Dernières publications de Project X Channel (@projectxtls) sur Telegram

Publications du canal Project X Channel

Project X Channel
中文群组:https://t.me/projectXray

Русский: https://t.me/projectVless

Persian: https://t.me/projectXhttp

GitHub: https://github.com/XTLS
17,490 abonnés
23 photos
1 vidéos
Dernière mise à jour 06.03.2025 20:05

Canaux similaires

rvalue的生草日常
6,343 abonnés
Sukka's Notebook
4,837 abonnés
Garyの梦呓
2,249 abonnés

Le dernier contenu partagé par Project X Channel sur Telegram

Project X Channel

06 Mar, 14:05

1,287
💬 New comment on Xray-core#4283 Add Datagram transport
by @RPRX

我研究了一下 quic-go 和其 h3 的 EnableDatagrams,它可以被转译为 h2,Nginx 应该支持转发,只是不知道 ~~CF~~ CDN 是否支持

目前如果想做到 UDP 包走 XHTTP/3 datagram 是完全可行的,鉴于 UDP 可能被 Q 还可以允许配置为只让 UDP 包走 XHTTP/3

虽然路由也能做这件事,还有如果只想让少量 UDP 包走 XHTTP/3,还得把被代理流量的 UDP 443 禁了

Reply to this message to post a comment on GitHub.
Project X Channel

05 Mar, 10:48

2,556
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

发现“鉴定为有病”那句被 yuhan 折叠了,我说下为什么火气这么大吧,首先这个人在 Xray 群就已经在说 REALITY public key 应当公开然后大谈主动探测了,**当时频道已经明确说了它不应公开,结果这个人还注册个小号假正经地一通分析最后 Summary “不如 TLS”**

谁看了都火大,然后我总结一下,他第一点的错误在于他 不仅要先把 REALITY public key 和 IP 地址一起公开**,还要拿弱配置 short id 的 REALITY 和拉满配置的 TLS 双向认证比,哪有这么比的?**双向认证又不是强制的,你要开这个就把 short id 等同地配成 2^64,或者给 REALITY 也开 TLS 双向认证**,此外他提到的 ID-forward secrecy 我努力理解为他认为认证必须是 certificate-based 才好,不是,这只是认证又不涉及加密,**纵览全文他似乎总是觉得有个 certificate-based 的认证就多了不起、对加密有什么谜之加成,然而加密安全性上大家都是 ECDHE,反而引入 certificate 机制导致了引入了更多的攻击面,如证书链攻击,本质上远不如固定的 pin 安全

他的第二点是 先假设客户端 key_share 对应的临时私钥泄露了**,然后说此时 REALITY 能被 MITM,不是,**你客户端临时私钥都泄露了,流量都能全解密了,哪个 TLS 不能被 MITM? 他一开始说 TLS 签了个 finished 能避免被 MITM,以及谜之提及双向认证,被我反驳后改为了 TLS 双向认证都是真证书能避免被 MITM,又被我反驳后最终承认这种情况下 TLS 也能被 MITM,**这又体现出了他以为 certificate-based 和双向认证会对加密安全性有谜之加成、没有仔细研究 TLSv1.3 的加密机制、且不知道 TLS 抗量子指的是什么**

然后现在呢?@gaungap 发现自己的分析和结论有严重问题后就装死不再回复,也不把错误的 Summary 改一下

还有 REALITY 比 TLS 更安全是因为前者默认能防证书链攻击,他一句也没提。**是 CA 想攻击你很难还是往你电脑里加个根证书很难?**

Reply to this message to post a comment on GitHub.
Project X Channel

04 Mar, 11:45

2,882
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

> > 提 clientKey 那位朋友倒不是在反驳,只是这个名字确实不如 password 简单粗暴直接,我都这么命名了应该没人再想着公开了吧
>
> 确实,这样子应该就能堵上某些人的嘴了吧——毕竟应该不会有人笨蛋到把自己家的wifi密码贴到大街上然后说WPA2不安全吧?

这是个非常好的类比,之前我保留它的命名为 public key 就是因为

它在不同客户端之间是共用的,且它们之间无法对彼此 MITM,这与 WiFi 密码的效果完全一致,连上的也是服务端“同一个网络”

而 short id 可以对标网卡 MAC 地址,甚至还比后者多了两个字节,这两个值都是能任意改的,服务端想验证就相当于 MAC 白名单

Reply to this message to post a comment on GitHub.
Project X Channel

04 Mar, 11:18

2,658
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

群友也别马后炮说什么这种 issue 就该直接关,这种东西留着不辨的后果就是真的有小白会信,日后反复拿出来恶心人

@gaungap 这位哥们已经不敢说话了,**你要是还觉得自己占理你就出来走两步,要是发现自己错了就道歉、修改小作文,别玩不起**

"What I see is a lot of people without a cryptography background making pointless attacks" 这真的不是在说他自己吗

Reply to this message to post a comment on GitHub.
Project X Channel

04 Mar, 08:41

2,725
https://github.com/XTLS/Xray-core/releases/tag/v25.3.3
Project X Channel

04 Mar, 08:28

2,612
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

> As @Abjust also mentioned, the name 'password' doesn't imply that these need to be paired for authentication. I think it would be better to rename it to 'clientKey'.

