לאחר חודשים של שתיקת רדיו, קוד המקור של רכיב השרת של Signal private messenger עודכן זה עתה ב-GitHub.
עדכון 1 (04/09/2021 בשעה 16:00 ET): כעת אנו יודעים מדוע קוד המקור המעודכן עבור תוכנת השרת האחורי של Signal לקח כל כך הרבה זמן להשתחרר. לחץ כאן למידע נוסף. המאמר, כפי שפורסם ב-, נשמר להלן.
איתות פרטי מסנג'ר היא פלטפורמת הודעות פופולרית במשך שנים, הודות להתמקדות שלה בפרטיות ובהצפנה מקצה לקצה. הפרויקט שחרר את קוד המקור עבור כל רכיב של Signal, כולל שרת הקצה האחורי ו יישומי לקוח, אך הקוד הציבורי לתוכנת השרת נותר מיושן במשך חודשים עד בדיוק היום.
סיגנל מאחסן כמה שפחות מידע בשרתים מרוחקים, אך עדיין קיים רכיב שרת לחיבור משתמשים עם מספרי טלפון, שליחת הודעות דחיפה ופונקציונליות אחרת. Signal סיפקה את קוד המקור עבור תוכנת השרת ב-GitHub, מה שמאפשר לכל אחד לעשות זאת להקים תשתית עצמאית משלהם. עם זאת, רוב האנשים פשוט בוחרים להשתמש בפלטפורמה של Signal, מאחר ותקשורת בין השרת הראשי לשרתים המתארחים בעצמם (פדרציה) אינה נתמכת.
לאחר ה-22 באפריל בשנה שעברה, סיגנל הפסיקה לעדכן את מאגר הקוד הציבורי עבור תוכנת השרת שלה. המהלך היה מדאיג, בהתחשב בכך שאופי הקוד הפתוח של Signal הקל על ביצוע ביקורות אבטחה ולהבטיח שהפלטפורמה לא מדליפה נתונים פרטיים. א
בעיה של GitHub על היעדר מהדורות נוצר בחודש שעבר, לאחר מכן דיונים אחרים על Reddit ו פורום הקהילה של סיגנל עצמו.בעוד ש-Signal עדיין לא הצהירה פומבית על הפער במהדורות הקוד, הפרויקט סוף סוף פרסם היום מאות התחייבויות ל- מאגר GitHub ציבורי. המאגר מציג כעת התחייבויות קוד רבות שהושלמו במהלך 2020 ו-2021, תוך פגיעה בגרסת השרת האחרונה הזמינה מ- 3.21 ל 5.48.
עדיין לא ברור מדוע סיגנל ארכה כל כך הרבה זמן מבלי לעדכן את קוד השרת הציבורי שלה, במיוחד כאשר הקבוצה התגאתה היסטורית בהיותה פתוחה ושקופה. פנינו ל-Signal לקבלת הצהרה, ואנו נעדכן את הסיקור שלנו כאשר/אם נקבל תגובה.
מחיר: חינם.
4.4.
עדכון 1: הסבר
למנכ"ל סיגנל, מוקסי מרלינספיק, יש העיר בנושא GitHub עם הסבר לעיכוב. לדבריו, העיכוב אינו בגלל שהחברה ניסתה להסתיר את הפרטים שלה תכונת תשלומים חדשה ממוקדת פרטיות לפני שהושק, אך בעיקר נועד למנוע מספאמרי ספאם ללקט את האמצעים החדשים נגד ספאם שהחברה תכננה לנקוט. עוד הוא חוזר ומדגיש שקוד המקור של הלקוח מתפרסם עם כל מהדורה, ש-builds ניתנים לשחזור, וש-Signal נועד לא לתת אמון בשרת ללא קשר, כלומר גישה לקוד המקור של השרת היא "ללא השלכות אבטחה". עם זאת, הוא מסיים ואומר שהוא מבין מדוע אנשים עשויים לרצות להסתכל על קוד המקור של השרת למטרות חינוכיות או להפעיל מופעים משלהם, אז הוא מבטיח שהחברה "תעשה עבודה טובה יותר בדחיפת שינויים אמיתיים יותר זְמַן."
הנה תגובתו במלואה:
"קודם כל, סליחה שהמקור לאחד מהשירותים שלנו היה כל כך מאחור. לעתים קרובות אנחנו לא דוחפים מקור עד שאנחנו משחררים דברים, והיו כמה מהדורות חופפות שקרו באותה תקופה שגרמו לזה להיות מביך לדחוף בכל רגע והכניס אותנו מאחור. בנוסף, ראינו עלייה גדולה בספאם, וחוסר רצון לפרסם מיד את אמצעי האנטי-ספאם המדויקים שאנו הגיבו עם למקום שבו שולחי דואר זבל יכלו לראות אותם מיד בשילוב עם האמור לעיל כדי לגרום לקיצוניות זו לְעַכֵּב.
כפי שאנשים בשרשור הזה ציינו, מקור הלקוח שלנו תמיד מתפרסם עם כל מהדורה, ה-builds ניתנים לשחזור, והכל מתוכנן לא לסמוך על השרת בכל מקרה. כדי להיות ברור מאוד עבור כובעי הנייר הבודדים כאן (האינטרנט פשוט לא יהיה אותו הדבר בלעדיך בשלב זה, תודה על שירות), אנחנו לא נמצאים בשום "צו איסור פרסום", אין NSL, וכל העניין הוא שאין "תוכנה זדונית" שנוכל להתקין על שרת.
גם אם אין לכך השלכות אבטחה, אנו מבינים מדוע מקור השרת שימושי עבור אנשים שרוצים לרוץ גרסאות משלהם של Signal, להבין איך Signal עובד, ופשוט לראות באופן כללי איך דברים בנויים. אנחנו נעשה עבודה טובה יותר לדחוף שינויים בזמן אמת יותר.
אנחנו משתדלים לא להשתמש בנושאי GH לדיון, אז אני הולך לסגור את זה עכשיו, אבל אפנה אלינו בפורומים".