Po kelių mėnesių radijo tylos „GitHub“ ką tik atnaujintas „Signal Private Messenger“ serverio komponento šaltinio kodas.
1 atnaujinimas (2021-04-09 16:00 ET): Dabar žinome, kodėl atnaujintas „Signal“ galinio serverio programinės įrangos šaltinio kodas užtruko taip ilgai. Norėdami gauti daugiau informacijos, spustelėkite čia. Straipsnis, paskelbtas, saugomas toliau.
Signal Private Messenger daugelį metų buvo populiari pranešimų platforma, nes daugiausia dėmesio skiria privatumui ir visiškam šifravimui. Projektas išleido šaltinio kodą kiekvienam Signal komponentui, įskaitant pagrindinį serverį ir kliento programas, tačiau viešas serverio programinės įrangos kodas buvo pasenęs kelis mėnesius, kol tik šiandien.
Signalas išsaugo kuo mažiau informacijos nuotoliniuose serveriuose, tačiau vis tiek yra serverio komponentas, skirtas vartotojams sujungti su telefono numeriais, siųsti tiesioginius pranešimus ir kitas funkcijas. „Signal“ pateikė „GitHub“ serverio programinės įrangos šaltinio kodą, todėl kiekvienas gali tai padaryti
Po praėjusių metų balandžio 22 d. „Signal“ nustojo atnaujinti savo serverio programinės įrangos viešąją kodų saugyklą. Šis žingsnis buvo susirūpinęs, nes „Signal“ atvirojo kodo pobūdis padėjo lengviau atlikti saugos auditą ir užtikrinti, kad platforma nenutekėtų privačių duomenų. A „GitHub“ problema apie leidimų trūkumą buvo sukurtas praėjusį mėnesį, po to kitos diskusijos Reddit ir Signalo bendruomenės forumas.
Nors „Signal“ dar nepateikė viešo pareiškimo apie kodo leidimų spragą, šiandien projektas pagaliau paskelbė šimtus įsipareigojimų viešoji „GitHub“ saugykla. Saugykloje dabar rodoma daug kodo įpareigojimų, įvykdytų 2020 ir 2021 m., o naujausia pasiekiama serverio versija 3.21 į 5.48.
Vis dar neaišku, kodėl „Signal“ taip ilgai neatnaujino savo viešojo serverio kodo, ypač kai grupė istoriškai didžiavosi tuo, kad yra atvira ir skaidri. Susisiekėme su „Signal“ dėl pareiškimo ir atnaujinsime informaciją, kai gausime atsakymą.
Kaina: Nemokama.
4.4.
1 atnaujinimas: paaiškinimas
Signal generalinis direktorius Moxie Marlinspike turi pakomentavo „GitHub“ klausimu su paaiškinimu dėl vėlavimo. Jis sako, kad vėluojama ne dėl to, kad bendrovė bandė nuslėpti savo detales nauja į privatumą orientuota mokėjimų funkcija prieš paleidžiant, bet iš esmės buvo skirtas neleisti nepageidaujamo e. pašto platintojams pasinaudoti naujomis kovos su šiukšlėmis priemonėmis, kurias planavo įgyvendinti įmonė. Jis taip pat pakartoja, kad kliento šaltinio kodas skelbiamas su kiekvienu leidimu, kad versijos yra atkuriamos ir kad signalas sukurtas nepasitikėti serveriu. nepaisant to, tai reiškia, kad prieiga prie serverio šaltinio kodo „nėra jokios reikšmės saugumui“. Tačiau jis baigia sakydamas, kad supranta, kodėl žmonės gali to norėti pažvelgti į serverio šaltinio kodą švietimo tikslais arba paleisti savo egzempliorius, todėl jis žada, kad įmonė „padarys geresnį darbą, kad pakeitimai būtų realesni. laikas."
Štai visas jo komentaras:
„Pirmiausia atsiprašome, kad vienos iš mūsų paslaugų šaltinis buvo taip toli. Mes dažnai nestumiame šaltinio, kol nepaleidžiame dalykų, o tuo laikotarpiu įvyko keletas sutampančių leidimų, dėl kurių buvo nepatogu bet kurią akimirką stumti ir atsilikti. Be to, pastebėjome didelį šlamšto padidėjimą ir nenorą nedelsiant skelbti tikslias kovos su šlamštu priemones. buvo atsakyta į vietą, kur nepageidaujamo e. pašto platintojai galėjo juos iš karto pamatyti kartu su aukščiau nurodytais dalykais, kad sukeltų šį kraštutinumą delsimas.
Kaip pažymėjo šios gijos žmonės, mūsų kliento šaltinis visada skelbiamas su kiekvienu leidimu, versijos yra atkuriamos ir viskas sukurta taip, kad nepasitikėtų serveriu. Kad būtų labai aišku, kad čia yra keletas skardinių kepurėlių (internetas šiuo metu tiesiog nebūtų toks pat be jūsų, ačiū už paslauga), mums netaikomas joks „gag order“, nėra NSL, o esmė ta, kad nėra jokios „kenkėjiškos programos“, kurią galėtume įdiegti serveris.
Net jei tai neturi jokios reikšmės saugumui, suprantame, kodėl serverio šaltinis yra naudingas žmonėms, kurie nori paleisti savo „Signal“ versijas, suprasti, kaip veikia „Signal“, ir paprastai matyti, kaip viskas kuriama. Mes atliksime geresnį darbą, kad pakeitimai būtų vykdomi daugiau realiuoju laiku.
Stengiamės nenaudoti GH klausimų diskusijoms, todėl dabar tai uždarysiu, bet parašykite mums forumuose.