Saturday, January 14, 2017

关于ShadowsocksR在2016年底的停更事件

事情已经过去了半个月,我想了想还是重新说说半个月前发生了什么吧(本文写于2017年1月14日)

早在2016年12月13日,在ss-libev刚刚push了obfs分支我就知道准备支持混淆了,我在那个时候,我是非常好奇的,好奇在这个混淆推出之后,那些一年前还在极力反对混淆的人会有什么样的反应,所以我也对我周围的人说,我非常期待这个混淆的推出,希望尽快合并到master主分支。

然后到了12月23日,转折点出现了,ss-libev又在obfs分支commit了一个新的混淆,一个名叫tls的混淆,我仔细看了代码,用的办法和SSR的一模一样,使用session ticket方式握手免除证书发送步骤。如果你说混淆早在N年前就有了,没错,几年前就有人弄过混淆,所以之前推出http混淆的时候,我是好奇的,是支持的。然而这个tls混淆所用的方式,是SSR首创的,半年前有其它项目(包括蓝灯)的作者问过我原理,同年9月Tor项目也有人和我交流过这个方案,并向Tor提案,但因为这种方式没有前向安全性而没有采用。也就是说,这个混淆只可能有唯一的参考来源,就是SSR。好吧,既然你用了这个做法,那到时候发布的时候,总应该说明点什么吧,我这样想着,并这样等待着。

等到12月27日,ss-libev把obfs分支以Squash方式合并到master分支(结果就是所有的commit合并成一个),同时obfs分支删除,于是具体的修改记录被抹掉了,这种神奇的合并分支方式让我惊呆了,为什么要选择不保留每个具体修改变化。当然,这天还不止发生这个事,还有某有名且特别贵的iOS APP作者高调宣布要支持这个obfs,而且非常迅速的在当晚10点就发布了支持http混淆的TF,原来当时声称极力反对混淆的人,如今是这样做的啊,速度之快让我佩服,你这么高调,看来某种导致涨价的阴影其实在你心中并不算什么了是吧,我真是服了。我顶着巨大的怒火,继续做我原本要做的事:组建ShadowsocksR organization,我原来的决定是通过圣诞节这一时机,重新开始公开发布,因为已经以不对外公开的方式保持了10个月了,就是为了躲开那些自以为是的喷子们,而这时越来越多开发者和我合作,所以打算重新使用github同步代码,顺便组建团队。

终于到了12月29日,发生了一件更严重的事情(不过这件事情只能保密了),这件事对于我来说,简直是致命性的打击,让我有停止维护的想法,再看看ss-libev那边的issue和文章,一直在刻意避免提及SSR,几个原因全部集合在一起,我感觉我要崩溃了,于是写下了这个公告,也是我第一次从写公告开始,一直哭到晚上睡觉(失眠)。

第二天起来即12月30日,这下不得了,遇到了好多dalao和我谈心,劝我不要停止开发,好几个有影响力的人出现了。而与此同时,知乎聚集了一帮troll,矛盾出现了,到底我应该怎么做好呢?如果要说继续,可我已经说了要停止了,那边还一直在那骂,答案还不断的更新,改了又改。我仔细观察了一些ID,有些ID我是认识的,从去年就一直黑到现在,到上知乎喷我。这时候,我想知道真实的支持比例,不想被这些喷子盖住真实的支持者,因为知乎上支持的答案大多都被举报删掉了,于是晚上开了个投票,并表示,只要有10%的反对票就停止开发,因为我确实觉得,如果反对的都有10%了,那价值就确实没多少了,我花费那么多时间在细节上的处理没有被认同的话。

