Shadowsocks occupa un angolo strano della storia di internet: un proxy scritto da un singolo sviluppatore in Cina nel 2012, rilasciato come open source e adottato in sordina da milioni di persone come il cavallo da lavoro dell'aggiramento dei firewall. Viene confrontato di continuo con le VPN, di solito con la domanda sbagliata — "quale è meglio?" — quando i due non stanno davvero cercando di fare lo stesso lavoro.

Risposta breve: Shadowsocks è un proxy cifrato progettato per muovere il traffico attraverso i firewall nazionali senza essere riconosciuto. Una VPN è un tunnel cifrato per l'intero dispositivo, progettato per la privacy dalla rete su cui ti trovi. Si sovrappongono, ma rispondono a minacce diverse — e la scelta giusta dipende da quale minaccia è davvero la tua.

Punti chiave

  • Shadowsocks è un proxy SOCKS5 cifrato costruito per superare la censura; non è mai stato progettato come prodotto per la privacy.
  • Il suo trucco è sembrare nulla: nessuna firma di handshake, nessun banner di protocollo, solo byte cifrati senza tratti distintivi.
  • Una VPN copre ogni app sul dispositivo, con un comportamento standardizzato di fronte a fughe e connessioni cadute; le configurazioni proxy variano molto.
  • I firewall moderni hanno imparato a segnalare il traffico che "sembra nulla", quindi il Shadowsocks classico non è più un lasciapassare.
  • Scegli in base al modello di minaccia: resistenza alla censura, privacy dell'intero dispositivo o — sempre più comune — entrambi in un'unica app.

Cos'è davvero Shadowsocks

Nel 2012, uno sviluppatore che scriveva sotto il nome di clowwindy pubblicò un piccolo strumento per far passare il traffico personale attraverso il firewall nazionale cinese. Nel 2015, dopo le pressioni delle autorità, cancellò il codice e si fece da parte. Il progetto è sopravvissuto come implementazioni mantenute dalla comunità ed è stato sviluppato attivamente da allora — è anche la base di strumenti come Outline. Quella storia delle origini spiega completamente il design: Shadowsocks è stato costruito da qualcuno il cui problema era il firewall, non l'inserzionista.

Meccanicamente, Shadowsocks è una coppia: un client sul tuo dispositivo e un server da qualche parte fuori dalla rete filtrata. Il client prende il traffico delle applicazioni attraverso SOCKS5 — l'interfaccia proxy standard — lo cifra con moderni cifrari autenticati e lo inoltra tramite il server, che lo invia alla destinazione reale.

La parte ingegnosa è ciò che manca. Una normale connessione cifrata si annuncia: TLS si apre con un hello riconoscibile, e un protocollo VPN si apre con un handshake riconoscibile. Una connessione proxy Shadowsocks si apre con nulla. Dal primo byte, il flusso è testo cifrato ad alta entropia senza intestazione, senza banner e senza dimensioni dei pacchetti fisse. Non c'è alcuna firma da abbinare perché non c'è alcuna struttura da vedere.

In cosa si differenzia da una VPN

La differenza parte dal livello su cui ciascuno opera, e si diffonde da lì.

Copertura. Una VPN crea un'interfaccia di rete a livello di sistema operativo e instrada l'intero dispositivo attraverso di essa — ogni app, comprese quelle che non hanno alcuna impostazione proxy. Shadowsocks è un proxy: classicamente, trasporta le applicazioni puntate verso di esso. I client mobili offuscano questa distinzione instradando l'intero sistema attraverso un'interfaccia tunnel locale, ma è una funzione del client che installi, non una garanzia del protocollo.

Comportamento in caso di guasto. Le app VPN mature hanno risposte standardizzate alle domande scomode: cosa succede al traffico nel momento in cui il tunnel cade, dove vanno le richieste DNS, se qualcosa sguscia oltre il bordo. Con Shadowsocks, le risposte dipendono interamente da quale client hai scelto e da come è configurato — niente di tutto questo è garantito dal protocollo.

