>rprx argued that TLS encryption alone is insecure and vulnerable to snooping by MITM or CDNs. Therefore, he believes encryption should be mandatory. However, to balance performance, he also recommended enabling flow, which avoids secondary encryption for TLS 1.3.Therefore, the solution is to enable both encryption and flow.
>«Reality решила это радикально: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com. Получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. После завершения рукопожатия данные туннеля вшиваются в уже установленную сессию.»
Это же технически просто невозможно нет? TLS 1.3 не так работает же
Когда клиент и настоящий icloud.com делают полноценный handshake, они генерируют симметричные ключи шифрования (AEAD — AES-GCM или ChaCha). Эти ключи знает только клиент и Apple. Xray-сервер в этот момент — просто труба, он ничего не видит и не может расшифровать ни байта. если ты попытаешься «вшить» свои VLESS-пакеты в уже зашифрованный поток то любая такая правка сразу ломает MAC или AEAD-тег.
На деле с риалити там как я помню не так работает.
Клиент шлёт ClientHello с правильным shortId. В поле Session ID (которое в TLS 1.3 почти не используется, но Xray его хитро переиспользует) он запихивает версию + timestamp + короткий id. Сервер смотрит: — shortId совпадает с тем, что в конфиге? — версия нормальная? — время не просрочено? Если да — сервер сам завершает handshake, генерирует свой временный сертификат на лету (подписанный твоим x25519 ключом). Клиент проверяет его только по pinned publicKey, а не по цепочке Apple. И дальше весь трафик уже между клиентом и твоим сервером. Если shortId кривой (то есть это пробер от ТСПУ или обычный curl) — сервер вообще не отвечает сам.
Он просто прозрачно прокидывает весь TCP-поток на настоящий microsoft.com:443. Пробер получает реальный сертификат, реальный ответ и спокойно уходит. Вот почему Reality так хорошо держит активное зондирование.
Ещё пару моментов по статье, которые уже устарели:
Конфиги с Vision теперь не работают как в статье. С января 2026 VLESS без flow считается deprecated. Если использовать Vision + XHTTP — обязательно нужно включить VLESS Encryption. Делаешь ./xray vlessenc, получаешь ключи: decryption на сервер (вместо "none"), encryption на клиент. Без этого будет предупреждение, а скоро возможно вообще перестанет работать.
Не думаю что возникает. Как правило это беспринципные люди,часто обозленные на весь мир, и нанесение ущерба,принесение боли и тд другим им доставляет удовольствие + бабки получают.
какой смысл в текущих реалиях онлайн кинотеатров? Сейчас цензуры антиконституционной станет еще больше и выпиливания всего,что может поколебать "тГадиционные ценности".
Вандализм режиссерского замысла достигнет пика. Сколько там вырезали из Эйфории тогда контента? На пару серий? То ли еще будет
Развернул на сервере sonarr/radarr/jellyfin с сопутствующими инструментами для себя и родных. Оперативное поступление новинок в том числе на языке оригинала на любой вкус.
>юзаю SS22 потому
а почему не просто vless+ encryption? те же самые яйца,но в профиль только современнее) белый шум. нет?
Нужно vless encryption включить.
https://github.com/XTLS/Xray-core/discussions/5568
По крайней мере у меня вроде как завелось все.
>rprx argued that TLS encryption alone is insecure and vulnerable to snooping by MITM or CDNs. Therefore, he believes encryption should be mandatory. However, to balance performance, he also recommended enabling flow, which avoids secondary encryption for TLS 1.3.Therefore, the solution is to enable both encryption and flow.
Вопрос знатокам- насколько реально это работает?
@MiracleUsr @0ka можете по этому вопросу проконсультировать?
вы просто не так поняли. Кремль заботится о безопасности только определенного круга граждан =)
Закончится Северной Кореей или Непалом)
меняйте впн. У меня все видео грузятся отлично через впн
>Моё предположение - считают энтропию и если видят рандом - в блок.