到了12月31日,投票的比例让我吃惊,连5%都不到的反对票,比ss-android的1星2星的比例还要少,可以认为这个比例是完全正常的。喷子认为这个投票没有意义|做秀|用来给自己台阶|转嫁仇恨,我去,阴谋论学得真好,为什么不去写代码跑去学阴谋论和诡辩?明明一帮都是懂代码的,那我也阴谋一下吧,因为代码写不好所以去当喷子了。但我却在这次投票第一次知道了真实的支持比例,并没有我想像中那么差。同时也知道不少SS站站长表现了对我的支持,发布了支持SSR的公告,真心表示感谢。

然而,知乎的喷子并不止步于此,说什么2016不是说过停更吗(暂时停更四个字你一定要少看两个我能有什么办法),说什么SSR是个团队啦这样那样的,嗯,这句话同样在2015年8月某blog上出现过。 不过从2017年开始,确实就开始是个团队了,由开发者组成的团队,如果要继续黑有多少多少个运营什么的,将来打算怎么收割粉丝什么的,随便黑,我记得佛学里有一句话大概是这个意思,你的心是什么样的,那你看到的别人和世界就是怎么样的。

现在我继续开发,除了想继续把我还没完成的东西继续做下去以外,还想给这些自以为是的开发者通过事实狠狠的给他们一记耳光。还是那句话,请记得SSR是不存在的,SSR是垃圾,SSR的混淆是多余的(SS的混淆就很有用了),协议是无意义的。如不了解SSR,或存有任何疑心,请勿使用。

85 comments:

  1. 你在 Shadowsocks 相关软件方面的工作是伟大的,为自己自豪吧!如果认为 ss-libev 不尊重你的版权,就直接去问,表达自己的观点和诉求。他们不管如何应对,这件事都会有个节点。至于 Surge,我没用 Apple 设备没有买过。就算以后用 Apple 设备,也不会买 Surge,有其它软件可用为什么要花浪费钱。Surge 只是个软件,就算背后有几百万、几千万的财富,和地球上的其它财富、和宇宙的智慧与财富相比,都不值一提。我们可以去做更重要的事。

    ReplyDelete
  2. 说了那么多,原来唯一的矛盾点在tls混淆上。

    有些事是必然的原因导致的必然的结果,比如很多人喷ssr,以及对ssr的态度。

    而有些事是偶然的原因导致的偶然结果。比如ss-libev添加tls混淆。

    我希望你能分清两者的区别。

    ReplyDelete
  3. 支持您的辛勤劳动,一如既往的支持,用行动让喷子闭嘴!

    ReplyDelete
  4. 谢谢你的辛勤付出,不管别人怎么说,做好自己吧。我有和你相同的经历。自己培养的研究生做的我的课题,文章却被别人剽窃,而且每个人都知道,呵呵,这就是现实。

    ReplyDelete
  5. 大神,我永远支持你!

    ReplyDelete
  6. 才知道博主是女生

    ReplyDelete
  7. 我对你表示支持!同时作为长期在知乎的人告诉你,知乎上有相应的利益团体在黑你!而你作为一个小姑娘,可能有些情绪化,但绝不是可以被黑的理由,故作讲道理的知乎精神有时候会做出愚蠢的事情,对比表示遗憾。

    ReplyDelete
  8. 大环境就这样,而且知乎上有些人真的是无脑喷,不必理他们

    ReplyDelete
  9. SSR的作者是女生么?不可思议~~太厉害了。

    ReplyDelete
    Replies
    1. 是女生的说,但一点也不厉害,喷我代码差的数不胜数

      Delete
    2. (没关系,,我连写代码都不会哩)
      提一个想法,把客户端伪装成一个http服务器,然后把服务端也伪装成一个http服务器,客户端把想要发送的内容包含在这个服务器的页面中(服务端也一样),然后通过事先约定好的方法把数据包处理成文字或图片的形式,客户端和服务端互相访问,这样似乎也能实现代理的功能,,不知道可行性如何?
      我不会写代码,,所以对这些也不甚了解,抱歉
      (打个广告:我网站:http://chcblog.tk/ 访问可能有些慢,以及除了我联系方式以外『目前』什么也没有,,『慢是因为我没备案,然后用的是百度云减速的免费cdn+hosinger的免费主机(要知道我只13岁,尚未成年,,备不了案&没钱)』希望能来访一下,提提意见就更好了)(注:百度云减速并非笔误,百度海外节点真心醉了……)

