uTLS - это user TLS, прикрывает отпечаток клиента.
Еще раз. XLTS модифицированная библиотека TLS, которая изображает соединение с веб-сервером. Её недостаток в том, что в ней есть потенциально идентифицирующие её паттерны. Для решения этой проблемы и была придумана новая схема безопасности - Reality. Которая не генерирует фальшивый хендшейк хакнутой библиотекой, а ворует реальный. Либо у чужого сервера, либо перебрасывает на ваш по схеме steal oneself, т.е. как бы “ворует” хендшейк у вашего же веб-сервера на том же IP живущем. А перебрасывать на этот ваш веб-сервер, Apache, Nginx или Caddy может и старый XTLS, для этого там есть Fallback. Это схема TLS+Fallback. Но она, еще раз, “пахнет” собой для потенциальных продвинутых алгоритмов цензора. В этом её недостаток. Короче. Reality новее и круче.
Недостаток Reality в том, что она не умеет ходить через CDN. В этом случае вам остается только старый XTLS, без вариантов. Настрайивайте Reality. К голому XTLS сегодня имеет смысл прибегать только когда Reality не работает. А щас и эту проблему, заставить Reality работать через CDN, китайцы пытаются решить в XHTTP.
Это да, но с таким сертификатом, не знаю насчёт других браузеров, но Firefox отключит некоторые фишки, по типу автозаполнения паролей на сайтах
Я не осуждаю и даже поддерживаю эксперименты, но домен стоит не так уж и дорого, мне лично удалось купить .space за 2$. Да и с доменом можно делать не долько vision + TLS, а ещё и websocket, gRPC и т.д
Ну много кто хоститься у разных хостеров, всегда найдуться те, кто плохо настроит. Если она так делать будут то побочный эффект будет слишком маштабным. Даже в Иране и Китае таким не занимаются. Только Туркменистан таким занимается, но это вообще другой вопрос (не более они недавно из чс вынесли все ип vps ибо они такими нетотечными банами буквально забанили абсолютно всё, но сеёчас, как я знаю, до сих пор банят, но не так жёстко). Так что думаю нет, подсети вырезать не будут
Много факторов, не в плане безопасности даже. Если Вы будете слишком докучать владельцам домена, они погут Ваш ип пробанить. Если сайт, под который вы маскируетесь ляжет - то Ваш впн-чик тоже, и т.д
TLS?
Я думаю ради интереса и экспериментов, никто не знает что будет дальше. Лучше иметь знания наперёд
Преимущества? Нет. Если вы про голый vision. Как минимум vision + TLS
Я думаю что можно настроить без TLS через голый xray.
Главное нововведение vision это отсутствие TLS-in-TLS. А те варианты, в котором появляется TLS-in-TLS (очень редкие, по типу Клиент → Vless Server → OpenVPN → Tor) на данный момент не правяться vision, может, в xhttp исправили, но я пока что не тестил
Я вообще о другом, я к тому, что мультиплексация вполне себе заменяет (при должной конфигурации) xtls-xprx-vision, а вместе с padding-ом и вовсе белиссимо
Ну я и запутал вас… Имею в виду, что можно не использовать flow, а только реалити + мультиплексация и получить все баффы xtls-xprx-vision и не быть подверженым tls in tls.
Таким образом multiplex/mux заменяет xtls-xprx-vision
Буквально недавно появилось (хоть и был splitHTTP которому 100 лет в обед, но rprx обновил до XHTTP) документация прямо на глаза обновляется, за неделю раза в 3 разрослась. Как замена Reality или ws
Огромное вам спасибо за такой развёрнутый ответ! Если бы здесь можно было бы закреплять сообщения, то ваше я бы закрепил. Теперь я понял разницу этих подходов и заодно нашёл такой же ответ от разработчиков XRay: Vision and Reality, Which?.
Тогда лучшим выбором даже для своего сайта будет REALITY, но для меня остаётся не закрытым другой вопрос.
Может быть, кто-нибудь знает: где можно почитать подробнее про активное зондирование (active probing)? Как это работает в деталях? Появилась мысль, что сайт без доменного имени или с самоподписанным сертификатом может не пройти такой проверки, но, чтобы понять, нужно узнать, как сейчас работают методы зондирования.
Наконец-то дошло. Вы можете в мегаполисе жить без паспорта, но при военном положении и комендатском часе это будет мягко говоря проблематично. Вся безопасность в современном интернете строится вокруг гарантий 3-ей стороны. Вам выдет сертификат внешний орган и он является гарантом вашей адекватности для всех, кто пытается установиться с вами TLS соединение. Нравится вам или нет, но безопасность в толпе это быть как все. С паспортом. А не с руками самому себе выданной справкой (самоподписной сертификат). Потому что без официального сертификата вы для всех мутный IP через который идет мутный трафик. Вы себя демаскируете и всем этим кричите, что вы стремный деятель. Вы первый кандидат на бан. Поэтому официальный сертификат вам в момент проверок придется предъявить, как паспорт по требованию полиции. Либо поддельный (XTLS, не совсем аналогия, но как бы). Либо украденный (Reality + чужой SNI). Либо свой легальный (Reality + steal oneself). Других вариантов нет.