💬 New comment on Xray-core#3884 README.md: Only list secure web panels
by @LimonJohn

I completely agree with @monhacer and @MHSanaei that software should operate in an insecure mode by default. I propose to extend this principle to hardware as well:

1. Let’s do the wiring without insulation. We are free people; those who need it can insulate the exposed wires themselves.
2. Remove pedestrian crossings, road markings, and traffic lights by default. Let people decide for themselves where and how to cross the road, which lane to drive forward, etc. People will figure it out on the spot.
3. Design and build nuclear power plants without any safety systems. Operators are free individuals; if they want, they can just redesign the power station."

Reply to this message to post a comment on GitHub.

For Persian-speaking users: https://t.me/projectXhttp

When we created the telegram group for Russian, we thought there's no need to create a group for Iranians, because they have their own groups. But we were wrong, as we just realized that the discourse power has been controlled by some people who lack security awareness. So, we've created a telegram group for Iranians.

我看到这条消息下面有一些辩论，我的看法是：
1. 中国人已经对付 GFW 十几年了，每个人都积累了大量经验，连我的专用 GitHub 账号都有五年了，而你们才刚开始两年，就觉得自己足够 clever、比我们的大量经验还 clever、不听建议，时间会证明你们的自以为是是错误的
2. 我说过，软件水平不等于反审查水平，同理，面板好用不等于它的反审查能力强，这完全是两回事，在反审查方面应当采纳反审查项目的建议，而非面板项目的建议
3. 虚拟货币的钱包地址本来就是公开的、交易人人可查的，不然就去用隐私币。有人一边说不该去看人家的钱包，一边支持 GFW 查看你的明文 HTTP 通信内容，这是双标还是精神分裂？

还有新建的群组里有人发起投票，是否转用基于隔壁项目的面板，事实上我完全不 care。还有，隔壁不喜欢几乎任何衍生项目，比如“代码质量较差且包含广告”，再多整些默认明文 HTTP 的面板，估计能把人家气吐血。还有的投票提到了对于我的 respect，了解我的人都知道，这我就更不 care 了，对于我认为正确的事情，我一向有啥说啥，从来不会管是否会冒犯到谁。

新的一天，新的 PUA，我们的反审查之路，经历了：
- 明文 HTTP 关键词被阻断
- VPN 协议被封禁
- SS 被主动探测而被封 IP、锱铢必较
- SS 等全随机数流量直接被封 IP
- TLS 被过滤 SNI，甚至有白名单
- TLS 类代理被检测出 TLS in TLS 而被封端口

尤其是在 SS 时代，我们是逐个字节来分析它有没有暴露服务器是代理，有大量锱铢必较的研究，而现在你们直接默认明文 HTTP 访问面板、全盘托出，直接给我们干破防了。所以你们到底有没有反思过为什么知名反审查项目宁愿毁了自己的生态、面板不更新后还要天天说这件事？因为你们这件事干得就特别离谱，让世界各地大量小白踩坑明文 HTTP，把密码、私钥都交给 GFW，已经没有比这更大的安全漏洞了。所以在指责我说你们面板作者受贿并检查钱包地址前，反思一下你们自己错在哪里。我们这边几乎一致认为你们应当禁用明文 HTTP，反思一下自己有什么水平和知名反审查社区一边倒的意见对着干。

其实他们的 GFW 肯定会专门拦截这种奇怪的 HTTP 流量，反而包含密码、私钥的面板流量会被放行，到那时候他们才会明白自己有多天真

或者就 REALITY over Socks5，让审查者以为你在用明文 Socks5 而窃喜、放行并默默记录 SNI，但其实你那 SNI 是假的，我预判了你的预判

小火箭的作者已经实现了，不知道啥时候上，可能还在等协议稳定下来

不出意外的话这两个不会跟进 Xray 的任何协议了，他们本来就是面向机场，自建的话建议你选 Xray，路由、负载均衡等订阅今年内会加上

等到下辈子或许能等上，其实 23 年底开始就已经是这样了，当时出了 Vision Seed 的话早就不会还有人以为 sb 还要兼容 Xray 了，可惜没出

今年内的话应该是能排上的，毕竟 yuhan 已经写好了代码就等 review

我感觉 TUN、VLESS 加密、跨平台客户端、路由及负载均衡订阅很重要

其实我真心希望任何隔壁都好好活着，不然只剩 Xray 的话会很吓人

不过这些都会有的，是为了完善 Xray 自身的功能，而不是跟别人比

REALITY 的文章是个悲剧，当时本来想写文章，都怪刚放出代码每天被开十个 issue 问这问那，真的很烦真的很想骂人，还有傻逼要对线，结果我自己关于 REALITY 的说法全分散在各个 issue 以及频道里了，所以 REALITY 的文章不如去找 AI 总结吧，不过还有很多内容我还没说过

有人 PR 了 race dialer，yuhan 在研究 datagram，我想改 Nginx QUIC

其实我在想，既然他不写代码了，你能不能去 PR 一个 127.0.0.1 并详细说明为什么不能允许用户通过明文 HTTP 访问面板、不能留下该选项