      Delete
  10. Surge的目的是什么?
    PS.我很奇怪,为什么ios版本(美区)没有ss或ssr,我搜到一个shadowsocks看着就像假的。当时听网上说这app稳定,有极高的评价,就下狠心买了。那时觉得小火箭不漂亮,后来也入手了。现在越来越好,简洁明快。

    ReplyDelete
  11. 我看看我能不能发言!我不是因为博主是女的我就支持!

    ReplyDelete
  12. 看到这里想说的有点多。。。。
    破娃酱,虽然你在tg群里不让讨论政治相关的内容,但是在这件事情扮演反面角色的那些人和天朝政治是紧密相关的。所以请允许我剖析一下这种人。
    一句话简单地说,这种人就是和历史上的太平天国、义和团以及文革时候的红卫兵一样,是暴民。
    暴民其实不能算是正常人,而是高级动物,因为他们一些充满暴力的行为已经不在人性的范围内了,当然程度各异。暴民的存在是长期封闭的恶劣人文环境浸泡的结果。这和智力、知识水平没有任何关系,我在其他地方也看到你提到过“这些会编程的人逻辑应该不差...”,这和知识和智力没有关系,而是和智慧有关系。
    智慧不同于智力,我个人认为智慧的高低体现在探索和认知世界、形成三观以及不断完善三观能力这种东西上。类似于直觉吧。有智慧的人会有基本观念自我革新,跳出固有概念的经历。
    而这些暴民并没有这种智慧,特别是在对人性包括自己的内在认识上。他们一切的行为就是运用行为和语言上的暴力,打压别人,争取所有权、话语权。这些人心里没有道德公义,只有占有和追求欲望的满足。
    你说的佛教的说法在大乘佛经是普遍存在的,比如《楞严经》上就有提到:“一切法,唯心所现,唯识所变。”我的理解就是每个人看到的世界其实都不同,是由每个人的心念的好坏决定看到好的或坏的世界;世界的变化是由阿赖耶识里面储存的业所决定的,善业就是删因,遇到合适的善缘就会结出善果,恶业类似。
    心怀恶念的人看任何人都是恶人。对待这种人,首先是可怜,因为他们没能有正常的观念,若能转化很好,但通常是不需理睬就可以了,当作不存在。

    ReplyDelete
  13. 虽然不是一个领域。但我觉得吧只有对明星而言才有粉丝和喷子。搞科学研究的只有赞成和反对,分别说出自己的道理即可,辩论只针对问题本身,讨论无关的东西毫无意义。世间万物唯真理永存,希望博主继续研究啊。

    ReplyDelete
  14. 我们用户管不了那么多。。内部原因也许有不少。。但是依然用SSR。至少目前来说我是支持的。

    ReplyDelete
  15. 人的言论和对你得评价,来源于他们自己得肉体体验,精神状态和外部刺激,没有一个,没有一个人可以通过你的作品评价你,也不应该用他们反对得声音影响到你,毕竟你做的事情很稀少,用万中无一来评价已经是很差劲的低估,你做的时间越长,越保密,知道的人越多,反对和阻力越大,这件事情的性质会完全不一样,至于该怎么走,完全在你一念。做好保密,保密,保密,甚至可以另起炉灶,有1才有0对么

    ReplyDelete
  16. 让我想起了一句歌词:“逆风的方向更适合飞翔,我不怕千万人阻挡只怕自己投降!”

    ReplyDelete
  17. 我今天在tg上看到有人说你和sslibev开发人员还有clowwindy谈笑风生

    是和他们达成了协议,准备一起开发吗?

