Na maanden van radiostilte is zojuist de broncode voor de servercomponent van Signal Private Messenger bijgewerkt op GitHub.
Update 1 (09-04-2021 @ 16:00 ET): We weten nu waarom het zo lang duurde voordat de bijgewerkte broncode voor de back-endserversoftware van Signal werd vrijgegeven. Klik hier voor meer informatie. Het artikel, zoals gepubliceerd op, is hieronder bewaard gebleven.
Signaal privé-messenger is al jaren een populair berichtenplatform dankzij de focus op privacy en end-to-end-encryptie. Het project heeft de broncode vrijgegeven voor elk onderdeel van Signal, inclusief de back-endserver en clientapplicaties, maar de publieke code voor de serversoftware bleef maandenlang achterhaald Vandaag.
Signal slaat zo min mogelijk informatie op op externe servers, maar er is nog steeds een servercomponent om gebruikers te verbinden met telefoonnummers, pushmeldingen te verzenden en andere functionaliteit. Signal heeft de broncode voor de serversoftware op GitHub geleverd, waardoor het voor iedereen mogelijk is
Na 22 april vorig jaar stopte Signal met het updaten van de openbare coderepository voor zijn serversoftware. Deze stap was zorgwekkend, aangezien het open-sourcekarakter van Signal het gemakkelijker maakte om beveiligingsaudits uit te voeren en ervoor te zorgen dat het platform geen privégegevens lekte. A GitHub-probleem over het gebrek aan releases werd vorige maand gemaakt, daarna andere discussies op Reddit En Signal's eigen communityforum.
Hoewel Signal nog geen publieke verklaring heeft afgelegd over het gat in de codereleases, heeft het project vandaag eindelijk honderden commits gepubliceerd aan de openbare GitHub-opslagplaats. De repository toont nu veel code-commits die in 2020 en 2021 zijn voltooid, waardoor de laatst beschikbare serverversie van 3.21 naar 5.48.
Het is nog steeds niet duidelijk waarom Signal zo lang heeft geduurd zonder de openbare servercode bij te werken, vooral omdat de groep er historisch gezien trots op is open en transparant te zijn. We hebben contact opgenomen met Signal voor een verklaring en we zullen onze berichtgeving bijwerken wanneer/als we een reactie krijgen.
Prijs: gratis.
4.4.
Update 1: Uitleg
Signal-CEO Moxie Marlinspike heeft dat gedaan gaf commentaar over het GitHub-probleem met een verklaring voor de vertraging. Hij zegt dat de vertraging niet te wijten is aan het feit dat het bedrijf de details ervan probeerde te verbergen nieuwe op privacy gerichte betalingsfunctie voordat het werd gelanceerd, maar was vooral bedoeld om te voorkomen dat spammers de nieuwe antispammaatregelen zouden oppikken die het bedrijf van plan was te nemen. Hij herhaalt verder dat de broncode van de client bij elke release wordt gepubliceerd, dat builds reproduceerbaar zijn en dat Signal is ontworpen om de server niet te vertrouwen. hoe dan ook, wat betekent dat toegang tot de broncode van de server "geen gevolgen voor de veiligheid" heeft. Hij sluit echter af met te zeggen dat hij begrijpt waarom mensen dat misschien willen kijken naar de broncode van de server voor educatieve doeleinden of om hun eigen instances uit te voeren, dus belooft hij dat het bedrijf ‘er beter in zal slagen veranderingen in reëlere omstandigheden door te voeren’. tijd."
Hier is zijn volledige commentaar:
"Ten eerste: sorry dat de bron voor een van onze diensten zo ver achterliep. We pushen vaak pas de broncode als we dingen vrijgeven, en er waren een paar overlappende releases die in die periode plaatsvonden, waardoor het lastig was om op elk moment te pushen en ons achterop te laten. Bovendien hebben we een grote toename van spam gezien, en een terughoudendheid om onmiddellijk de exacte antispammaatregelen te publiceren die we hebben genomen. reageerden met naar een plek waar spammers onmiddellijk konden zien dat ze in combinatie met het bovenstaande dit extreme veroorzaakten vertraging.
Zoals mensen in deze thread hebben opgemerkt, wordt onze clientbron altijd bij elke release gepubliceerd, zijn de builds reproduceerbaar en is alles zo ontworpen dat de server toch niet wordt vertrouwd. Om heel duidelijk te zijn voor de paar aluminiumfolie hoedenmakers hier (het internet zou op dit moment gewoon niet hetzelfde zijn zonder jou, bedankt voor je service), we hebben geen "zwijgbevel", er is geen NSL, en het hele punt is dat er geen "malware" is die we op de computer kunnen installeren server.
Zelfs als het geen veiligheidsconsequenties heeft, begrijpen we waarom serverbron nuttig is voor mensen die willen rennen hun eigen versies van Signal, begrijpen hoe Signal werkt en zien in het algemeen hoe dingen zijn gebouwd. We zullen er beter in slagen veranderingen in meer realtime door te voeren.
We proberen GH-kwesties niet ter discussie te stellen, dus ik ga dit nu afsluiten, maar laat het ons weten via de forums."