>rprx argued that TLS encryption alone is insecure and vulnerable to snooping by MITM or CDNs. Therefore, he believes encryption should be mandatory. However, to balance performance, he also recommended enabling flow, which avoids secondary encryption for TLS 1.3.Therefore, the solution is to enable both encryption and flow.
>«Reality решила это радикально: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com. Получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. После завершения рукопожатия данные туннеля вшиваются в уже установленную сессию.»
Это же технически просто невозможно нет? TLS 1.3 не так работает же
Когда клиент и настоящий icloud.com делают полноценный handshake, они генерируют симметричные ключи шифрования (AEAD — AES-GCM или ChaCha). Эти ключи знает только клиент и Apple. Xray-сервер в этот момент — просто труба, он ничего не видит и не может расшифровать ни байта. если ты попытаешься «вшить» свои VLESS-пакеты в уже зашифрованный поток то любая такая правка сразу ломает MAC или AEAD-тег.
На деле с риалити там как я помню не так работает.
Клиент шлёт ClientHello с правильным shortId. В поле Session ID (которое в TLS 1.3 почти не используется, но Xray его хитро переиспользует) он запихивает версию + timestamp + короткий id. Сервер смотрит: — shortId совпадает с тем, что в конфиге? — версия нормальная? — время не просрочено? Если да — сервер сам завершает handshake, генерирует свой временный сертификат на лету (подписанный твоим x25519 ключом). Клиент проверяет его только по pinned publicKey, а не по цепочке Apple. И дальше весь трафик уже между клиентом и твоим сервером. Если shortId кривой (то есть это пробер от ТСПУ или обычный curl) — сервер вообще не отвечает сам.
Он просто прозрачно прокидывает весь TCP-поток на настоящий microsoft.com:443. Пробер получает реальный сертификат, реальный ответ и спокойно уходит. Вот почему Reality так хорошо держит активное зондирование.
Ещё пару моментов по статье, которые уже устарели:
Конфиги с Vision теперь не работают как в статье. С января 2026 VLESS без flow считается deprecated. Если использовать Vision + XHTTP — обязательно нужно включить VLESS Encryption. Делаешь ./xray vlessenc, получаешь ключи: decryption на сервер (вместо "none"), encryption на клиент. Без этого будет предупреждение, а скоро возможно вообще перестанет работать.
Не думаю что возникает. Как правило это беспринципные люди,часто обозленные на весь мир, и нанесение ущерба,принесение боли и тд другим им доставляет удовольствие + бабки получают.
>сначала нужно разобраться с Telegram и WhatsApp
чисто лексикон братвы из питерской подворотни, откуда вся эта нечисть вылезла. Стесняюсь спросить, когда в сортире мочить начнут? =)
>к 2030 году
рыдаю.. я так понимаю в 2030 будет П с большой буквы?
>формирование устойчивого диалога с государственными структурами,
это по типу как ВК\Макс ? \сарказм
>дельта чат с почтовым ящиком за границей то-же перестал работать
а сам почтовый сервис доступен через браузер или thunderbird и работает отсылка и тд писем?
Бардак какой-то!
При Воложе такого не было. Оперативно формировали\чистили свои "Новости" Волож, вернись! \сарказм
такая схема популярна в иране.
vps в дата центре местном <--- US vps
>юзаю SS22 потому
а почему не просто vless+ encryption? те же самые яйца,но в профиль только современнее) белый шум. нет?
Нужно vless encryption включить.
https://github.com/XTLS/Xray-core/discussions/5568
По крайней мере у меня вроде как завелось все.
>rprx argued that TLS encryption alone is insecure and vulnerable to snooping by MITM or CDNs. Therefore, he believes encryption should be mandatory. However, to balance performance, he also recommended enabling flow, which avoids secondary encryption for TLS 1.3.Therefore, the solution is to enable both encryption and flow.
Вопрос знатокам- насколько реально это работает?
@MiracleUsr @0ka можете по этому вопросу проконсультировать?
вы просто не так поняли. Кремль заботится о безопасности только определенного круга граждан =)
Закончится Северной Кореей или Непалом)
меняйте впн. У меня все видео грузятся отлично через впн
>Моё предположение - считают энтропию и если видят рандом - в блок.
так и есть насколько я знаю. "детект" в плане неопознанный белый шум- блок
>«Reality решила это радикально: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com. Получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. После завершения рукопожатия данные туннеля вшиваются в уже установленную сессию.»
Это же технически просто невозможно нет? TLS 1.3 не так работает же
Когда клиент и настоящий icloud.com делают полноценный handshake, они генерируют симметричные ключи шифрования (AEAD — AES-GCM или ChaCha). Эти ключи знает только клиент и Apple. Xray-сервер в этот момент — просто труба, он ничего не видит и не может расшифровать ни байта.
если ты попытаешься «вшить» свои VLESS-пакеты в уже зашифрованный поток то любая такая правка сразу ломает MAC или AEAD-тег.
На деле с риалити там как я помню не так работает.
Клиент шлёт ClientHello с правильным shortId. В поле Session ID (которое в TLS 1.3 почти не используется, но Xray его хитро переиспользует) он запихивает версию + timestamp + короткий id. Сервер смотрит: — shortId совпадает с тем, что в конфиге? — версия нормальная? — время не просрочено? Если да — сервер сам завершает handshake, генерирует свой временный сертификат на лету (подписанный твоим x25519 ключом). Клиент проверяет его только по pinned publicKey, а не по цепочке Apple. И дальше весь трафик уже между клиентом и твоим сервером. Если shortId кривой (то есть это пробер от ТСПУ или обычный curl) — сервер вообще не отвечает сам.
Он просто прозрачно прокидывает весь TCP-поток на настоящий microsoft.com:443. Пробер получает реальный сертификат, реальный ответ и спокойно уходит. Вот почему Reality так хорошо держит активное зондирование.
Ещё пару моментов по статье, которые уже устарели:
Конфиги с Vision теперь не работают как в статье. С января 2026 VLESS без flow считается deprecated. Если использовать Vision + XHTTP — обязательно нужно включить VLESS Encryption. Делаешь ./xray vlessenc, получаешь ключи: decryption на сервер (вместо "none"), encryption на клиент. Без этого будет предупреждение, а скоро возможно вообще перестанет работать.
поправьте ели что-то не так написал)
>Но в 2025 году в Санкт-Петербургском политехническом университете была защищена работа именно по детекции XTLS-Reality.
это не ее на хабре недавно разбирали что там треш?
> нейросеть на стороне РКН
откуда вы это все берете? =)
а не тянет ли ваш комментарий на экстремизЪм, сударь?! /сарказм
/ИИ натаскали и могут теперь определять трафик ВПН-ов/
фейк
> «Кузнечик» и «Магма».
это те,которые с бэкдором для чекистов? \сарказм
>ендерно-нейтральный туалет
В России бОльшая часть туалетов гендерно-нейтральная. А уж про дома жилые вообще молчу. \сарказм
Не думаю что возникает. Как правило это беспринципные люди,часто обозленные на весь мир, и нанесение ущерба,принесение боли и тд другим им доставляет удовольствие + бабки получают.
+ некоторое количество идейных идиотов.
скорее к дереву Игрдазиль которое пронизывает несколько миров ,соединяя и
Россия у вас - это жопа спятившего деда?