💬 New comment on Xray-core#5645 XDRIVE transport: The first remote-storage-service-based proxy, ignoring IP whitelists
by @RPRX

群里有一个~~致力于帮助土库曼斯坦的俄语群友~~提到了 domain fronting（任意 SNI 但目标网站只看内层 HTTP host），~~我突然觉得 XDRIVE 有大用处~~，因为众所周知除了 fastly 外绝大多数 CDN 是不支持这个的，**但是其它网站基本上都有默认证书且只看内层 HTTP host**，XDRIVE 将只自动填写 HTTP host，连接目标为 address，且使用 TLS 处填的 SNI、verifyPeerCertByName、是否 h3 等

~~这下完美融入 Xray-core 的框架了~~

Reply to this message to post a comment on GitHub.

今天早上，准备离开泉州，泉州是我旅行的其中一站，我是故意选择泉州旅行去体验传说中的白名单的，（上一站是漳州，所有自建节点完全正常）。

个人认为，泉州白名单确实存在，不是传说，客户端用 QuantumultX ，我实测的结果如下：

1.）只针对用域名+TLS 的翻墙，所有 CDN 阵亡、所有 WS+TLS 、XTLS Vision(TCP)、TLS+TCP 阵亡。

2.) 非白名单网站，无论套了 CF CDN / AWS CDN 还是直连，就算用普通浏览器打开 https://也打不开，(最简单用自己的域名试便知道了）。

3.）非 TLS 翻墙，例如 SS2022 / VMESS / VMESS+WS （过 AWS CDN)，无论用域名还是 IP 都可以正常使用。

4.）偷白名单网站证书的 Reality ，能够正常使用。

5.） DNS 无论是境外还是自建的 DOH ，全部阵亡，但我自建的境外 DOQ 能用，(走 udp 443 端口）..

希望对大家了解泉州白名单有所帮助。

非tls反而正常

reality赢

AI 还没有看到后面我写的“不正经用法”，我再解释下：

1. 绝大多数网站支持 domain fronting（CDN 一般只支持同一个账号下的），再加上大站都有 anycast 提供了合理性，也就是说比如即使 SNI www.googleapis.com 被封，你使用 www.google.com 作为 SNI 也能连上，审查者看不到内层 HTTP host 所以无法阻断连接，除非封掉整个 IP，附带伤害拉满
2. 绝大多数网站的 TLS 配置，若 SNI 不存在于服务器上则会返回“默认证书”，也就是说你甚至可以使用 www.example.com 作为 SNI，然后 verifyPeerCertByName，审查者需要实时维护一份庞大、精确的 IP-SNI 列表才能封掉这种方法（CDN 的话只有少数比如 fastly 支持这种任意域前置）
3. XDRIVE 理论上可以利用任何网站而不止是“正经远程存储服务”，比如伊朗能用 ChatGPT，那么完全可以把流量 base64 后作为草稿写入、另一端读取，所以审查者搞 IP 白名单已经没用了，想要封掉 XDRIVE 只能完全断外网

Dear friends!

The Chinese New Year is just around the corner.
On this festive occasion, we’d like to remind you that if you have the desire and the means, you can support and delight the xray developers for the work they’ve done by showing your appreciation in any way that’s convenient for you.

https://xtls.github.io/about/sponsor.html

Even the smallest gesture of support can become part of the big holiday spirit ❄️🌲🐎🔥

Latest: https://github.com/XTLS/Xray-core/releases/tag/v26.2.6

新增了 XHTTP 的一些选项，Finalmask UDP 的 XICMP、XDNS 等

Xray-core HTTP 请求的 User-Agent 均由 Go 改为动态 Chrome

你甚至可以给 WireGuard 套上 Salamander、header-*、XICMP

延时自动禁用 TLS 的 allowInsecure（UTC 2026.6.1 00:00），请使用 pinnedPeerCertSha256 和 verifyPeerCertByName 代替，分享链接标准已更新 pcs、vcn，订阅加上它们即可同时兼容新旧版本