так и есть насколько я знаю. "детект" в плане неопознанный белый шум- блок
>«Reality решила это радикально: TLS-сессия буквально завершается на реальном сервере Apple или Microsoft. Клиент делает настоящее рукопожатие с настоящим icloud.com. Получает настоящий сертификат Apple, верифицированный через реальную цепочку CA. После завершения рукопожатия данные туннеля вшиваются в уже установленную сессию.»
Это же технически просто невозможно нет? TLS 1.3 не так работает же
Когда клиент и настоящий icloud.com делают полноценный handshake, они генерируют симметричные ключи шифрования (AEAD — AES-GCM или ChaCha). Эти ключи знает только клиент и Apple. Xray-сервер в этот момент — просто труба, он ничего не видит и не может расшифровать ни байта.
если ты попытаешься «вшить» свои VLESS-пакеты в уже зашифрованный поток то любая такая правка сразу ломает MAC или AEAD-тег.
На деле с риалити там как я помню не так работает.
Клиент шлёт ClientHello с правильным shortId. В поле Session ID (которое в TLS 1.3 почти не используется, но Xray его хитро переиспользует) он запихивает версию + timestamp + короткий id. Сервер смотрит: — shortId совпадает с тем, что в конфиге? — версия нормальная? — время не просрочено? Если да — сервер сам завершает handshake, генерирует свой временный сертификат на лету (подписанный твоим x25519 ключом). Клиент проверяет его только по pinned publicKey, а не по цепочке Apple. И дальше весь трафик уже между клиентом и твоим сервером. Если shortId кривой (то есть это пробер от ТСПУ или обычный curl) — сервер вообще не отвечает сам.
Он просто прозрачно прокидывает весь TCP-поток на настоящий microsoft.com:443. Пробер получает реальный сертификат, реальный ответ и спокойно уходит. Вот почему Reality так хорошо держит активное зондирование.
Ещё пару моментов по статье, которые уже устарели:
Конфиги с Vision теперь не работают как в статье. С января 2026 VLESS без flow считается deprecated. Если использовать Vision + XHTTP — обязательно нужно включить VLESS Encryption. Делаешь ./xray vlessenc, получаешь ключи: decryption на сервер (вместо "none"), encryption на клиент. Без этого будет предупреждение, а скоро возможно вообще перестанет работать.
поправьте ели что-то не так написал)
>Но в 2025 году в Санкт-Петербургском политехническом университете была защищена работа именно по детекции XTLS-Reality.
это не ее на хабре недавно разбирали что там треш?
> нейросеть на стороне РКН
откуда вы это все берете? =)
а не тянет ли ваш комментарий на экстремизЪм, сударь?! /сарказм
/ИИ натаскали и могут теперь определять трафик ВПН-ов/
фейк
> «Кузнечик» и «Магма».
это те,которые с бэкдором для чекистов? \сарказм
>ендерно-нейтральный туалет
В России бОльшая часть туалетов гендерно-нейтральная. А уж про дома жилые вообще молчу. \сарказм
Не думаю что возникает. Как правило это беспринципные люди,часто обозленные на весь мир, и нанесение ущерба,принесение боли и тд другим им доставляет удовольствие + бабки получают.
+ некоторое количество идейных идиотов.
скорее к дереву Игрдазиль которое пронизывает несколько миров ,соединяя и
Россия у вас - это жопа спятившего деда?
Только Knox? Или как там называется например у Самсунга
ну как зачем.. чтобы в удобной форме докладывал куда надо всю подноготную =)
какой смысл в текущих реалиях онлайн кинотеатров? Сейчас цензуры антиконституционной станет еще больше и выпиливания всего,что может поколебать "тГадиционные ценности".
Вандализм режиссерского замысла достигнет пика. Сколько там вырезали из Эйфории тогда контента? На пару серий? То ли еще будет
Развернул на сервере sonarr/radarr/jellyfin с сопутствующими инструментами для себя и родных. Оперативное поступление новинок в том числе на языке оригинала на любой вкус.
Яндекс решил залезть в товарищ-майор-хочет-знать-все кормушку Макса? =))
Опередили =))