Több hónapos rádiócsend után frissült a Signal privát üzenetküldő szerverkomponensének forráskódja a GitHubon.
1. frissítés (2021. 04. 09. 16:00 ET): Most már tudjuk, miért tartott olyan sokáig a Signal háttérkiszolgáló szoftverének frissített forráskódjának kiadása. Kattintson ide további információért. A cikket a következő napon közzétett formában őrizzük meg.
Signal Private Messenger évek óta népszerű üzenetküldő platform, köszönhetően az adatvédelemre és a végpontok közötti titkosításra való összpontosításának. A projekt kiadta a forráskódot a Signal minden összetevőjéhez, beleértve a háttérkiszolgálót és a kliens alkalmazások, de a szerverszoftver nyilvános kódja hónapokig elavult volt, amíg csak Ma.
A Signal a lehető legkevesebb információt tárol a távoli szervereken, de továbbra is létezik egy szerverkomponens a felhasználók telefonszámokkal való összekapcsolására, push értesítések küldésére és egyéb funkciókra. A Signal biztosította a GitHubon található szerverszoftver forráskódját, így bárki számára lehetővé tette
Tavaly április 22-e után a Signal leállította a kiszolgálószoftver nyilvános kódtárának frissítését. A lépés aggasztó volt, tekintettel arra, hogy a Signal nyílt forráskódú jellege megkönnyítette a biztonsági auditok végrehajtását és annak biztosítását, hogy a platform ne szivárogtasson ki személyes adatokat. A GitHub probléma a kiadások hiányáról a múlt hónapban jött létre, ezt követően egyéb beszélgetések a Redditen és A Signal saját közösségi fóruma.
Bár a Signal még nem nyilatkozott nyilvánosan a kódkiadások hiányosságairól, a projekt végül ma több száz kötelezettségvállalást tett közzé a nyilvános GitHub adattár. A tárhely mostanra számos, 2020-ban és 2021-ben végrehajtott kód véglegesítését mutatja, amelyek a legfrissebb elérhető szerververziót mutatják 3.21 nak nek 5.48.
Még mindig nem világos, hogy a Signal miért tartott olyan sokáig anélkül, hogy frissítette nyilvános szerverkódját, különösen, ha a csoport történelmileg büszke volt arra, hogy nyitott és átlátható. Megkerestük a Signalt egy nyilatkozatért, és frissítjük tudósításunkat, amikor/ha választ kapunk.
Ár: Ingyenes.
4.4.
1. frissítés: Magyarázat
A Signal vezérigazgatója, Moxie Marlinspike kommentálta a GitHub-kérdésben a késedelem magyarázatával. Azt mondja, hogy a késés nem azért van, mert a cég megpróbálta eltitkolni a részleteket új, adatvédelemre összpontosító fizetési funkció az indulás előtt, de inkább az volt a célja, hogy megakadályozza a spamküldőket abban, hogy hozzáférjenek a vállalat által tervezett új spamellenes intézkedésekhez. Megismétli továbbá, hogy az ügyfél forráskódja minden kiadásnál megjelenik, a buildek reprodukálhatók, és hogy a Signal úgy lett megtervezve, hogy ne bízzon a szerverben. ettől függetlenül, ami azt jelenti, hogy a kiszolgáló forráskódjához való hozzáférésnek "nincs biztonsági következménye". Azonban azzal zárja, hogy megérti, miért akarhatják az emberek nézze meg a kiszolgáló forráskódját oktatási célból vagy saját példányok futtatásához, így megígéri, hogy a vállalat "jobb munkát fog végezni a változtatások valósabb megvalósításában idő."
Íme a hozzászólása teljes egészében:
"Először is sajnálom, hogy az egyik szolgáltatásunk forrása nagyon elmaradt. Gyakran nem toljuk ki a forráskódot, amíg nem adunk ki dolgokat, és volt néhány egymást átfedő kiadás abban az időszakban, ami kínossá tette, hogy bármelyik pillanatban lenyomjuk, és lemaradjunk. Ezenkívül nagymértékben megnőtt a spam mennyisége, és nem hajlandóak azonnal közzétenni a pontos spamellenes intézkedéseket. olyan helyre válaszoltak, ahol a spamküldők azonnal láthatták őket a fentiekkel kombinálva, hogy ezt a szélsőséget okozzák késleltetés.
Amint az ebben a szálban résztvevők megjegyezték, kliensforrásunkat mindig közzétesszük minden kiadásnál, a buildek reprodukálhatók, és minden úgy van megtervezve, hogy ne bízzon a szerverben. Hogy teljesen világos legyen a néhány alufólia-kalapos itt (az internet most nem lenne ugyanolyan nélküled, köszönöm, hogy szolgáltatás), nem állunk semmilyen "gag order" alatt, nincs NSL, és a lényeg az, hogy nincs "rosszindulatú program", amelyet telepíthetnénk a szerver.
Még ha nincs is biztonsági következménye, megértjük, miért hasznos a kiszolgálóforrás azoknak, akik futni szeretnének saját Signal-verziójukat, megértsék a Signal működését, és csak általában látják, hogyan épülnek fel a dolgok. Jobban fogjuk megvalósítani a változásokat valós időben.
Igyekszünk nem a GH-problémákat vitára használni, ezért most le is zárom, de üss minket a fórumokon."