补充几个给想吃瓜的链接： #opensource #security #censored
https://github.com/net4people/bbs/issues/60
https://github.com/signalapp/Signal-TLS-Proxy/issues/3

频道主觉得，有问题就要改，不要低估伊朗政府的封锁能力吧。

PoC(理念验证) 是用 #golang 写的，送信流是 net.Dial("tcp",s) +二层 tls.Clent(c0,{serverName:server/sni,allowInsecurity})，才 40 行左右，核心代码才 5 行而且无需 tls 外任何算法，可以说是很低级的漏洞了。

“ I've quickly scanned the code, so this is just a TLS tunnel set up to forward inner TLS traffic with signal SNIs as-is.

后面还提了改正建议，并且表明如有疏漏自己会改正，但 Signal 选择禁止评论🥱。

https://community.signalusers.org/t/tls-proxy-server-unable-to-survive-active-probing-from-internet-surveillance-systems/27282 看看能活多久
👆🏼 补充：活下来了，瓜变大了 😋

试想：如果用 MTProto Proxy 不就没有问题了吗🥴😂 #都是高手
—
订户评论： 🌝 #DontKnow
避免主动探测
1就是要做得像个普通的网页服务器一样，无论是浏览器访问看起来还是实际上的流量分析。
2就是要有一定的门槛才能使用，别一个客户端对着一个服务器端口凑上去就全都招了“对对对我就是Signal的代理服务器，能找到我辛苦了，我这就帮你连上Signal的服务器”殊不知对面的是网络监视系统在打探自己。

至少像telegram这样，加个secret
不带个正确的secret凑上去就表现得像个普通的网页服务器一样
顺带：secret前加ee的是fake TLS代理
signal这个实现。。。。。。妈的，傻逼，一个signal客户端对着一个怀疑是代理服务器的家伙连上去就全都招了