بعد أشهر من صمت الراديو، تم للتو تحديث الكود المصدري لمكون خادم Signal الخاص للمراسلة على GitHub.
التحديث 1 (04/09/2021 @ 04:00 مساءً بالتوقيت الشرقي): نحن نعرف الآن سبب استغراق إصدار الكود المصدري المحدث لبرنامج خادم الواجهة الخلفية لـ Signal وقتًا طويلاً. انقر هنا للمزيد من المعلومات. المقال كما نشر بتاريخ، محفوظ أدناه.
سيجنال ماسنجر الخاص لقد كانت منصة مراسلة شعبية لسنوات، وذلك بفضل تركيزها على الخصوصية والتشفير الشامل. أصدر المشروع الكود المصدري لكل مكون من مكونات Signal، بما في ذلك الخادم الخلفي و تطبيقات العميل، ولكن تم ترك الكود العام لبرنامج الخادم قديمًا لعدة أشهر حتى مجرد اليوم.
يقوم تطبيق Signal بتخزين أقل قدر ممكن من المعلومات على الخوادم البعيدة، ولكن لا يزال هناك مكون خادم لتوصيل المستخدمين بأرقام الهواتف، وإرسال الإشعارات الفورية، ووظائف أخرى. لقد وفّر تطبيق Signal الكود المصدري لبرنامج الخادم على GitHub، مما يتيح لأي شخص القيام بذلك إنشاء البنية التحتية المستقلة الخاصة بهم. ومع ذلك، يختار معظم الأشخاص ببساطة استخدام منصة Signal، نظرًا لأن الاتصال بين الخادم الأساسي والخوادم ذاتية الاستضافة (الاتحاد) غير مدعوم.
وبعد 22 أبريل من العام الماضي، توقفت شركة Signal عن تحديث مستودع الكود العام لبرنامج الخادم الخاص بها. كانت هذه الخطوة مثيرة للقلق، نظرًا لأن طبيعة Signal مفتوحة المصدر جعلت من السهل إجراء عمليات التدقيق الأمني والتأكد من عدم تسرب النظام الأساسي للبيانات الخاصة. أ قضية جيثب تم إنشاء حول عدم وجود الإصدارات الشهر الماضي، التالية مناقشات أخرى على رديت و منتدى المجتمع الخاص بشركة Signal.
على الرغم من أن Signal لم يصدر بعد بيانًا عامًا حول الفجوة في إصدارات التعليمات البرمجية، فقد نشر المشروع أخيرًا مئات الالتزامات اليوم إلى مستودع جيثب العام. يُظهر المستودع الآن العديد من عمليات تنفيذ التعليمات البرمجية التي تم إكمالها خلال عامي 2020 و2021، مما يؤدي إلى رفع أحدث إصدار متاح من الخادم من 3.21 ل 5.48.
لا يزال من غير الواضح سبب استمرار Signal لفترة طويلة دون تحديث كود الخادم العام الخاص به، خاصة عندما تفتخر المجموعة تاريخيًا بكونها منفتحة وشفافة. لقد تواصلنا مع Signal للحصول على بيان، وسنقوم بتحديث تغطيتنا عندما/إذا تلقينا ردًا.
مجاني.
4.4.
التحديث 1: الشرح
الرئيس التنفيذي لشركة Signal Moxie Marlinspike علق بخصوص مشكلة GitHub مع شرح للتأخير. ويقول إن التأخير ليس لأن الشركة كانت تحاول إخفاء تفاصيلها ميزة المدفوعات الجديدة التي تركز على الخصوصية قبل إطلاقه ولكنه كان يهدف بشكل أساسي إلى منع مرسلي البريد العشوائي من التعرف على إجراءات مكافحة البريد العشوائي الجديدة التي خططت الشركة لسنها. ويؤكد أيضًا أنه يتم نشر كود مصدر العميل مع كل إصدار، وأن الإصدارات قابلة للتكرار، وأن تطبيق Signal مصمم بحيث لا يثق بالخادم بغض النظر، مما يعني أن الوصول إلى الكود المصدري للخادم "ليس له أي عواقب أمنية". ومع ذلك، فهو يختتم بالقول إنه يفهم سبب رغبة الناس في ذلك انظر إلى الكود المصدري للخادم لأغراض تعليمية أو لتشغيل مثيلاته الخاصة، لذلك يعد بأن الشركة "سوف تقوم بعمل أفضل لدفع التغييرات بشكل أكثر واقعية". وقت."
وهذا تعليقه كاملا:
"في البداية، نأسف لأن مصدر إحدى خدماتنا كان متأخرًا جدًا. نحن في كثير من الأحيان لا ندفع المصدر حتى نصدر الأشياء، وكان هناك عدد قليل من الإصدارات المتداخلة التي حدثت في تلك الفترة مما جعل من الصعب الدفع في أي لحظة وتخلفنا عن الركب. بالإضافة إلى ذلك، فقد شهدنا زيادة كبيرة في البريد العشوائي، وإحجامًا عن النشر الفوري لإجراءات مكافحة البريد العشوائي الدقيقة التي وضعناها كانوا يستجيبون إلى مكان حيث يمكن لمرسلي البريد العشوائي رؤيتهم على الفور مع ما سبق للتسبب في هذا الحد تأخير.
كما لاحظ الأشخاص في هذا الموضوع، يتم دائمًا نشر مصدر عميلنا مع كل إصدار، وتكون الإصدارات قابلة للتكرار، وكل شيء مصمم بحيث لا يثق بالخادم على أي حال. لكي أكون واضحًا جدًا بالنسبة لعدد قليل من صانعي القبعات المصنوعة من ورق القصدير هنا (لن يكون الإنترنت كما هو بدونك في هذه المرحلة، شكرًا لك على جهودك) الخدمة)، فنحن لسنا خاضعين لأي "أمر منع النشر"، ولا يوجد خطاب أمن قومي، والنقطة الأساسية هي أنه لا توجد "برامج ضارة" يمكننا تثبيتها على الخادم.
حتى لو لم يكن لذلك أي عواقب أمنية، فإننا ندرك سبب كون مصدر الخادم مفيدًا للأشخاص الذين يرغبون في التشغيل إصداراتهم الخاصة من Signal، يفهمون كيفية عمل Signal، ويرون بشكل عام كيف يتم بناء الأشياء. سنقوم بعمل أفضل في دفع التغييرات في الوقت الفعلي.
نحن نحاول عدم استخدام قضايا GH للمناقشة، لذلك سأغلق هذا الآن، ولكن تابعنا على المنتديات."