Forwarded from Yaka
Project X Channel
然后因为自己的安全问题真被喝茶了 这下逻辑闭环了
最幽默的是之前一哥们协议被封了让我帮搭一个不被封的,然后甩手丢给我一个公网开放的http://ip+端口
Forwarded from GitHub
🔨 1 new commit to Xray-core:main:
94338c9: README.md: Only list secure web panels (#3884)
* README.md: Only list secure web panels
* List Marzban
* List Xray-UI
* List Hiddify
* Add warning
* Update warning by RPRX
94338c9: README.md: Only list secure web panels (#3884)
* README.md: Only list secure web panels
* List Marzban
* List Xray-UI
* List Hiddify
* Add warning
* Update warning by RPRX
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
我已经厌倦了叫你们仅支持 HTTPS 或 SSH port forwarding,**后者并没有任何难度,我替你们想不出任何不支持的理由**,反正不支持的会被我视为已被 GFW 收买,随便你们去写 3S-UI 或者什么,反正不要来污染 Xray 的生态。
Reply to this message to post a comment on GitHub.
by @RPRX
我已经厌倦了叫你们仅支持 HTTPS 或 SSH port forwarding,**后者并没有任何难度,我替你们想不出任何不支持的理由**,反正不支持的会被我视为已被 GFW 收买,随便你们去写 3S-UI 或者什么,反正不要来污染 Xray 的生态。
Reply to this message to post a comment on GitHub.
Warning: These panels are verified to support HTTPS or SSH port forwarding only. Please DO NOT use plain HTTP panels like 3X-UI, as they are believed to be bought by Iran GFW and your data security will be dangerous. If you are already using 3X-UI, please switch to the following panels.
https://github.com/XTLS/Xray-core#installation
https://github.com/XTLS/Xray-core#installation
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
@Fangliding Plain HTTP 百害而无一利,明明 SSH port forwarding 就能解决的问题却不做,我只能认为他们被 Iran GFW 收买了。**不要唱反调否则你也会被认为是 GFW 的卧底。**
Reply to this message to post a comment on GitHub.
by @RPRX
@Fangliding Plain HTTP 百害而无一利,明明 SSH port forwarding 就能解决的问题却不做,我只能认为他们被 Iran GFW 收买了。**不要唱反调否则你也会被认为是 GFW 的卧底。**
Reply to this message to post a comment on GitHub.
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
群里说得很好,不是有油管博主吗,一条命令又不是复杂的事,叫你们禁止 plain HTTP,又不是不让你们配置面板,**就算是小白,既然能通过 SSH 安装面板,一条命令开启 SSH port forwarding 又没有任何难度,有什么理由还支持 plain HTTP?再给我编**
Reply to this message to post a comment on GitHub.
by @RPRX
群里说得很好,不是有油管博主吗,一条命令又不是复杂的事,叫你们禁止 plain HTTP,又不是不让你们配置面板,**就算是小白,既然能通过 SSH 安装面板,一条命令开启 SSH port forwarding 又没有任何难度,有什么理由还支持 plain HTTP?再给我编**
Reply to this message to post a comment on GitHub.
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
> 我一直是想让人知道这是什么 知道为什么该或者不该这样做 不是强制给人做决定
这个说法是不成立的,如果有一件东西明明能设计得更安全却不做,故意留着不安全的设计加一个没什么人在意 warning 导致大多数人尤其是新手自然滑落至不安全的设计(甚至 Marzban 改了后有人转用 3X-UI),在我看来非蠢即坏。
我不知道你是哪里没想通,安全的设计并非恶意“强制”,就像我们的分享链接标准从一开始就不支持 allowInsecure,以及我们的 uTLS 禁止被修改 ALPN,以及 REALITY 中存在的不受人为因素影响的安全设计,为什么到面板这里就要允许不安全?