Fiducia. Un fornitore VPN è un'azienda che puoi valutare in base alla sua politica di registrazione e al suo storico — le cose che esaminiamo in cosa significa davvero una politica senza log. I server Shadowsocks sono tipicamente auto-ospitati o acquistati da piccoli rivenditori, spesso anonimi. In entrambi i casi, qualcuno gestisce l'estremità opposta e può osservare dove va il tuo traffico. Il proxy non elimina la necessità di fidarsi dell'endpoint; cambia di chi ti fidi, e con un rivenditore di solito non sai nulla di loro.

Se vuoi la versione generale di questo confronto — proxy contro VPN, oltre la censura — la trovi in VPN vs proxy.

Perché ha funzionato per un decennio

La deep packet inspection, nella sua essenza, è abbinamento di firme: riconosci il protocollo, poi decidi la politica. Shadowsocks non le dava nulla da riconoscere. Questo lasciava a chi censura due opzioni poco attraenti — bloccare gli indirizzi di destinazione uno per uno, un gioco a colpire la talpa contro server affittati a poco prezzo, oppure bloccare tutto ciò che non poteva classificare e accettare i danni collaterali al normale traffico cifrato.

Per anni, i danni collaterali non valevano la pena, e Shadowsocks sgusciava attraverso il varco. Quel varco si sta chiudendo.

Perché "funziona ancora?" è ora una domanda seria

Due contromisure hanno cambiato il quadro. La prima è l'active probing: quando i sistemi di censura notano una connessione sospetta, si connettono loro stessi allo stesso server e ne testano la risposta, cercando comportamenti da proxy. La seconda è più brutale. I ricercatori hanno documentato a USENIX Security 2023 che dalla fine del 2021 il firewall cinese a volte scarta semplicemente le connessioni i cui primi pacchetti sembrano dati ad alta entropia senza tratti distintivi — esattamente quell'assenza di struttura che rendeva Shadowsocks invisibile. Quando chi censura decide che il traffico che sembra nulla è di per sé il segnale, sembrare nulla smette di essere un travestimento.

La comunità ha risposto in due direzioni. Una: avvolgere Shadowsocks dentro trasporti dall'aspetto genuinamente ordinario — vere sessioni TLS, connessioni WebSocket. Due: imitare apertamente protocolli reali — strumenti successori della famiglia trojan e REALITY si presentano come normale HTTPS anche quando vengono sondati. Le specifiche Shadowsocks più recenti hanno anche irrobustito il protocollo contro i trucchi di sondaggio che colpivano le versioni più vecchie. Il gatto col topo continua; l'era dell'unico strumento semplice che funzionava in sordina ovunque è finita.

La svolta QUIC

Il capitolo più recente passa per QUIC, il trasporto UDP cifrato che sta sotto HTTP/3. Una larga fetta del normale traffico web è ormai QUIC, il che lo rende un'ottima copertura: un tunnel che si presenta come HTTP/3 sembra navigazione di tutti i giorni anziché rumore. È di questo che parlano davvero le ricerche su una "VPN QUIC" — strumenti di aggiramento più recenti come Hysteria2 e TUIC cavalcano QUIC per copertura e per prestazioni su percorsi lunghi e con perdite, e il lavoro MASQUE dell'IETF sta standardizzando il proxying su HTTP/3. Apple ha costruito iCloud Private Relay dalla stessa famiglia di idee — iCloud Private Relay vs una VPN spiega come si confronta.

Nemmeno QUIC è una mossa finale. Chi censura può limitare o bloccare in blocco l'UDP — e lo fa — durante i periodi sensibili, il che respinge il traffico verso i travestimenti TCP-e-TLS. Nessun trasporto vince ovunque — ed è per questo che gli strumenti di aggiramento continuano a diversificarsi, e perché la domanda duratura non è "quale protocollo" ma se il tuo strumento può cambiarsi d'abito.

Quale ti serve?

