Pärast kuudepikkust raadiovaikust värskendati GitHubis just Signali privaatsõnumite serverikomponendi lähtekoodi.
Värskendus 1 (04/09/2021 kell 16:00 ET): Nüüd teame, miks Signali taustaserveri tarkvara värskendatud lähtekoodi avaldamine nii kaua aega võttis. Lisateabe saamiseks klõpsake siin. Artikkel on avaldatud kujul säilinud allpool.
Signal Private Messenger on olnud aastaid populaarne sõnumsideplatvorm tänu oma privaatsusele ja täielikule krüptimisele keskendumisele. Projekt on välja andnud iga Signali komponendi lähtekoodi, sealhulgas taustaserveri ja kliendirakendused, kuid serveritarkvara avalik kood jäi kuude kaupa aegunuks kuni just täna.
Signaal salvestab kaugserveritesse võimalikult vähe teavet, kuid siiski on olemas serverikomponent kasutajate ühendamiseks telefoninumbritega, tõuketeadete saatmiseks ja muudeks funktsioonideks. Signal on pakkunud GitHubi serveritarkvara lähtekoodi, võimaldades kõigil seda teha luua oma sõltumatu taristu. Enamik inimesi valib aga lihtsalt Signali platvormi kasutamise, kuna side esmase serveri ja isehostitavate serverite (föderatsiooni) vahel ei ole toetatud.
Pärast eelmise aasta 22. aprilli lõpetas Signal oma serveritarkvara avaliku koodihoidla värskendamise. Liikumine oli murettekitav, kuna Signali avatud lähtekoodiga olemus muutis turvaauditite tegemise lihtsamaks ja tagas, et platvorm ei lekiks privaatseid andmeid. A GitHubi probleem väljaannete puudumise kohta loodi eelmisel kuul, järgmisel muud arutelud Redditis ja Signaali enda kogukonna foorum.
Kuigi Signal pole veel koodiväljaannete lünga kohta avalikult avaldanud, avaldas projekt täna lõpuks sadu kohustusi avalik GitHubi hoidla. Hoidlas kuvatakse nüüd palju 2020. ja 2021. aasta jooksul lõpule viidud koodi sisestamisi, pakkudes uusimat saadaolevat serveri versiooni 3.21 juurde 5.48.
Siiani pole selge, miks Signal nii kaua oma avaliku serveri koodi värskendamata kulus, eriti kui grupp on ajalooliselt uhke selle üle, et on avatud ja läbipaistev. Oleme pöördunud Signali poole avalduse saamiseks ja värskendame oma katvust, kui/kui saame vastuse.
Hind: tasuta.
4.4.
Värskendus 1: selgitus
Signali tegevjuht Moxie Marlinspike on seda teinud kommenteeris GitHubi teemal koos selgitusega viivituse kohta. Ta ütleb, et viivitus ei tulene sellest, et ettevõte üritas oma üksikasju varjata uus privaatsusele keskendunud maksete funktsioon enne selle käivitamist, kuid selle eesmärk oli pigem takistada rämpspostitajatel uusi rämpspostivastaseid meetmeid, mida ettevõte kavatses kehtestada. Lisaks kordab ta, et kliendi lähtekood avaldatakse iga väljalaskega, järgud on reprodutseeritavad ja Signal on loodud serverit mitte usaldama. olenemata sellest, mis tähendab, et juurdepääsul serveri lähtekoodile pole "turvalisuse tagajärjed". Siiski lõpetab ta, öeldes, et mõistab, miks inimesed võivad seda tahta vaadake serveri lähtekoodi hariduslikel eesmärkidel või oma eksemplaride käitamiseks, nii et ta lubab, et ettevõte teeb "paremat tööd, et muudatusi reaalsemaks muuta. aeg."
Siin on tema kommentaar täies mahus:
„Esmalt vabandust, et ühe meie teenuse allikas jäi nii kaugele maha. Sageli ei suru me allikat enne, kui oleme asjad välja lasknud, ja sel perioodil juhtus paar kattuvat väljaandmist, mis muutis igal hetkel tõukamise ebamugavaks ja jättis meid maha. Lisaks oleme näinud rämpsposti arvu suurt kasvu ja vastumeelsust avaldada kohe täpseid rämpspostivastaseid meetmeid. vastasid kohas, kus rämpspostitajad võisid neid kohe näha koos ülaltooduga, et tekitada see äärmus viivitus.
Nagu selle lõime inimesed on märkinud, avaldatakse meie kliendiallikas alati iga väljalaskega, järgud on reprodutseeritavad ja kõik on loodud nii, et serverit niikuinii mitte usaldada. Et olla väga selge siinsete üksikute tinapaberist mütsiseppade jaoks (Internet poleks ilma sinuta praegu sama, tänan teid teenust), me ei kuulu ühegi nn nn. server.
Isegi kui sellel pole turvalisust, saame aru, miks serveri allikas on kasulik inimestele, kes soovivad käivitada oma Signaali versioonid, mõistavad, kuidas Signal töötab, ja lihtsalt üldiselt näevad, kuidas asjad on üles ehitatud. Teeme paremat tööd, et muudatusi reaalajas edasi lükata.
Püüame GH-teemasid aruteludeks mitte kasutada, nii et ma lõpetan selle nüüd, kuid andke meile foorumites teada."