数か月にわたる無線の沈黙を経て、Signal プライベート メッセンジャーのサーバー コンポーネントのソース コードが GitHub で更新されました。
アップデート 1 (2021 年 4 月 9 日 @ 04:00 PM ET): Signal のバックエンド サーバー ソフトウェアの更新されたソース コードがリリースされるまでにこれほど長い時間がかかった理由がわかりました。 詳細については、ここをクリックしてください。 に公開された記事を以下に保存します。
シグナルプライベートメッセンジャー は、プライバシーとエンドツーエンドの暗号化に重点を置いているため、長年にわたって人気のあるメッセージング プラットフォームです。 このプロジェクトは、バックエンド サーバーやバックエンド サーバーなど、Signal のすべてのコンポーネントのソース コードをリリースしました。 しかし、サーバー ソフトウェアの公開コードは、数か月にわたって古いまま放置されていました。 今日。
Signal はリモート サーバーにできる限り少ない情報を保存しますが、ユーザーと電話番号を接続したり、プッシュ通知を送信したり、その他の機能を提供するためのサーバー コンポーネントがまだ存在します。 Signal はサーバー ソフトウェアのソース コードを GitHub で提供しており、誰でも 独自の独立したインフラストラクチャをセットアップする. ただし、プライマリ サーバーとセルフホスト サーバー (フェデレーション) 間の通信はサポートされていないため、ほとんどの人は単に Signal のプラットフォームを使用することを選択します。
昨年 4 月 22 日以降、Signal はサーバー ソフトウェアのパブリック コード リポジトリの更新を停止しました。 Signal のオープンソースの性質によりセキュリティ監査の実行が容易になり、プラットフォームが個人データを漏洩していないことを確認できることを考えると、この動きは憂慮すべきことでした。 あ GitHubの問題 リリースの欠如については、先月作成されました。 Reddit でのその他のディスカッション そして Signal 独自のコミュニティ フォーラム.
Signal はコード リリースのギャップについてまだ公式声明を発表していませんが、プロジェクトは本日ついに数百のコミットを
パブリック GitHub リポジトリ. リポジトリには、2020 年から 2021 年にかけて完了した多くのコード コミットが表示され、利用可能な最新のサーバー バージョンが 2020 年から 2021 年にかけて完了しました。 3.21 に 5.48.Signal が歴史的にオープンで透明であることを誇りにしていたにもかかわらず、なぜ Signal が公開サーバーのコードを更新せずにこれほど長い期間を過ごしたのかはまだ明らかではありません。 私たちは Signal に声明を求めており、返答が得られ次第、報道内容を更新します。
価格:無料。
4.4.
更新 1: 説明
Sign の CEO、モクシー・マーリンスパイク氏は次のように述べています。 コメントした GitHub の問題で遅延の説明が記載されています。 同氏は、遅延の原因は同社が詳細を隠蔽しようとしていたためではないと述べた。 プライバシーを重視した新しい支払い機能 それは開始前でしたが、むしろ主な目的は、スパム送信者が同社が導入を計画している新しいスパム対策措置を収集するのを防ぐことです。 同氏はさらに、クライアントのソースコードはリリースごとに公開され、ビルドは再現可能であり、Signal はサーバーを信頼しないように設計されていると繰り返し述べています。 それにもかかわらず、サーバーのソース コードにアクセスしても「セキュリティ上の影響はない」ということです。 しかし、人々がなぜそうしたいのかは理解できる、と彼は締めくくった。 教育目的や独自のインスタンスを実行するためにサーバーのソース コードを参照するため、彼は会社が「より現実的な変更を推進するためのより良い仕事をする」と約束します。 時間。"
彼のコメント全文は次のとおりです。
「まず、申し訳ありませんが、私たちのサービスの 1 つのソースが大幅に遅れていました。 私たちはリリースするまでソースをプッシュしないことがよくありますが、その期間中にいくつかのリリースが重なって発生したため、いつでもプッシュすることが困難になり、遅れをとってしまいました。 さらに、スパムが大幅に増加しているため、私たちが行っている正確なスパム対策策をすぐに公開することには消極的です。 スパム送信者がすぐにそれを確認できる場所に応答していたことが、上記と組み合わされてこの極端な事態を引き起こしました。 遅れ。
このスレッドの人々が指摘したように、クライアント ソースはリリースごとに常に公開され、ビルドは再現可能で、とにかくサーバーを信頼しないようにすべてが設計されています。 ここにいる少数のアルミ箔帽子屋たちにはっきり言っておきます(現時点では、あなたなしではインターネットは同じではありません。ご協力いただきありがとうございます) サービス)、私たちはいかなる「緘口令」も下されておらず、NSL もありません。そして重要なのは、私たちがインストールできる「マルウェア」が存在しないということです。 サーバ。
たとえセキュリティ上の影響がないとしても、サーバー ソースが、 Signal の独自のバージョンを理解して、Signal がどのように機能するかを理解し、物事がどのように構築されるかを一般的に確認します。 私たちは、よりリアルタイムに変更をプッシュするためのより良い仕事をしていきます。
私たちは GH 問題を議論の対象にしないように努めているので、これで終了しますが、フォーラムに連絡してください。」