Dopo mesi di silenzio radiofonico, il codice sorgente del componente server del messenger privato Signal è stato appena aggiornato su GitHub.
Aggiornamento 1 (09/04/2021 alle 16:00 ET): Ora sappiamo perché il codice sorgente aggiornato per il software del server back-end di Signal ha impiegato così tanto tempo per essere rilasciato. Clicca qui per maggiori informazioni. L'articolo, così come pubblicato su, è conservato di seguito.
Messaggero privato del segnale è da anni una piattaforma di messaggistica popolare, grazie alla sua attenzione alla privacy e alla crittografia end-to-end. Il progetto ha rilasciato il codice sorgente per ogni componente di Signal, incluso il server back-end e applicazioni client, ma il codice pubblico per il software server è rimasto obsoleto per mesi fino a poco tempo fa Oggi.
Signal memorizza la minor quantità di informazioni possibile sui server remoti, ma esiste comunque un componente server per connettere gli utenti con numeri di telefono, inviare notifiche push e altre funzionalità. Signal ha fornito il codice sorgente per il software server su GitHub, rendendolo possibile a chiunque
creare una propria infrastruttura indipendente. Tuttavia, la maggior parte delle persone sceglie semplicemente di utilizzare la piattaforma Signal, poiché la comunicazione tra il server primario e i server self-hosted (federazione) non è supportata.Dopo il 22 aprile dello scorso anno, Signal ha interrotto l'aggiornamento del repository di codice pubblico per il suo software server. La mossa era preoccupante, dato che la natura open source di Signal rendeva più semplice eseguire controlli di sicurezza e garantire che la piattaforma non perdesse dati privati. UN Problema di GitHub sulla mancanza di pubblicazioni è stato creato il mese scorso, di seguito altre discussioni su Reddit E Il forum della community di Signal.
Sebbene Signal non abbia ancora rilasciato una dichiarazione pubblica in merito al divario nei rilasci del codice, oggi il progetto ha finalmente pubblicato centinaia di commit repository GitHub pubblico. Il repository ora mostra molti commit di codice completati nel corso del 2020 e del 2021, superando l'ultima versione del server disponibile da 3.21 A 5.48.
Non è ancora chiaro perché Signal abbia impiegato così tanto tempo senza aggiornare il codice del proprio server pubblico, soprattutto quando il gruppo è storicamente orgoglioso di essere aperto e trasparente. Abbiamo contattato Signal per una dichiarazione e aggiorneremo la nostra copertura quando/se riceveremo una risposta.
Prezzo: gratuito.
4.4.
Aggiornamento 1: spiegazione
Il CEO di Signal, Moxie Marlinspike, lo ha fatto commentato sulla questione GitHub con una spiegazione per il ritardo. Dice che il ritardo non è dovuto al fatto che la società stesse cercando di nascondere i suoi dettagli nuova funzionalità di pagamento incentrata sulla privacy prima del suo lancio, ma mirava principalmente a impedire agli spammer di raccogliere le nuove misure anti-spam che l'azienda intendeva adottare. Ribadisce inoltre che il codice sorgente del client viene pubblicato con ogni versione, che le build sono riproducibili e che Signal è progettato per non fidarsi del server indipendentemente, il che significa che avere accesso al codice sorgente del server "non ha conseguenze sulla sicurezza". Tuttavia, chiude dicendo che capisce perché le persone potrebbero volerlo guardare il codice sorgente del server per scopi didattici o per eseguire le proprie istanze, quindi promette che l'azienda "farà un lavoro migliore spingendo i cambiamenti in modo più reale" tempo."
Ecco il suo commento per intero:
"Prima di tutto, mi dispiace che la fonte di uno dei nostri servizi fosse così indietro. Spesso non spingiamo il codice sorgente finché non pubblichiamo qualcosa, e in quel periodo si sono verificati alcuni rilasci sovrapposti che hanno reso difficile spingere in qualsiasi momento e lasciarci indietro. Inoltre, abbiamo riscontrato un forte aumento dello spam e una riluttanza a pubblicare immediatamente le esatte misure anti-spam da noi adottate. stavano rispondendo in un luogo dove gli spammer potevano immediatamente vederli combinati con quanto sopra per causare questo estremo ritardo.
Come hanno notato le persone in questo thread, il codice sorgente del nostro client viene sempre pubblicato con ogni versione, le build sono riproducibili e tutto è progettato per non fidarsi comunque del server. Per essere molto chiari per i pochi cappellai di carta stagnola qui (Internet non sarebbe la stessa senza di te a questo punto, grazie per il tuo servizio), non siamo soggetti ad alcun "ordine di silenzio", non esiste NSL e il punto è che non esiste alcun "malware" che potremmo installare sul server.
Anche se non ha alcuna conseguenza sulla sicurezza, capiamo perché il sorgente del server è utile per le persone che vogliono correre le proprie versioni di Signal, capire come funziona Signal e vedere in generale come vengono costruite le cose. Faremo un lavoro migliore per promuovere i cambiamenti in tempo più reale.
Cerchiamo di non utilizzare le questioni relative al GH nelle discussioni, quindi chiuderò adesso, ma contattateci sui forum."