我再举个形象的例子,你设计个手榴弹,明明可以设计个拉环,非要设计成一磕就炸,然后说我们不想强制让人使用拉环,并且已经警告了一磕就炸,结果导致无数非预期的爆炸,这显然是不对的,而 SSH port forwarding 就是那个拉环。
Reply to this message to post a comment on GitHub.
by @RPRX
> 我一直是想让人知道这是什么 知道为什么该或者不该这样做 不是强制给人做决定
这个说法是不成立的,如果有一件东西明明能设计得更安全却不做,故意留着不安全的设计加一个没什么人在意 warning 导致大多数人尤其是新手自然滑落至不安全的设计(甚至 Marzban 改了后有人转用 3X-UI),在我看来非蠢即坏。
我不知道你是哪里没想通,安全的设计并非恶意“强制”,就像我们的分享链接标准从一开始就不支持 allowInsecure,以及我们的 uTLS 禁止被修改 ALPN,以及 REALITY 中存在的不受人为因素影响的安全设计,为什么到面板这里就要允许不安全?
我再举个形象的例子,你设计个手榴弹,明明可以设计个拉环,非要设计成一磕就炸,然后说我们不想强制让人使用拉环,并且已经警告了一磕就炸,结果导致无数非预期的爆炸,这显然是不对的,而 SSH port forwarding 就是那个拉环。
Reply to this message to post a comment on GitHub.
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
@Krr0ptioN 我已经不想在无意义的讨论中浪费时间了,但我必须指出你的问题
> Banning plain HTTP is a task that should be handled either by the operating system or the webserver library we use. You are free to ask the Linux kernel/Uvicorn to enforce such restrictions.
Plain HTTP 是一项客观存在的技术,但应用层可以选择禁用,**否则照你的逻辑,Chrome 等浏览器就没必要推动默认 HTTPS 了**
> We have considered providing a script for configuring SSH port forwarding, but if the end user doesn't know the server's public key, a MITM attack becomes quite easy; And we are not going to create false sense of security.
针对 SSH 进行 MITM 攻击会被发现并 **上新闻**,比如历史连接过的 SSH 会发现 server's public key 变了,所以大新闻出来前 SSH 是相对安全的,~~谁也不想自己的国家上这种新闻吧,毕竟有前车之鉴~~
> Given all this, we are not accusing you or anyone else who suggests or supports these ideas of cooperating with the GFW and wasting our time. We ask that you do the same. Think carefully and exercise professional courtesy by making judgments based on technical details.
恰恰相反,我 making judgments 就只会理性地 based on technical details,否则基于情感的话 3X-UI 是一直挺支持 Xray 的
玩过狼人杀吗,发言听听就好,票形更重要,狼人嘴上说着支持真预结果最关键的放逐环节直接冲票真预,这能是好人?
Reply to this message to post a comment on GitHub.
by @RPRX
@Krr0ptioN 我已经不想在无意义的讨论中浪费时间了,但我必须指出你的问题
> Banning plain HTTP is a task that should be handled either by the operating system or the webserver library we use. You are free to ask the Linux kernel/Uvicorn to enforce such restrictions.
Plain HTTP 是一项客观存在的技术,但应用层可以选择禁用,**否则照你的逻辑,Chrome 等浏览器就没必要推动默认 HTTPS 了**
> We have considered providing a script for configuring SSH port forwarding, but if the end user doesn't know the server's public key, a MITM attack becomes quite easy; And we are not going to create false sense of security.
针对 SSH 进行 MITM 攻击会被发现并 **上新闻**,比如历史连接过的 SSH 会发现 server's public key 变了,所以大新闻出来前 SSH 是相对安全的,~~谁也不想自己的国家上这种新闻吧,毕竟有前车之鉴~~
> Given all this, we are not accusing you or anyone else who suggests or supports these ideas of cooperating with the GFW and wasting our time. We ask that you do the same. Think carefully and exercise professional courtesy by making judgments based on technical details.
恰恰相反,我 making judgments 就只会理性地 based on technical details,否则基于情感的话 3X-UI 是一直挺支持 Xray 的
玩过狼人杀吗,发言听听就好,票形更重要,狼人嘴上说着支持真预结果最关键的放逐环节直接冲票真预,这能是好人?
Reply to this message to post a comment on GitHub.
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
@Krr0ptioN 我觉得其它的讨论没有什么意义,只回复第一段
> Even common web browsers still allow using http. It should be pretty obvious that we're providing a configurable application and don't accept dropping a widely supported technology, even if It's insecure. The user should know how to use it.
