aetris/Отчет об аудите
Риск: Низкий
unlocked.sh
Unlocked

Результаты аудита

Комплексная оценка безопасности2026-02-10

0/ 100
Общий балл
Безопасность
+6
0/ 100
Подробнее
Производительность
+4
0/ 100
Подробнее
Надёжность
+2
0/ 100
Подробнее
Приватность
+14
0/ 100
Подробнее

Ключевые находки

5 найдено проблем
MediumВ работеP2

Устаревшие cipher suites на 2 legacy-нодах (TLS 1.2)

ВлияниеТеоретическая возможность понижения шифрования
ЭксплуатируемостьНизкая
РекомендацияОтключить TLS 1.2, перевести на TLS 1.3
LowРешеноP3

Сторонний analytics SDK имеет доступ к метаданным соединений

ВлияниеМинимальный риск корреляционного анализа
ЭксплуатируемостьНизкая
РекомендацияПроксировать через слой анонимизации
MediumРешеноP2

Сессионные токены не инвалидируются при смене пароля

ВлияниеВозможность сохранения доступа после сброса пароля
ЭксплуатируемостьСредняя
РекомендацияПринудительная инвалидация всех активных сессий при смене пароля
LowРешеноP3

Отсутствие certificate pinning в мобильном клиенте

ВлияниеТеоретический MitM-риск на скомпрометированном устройстве
ЭксплуатируемостьНизкая
РекомендацияВнедрить certificate pinning для API-эндпоинтов
LowРешеноP3

Таймаут соединения не обрабатывается корректно в мобильном клиенте

ВлияниеУхудшение UX при переключении сетей
ЭксплуатируемостьН/Д
РекомендацияРеализовать retry-логику с экспоненциальным backoff

Техническая инфраструктура

Аудит архитектуры нод и протокольного стека

Маскировка

PROTOCOL_MASKING

Полная мимикрия под HTTPS-трафик через VLESS + Reality. Трафик неотличим от обычного TLS-хендшейка — DPI видит легитимное соединение с популярным сайтом.

VLESSRealityTLS 1.3uTLS

Архитектура нод

NODE_STACK

Dual-stack: legacy-ноды на 3x-ui (логирование полностью отключено), новые ноды — чистый Xray-core без UI. Минимальная поверхность атаки на новых инстансах.

3x-uiXray-coreNo-UI nodesHardened

Smart Routing

TRAFFIC_SPLIT

Раздельные inbound'ы на одном сервере: зашифрованные (Reality) для обхода DPI из RU, и TCP-flow без накладных расходов для прямых подключений из EU/DE. Нулевой overhead на внутренних релеях.

Split InboundTCP FlowZero OverheadRU DPI Bypass

Zero Logging

PRIVACY_ENFORCED

Логирование на уровне панелей (3x-ui) отключено полностью. Xray-core ноды запущены с loglevel: none. Отсутствие записей о подключениях подтверждено аудитом файловой системы.

loglevel: noneNo access logsFS verified

DPI & ML Bypass

CENSORSHIP_RES

Результат: трафик проходит DPI-фильтры (ТСПУ) и ML-классификаторы без детекции. Reality-handshake имитирует реальный сайт, фингерпринт TLS-сессии совпадает с Chrome/Firefox через uTLS.

Anti-DPIAnti-MLТСПУ bypassFingerprint match

Топология

NET_TOPOLOGY

Многоуровневая схема: entry-ноды (DE, NL) принимают подключения, внутренний relay без шифрования (TCP flow) до exit-нод. Георезервирование по EU-зонам, failover < 2 сек.

Multi-hopEU GeoTCP RelayAuto failover
network_topology.sh
  ┌─────────────────────────────────────────────────────────────────┐
  │                    UNLOCKED VPN TOPOLOGY                       │
  └─────────────────────────────────────────────────────────────────┘

  [RU Client] ──Reality+TLS──► [Entry Node DE/NL]
                                    │
                                    ├─► Inbound A: VLESS + Reality (encrypted, DPI bypass)
                                    │       └─► for connections from censored regions
                                    │
                                    ├─► Inbound B: TCP flow (no overhead)
                                    │       └─► for direct EU/international connections
                                    │
                                    └─► Internal relay ──TCP (no encryption)──► [Exit Node]
                                                                                   │
  [EU Client] ──Direct TCP──► [Entry Node DE] ─────────────────────────────────────┘
                                                                                   │
                                                                              ► Internet

  Nodes:  3x-ui (legacy, logs=OFF)  |  Xray-core (new, loglevel=none)
  Proto:  VLESS + Reality + uTLS    |  TCP flow (internal relay)
  Result: Full DPI/ТСПУ bypass      |  Zero overhead on EU routes

Трекер исправлений

Прогресс4 / 5 решено

5

Всего проблем

4

Решено

1

В работе

0

Открыто

По серьёзности

2 Medium3 Low