Jirajine

@x77 另外因为各种各样的原因，如实现成本、性能、复杂度、兼容性等，几乎所有设计用于“隐藏”的协议都是代理协议，而通用 VPN 协议的流量几乎全都有明确的特征。
你以为的 Android 的上的“VPN”实际上是一种通过 tun 来实现透明代理的方式。（配置不当的情况下）其实比普通 http/socks 代理更可能泄漏。

@x77 呃，你在说些什么。
最原始的 http/socks 代理协议都是支持通过代理直接向目标域名发起请求的，客户端不需要关心 dns ，后续的加密代理协议都继承了这一特性，AKA 远端解析。
会出现“dns 泄漏”主要是两种原因，一是错误配置的分流，需要在本地把拿到的域名解析成 IP 来决定是否代理，且这个域名解析的过程没有走加密信道，典型的如 clash 。二是透明代理，应用需要自己发起 dns 请求得到 ip 再向 ip 发起连接而非直接让代理服务器向域名发起连接，且这个过程中如果应用发出的 dns 流量没有通过 fakeip 或加密信道转发等方式妥善接管。

@kingnopwang @superchijinpeng @leo97
要安全性的首先就是在 you know what you're doing 的前提下自己手动编写配置文件，确保程序的行为都是你已知且可控的。
服务器 /路由器建议直接用协议原版的程序，自己手写配置文件 /模板，或者自己写脚本更新订阅并转换格式，现在有 chatgpt 这件事方便多了。
客户端使用协议原版程序作为内核的话可以自己 review 一下 gui 生成的配置，不符合预期的改软件设置。

clash 一系的安全性本来就差，设计之初就不注重安全，大量的配置都是默认不安全的，像什么 dns 分流、默认 fallback 等等。你搜“clash dns 泄漏”结果一大堆，基本都是小白不懂配置由默认行为导致的。相关问题的 issues 都被直接关闭，甚至有些加强安全性的 pr 也不合。
还有什么闭源版本、闭源的 gui 。闭源软件没问题，但无法商业化的程序闭源意味着什么我就不说了。
在乎安全性的用户绝不建议使用 clash 及其周边的所有产品。

和指纹一样价值不大。刷脸最大的优势是能在用户无感知、无法抗拒的情况下进行，所以是最值得推广的。

正常来说是的，只要你没有盲目用别人提供的各种“分流规则”。
如果能同时启用 ECH 和加密 dns ，那直接访问域名也可以隐藏，只能观察到目的 CDN 的 IP 地址。

中文圈哪里跟开放沾半点关系。不单中文圈，全世界都在开倒车，reddit 的 API 都要收费了。

@ShadowPower 运行起来可能不难，但稳定性很差。像中文输入法很多都用不了，还有直接 core dump 的，gdb 查半天发现因为 sdl 加载了 im 相关的库，把输入法的环境变量清了才能跑。

读取手机支付通知的回调，小额低频可以搞，不然要么正规认证要么整那些四方五方的支付。