浏览器客观上无法完全 drop plain HTTP,但 allow 不等于 prefer,如果我没记错的话,Chrome 现在已经默认 HTTPS 优先了
但是 Xray 的 panels 可以完全 drop 公网 plain HTTP 而不会导致用户不能配置面板,**并不会像浏览器一样会导致功能缺失**
你们不仅是在提供一个 configurable application,**也是在提供一个关乎安全的 application**,所以要尽可能采取安全的设计。显然 widely supported technology 不等于 secure technology,你也说了它是 insecure。关于 diversity,我想请你回答一个问题:你提供 insecure 的公网 HTTP,然后用户使用了它,**对用户到底有什么好处**?你们不能仅是打着 diversity 的旗号说“我们不能 drop widely-supported plain HTTP”,**而答不上来任何好处**,更不用说留着 plain HTTP 已经导致大量懒人、小白直接使用它并被 GFW 记录。
Reply to this message to post a comment on GitHub.
by @RPRX
@Krr0ptioN 我觉得其它的讨论没有什么意义,只回复第一段
> Even common web browsers still allow using http. It should be pretty obvious that we're providing a configurable application and don't accept dropping a widely supported technology, even if It's insecure. The user should know how to use it.
浏览器客观上无法完全 drop plain HTTP,但 allow 不等于 prefer,如果我没记错的话,Chrome 现在已经默认 HTTPS 优先了
但是 Xray 的 panels 可以完全 drop 公网 plain HTTP 而不会导致用户不能配置面板,**并不会像浏览器一样会导致功能缺失**
你们不仅是在提供一个 configurable application,**也是在提供一个关乎安全的 application**,所以要尽可能采取安全的设计。显然 widely supported technology 不等于 secure technology,你也说了它是 insecure。关于 diversity,我想请你回答一个问题:你提供 insecure 的公网 HTTP,然后用户使用了它,**对用户到底有什么好处**?你们不能仅是打着 diversity 的旗号说“我们不能 drop widely-supported plain HTTP”,**而答不上来任何好处**,更不用说留着 plain HTTP 已经导致大量懒人、小白直接使用它并被 GFW 记录。
Reply to this message to post a comment on GitHub.
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
> @RPRX ئێمە ناچین لەگەڵیدا بگونجێنین.
你看这就是问题所在,让你们禁用导致大多数人滑落明文 HTTP 的设计,你们不禁用,问你们这东西对用户有什么好处,你们答不上来一点,最后给我来一句反正我们就是不会禁用公网 HTTP,讲真 GFW 做梦都要笑醒,真的别怪我说你们被 GFW 收买了
Reply to this message to post a comment on GitHub.
by @RPRX
> @RPRX ئێمە ناچین لەگەڵیدا بگونجێنین.
你看这就是问题所在,让你们禁用导致大多数人滑落明文 HTTP 的设计,你们不禁用,问你们这东西对用户有什么好处,你们答不上来一点,最后给我来一句反正我们就是不会禁用公网 HTTP,讲真 GFW 做梦都要笑醒,真的别怪我说你们被 GFW 收买了
Reply to this message to post a comment on GitHub.
Forwarded from GitHub
💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @RPRX
@mmmray 还有,你说我的 statement 是 damaging the community,**然而我并不认为无脑支持 plain HTTP 的面板是 community 的一员,我不需要这种人**,隔壁有 v2fly 有 sing-box 有 clash.meta,无论他们给谁写面板,我的看法就是反正别来祸害 Xray
Reply to this message to post a comment on GitHub.
by @RPRX
@mmmray 还有,你说我的 statement 是 damaging the community,**然而我并不认为无脑支持 plain HTTP 的面板是 community 的一员,我不需要这种人**,隔壁有 v2fly 有 sing-box 有 clash.meta,无论他们给谁写面板,我的看法就是反正别来祸害 Xray
Reply to this message to post a comment on GitHub.
Forwarded from 🙈🙈🙈
所以plain http不是伤害社区的行为吗😂,给gfw递刀子,暴雷的时候就把锅甩给xray,面板美美隐身