Signāls beidzot atjaunina publiskā servera kodu pēc mēnešiem ilgas klusēšanas

Pēc mēnešiem ilga radio klusuma GitHub tikko tika atjaunināts Signal privātā ziņojumapmaiņas servera komponenta pirmkods.

1. atjauninājums (09.04.2021. plkst. 16:00 ET): Tagad mēs zinām, kāpēc Signal aizmugures servera programmatūras atjauninātā pirmkoda izlaišana prasīja tik ilgu laiku. Noklikšķiniet šeit, lai iegūtu vairāk informācijas. Raksts, kā publicēts, tiek saglabāts zemāk.

Signal Private Messenger jau gadiem ilgi ir bijusi populāra ziņojumapmaiņas platforma, pateicoties tā koncentrējoties uz privātumu un pilnīgu šifrēšanu. Projekts ir izlaidis avota kodu katram Signal komponentam, ieskaitot aizmugures serveri un klienta lietojumprogrammas, bet servera programmatūras publiskais kods vairākus mēnešus bija novecojis, līdz tikko šodien.

Signāls attālajos serveros saglabā pēc iespējas mazāk informācijas, taču joprojām ir servera komponents lietotāju savienošanai ar tālruņu numuriem, push paziņojumu sūtīšanai un citām funkcijām. Signal ir nodrošinājis GitHub servera programmatūras pirmkodu, ļaujot ikvienam to darīt

izveidot savu neatkarīgu infrastruktūru. Tomēr lielākā daļa cilvēku vienkārši izvēlas izmantot Signal platformu, jo saziņa starp primāro serveri un pašmitinātajiem serveriem (federācija) netiek atbalstīta.

Pēc pagājušā gada 22. aprīļa Signal pārtrauca sava servera programmatūras publiskā kodu repozitorija atjaunināšanu. Šis solis bija satraucošs, ņemot vērā to, ka Signal atvērtā pirmkoda raksturs atviegloja drošības auditu veikšanu un nodrošināja, ka platforma nenopludina privātos datus. A GitHub problēma par izlaidumu trūkumu tika izveidots pagājušajā mēnesī, sekojot citas diskusijas vietnē Reddit un Signāla kopienas forums.

Lai gan Signāls vēl nav sniedzis publisku paziņojumu par nepilnībām kodu izlaidumos, projekts šodien beidzot publicēja simtiem saistību publiskā GitHub repozitorijs. Repozitorijā tagad ir redzamas daudzas koda izpildes, kas pabeigtas 2020. un 2021. gadā, atspēkojot jaunāko pieejamo servera versiju no 3.21 uz 5.48.

Joprojām nav skaidrs, kāpēc Signal tik ilgi neatjaunināja publiskā servera kodu, it īpaši, ja grupa vēsturiski ir lepojusies ar to, ka ir atvērta un caurspīdīga. Esam sazinājušies ar Signal, lai saņemtu paziņojumu, un mēs atjaunināsim savu pārklājumu, kad/ja saņemsim atbildi.

Signal Private MessengerIzstrādātājs: Signālu fonds

Cena: bezmaksas.

4.4.

Lejupielādēt

1. atjauninājums: skaidrojums

Signal izpilddirektors Moksija Marlinspika ir komentēja par GitHub problēmu ar paskaidrojumu par kavēšanos. Viņš saka, ka kavēšanās nav tāpēc, ka uzņēmums mēģināja slēpt sīkāku informāciju par savu jauna uz privātumu vērsta maksājumu funkcija pirms tā palaišanas, bet drīzāk galvenokārt bija paredzēts, lai neļautu surogātpasta izplatītājiem apgūt jaunos pretsurogātpasta pasākumus, ko uzņēmums plānoja ieviest. Viņš arī atkārto, ka klienta avota kods tiek publicēts katrā laidienā, ka versijas ir reproducējamas un ka signāls nav paredzēts serverim. neatkarīgi no tā, tas nozīmē, ka piekļuvei servera avota kodam nav "nekādu drošības seku". Tomēr viņš noslēdz, sakot, ka saprot, kāpēc cilvēki var vēlēties apskatiet servera pirmkodu izglītības nolūkos vai, lai palaistu savus gadījumus, tāpēc viņš sola, ka uzņēmums "paveiks labāku darbu, virzot izmaiņas reālākās laiks."

Šeit ir viņa komentārs pilns:

"Pirmkārt, atvainojiet, avots vienam no mūsu pakalpojumiem bija tik tālu aiz muguras. Mēs bieži vien nespiežam avotu, kamēr neizlaižam lietas, un šajā periodā notika daži pārklājoši izlaidumi, kuru dēļ jebkurā brīdī bija neērti spiest un atpalikt. Turklāt mēs esam novērojuši lielu surogātpasta pieaugumu un nevēlēšanos nekavējoties publicēt precīzus pretsurogātpasta pasākumus. reaģēja ar vietu, kur surogātpasta izplatītāji tos uzreiz varēja redzēt kopā ar iepriekš minēto, lai izraisītu šo ekstrēmu kavēšanās.

Kā atzīmēja cilvēki šajā pavedienā, mūsu klientu avots vienmēr tiek publicēts katrā laidienā, versijas ir reproducējamas, un viss ir izstrādāts tā, lai serverim tik un tā neuzticētos. Lai būtu ļoti skaidrs dažiem alvas folijas cepurniekiem (internets bez jums šobrīd nebūtu tāds pats, paldies par pakalpojumu), mēs neesam pakļauti nekādam "gag order", nav NSL, un būtība ir tāda, ka nav "ļaunprātīgas programmatūras", ko mēs varētu instalēt serveris.

Pat ja tam nav drošības seku, mēs saprotam, kāpēc servera avots ir noderīgs cilvēkiem, kuri vēlas palaist savas Signal versijas, saprastu, kā Signal darbojas, un tikai vispārīgi redzēt, kā lietas tiek veidotas. Mēs paveiksim labāku darbu, virzot izmaiņas reālākā laikā.

Mēs cenšamies neizmantot GH jautājumus diskusijām, tāpēc es to tagad beigšu, bet uzrunājiet mūs forumos.