    ReplyDelete
    Replies
    1. 那有没有人说我在造海底光缆或者造虫洞研究时间旅行?

      Delete
  18. 感谢你付出的一切(鞠躬)

    ReplyDelete
  19. 真的太厉害了!鞠躬

    ReplyDelete
  20. 别停,继续,希望就在前方~~

    ReplyDelete
  21. 一直用的是原版,今天试了下SSR,感觉界面有点乱,用户操作体验比原版要低不少,对新手很不友好。功能确实比原版要多,但是各种选项像是没考虑过乱放的,一些设置也没有说明会让人产生疑惑比如有好几个地方可以选全局的到底该选哪个,有些虽然有简单的文字说明但仍然不知道具体的使用场景,还有些不相干的东西被放到了一起,建议优化一下目录结构和分类。

    ReplyDelete
  22. 我还比较在意一件事,博主有男票不
    吃瓜群众

    ReplyDelete
  23. 当时Surge打折就没买,买了Shadowrocket,中间后悔过没买Surge,后来完全不后悔,什么人开发的玩意就是什么德行,就像百度开发的输入法再好也不用

    ReplyDelete
    Replies
    1. 当时用Surge是没办法,ios上唯一的ss工具,直到用了shadowrocket才知道,这这作者是个什么德行~

      Delete
  24. 用博主的ssr大半年了,很棒。谢谢辛劳付出,不管将来会不会更,甚至迫于某些压力。但感谢时间段内带来的美好。

    ReplyDelete
  25. 支持破娃酱的ssr,用了1年多了,非常好的翻墙工具,解决了我不能连接外网的问题!

    ReplyDelete
  26. 哈哈,作为一位被知乎赶出来的凑表脸的程序员,过来也支持下你。
    当时听到消息时,我是挺惊讶的,在知乎上开了对应问题之后我立马就去写了个答案发声支持,结果:)你知道的,我才发现知乎居然还有一种方式操控答案,叫无声屏蔽,即你在知乎上发出了答案,你在你的个人主页可以看得到,别人也在你的个人主页看的到,但是在那个问题底下,你的回答不会计入总回答数,你的回答也不会显示在全部回答内:)
    知乎,民粹,终将反智。
    另外,那天我特地上推特观看了别人对你的偏见,以及您开启的投票,我顺手投了个反对,不要再继续开发。就如知乎上说的那样,这样的人不配用SSR,也不配再坐享其成,宁可让SSR死掉,也不愿意再看到那些人恶心的嘴脸。
    恶毒的攻击与谩骂已经过去,既然您还愿意继续开发SSR,大家也都是很乐意见到的,愿SSR越来越好。

    ReplyDelete
    Replies
    1. 知乎的答案绝大多数支持的都被干掉了。我如果真是玻璃心早就2015年就停止了。我也在纠结,因为确实就有人又骂又用SSR,说不想开发自然就是不想给这些人用。键盘党的逻辑是这个作者怎么怎么的,所以不用SSR,这种逻辑好像在哪里似曾相识。

      Delete
    2. 给我,我也会选择闭源,或者虽然GPL,但线上不放出代码,你得打比特币到我的比特币钱包然后我再寄给你ssr源码的光碟。太多不要脸的人了,吵架只会浪费自己宝贵的时间而已。

      Delete
    3. 另外,不知道你知道啥叫垃圾人不。整天闲着没事在网上没点贡献,专注于吵架以及输出负能量,:)做好自己该做的就好,喷子言论直接删除或无视即可:)毕竟垃圾人的时间是无限的,而你的生命是有限的。万能回复句式:你开心就好:)