别 imply paired 了,歧义就出在 paired 上,**就该把服务端视作黑箱,而客户端只知道 password,别管它是什么,按密码保管就行**

Reply to this message to post a comment on GitHub.
Project X Channel

04 Mar, 06:05

2,605
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

> 会敲那几个latex符号就是有 cryptography background 了吗

他自己是那么认为的,再设置个看似很 background 的头像,这就叫专业的小丑,瞎几把乱扯后就装死不敢正面回复,说他 end user 觉得自己比一群实现了 REALITY 的开发者都懂吧他又受不了

https://github.com/XTLS/Xray-core/commit/dde0a4f2729d9c56c0b7c7581b77d98f8f46e108 我给 REALITY publicKey 加了别名 password,**如果还有人理解不了就当 password 来理解**,以前没加是因为连傻子都知道节点信息不该泄露,然而他就是要把这玩意儿泄露了然后大谈主动探测,纯傻逼。还有 REALITY 公私钥的设计就是防止一旦客户端配置泄露了后能被 MITM 的,安全性拉满,这也是相较于 ShadowTLS+SS 的优势,还有一群人拿后者当宝呢

第二点就更加扯淡,TLS 客户端要生成一对临时 X25519,并把临时公钥填到 Client Hello keyshare,他的意思是如果对应的临时私钥泄露了,然后 REALITY 就能被 MITM,**然而问题是你临时私钥都泄露了,哪个 TLS 不能被 MITM?** 他前后两版说法的落脚点都是此时 TLS 不能被 MITM,纯属瞎说,后来他承认自己错了,经分析我认为他连近期的 TLS 抗量子都不知道是在干什么,就这垃圾水平

---

有些人说不喜欢我的“宣传风格”,原因就是我往往只写结论而不写分析过程,对此我已经表明,看不懂是自己菜,关我屁事

我喜欢只写结论不代表我是错的,同样他有模有样地扯一大段分析过程最后来个 Summary 也不代表他是对的,AI 就经常瞎扯淡

Reply to this message to post a comment on GitHub.
Project X Channel

03 Mar, 21:26

2,802
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

然后吧,其实我是欢迎有人 review REALITY 的,我自己设计它的时候也知道它仍有不足,是反审查方面还不够像,而非加密安全问题

但是不能是要求 REALITY public key 公开到互联网上这种 弱智 前提,与 APT-ZERO 说的裸 VLESS 能被 GFW 识别有异曲同工之妙

你提的另一个问题虽然非常刁钻、要求只泄露那部分内存,但能看出你还是有思考的,只是首先你用 AI 翻译出来的第一版牛头不对马嘴,就这我还能看出你在表达什么并指出了你的错误,然而你并没有看懂你错在哪了,并且继续钻牛角尖,就又增加节目效果了

最后我觉得你专门开个小号来发这个 issue 真的很令人反感,这是我非常非常讨厌的事情,因为本身作为 Xray 的开发者,一天天的应付各种水平参差不齐的大聪明们已经够费劲了,还要跟一个没什么结果的小号浪费时间,真的看到小号就想 ban

我经常想,虽然我经常 battle,但结果证明一次次都是浪费时间,况且对方辩输了,接着会有另一个上,甚至小号无所谓,这公平吗

今天你有个 random thought,你开个小号过来跟我辩,你没有任何名誉风险,风险不对等,最后你输了且浪费了我的时间,你下了小号拍拍屁股走人,回到了自己的生活中,逐渐忘掉这件事,明天又有别人开另一个小号,我又要被对方没有任何机会成本地浪费时间

我真的觉得没有任何公平可言,我在这里做事并没有任何显著收益,时间成本都收不回,还要天天应付傻逼,我都觉得自己是傻逼了

Reply to this message to post a comment on GitHub.
Project X Channel

03 Mar, 19:45

2,880
💬 New comment on Xray-core#4458 Questioning the Security of the REALITY Protocol
by @RPRX

@gaungap 出来说话

你要知道我写对一个东西的描述就是结论,不是乱写的,分析我当然自己分析过,只是我懒得写出来,我一向如此

就像最早我弄了 VLESS fallbacks,用一堆形容词说明了它相较于 Trojan fallback 的优势,有些人就看不惯,因为我没写分析过程

不想写就是不想写,谁看不懂就是他们自己菜,关我屁事,~~虽然 VLESS fallbacks 的分析后来不小心写了~~

Reply to this message to post a comment on GitHub.
Project X Channel

03 Mar, 16:50

3,128
不是,最近怎么这么多傻逼,非要把节点信息公开,然后谈主动探测?