Setelah berbulan-bulan tidak ada radio, kode sumber untuk komponen server pengirim pesan pribadi Signal baru saja diperbarui di GitHub.
Pembaruan 1 (04/09/2021 @ 16:00 ET): Kami sekarang tahu mengapa kode sumber yang diperbarui untuk perangkat lunak server back-end Signal membutuhkan waktu lama untuk dirilis. Klik disini untuk informasi lebih lanjut. Artikel tersebut, sebagaimana diterbitkan pada, disimpan di bawah.
Sinyal Messenger Pribadi telah menjadi platform perpesanan populer selama bertahun-tahun, berkat fokusnya pada privasi dan enkripsi ujung ke ujung. Proyek ini telah merilis kode sumber untuk setiap komponen Signal, termasuk server back-end dan aplikasi klien, tetapi kode publik untuk perangkat lunak server dibiarkan usang selama berbulan-bulan hingga saat ini Hari ini.
Signal menyimpan informasi sesedikit mungkin di server jarak jauh, namun masih ada komponen server untuk menghubungkan pengguna dengan nomor telepon, mengirim pemberitahuan push, dan fungsi lainnya. Signal telah menyediakan kode sumber untuk perangkat lunak server di GitHub, sehingga memungkinkan siapa saja untuk melakukannya
membangun infrastruktur mandiri mereka sendiri. Namun, kebanyakan orang memilih untuk menggunakan platform Signal, karena komunikasi antara server utama dan server yang dihosting sendiri (federasi) tidak didukung.Setelah 22 April tahun lalu, Signal berhenti memperbarui repositori kode publik untuk perangkat lunak servernya. Langkah ini mengkhawatirkan, mengingat sifat open-source Signal mempermudah melakukan audit keamanan dan memastikan bahwa platform tidak membocorkan data pribadi. A Masalah GitHub tentang kurangnya rilis dibuat bulan lalu, berikut diskusi lain di Reddit Dan Forum komunitas Signal sendiri.
Meskipun Signal belum membuat pernyataan publik tentang kesenjangan dalam rilis kode, proyek tersebut akhirnya menerbitkan ratusan komitmen hari ini ke repositori GitHub publik. Repositori sekarang menunjukkan banyak penerapan kode yang diselesaikan sepanjang tahun 2020 dan 2021, menggantikan versi server terbaru yang tersedia dari 3.21 ke 5.48.
Masih belum jelas mengapa Signal bertahan begitu lama tanpa memperbarui kode server publiknya, terutama ketika grup tersebut secara historis bangga akan keterbukaan dan transparannya. Kami telah menghubungi Signal untuk meminta pernyataan, dan kami akan memperbarui liputan kami ketika/jika kami mendapat tanggapan.
Harga: Gratis.
4.4.
Pembaruan 1: Penjelasan
CEO Signal Moxie Marlinspike memilikinya berkomentar tentang masalah GitHub dengan penjelasan penundaannya. Dia mengatakan penundaan itu bukan karena perusahaan berusaha menyembunyikan detailnya fitur pembayaran baru yang berfokus pada privasi sebelum diluncurkan tetapi tujuan utamanya adalah untuk mencegah pelaku spam mengetahui langkah-langkah anti-spam baru yang rencananya akan diberlakukan oleh perusahaan. Dia lebih lanjut menegaskan kembali bahwa kode sumber klien diterbitkan pada setiap rilis, bahwa build dapat direproduksi, dan bahwa Signal dirancang untuk tidak mempercayai server. bagaimanapun juga, artinya memiliki akses ke kode sumber server adalah "tidak ada konsekuensi keamanan". Namun, dia menutup dengan mengatakan bahwa dia memahami mengapa orang mungkin menginginkannya melihat kode sumber server untuk tujuan pendidikan atau untuk menjalankan instance mereka sendiri, jadi dia berjanji perusahaan akan "melakukan pekerjaan yang lebih baik dalam mendorong perubahan secara lebih nyata." waktu."
Berikut komentarnya selengkapnya:
"Pertama-tama, maaf sumber salah satu layanan kami tertinggal jauh. Kami sering kali tidak melakukan push source sampai kami merilis sesuatu, dan ada beberapa rilis yang tumpang tindih yang terjadi pada periode tersebut sehingga membuat kami canggung untuk melakukan push kapan saja dan membuat kami tertinggal. Selain itu, kami melihat peningkatan besar dalam jumlah spam, dan keengganan untuk segera mempublikasikan tindakan anti-spam yang kami lakukan. kami merespons dengan tempat di mana pelaku spam dapat langsung melihatnya digabungkan dengan hal di atas sehingga menyebabkan hal ekstrem ini menunda.
Seperti yang dicatat oleh orang-orang di thread ini, sumber klien kami selalu dipublikasikan pada setiap rilis, build dapat direproduksi, dan semuanya dirancang untuk tidak mempercayai server. Untuk lebih jelasnya bagi beberapa pembenci kertas timah di sini (internet tidak akan sama tanpa Anda saat ini, terima kasih atas perhatian Anda. layanan), kami tidak berada dalam "perintah pembungkaman", tidak ada NSL, dan intinya adalah tidak ada "malware" yang dapat kami instal di server.
Meskipun tidak ada konsekuensi keamanannya, kami mengerti mengapa sumber server berguna bagi orang yang ingin menjalankannya versi Signal mereka sendiri, memahami cara kerja Signal, dan melihat secara umum bagaimana segala sesuatunya dibuat. Kami akan melakukan pekerjaan yang lebih baik dalam mendorong perubahan secara lebih real-time.
Kami mencoba untuk tidak menggunakan isu GH untuk diskusi, jadi saya akan menutupnya sekarang, tapi hubungi kami di forum."