，**但是放着这种事情不管只能说是没有良心**，对不起我们的影响力（如果某人觉得有的话）

**其实判断对不对只需要一个标准，那就是是否有利于 GFW**，我不喜欢阴谋论，但是我推这个明显有些人急了，是什么成分很难说

> damn, they insult the father of REALITY for no reason
> what is wrong with them

其实这倒没有什么，但不要明显反智，比如支持明文 HTTP 行为，**再次提醒，任何人都能注册个账号说上几句，你能，GFW 也能**

Reply to this message to post a comment on GitHub.

https://t.me/projectXtls/347?comment=3994410

昨天最后一个 0.1ETH 的 Project X NFT 已被买走，现在只有 0.15ETH 和 0.2ETH 的了，还有风扇被盗的那两个 NFT，其中一个正在以 0.5ETH 的价格出售

💬 New comment on Xray-core#3816 REALITY: Unblock SplitHTTP transport
by @RPRX

我一直认为 @mmmray 是将 SplitHTTP 重命名为 XHTTP 的最佳人选，so，the plan is：

1. 将 HTTP 传输层的 H2、H3 并入 SplitHTTP，同样默认有 header padding 和 XMUX，同时 SplitHTTP 也支持了 REALITY
2. 支持旧版配置的转译，提醒迁移，v25 删掉转译代码
3. 若写 XHTTP，安全选 REALITY 时默认 HTTP，否则 SplitHTTP
4. XHTTP 独立给出一个选项填 querystring，可等价配置所有参数，分享链接会支持这个 querystring，不设其它参数
5. XGRPC 也是独立给出一个选项填 querystring，同上

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#3816 REALITY: Unblock SplitHTTP transport
by @RPRX

说下“上下行分离”，虽然 XHTTP 有这个能力，但我更想把这个能力加给 VLESS，从而不限制传输层，~~虽然 XHTTP 哪都能用~~

好处可以是“透传”，即我计划以后 VLESS 互转时，如 VLESS 自带加密中转 VLESS TLS/REALITY 时可以原样转发内层 VLESS 裸协议，这包括“上下行分离”的 UUID、XUDP 的 Global ID、时间戳、flow seed 等，或者可以配置只转发一部分，只是初步的想法

由此带来了“打通最初一公里”，即由 VLESS 自带加密取代 Shadowsocks，本来不想把前者弄成全随机数，现在得 reconsider 了

Reply to this message to post a comment on GitHub.

💬 New comment on Xray-core#3816 REALITY: Unblock SplitHTTP transport
by @RPRX

> vless随机数和shadowsock有什么区别啊

除了上面提到的那些东西外，最大的区别是 VLESS 自带加密有公私钥，类似于 REALITY 的 Session ID，~~还有其实能开 XTLS 裸奔~~

Reply to this message to post a comment on GitHub.

Xray-core v24.10.16: https://github.com/XTLS/Xray-core/releases/tag/v24.10.16

昨天已售出第一个 0.15 ETH 的 Project X NFT，感谢支持！主要是在 0.1 ETH 横盘了近两个月，为了更充分体现“越早越便宜”的原则，今天把待售的 NFT 改为了 0.16、0.17 到 0.25 ETH 逐个递增。REALITY NFT 预计有一万个（送两个），0.01 ETH 一个，以便作为日常捐款途径。

https://github.com/XTLS/Xray-core/discussions/3633