Signal oppdaterer endelig offentlig serverkode etter måneder med stillhet

Etter måneder med radiostillhet har kildekoden for Signal private messengers serverkomponent nettopp blitt oppdatert på GitHub.

Oppdatering 1 (04/09/2021 @ 16:00 ET): Vi vet nå hvorfor den oppdaterte kildekoden for Signals back-end serverprogramvare tok så lang tid å bli utgitt. Klikk her for mer informasjon. Artikkelen, som publisert på, er bevart nedenfor.

Signal Private Messenger har vært en populær meldingsplattform i årevis, takket være fokuset på personvern og ende-til-ende-kryptering. Prosjektet har gitt ut kildekoden for hver komponent av Signal, inkludert back-end-serveren og klientapplikasjoner, men den offentlige koden for serverprogramvaren ble utdatert i flere måneder til nettopp i dag.

Signal lagrer så lite informasjon som mulig på eksterne servere, men det er fortsatt en serverkomponent for å koble brukere med telefonnumre, sende push-varsler og annen funksjonalitet. Signal har levert kildekoden for serverprogramvaren på GitHub, noe som gjør det mulig for alle sette opp sin egen uavhengige infrastruktur

. Imidlertid velger de fleste rett og slett å bruke Signals plattform, siden kommunikasjon mellom primærserveren og selvhostede servere (føderasjon) ikke støttes.

Etter 22. april i fjor sluttet Signal å oppdatere det offentlige kodelageret for serverprogramvaren. Flyttingen var bekymringsfull, gitt at Signals åpen kildekode-natur gjorde det lettere å utføre sikkerhetsrevisjoner og sikre at plattformen ikke lekket private data. EN GitHub-problem om mangelen på utgivelser ble opprettet i forrige måned, etter andre diskusjoner på Reddit og Signals eget samfunnsforum.

Mens Signal ennå ikke har gitt en offentlig uttalelse om gapet i kodeutgivelser, publiserte prosjektet til slutt hundrevis av forpliktelser i dag til offentlig GitHub-depot. Lagret viser nå mange kodebekreftelser fullført gjennom 2020 og 2021, og støter på den siste tilgjengelige serverversjonen fra 3.21 til 5.48.

Det er fortsatt ikke klart hvorfor Signal gikk så lenge uten å oppdatere sin offentlige serverkode, spesielt når gruppen historisk sett har vært stolt av å være åpen og gjennomsiktig. Vi har kontaktet Signal for en uttalelse, og vi vil oppdatere dekningen vår når/hvis vi får svar.

Signal Private MessengerUtvikler: Signal Foundation

Pris: Gratis.

4.4.

nedlasting

Oppdatering 1: Forklaring

Signal-sjef Moxie Marlinspike har kommenterte om GitHub-problemet med en forklaring på forsinkelsen. Han sier at forsinkelsen ikke skyldes at selskapet prøvde å skjule detaljer om sine ny personvernfokusert betalingsfunksjon før den ble lansert, men var i hovedsak rettet mot å hindre spammere fra å skaffe seg de nye anti-spam-tiltakene selskapet planla å vedta. Han gjentar videre at klientkildekoden publiseres med hver utgivelse, at bygg er reproduserbare, og at Signal er utformet for ikke å stole på serveren uansett, noe som betyr at det å ha tilgang til serverkildekoden har "ingen sikkerhetskonsekvens." Han avslutter imidlertid med å si at han forstår hvorfor folk kanskje vil se på serverkildekoden for utdanningsformål eller for å kjøre sine egne forekomster, så han lover at selskapet vil "gjøre en bedre jobb med å presse endringer i mer reell tid."

Her er kommentaren hans i sin helhet:

"For det første, beklager at kilden til en av tjenestene våre var så langt bak. Vi pusher ofte ikke kilden før vi slipper ting, og det var noen få overlappende utgivelser som skjedde i den perioden som gjorde det vanskelig å presse når som helst og sette oss bak. I tillegg har vi sett en stor økning i spam, og en motvilje mot å umiddelbart publisere de eksakte anti-spam-tiltakene vi svarte med til et sted der spammere umiddelbart kunne se dem kombinert med ovennevnte for å forårsake denne ekstremen forsinkelse.

Som folk i denne tråden har bemerket, publiseres klientkilden vår alltid med hver utgivelse, byggene er reproduserbare, og alt er designet for å ikke stole på serveren uansett. For å være veldig tydelig for de få stanniolhattemakerne her (internettet ville bare ikke vært det samme uten deg på dette tidspunktet, takk for tjenesten), er vi ikke under noen "gag order", det er ingen NSL, og hele poenget er at det ikke er noen "malware" vi kan installere på server.

Selv om det ikke har noen sikkerhetskonsekvens, forstår vi hvorfor serverkilde er nyttig for folk som ønsker å kjøre sine egne versjoner av Signal, forstår hvordan Signal fungerer, og ser generelt hvordan ting er bygget opp. Vi vil gjøre en bedre jobb med å presse endringer i mer sanntid.

Vi prøver å ikke bruke GH-spørsmål til diskusjon, så jeg skal avslutte dette nå, men treffer oss på forumene."