- TRX(Tron)/USDT/USDC: TNrDh5VSfwd4RPrwsohr6poyNTfFefNYan
- TON: UQApeV-u2gm43aC1uP76xAC1m6vCylstaN1gpfBmre_5IyTH
- BTC: 1JpqcziZZuqv3QQJhZGNGBVdCBrGgkL6cT
- XMR: 4ABHQZ3yJZkBnLoqiKvb3f8eqUnX4iMPb6wdant5ZLGQELctcerceSGEfJnoCk6nnyRZm73wrwSgvZ2WmjYLng6R7sR67nq
- SOL/USDT/USDC: 3x5NuXHzB5APG6vRinPZcsUv5ukWUY1tBGRSJiEJWtZa
- ETH/USDT/USDC: 0xDc3Fe44F0f25D13CACb1C4896CD0D321df3146Ee

Project X, REALITY NFT: https://opensea.io/collection/xtls
VLESS NFT: https://opensea.io/collection/vless
Sponsor Xray-core: https://github.com/XTLS/Xray-core/issues/3668

这就是我的理念：软件必须从根本上做好安全设计、消除人为因素影响，确保即使是什么都不懂的 endest user 也不至于裸奔。从要求面板必须加密，到推动弃用非前向安全的加密，再到最近的移除无条件 allowInsecure、要求必须 pin 证书，再到即将到来的禁止公网未加密出站，都是遵循这个理念。如果有些人觉得无所谓，回想当初要求面板必须加密时也就是伊朗人的反对声音最大，再去看看伊朗最近的局势，街头抗议光是死亡就有上万人，等把你清单拉出来的时候你才会后悔。

吸引国内火力这一块

我宣布 Xray-core 仅针对俄罗斯伊朗 GFW，禁止在中国大陆内使用

具体而言，本项目的功能仅针对它们开发，若中国也能用则纯属意外

理论上若以中国人的身份开个机场但把中国 IP 屏蔽了并没有任何问题

“你父母说我儿子天天折腾前向安全加密，内容绝对不会被中间人看到”

人家公开征求意见，我只是提出了我的意见罢了

在我看来《网络犯罪防治法》（征求意见稿）唯一的进步是“翻墙相关不入刑”，毕竟以前想判你但实际上是无法可依、法无禁止皆可为，只能安上奇奇怪怪的入刑的罪名，辩护律师找得好还能给辩个无罪释放，新法补上了这个漏洞并且专注于搞钱，辅以十几天的收留教育，但是给你来个“数罪并罚”的话也不是不能把你送进去

最大的退步是新法实质上违宪，虽然宪法也不是不能改，但是按人类社会的进步速度来说相关条款可能几十年后就会被推翻了，到时候各种翻案追责清算是少不了的，成堆的国家赔偿也是一大笔纳税人的钱

最大的破坏力在于新法把“使用”也纳进去了，属于是新时代偷听敌台版寻衅滋事罪，原来承德程序员事件只是开端啊？友邦惊诧，国内社会从此进入“黑暗森林”时代，但凡是个程序员、相关专业大学生、高知分子搞科研写论文、稍微有点规模的公司、靠国外平台创收的、在国外社媒有影响力的比如明星、回国人员、长期旅居中国的外国人等哪个不翻墙？天天扩容国际出口真不知道啥流量？一举报一个准，把如此广泛的日常行为定义为“违法”，开庭了被告说谁谁谁也这样怎么没事？到时候你举报我我举报你警察都不够用，大家就看乐子吧，都不用境外势力，国内的科研、经济、外贸、对外文化等直接就被这颗“智子”给锁死了，肯定会乱成一锅粥，什么拍脑门立法国际笑话，反正预言又放这儿了

当然了也不是没有补丁，人家说了得“违反国家有关规定”，那完全可以出一个规定，规定谁谁谁翻墙浏览所谓的违法信息并不违法，？本来以为大家都是无产阶级原来还有人上人的，新法一旦实施运营商的国际专线都能达成这效果直接违法，但毕竟最终解释权全凭领导心情，这就是我早就说过的中国的法治实质上是“赋予人治以合法性”，法律条文里全是这种东西还说是“依法治国”？你这立法科学吗不就是为了普遍违法加选择执法？你法我笑还差不多

昨晚爽玩一晚上hysteria2，今天就发现被q了

昨晚100+网速，今天变成20