Sing-box для android. Remote конфиг

Установил себе на android официальный клиент от sing-box.

Обратил внимание, что у него есть очень удобная штука - remote config. Но не вижу реализации хоть какой-то безопасности, хотя бы basic auth - ничего.

Это я чего-то не понимаю или эта фишка примерно бесполезна без сесурити? Можно, конечно зашить в URL определенный токен по которому будет отдаваться конфиг, но токены в get запросах в query параметрах не рекомендуется делать по множеству причин: любой васян который имеет доступ к инфре, через которую гуляет мой запрос, сможет так же стянуть мой конфиг UPD: это актуально только в случае промежуточных звеньев типо reverse proxy или cdn, которых здесь нет.

P.S. Кто в теме - расскажите какие еще есть варианты по remote конфигу, может быть в том же xray. Слышал есть некие “подписки“ - это оно и есть?

Эм, https чем не устраивает? Подписка это ссылка на файл в котором построчно vless:// и т.п., существует только в gui клиентах

Подумал и понял, что в все устраивает на самом деле)

По идее никто кроме клиента и сервера не видят мою секретную строку, а никаких реверс прокси, cdn и прочих кто мог бы влезть - в этой цепочке нет.

Клиент на Андроиде отправляет запросы с user-agent sfa. На стороне nginx например, можно отдавать всем 404 кто запрашивает конфиг, кроме user-agents которые начинаются с sfa. Мелочь, но чуть безопаснее получается.

location /sing-box-configs/ {
    set $allow_access 0;
    # Allow sing-box user agents only.
    if ($http_user_agent ~* ^(SFI|SFA)) {
        set $allow_access 1;
    }
    if ($allow_access = 0) {
        return 404;
    }
    alias /usr/share/nginx/sing-box-configs/;
}

Норм, спасибо за наводку)

К слову кто-нибудь вместо nginx ставил себе caddy? Заманивают сертами из коробки.