Ordinalo in base al problema che hai davvero davanti:

  • La rete non ti fa uscire. Dove i protocolli VPN vengono identificati e scartati, l'offuscamento è il fattore decisivo, e un protocollo VPN standard sulle impostazioni predefinite può semplicemente non riuscire a connettersi. È il terreno di casa di Shadowsocks — e la stessa esigenza ha prodotto i fork offuscati di WireGuard, che trattiamo in AmneziaWG vs WireGuard.
  • Vuoi privacy dalla rete e dal tuo provider. La copertura dell'intero dispositivo, una gestione prevedibile del DNS e un comportamento sensato quando il tunnel cade contano più dei trasporti esotici. È la colonna della VPN, ed è gran parte dell'uso quotidiano: Wi-Fi di hotel, profilazione del provider, reti non fidate. Come una VPN aggira la censura traccia con più dettaglio la linea tra questi due mondi.
  • Entrambi. Chi si trova su reti pesantemente filtrate di solito ha bisogno di entrambi insieme: la copertura della VPN, con un traffico che non si annuncia. Storicamente questo significava mettere insieme una configurazione da soli, pezzo per pezzo. Sempre più spesso, significa una VPN la cui connessione è offuscata fin da subito.

Snap VPN affronta la cosa dal lato VPN: WireGuard sotto, con tecniche di offuscamento nostre applicate alla connessione così che non consegni ai sistemi di ispezione una firma VPN da manuale. Non pubblichiamo i dettagli a livello di filo — i travestimenti invecchiano in fretta una volta documentati — ma l'obiettivo è quello a cui punta tutto questo confronto: privacy dell'intero dispositivo che si connette comunque sulle reti dove al traffico VPN si dà la caccia.

Domande frequenti

Shadowsocks è una VPN? No. È un proxy cifrato. I client mobili possono instradare un intero dispositivo attraverso di esso, il che lo fa sembrare una VPN, ma le garanzie che un'app VPN standardizza — instradamento esteso a tutto il dispositivo, gestione delle fughe, comportamento al cadere del tunnel — non fanno parte del protocollo Shadowsocks in sé.

Shadowsocks funziona ancora? In molti posti, gran parte del tempo, sì — ma il Shadowsocks classico non ha più un lasciapassare. I sistemi di censura moderni segnalano il traffico interamente cifrato e "senza struttura" e sondano attivamente i server sospetti, quindi le configurazioni attuali si appoggiano a specifiche irrobustite, avvolgimento TLS o protocolli successori.

Cosa è meglio di Shadowsocks? Dipende da cosa deve significare "meglio". Per evitare il rilevamento oggi, i successori che imitano HTTPS reale o cavalcano QUIC hanno il vantaggio. Per la privacy quotidiana su reti ordinarie, una VPN senza log è lo strumento più semplice e completo.

Shadowsocks è sicuro? La crittografia è solida — cifrari autenticati moderni, specificati apertamente. I rischi pratici stanno altrove: chiunque gestisca il tuo server può vedere dove va il tuo traffico, e i client scaricati da fonti casuali possono essere manomessi. L'auto-ospitalità risolve il primo; installare solo build ufficiali risolve il secondo.

In conclusione

  • Shadowsocks è un proxy per l'evasione dalla censura che funziona non avendo alcuna forma riconoscibile. Una VPN è un tunnel di privacy per l'intero dispositivo.
  • Rispondono a minacce diverse, e "meglio" ha senso solo rispetto alla tua.
  • Chi censura ha recuperato terreno sul "sembrare nulla", quindi il campo si è spostato verso il sembrare qualcosa di reale — TLS, WebSocket, QUIC.
  • Per la maggior parte delle persone, gran parte del tempo, la risposta pratica è una VPN — idealmente una che non si annunci all'hardware di ispezione.

Se sei su iPhone e vuoi una VPN che giri su WireGuard, offuschi la propria connessione e non chieda chi sei — niente email, niente account, niente log del traffico — Snap VPN è sull'App Store.