-
Notifications
You must be signed in to change notification settings - Fork 3.9k
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
上游 xtls 的 23 3 3 漏洞问题 #967
Comments
现在helloword/passwall/ssr+后端好像用的都是xray 不过话说,你有没有试着攻击自己的vps😏 |
肯定不敢攻击自己vps啊!如果 测试者 的流量被墙捕获,墙如果看了我的博文,那不就知道哪个vps是 测试者 的,且 测试者 使用了xtls了吗?? 这个时候,只有勇士才敢攻击自己vps。唯一的可能是在内网里测试,但是我为什么要测试呢?我很相信我自己,只有认为我的分析有问题的人才回去测试。 当然,我没说过说我在墙内,所以 如果我是 测试者,测试者 是有可能不怕墙知道 测试者 的vps存在的。 还有,我什么时候说我的 vps使用了xtls? 还有,我什么时候说我有vps了? |
用vps翻这个事情其实本身是没问题的,要不然油管上那么多up主都得凉 啊对了,没有的话,打开github很慢的哟,甚至打不开的哟~ |
To me, it doesn't seem to be a valid security hole in xtls. |
那主动探测呢?墙可以主动向可疑ip进行主动233 探测 |
还有,你的 “loop in server" 少个 the, in the server, 然后 if you have the original, 应该把the 去掉。 主要是因为, “original access”并不是特指 另外,知道uuid并不是就是有对服务器的访问权限啊!难道你能ssh? 1MB可以循环一百万次,你叫 some cycles,哦,原来一百万次只是some,懂了 |
大意失荆州 如果我是大厂的 code reviewer, 你是我的下属,我发现问题后,你给我这么回答,请问我会怎么做呢 ? 在安全性要求这么高的翻墙场合中,你如此大意,你的工资评定可以好好期待了。 |
总之,我下列的建议应该没有异议:
|
有能力自己修,搁着阴阳怪气啥呢。怕不安全大可不用 |
没有能力难道不能阅读代码,提出issue了吗?难道漏洞只能由开发者发现,其他人必须无脑用,不检查代码吗?难道每个人都有能力修吗?到底谁在阴阳怪气? 我当然不用xtls了,这是专门给大家提个醒。 |
我来告诉你什么叫阴阳怪气: “有本事你别换,一直用xtls🤭” |
宁前面说的当然都可以,但是宁这口气就让人感觉宁很nb似的。 |
This comment was marked as spam.
This comment was marked as spam.
键盘侠,就服你。从此我不再在xray社区发言。显然,xray社区不欢迎提出任何问题,必须要附带解决办法才行。我早在文中写过了,你都不看我的文章,我文中的意思就是不管怎么修复,xtls都终将出现新bug。 从此,我不再在xray发言。没准以后我会自己搞一个新社区。目前我会为v2ray效力。 |
看完上面的回复,难怪XTLS/Go几个严重issue都没有人管,原来是对自己盲目的自信,Xray在闭门造车啊,真是令我大开眼界 在这楼里居然还能看到不许别人提出问题的人,垃圾请在tg垃圾场里发言,不要来github
说你是傻逼一点都不为过 |
你为什么要伤害友军 |
这个算好的了,我之前发xtls的issue还有人直接上来就骂 后来2楼那个秀英文的contributor还关了issue PS:说骂人话不要打汉字,我们要翻译成韩文🤭 |
连友军都攻击,不愧是你。赶紧去打针吧 |
This comment was marked as spam.
This comment was marked as spam.
都烦不烦 ,哪有那么多功夫嘴炮,有bug 就提交,有能力的就修复,没能力的闭嘴看着,逼逼那么多有什么用 ? |
确实,有的人bug也不提交,也不会去修复,而且不闭嘴,还要上来逼逼 看上去好像是个理中客,其实连自己都骂,活成了自己讨厌的样子,是吧??? @Uhtred009 |
啊,你是吗?反正我看一大长串就直接认为键盘侠了,而且这里键盘侠很多是吧。 总之我很忙,偶尔看到一大段很多带问号的,而且和issue毫无意义的语句,直接就很生气。看你的问好最多,正好激起我的情绪。本来早就准备不在xray发言了,就正好回复给你。 以后发言能不能围绕着如何修复bug,而不是围绕着互喷。无论是友军也好,敌军也好,能不能放下武器。 提高个人素质,提高社区整体修养,抓紧时间修复问题,尽自己所能。好了我就说这么多。不要再刷屏了。 |
按照你的文章,不必如此,将streamSettings设置为tls即可,可以继续使用direct和splice流控,服务端也要做相应修改,确保XTLS的特殊功能没有启动。 我觉得应该不会有人差那点加密开销吧。 实际上现在project X群里更多推荐grpc搭配好线路或者直接上hysteria,XTLS的握手延迟在群里饱受诟病,要不就直接ss,如果不嫌经常换IP麻烦的话。 如果一定要标注,我觉得应该直接推荐使用grpc,增强安全性本来就是引入grpc的原因之一,其次是改streamSettings |
@CCCAUCHY 你好,我有点疑问,不使用 xTLS 时也支持设置 |
|
看了 官方文档 后我的理解是, 不知道我理解得对不对。
|
看起来有可能是不生效的 |
已解决 |
此处循环不算漏洞,更无法被主动探测,说明详见 XTLS/Go#17 (comment) 都是些什么东西 |
见
XTLS/Go#17
不一定对,但是值得关注
如果这个漏洞成立的话,那么我们即刻起就不应该在未来版本中添加xtls/go 的支持
The text was updated successfully, but these errors were encountered: