თვეების განმავლობაში რადიო დუმილის შემდეგ, Signal-ის პირადი მესენჯერის სერვერის კომპონენტის წყარო კოდი ახლახან განახლდა GitHub-ზე.
განახლება 1 (04/09/2021 @ 04:00 PM ET): ჩვენ ახლა ვიცით, რატომ დასჭირდა Signal-ის გვერდითი სერვერის პროგრამული უზრუნველყოფის განახლებული კოდის გამოშვება ამდენი ხანი. დააწკაპუნეთ აქ დამატებითი ინფორმაციისთვის. სტატია, როგორც გამოქვეყნებულია, დაცულია ქვემოთ.
სიგნალის პირადი მესენჯერი წლების განმავლობაში იყო პოპულარული შეტყობინებების პლატფორმა, კონფიდენციალურობაზე ფოკუსირებისა და ბოლოდან ბოლომდე დაშიფვრის წყალობით. პროექტმა გამოუშვა წყაროს კოდი Signal-ის ყველა კომპონენტისთვის, მათ შორის back-end სერვერისთვის და კლიენტის აპლიკაციები, მაგრამ სერვერის პროგრამული უზრუნველყოფის საჯარო კოდი მოძველებული დარჩა თვეების განმავლობაში დღეს.
სიგნალი ინახავს რაც შეიძლება ნაკლებ ინფორმაციას დისტანციურ სერვერებზე, მაგრამ ჯერ კიდევ არსებობს სერვერის კომპონენტი მომხმარებლების ტელეფონის ნომრებით დასაკავშირებლად, push შეტყობინებების გაგზავნისთვის და სხვა ფუნქციონირებისთვის. Signal-მა უზრუნველყო სერვერის პროგრამული უზრუნველყოფის წყარო GitHub-ზე, რაც შესაძლებელს გახდის ნებისმიერს
გასული წლის 22 აპრილის შემდეგ, Signal-მა შეწყვიტა საჯარო კოდის საცავის განახლება მისი სერვერის პროგრამული უზრუნველყოფისთვის. ეს ნაბიჯი შემაშფოთებელი იყო, იმის გათვალისწინებით, რომ Signal-ის ღია კოდის ბუნებამ გააადვილა უსაფრთხოების აუდიტის ჩატარება და უზრუნველყო, რომ პლატფორმა არ ავრცელებდა პირად მონაცემებს. ა GitHub-ის პრობლემა გამოშვებების ნაკლებობის შესახებ შეიქმნა გასულ თვეში, შემდეგ სხვა დისკუსიები Reddit-ზე და სიგნალის საკუთარი საზოგადოების ფორუმი.
მიუხედავად იმისა, რომ Signal-ს ჯერ არ გაუკეთებია საჯარო განცხადება კოდის გამოშვების ხარვეზის შესახებ, პროექტმა საბოლოოდ გამოაქვეყნა დღეს ასობით ვალდებულება. საჯარო GitHub საცავი. საცავი ახლა აჩვენებს მრავალი კოდის დასრულებას 2020 და 2021 წლებში, რაც არღვევს სერვერის უახლეს ვერსიას 3.21 რომ 5.48.
ჯერ კიდევ გაუგებარია, რატომ გაგრძელდა Signal ამდენი ხნის განმავლობაში მისი საჯარო სერვერის კოდის განახლების გარეშე, განსაკუთრებით მაშინ, როდესაც ჯგუფი ისტორიულად ამაყობდა ღია და გამჭვირვალე. ჩვენ მივმართეთ Signal-ს განცხადებისთვის და ჩვენ განვაახლებთ ჩვენს გაშუქებას, როდესაც/თუ მივიღებთ პასუხს.
ფასი: უფასო.
4.4.
განახლება 1: ახსნა
Signal-ის აღმასრულებელმა დირექტორმა მოქსი მარლინსპაიკმა აქვს კომენტარი გააკეთა GitHub-ის საკითხზე დაგვიანების ახსნა-განმარტებით. მისი თქმით, შეფერხება იმიტომ არ არის, რომ კომპანია ცდილობდა მისი დეტალების დამალვას კონფიდენციალურობაზე ორიენტირებული გადახდების ახალი ფუნქცია სანამ ის ამოქმედდებოდა, მაგრამ ძირითადად მიმართული იყო სპამისგან აეცილებინა ახალი ანტი-სპამის ზომები, რომლის განხორციელებასაც კომპანია გეგმავდა. ის ასევე იმეორებს, რომ კლიენტის წყაროს კოდი ქვეყნდება ყოველ გამოშვებაზე, რომ build-ები რეპროდუცირებადია და რომ Signal შექმნილია იმისთვის, რომ არ ენდოს სერვერს მიუხედავად ამისა, რაც იმას ნიშნავს, რომ სერვერის წყაროს კოდზე წვდომა არ არის "უსაფრთხოების შედეგი". თუმცა, ის ხურავს იმით, რომ ესმის, რატომ შეიძლება სურდეს ხალხს შეხედეთ სერვერის წყაროს კოდს საგანმანათლებლო მიზნებისთვის ან საკუთარი ინსტანციების გასაშვებად, ასე რომ, ის გვპირდება, რომ კომპანია "უკეთესად გააკეთებს ცვლილებებს რეალურად დრო."
აქ არის მისი კომენტარი სრულად:
”პირველ რიგში, უკაცრავად, ჩვენი ერთ-ერთი სერვისის წყარო ასე ჩამორჩებოდა. ჩვენ ხშირად არ ვაყენებთ წყაროს მანამ, სანამ არ გამოვაქვეყნებთ ნივთებს, და იყო რამდენიმე გადაფარვის გამოშვება, რაც მოხდა იმ პერიოდში, რამაც უხერხული გახადა ნებისმიერ მომენტში ბიძგი და დაგვატოვებინა. გარდა ამისა, ჩვენ ვნახეთ სპამის დიდი ზრდა და ჩვენ არ გვსურს დაუყოვნებლივ გამოვაქვეყნოთ სპამის საწინააღმდეგო ზუსტი ზომები. ისინი პასუხობდნენ იმ ადგილს, სადაც სპამერებს შეეძლოთ დაუყოვნებლივ დაენახათ ისინი ზემოაღნიშნულთან ერთად, რათა გამოიწვიონ ეს უკიდურესობა დაგვიანებით.
როგორც ამ თემაში მყოფებმა აღნიშნეს, ჩვენი კლიენტის წყარო ყოველთვის ქვეყნდება ყოველ გამოშვებასთან ერთად, კონსტრუქციები რეპროდუცირებადია და ყველაფერი შექმნილია ისე, რომ სერვერს მაინც არ ენდოს. ძალიან ცხადი რომ ვიყოთ აქაური ტიფოლიის რამდენიმე ქუდისთვის (ინტერნეტი უბრალოდ არ იქნებოდა იგივე თქვენს გარეშე ამ ეტაპზე, გმადლობთ თქვენი სერვისი), ჩვენ არ ვართ რაიმე "gag ბრძანების ქვეშ", არ არსებობს NSL და მთელი საქმე ის არის, რომ არ არსებობს რაიმე "მავნე პროგრამა", რომლის დაყენებაც შეგვიძლია სერვერი.
მაშინაც კი, თუ მას არ აქვს უსაფრთხოების შედეგი, ჩვენ ვხვდებით, რატომ არის სერვერის წყარო სასარგებლო ადამიანებისთვის, რომლებსაც სურთ გაშვება Signal-ის საკუთარი ვერსიები, ესმით, თუ როგორ მუშაობს Signal და უბრალოდ ხედავთ, თუ როგორ არის აგებული საგნები. ჩვენ უკეთეს საქმეს გავაკეთებთ ცვლილებების უფრო რეალურ დროში წასვლისთვის.
ჩვენ ვცდილობთ არ გამოვიყენოთ GH საკითხები დისკუსიისთვის, ამიტომ ვაპირებ დავხურო ეს ახლა, მაგრამ გამოვაქვეყნოთ ფორუმებზე. ”