RPRX
最近有点流行“**强制 domain fronting**”,挺有趣的,看到这里还没有什么讨论,粗略找了一下最相关的是 https://github.com/net4people/bbs/issues/373#issuecomment-2195853159 在 Xray-core 中,实现方式是由 dokodemo-door 入站解 TLS(或者请求本身就是 DoH h2c),**再由 freedom 出站加 uTLS Chrome 指纹,自定义 SNI 以及 `verifyPeerCertInNames` 列表,均可填 "fromMitm" 以使用原始 SNI**,ALPN 也得到了妥善处理 **它适用于仅一部分 SNI 被封锁,但 IP 未被封锁,且服务器支持...
Web Panels like 3X-UI are leaking an unimaginable amount of passwords and private keys to the GFW
https://github.com/net4people/bbs/issues/446#issuecomment-2625123949 > I do not know the origin of the dispute 我无法在那个 thread 中回复,所以开一个新的,正好也可以在这里讨论一下这个问题,纯技术而言,这场冲突的根源是: 1. 基于 Xray 的 3X-UI 等面板提供默认的明文 HTTP 访问,这不仅暴露服务器,还使得各种密码、代理私钥等被 GFW 截获 2. **并且 YouTube 上的视频基本都是教世界各地的新手使用 http://ip 访问面板,导致占人数最多的新手处于危险中**...
多年以来即使是金融级别的互联网应用也依赖于 TLS,致使我们认为 TLS 是足够安全的,而完全忽视了证书链攻击的风险,本文是为了敲响警钟 **根据 https://github.com/net4people/bbs/issues/519 泄露出来的文件,可以看到 GFW 这类国家级别的攻击者确实尝试过通过大规模安装根证书的方式来进行 MITM,这便是 TLS 的根本弱点** 针对此次泄露出来的文件,我在 Project X Channel 已有过一些解读,比如 https://t.me/projectXtls/1029 和 https://t.me/projectXtls/1032 1. 针对 TLS 的 MITM 等尝试普遍存在,前段时间 Xray 也收到了针对 REALITY 的“抽样式攻击尝试”...