Kuukausien radiohiljaisuuden jälkeen Signal Private Messengerin palvelinkomponentin lähdekoodi on juuri päivitetty GitHubissa.
Päivitys 1 (9.4.2021 klo 16.00 ET): Tiedämme nyt, miksi Signalin taustapalvelinohjelmiston päivitetyn lähdekoodin julkaiseminen kesti niin kauan. Napsauta tätä saadaksesi lisätietoja. Artikkeli, sellaisena kuin se on julkaistu, säilytetään alla.
Signal Private Messenger on ollut suosittu viestintäalusta vuosia, koska se keskittyy yksityisyyteen ja päästä päähän -salaukseen. Projekti on julkaissut lähdekoodin jokaiselle Signal-komponentille, mukaan lukien taustapalvelimelle ja asiakassovelluksia, mutta palvelinohjelmiston julkinen koodi oli vanhentunut kuukausia, kunnes juuri tänään.
Signaali tallentaa mahdollisimman vähän tietoa etäpalvelimille, mutta silti on olemassa palvelinkomponentti käyttäjien yhdistämiseen puhelinnumeroiden kanssa, push-ilmoitusten lähettämiseen ja muihin toimintoihin. Signal on toimittanut lähdekoodin palvelinohjelmistolle GitHubissa, mikä mahdollistaa sen
perustaa oman riippumattoman infrastruktuurinsa. Useimmat ihmiset kuitenkin vain valitsevat Signalin alustan käyttämisen, koska ensisijaisen palvelimen ja itseisännöityjen palvelimien (liitto) välistä viestintää ei tueta.Viime vuoden huhtikuun 22. päivän jälkeen Signal lopetti palvelinohjelmistonsa julkisen koodivaraston päivittämisen. Siirto oli huolestuttava, koska Signalin avoimen lähdekoodin luonne helpotti tietoturvatarkastuksia ja sen varmistamista, että alusta ei vuotanut yksityisiä tietoja. A GitHub-ongelma julkaisujen puutteesta luotiin viime kuussa, sen jälkeen muita keskusteluja Redditissä ja Signalin oma yhteisöfoorumi.
Vaikka Signal ei ole vielä antanut julkista lausuntoa koodijulkaisujen puutteesta, projekti julkaisi vihdoin tänään satoja sitoumuksia julkinen GitHub-arkisto. Arkisto näyttää nyt monia vuosien 2020 ja 2021 aikana suoritettuja koodisitoumuksia, jolloin uusin saatavilla oleva palvelinversio 3.21 to 5.48.
Ei ole vieläkään selvää, miksi Signal kesti niin kauan päivittämättä julkista palvelinkoodiaan, varsinkin kun ryhmä on historiallisesti ylpeä avoimuudestaan. Olemme ottaneet yhteyttä Signaaliin saadaksemme lausunnon, ja päivitämme kattavuuttamme, kun/jos saamme vastauksen.
Hinta: Ilmainen.
4.4.
Päivitys 1: Selitys
Signalin toimitusjohtaja Moxie Marlinspike on kommentoi GitHub-ongelmasta ja selityksen viivästymisestä. Hän sanoo, että viivästys ei johdu siitä, että yhtiö yritti salata yksityiskohtiaan uusi yksityisyyteen keskittyvä maksuominaisuus ennen sen julkaisua, mutta sen tarkoituksena oli lähinnä estää roskapostittajia omaksumasta uusia roskapostin torjuntatoimia, joita yritys aikoi toteuttaa. Hän toistaa lisäksi, että asiakkaan lähdekoodi julkaistaan jokaisen julkaisun yhteydessä, että koontiversiot ovat toistettavissa ja että Signal ei ole suunniteltu luottamaan palvelimeen. tästä huolimatta, mikä tarkoittaa, että pääsyllä palvelimen lähdekoodiin ei ole "turvallisuusvaikutuksia". Hän kuitenkin lopettaa sanomalla, että hän ymmärtää, miksi ihmiset saattavat haluta tarkastella palvelimen lähdekoodia opetustarkoituksiin tai omien esiintymistensä suorittamiseen, joten hän lupaa, että yritys "tekee parempaa työtä ajaakseen muutoksia todellisemmiksi aika."
Tässä hänen kommenttinsa kokonaisuudessaan:
"Ensinnäkin, pahoittelut, että yhden palvelumme lähde oli niin kaukana. Emme usein työnnä lähdettä ennen kuin julkaisemme asioita, ja tuona aikana tapahtui muutamia päällekkäisiä julkaisuja, jotka tekivät kiusallisen painaa milloin tahansa ja jättää meidät taakse. Lisäksi olemme havainneet roskapostin huomattavan lisääntymisen ja haluttomuutta julkaista välittömästi tarkat roskapostin vastaiset toimenpiteet. Vastasivat paikkaan, jossa roskapostittajat näkivät ne välittömästi yhdistettynä edellä mainittuihin aiheisiin tämän äärimmäisyyden aiheuttamiseksi viive.
Kuten tämän säikeen ihmiset ovat huomauttaneet, asiakaslähdekoodimme julkaistaan aina jokaisen julkaisun yhteydessä, koontiversiot ovat toistettavissa ja kaikki on suunniteltu siten, ettei palvelimeen luota. Selvyyden vuoksi täällä oleville muutamalle foliohatuntekijälle (Internet ei vain olisi sama ilman sinua tässä vaiheessa, kiitos palvelua), emme ole minkään "gag order" alaisena, NSL: ää ei ole, ja koko asia on, että ei ole "haittaohjelmia", joita voisimme asentaa palvelin.
Vaikka sillä ei ole turvallisuusvaikutuksia, ymmärrämme, miksi palvelinlähde on hyödyllinen ihmisille, jotka haluavat juosta omat versionsa Signalista, ymmärtävät, miten Signal toimii, ja vain yleensä nähdä, miten asiat rakennetaan. Teemme parempaa työtä ajaaksemme muutokset reaaliajassa.
Yritämme olla käyttämättä GH-asioita keskusteluun, joten lopetan tämän nyt, mutta otan yhteyttä foorumeihin."