      Delete
  27. 我维护的hosts里面已经添加上你的博客地址了,让更多人不用翻墙也能浏览。

    ReplyDelete
    Replies
    1. 今天看到一个截图,层主维护的hosts被查了,作者被请走了,不知道你现在是否安好。

      Delete
  28. 你自己也体验到了这种感受,或许SS作者离开真正的原因不是喝茶,而是你现在所诉说的这个原因。明确的说,我反对SSR,理由有二:
    其一,SSR有嫖窃SS代码事件的不良记录;
    其二,混淆功能容易被检测,对使用者产生不利,而这种不利并没有在软件本身上作出任何说明。多数人误以为这个功能会使自己更安全,包括很多不懂技术细节的服务提供者。
    SS github里反对SS的人可以说基本基于以上理由,而赞成SSR的无疑更多,因为多数人使用并不追问技术细节,只管选项功能是不是更多。反对者并不是无耻的。

    ReplyDelete
    Replies
    1. 容易被检测和安全是一码事?错误使用插件使用错误参数的后果,在文档有说明,不看文档的责任在怪我吗?SSR只是提供了工具的组合,错误组合导致的后果怪我吗?
      你似乎很懂技术细节,那你不如说说什么情况下容易被检测呢?

      Delete
    2. 谢谢你承认我不是无耻的反对者,愿意就技术细节讨论。
      关于混淆在什么情况下容易被检测,这取决于运营商的需要,而不是你。运营商在比对dns后就能知道流量是否产用了混淆。我把混淆功能称为“掩耳盗铃”,心里没鬼何必要采用混淆?而用了混淆参数,等于告诉别人,我正在进行伪装。

      Delete
    3. 你这个根本不是什么问题,不写混淆参数不就好了?这个问题我在另一文章早就说明过了,也建议过除非必要,否则不建议写参数。但你这个仍然无法区分是否开了混淆

      Delete
    4. 已经有人因此被运营商报警抓了,还有人被运营商约谈。虽然是他们自己使用不当,不过很多小白就是这样,有了功能就用,而且更不会看你的文档,更不知道你的博客。

      Delete
    5. 我是相关插件开发者,同时放上SS和SSR,多数人使用SSR,而且会开启混淆,虽然对他们来说其实不如不开的好。现在我在SSR上注明了慎用,并进行了说明,才有好转。

      Delete
    6. 那你知道可以通过在服务端设置http混淆参数以阻止客户端乱填吗?服务端设置了这个参数的话,客户端只能填写服务端设置的域名(例如设置域名就是你节点实际的域名),其它的就连不上。如果你要为小白着想,那你就给他多做一步。但SSR本身不可能为使用者的错误使用而负责,好比你用OpenVPN被封或被那啥总不可能怪作者吧?

      Delete
    7. 所以openvpn已经被抛弃用来翻墙了。
      如果参数设置本身节点域名,那这个参数加不加也没什么意义了啊。
      原版SS就算不加混淆参数也很安全,对吗?

      Delete
    8. 我说的是服务端填写,强制客户端只能使用默认值
      SSR隐匿性最好的配置方法,应该是使用auth_aes128_*协议,然后不加混淆
      至于你说原版SS,你很快就会知道了

      Delete
    9. 我知道你写了一个针对SS的定向检测软件,来检测指定服务器是否运行ss服务。但这个检测方式效率极低,也就是说GFW需要遍历所有境外公网ip去检测,除非gfw已经怀疑某ip运行了ss,再用你的方法去验证,而且这方法并不是所有版本SS都适用。恕我直言,你这个方式纯粹属小女子心理所为,实际应用中并不会采用广谱式的验证方式去验证茫茫多的ip。

      Delete
    10. 只是就功能存在可能引起后果的讨论,后来你也是开了源的,所以第一条就不讨论了,并且感谢你在这方面技术上的探索。

      Delete
    11. 问题是,我只是挑了一个最没有威胁的,最容易自己重现的问题放出来,试图让作者重视这类问题罢了,真正的大问题我至今没说

      Delete
    12. Anonymous20/7/17 14:39

      还有真正大问题啊,不知道传言即将到来的2月大规模封杀是否会跟此有关。反正我是已经提前切换到SSR了。

      Delete
  29. 在我印象,国外的开发者都很端正,特别心理上。如果照你这么说,属于维护ss-libev的人不对,只能说他们不够‘端正’,但你也无需降低身份和他们一般见识。

