A Signal végre frissíti a nyilvános szerver kódját több hónapos hallgatás után

Több hónapos rádiócsend után frissült a Signal privát üzenetküldő szerverkomponensének forráskódja a GitHubon.

1. frissítés (2021. 04. 09. 16:00 ET): Most már tudjuk, miért tartott olyan sokáig a Signal háttérkiszolgáló szoftverének frissített forráskódjának kiadása. Kattintson ide további információért. A cikket a következő napon közzétett formában őrizzük meg.

Signal Private Messenger évek óta népszerű üzenetküldő platform, köszönhetően az adatvédelemre és a végpontok közötti titkosításra való összpontosításának. A projekt kiadta a forráskódot a Signal minden összetevőjéhez, beleértve a háttérkiszolgálót és a kliens alkalmazások, de a szerverszoftver nyilvános kódja hónapokig elavult volt, amíg csak Ma.

A Signal a lehető legkevesebb információt tárol a távoli szervereken, de továbbra is létezik egy szerverkomponens a felhasználók telefonszámokkal való összekapcsolására, push értesítések küldésére és egyéb funkciókra. A Signal biztosította a GitHubon található szerverszoftver forráskódját, így bárki számára lehetővé tette

saját független infrastruktúrát hoznak létre. A legtöbb ember azonban egyszerűen a Signal platform használatát választja, mivel az elsődleges szerver és a saját üzemeltetésű kiszolgálók (összevonás) közötti kommunikáció nem támogatott.

Tavaly április 22-e után a Signal leállította a kiszolgálószoftver nyilvános kódtárának frissítését. A lépés aggasztó volt, tekintettel arra, hogy a Signal nyílt forráskódú jellege megkönnyítette a biztonsági auditok végrehajtását és annak biztosítását, hogy a platform ne szivárogtasson ki személyes adatokat. A GitHub probléma a kiadások hiányáról a múlt hónapban jött létre, ezt követően egyéb beszélgetések a Redditen és A Signal saját közösségi fóruma.

Bár a Signal még nem nyilatkozott nyilvánosan a kódkiadások hiányosságairól, a projekt végül ma több száz kötelezettségvállalást tett közzé a nyilvános GitHub adattár. A tárhely mostanra számos, 2020-ban és 2021-ben végrehajtott kód véglegesítését mutatja, amelyek a legfrissebb elérhető szerververziót mutatják 3.21 nak nek 5.48.

Még mindig nem világos, hogy a Signal miért tartott olyan sokáig anélkül, hogy frissítette nyilvános szerverkódját, különösen, ha a csoport történelmileg büszke volt arra, hogy nyitott és átlátható. Megkerestük a Signalt egy nyilatkozatért, és frissítjük tudósításunkat, amikor/ha választ kapunk.

Signal Private MessengerFejlesztő: Signal Foundation

Ár: Ingyenes.

4.4.

Letöltés

1. frissítés: Magyarázat

A Signal vezérigazgatója, Moxie Marlinspike kommentálta a GitHub-kérdésben a késedelem magyarázatával. Azt mondja, hogy a késés nem azért van, mert a cég megpróbálta eltitkolni a részleteket új, adatvédelemre összpontosító fizetési funkció az indulás előtt, de inkább az volt a célja, hogy megakadályozza a spamküldőket abban, hogy hozzáférjenek a vállalat által tervezett új spamellenes intézkedésekhez. Megismétli továbbá, hogy az ügyfél forráskódja minden kiadásnál megjelenik, a buildek reprodukálhatók, és hogy a Signal úgy lett megtervezve, hogy ne bízzon a szerverben. ettől függetlenül, ami azt jelenti, hogy a kiszolgáló forráskódjához való hozzáférésnek "nincs biztonsági következménye". Azonban azzal zárja, hogy megérti, miért akarhatják az emberek nézze meg a kiszolgáló forráskódját oktatási célból vagy saját példányok futtatásához, így megígéri, hogy a vállalat "jobb munkát fog végezni a változtatások valósabb megvalósításában idő."

Íme a hozzászólása teljes egészében:

"Először is sajnálom, hogy az egyik szolgáltatásunk forrása nagyon elmaradt. Gyakran nem toljuk ki a forráskódot, amíg nem adunk ki dolgokat, és volt néhány egymást átfedő kiadás abban az időszakban, ami kínossá tette, hogy bármelyik pillanatban lenyomjuk, és lemaradjunk. Ezenkívül nagymértékben megnőtt a spam mennyisége, és nem hajlandóak azonnal közzétenni a pontos spamellenes intézkedéseket. olyan helyre válaszoltak, ahol a spamküldők azonnal láthatták őket a fentiekkel kombinálva, hogy ezt a szélsőséget okozzák késleltetés.

Amint az ebben a szálban résztvevők megjegyezték, kliensforrásunkat mindig közzétesszük minden kiadásnál, a buildek reprodukálhatók, és minden úgy van megtervezve, hogy ne bízzon a szerverben. Hogy teljesen világos legyen a néhány alufólia-kalapos itt (az internet most nem lenne ugyanolyan nélküled, köszönöm, hogy szolgáltatás), nem állunk semmilyen "gag order" alatt, nincs NSL, és a lényeg az, hogy nincs "rosszindulatú program", amelyet telepíthetnénk a szerver.

Még ha nincs is biztonsági következménye, megértjük, miért hasznos a kiszolgálóforrás azoknak, akik futni szeretnének saját Signal-verziójukat, megértsék a Signal működését, és csak általában látják, hogyan épülnek fel a dolgok. Jobban fogjuk megvalósítani a változásokat valós időben.

Igyekszünk nem a GH-problémákat vitára használni, ezért most le is zárom, de üss minket a fórumokon."