След месеци радиомълчание изходният код за сървърния компонент на Signal private messenger току-що беше актуализиран в GitHub.
Актуализация 1 (09.04.2021 г. в 16:00 ET): Вече знаем защо пускането на актуализирания изходен код за бек-енд сървърния софтуер на Signal отнема толкова време. Щракнете тук за повече информация. Статията, публикувана на, е запазена по-долу.
Signal Private Messenger е популярна платформа за съобщения от години, благодарение на фокуса си върху поверителността и криптирането от край до край. Проектът пусна изходния код за всеки компонент на Signal, включително back-end сървъра и клиентски приложения, но публичният код за сървърния софтуер беше остарял с месеци, докато току-що днес.
Signal съхранява възможно най-малко информация на отдалечени сървъри, но все още има сървърен компонент за свързване на потребители с телефонни номера, изпращане на насочени известия и други функции. Signal предостави изходния код за сървърния софтуер на GitHub, което прави възможно за всеки
създадоха собствена независима инфраструктура. Повечето хора обаче просто избират да използват платформата на Signal, тъй като комуникацията между основния сървър и самостоятелно хостваните сървъри (федерация) не се поддържа.След 22 април миналата година Signal спря да актуализира публичното хранилище на кодове за своя сървърен софтуер. Този ход беше обезпокоителен, като се има предвид, че природата на Signal с отворен код улесни извършването на одити на сигурността и гарантира, че платформата не изтича на лични данни. А Проблем с GitHub относно липсата на издания беше създаден миналия месец, следното други дискусии в Reddit и Собствен форум на общността на Signal.
Въпреки че Signal все още не е направил публично изявление относно пропуските в изданията на код, проектът най-накрая публикува днес стотици ангажименти към публично хранилище на GitHub. Хранилището вече показва много ангажименти на код, завършени през 2020 г. и 2021 г., сблъсквайки най-новата налична версия на сървъра от 3.21 да се 5.48.
Все още не е ясно защо Signal изкара толкова дълго време, без да актуализира кода на публичния си сървър, особено когато групата исторически се гордее с това, че е отворена и прозрачна. Свързахме се със Signal за изявление и ще актуализираме нашето покритие, когато/ако получим отговор.
Цена: Безплатно.
4.4.
Актуализация 1: Обяснение
Изпълнителният директор на Signal Мокси Марлинспайк има коментира относно проблема с GitHub с обяснение за забавянето. Той казва, че забавянето не е защото компанията се е опитвала да скрие подробности за себе си нова функция за плащания, фокусирана върху поверителността преди да стартира, но по-скоро беше насочена главно към предотвратяване на спамърите да съберат новите анти-спам мерки, които компанията планира да въведе. Освен това той повтаря, че изходният код на клиента се публикува с всяко издание, че компилациите са възпроизводими и че Signal е проектиран да не се доверява на сървъра независимо от това, което означава, че достъпът до изходния код на сървъра „няма последствия за сигурността“. Той обаче завършва, като казва, че разбира защо хората може да искат погледнете изходния код на сървъра за образователни цели или за стартиране на техни собствени екземпляри, така че той обещава, че компанията ще „върши по-добра работа за натискане на промени в по-реални време."
Ето пълния му коментар:
„Първо, съжалявам, че източникът на една от нашите услуги изостана толкова много. Често не натискаме източника, докато не пуснем нещата, и имаше няколко припокриващи се издания, които се случиха през този период, което направи неудобно да натискаме във всеки един момент и ни изостави. Освен това видяхме голямо увеличение на спама и нежелание да публикуваме незабавно точните мерки срещу спама, които отговаряха с на място, където спамерите можеха незабавно да ги видят в комбинация с горното, за да причинят тази крайност забавяне.
Както отбелязаха хората в тази тема, източникът на нашия клиент винаги се публикува с всяко издание, компилациите са възпроизводими и всичко е проектирано така, че да не се доверява на сървъра. За да бъда много ясен за малкото станиол хейтъри тук (интернет просто нямаше да е същият без вас в този момент, благодаря ви за вашето услуга), ние не сме под никаква „заповед за запушване“, няма NSL и целият смисъл е, че няма „зловреден софтуер“, който можем да инсталираме на сървър.
Дори и да няма последствия за сигурността, разбираме защо източникът на сървъра е полезен за хора, които искат да работят техните собствени версии на Signal, да разберат как работи Signal и просто като цяло да видят как са изградени нещата. Ще свършим по-добра работа за натискане на промени в по-реално време.
Опитваме се да не използваме проблемите с GH за обсъждане, така че сега ще затворя това, но ни пишете във форумите."