    ReplyDelete
  30. 看到这样,我表示改了你东西。其实我并没有开源。我是罪人。面壁10分钟

    ReplyDelete
  31. 看到这样,我表示改了你东西。其实我并没有开源。我是罪人。面壁10分钟

    ReplyDelete
  32. 从来不写评论的小白来支持一下,从SS转到SSR。不知道是不是运营商可以侦测SS还是Qos的关系反正以前SS速度一直起不来,换SSR后加了tls1.2_ticket_auth混淆速度一下子就起来了,这么好用的东西,希望作者能持续更新。

    ReplyDelete
  33. 刚才在github为了透明代理的问题,谢谢耐心地回复,支持楼主。

    ReplyDelete
  34. 嗯。。理下那些人喷的逻辑。你的这个我不懂,我也不了解,但是,在错误的使用情况下可能会造成xxxx危害,尽管那可能不存在,因此,我不使用它。

    来,造句吧。

    尽管你卖的这款服饰很漂亮,但在我看来那上面被你称赞的叫做蕾丝的东西一点用也没有,而且但在被人拿来当食物吃时/穿的时候衣服勒到脖子时 可能会使人窒息死亡,所以我不去用它,也不会让别人用你的东西。:)

    ReplyDelete
    Replies
    1. 逻辑的前提在于,到目前为止,多数人认为混淆是一种更安全的方式,其实我们都知道这是小白们的误解。只是既然影梭的目的是为了安全,那么这种可能引起误会的东西,并且已经被运营商利用来针对SSR的功能,应当取消。

      Delete
    2. 不可以取消,不要只看到不应该存在的一面,而看不到必须存在的一面

      Delete
  35. 我什么都不管,反正就是支持你。不要在乎那些喷子。

    ReplyDelete
  36. 留言只为支持!我们需要你!

    ReplyDelete
  37. 快交个男朋友叫他出去揍喷子

    ReplyDelete
  38. 少女支持还是反对Trump?

    ReplyDelete
  39. 代码写的好不好我不敢乱说,但是作者的工作帮助了很多人,值得肯定和鼓励。谢谢!

    ReplyDelete
  40. 纯粹支持,今天才用小白教程在自己vps上装了ssr,貌似4K都能跑得起来,之前480卡成翔~~~
    任何技术后边都有故事呢,特别是开源技术,特别是作者还是个姑娘~~~

    ReplyDelete
  41. 傲娇的小姐姐,
    我想…………

    ReplyDelete
  42. 我什么都不管,
    反正就是支持小姐姐。
    不要在乎那些喷子。么么哒

    ReplyDelete
  43. 资瓷资瓷!大小姐驾到,统统闪开!

    ReplyDelete
  44. 客观看待软件优缺,反对代码抄袭,谴责madeye squashed,谴责surge。

    混淆自有它的用处,技术无罪。

    楼上的某位,好比你让一群只会皮毛的linux用户输了rm -rf /*去找Linus Torvalds?

    ReplyDelete
  45. Anonymous17/4/17 21:37

    dalao加油

    ReplyDelete
  46. 终于可以下载了,小白支持一下

    ReplyDelete
  47. 支持一下,对于别的话,听过就好了,好的坏的都是如此,认真,你就输了。

    ReplyDelete
  48. 看完了文章,嗯,我觉得你是一个因为勇气而可爱的小公主,摸摸哒,继续努力哦

    ReplyDelete
  49. 看哭了,但愿以后这个项目可不遇到那么多的…

    ReplyDelete
  50. 好欣赏小姐姐啊~~~ 好想知道破娃小姐姐今年多大了~~ 大学 or 工作了 ---你的粉丝一枚

    ReplyDelete