Po miesiącach ciszy radiowej, na GitHubie właśnie zaktualizowano kod źródłowy komponentu serwera prywatnego komunikatora Signal.
Aktualizacja 1 (04.09.2021 o 16:00 ET): Wiemy już, dlaczego wydanie zaktualizowanego kodu źródłowego oprogramowania serwera zaplecza Signal trwało tak długo. Kliknij tutaj po więcej informacji. Artykuł w wersji opublikowanej znajduje się poniżej.
Sygnał Prywatny Komunikator od lat jest popularną platformą do przesyłania wiadomości, dzięki skupieniu się na prywatności i kompleksowym szyfrowaniu. W ramach projektu udostępniono kod źródłowy każdego komponentu Signal, w tym serwera zaplecza i aplikacji klienckich, ale publiczny kod oprogramowania serwera pozostawał nieaktualny przez wiele miesięcy, aż do chwili obecnej Dzisiaj.
Signal przechowuje jak najmniej informacji na zdalnych serwerach, ale nadal istnieje komponent serwerowy umożliwiający łączenie użytkowników z numerami telefonów, wysyłanie powiadomień push i inne funkcje. Signal udostępnił kod źródłowy oprogramowania serwerowego na GitHubie, dzięki czemu każdy może to zrobić
stworzyć własną, niezależną infrastrukturę. Jednak większość ludzi po prostu decyduje się na korzystanie z platformy Signal, ponieważ komunikacja pomiędzy serwerem głównym a serwerami hostowanymi samodzielnie (federacja) nie jest obsługiwana.Po 22 kwietnia ubiegłego roku Signal zaprzestał aktualizacji publicznego repozytorium kodów dla swojego oprogramowania serwerowego. Posunięcie to było niepokojące, biorąc pod uwagę, że charakter open source Signal ułatwił przeprowadzanie audytów bezpieczeństwa i upewnienie się, że platforma nie wycieka prywatnych danych. A Problem z GitHubem o braku wydań powstał w zeszłym miesiącu, po inne dyskusje na Reddicie I Własne forum społeczności Signal.
Chociaż Signal nie wydał jeszcze publicznego oświadczenia na temat luki w wydaniach kodu, projekt w końcu opublikował dzisiaj setki zatwierdzeń do publiczne repozytorium GitHub. Repozytorium pokazuje teraz wiele zatwierdzeń kodu wykonanych w latach 2020 i 2021, co powoduje zmianę najnowszej dostępnej wersji serwera z 3.21 Do 5.48.
Nadal nie jest jasne, dlaczego Signal tak długo nie aktualizował kodu swojego serwera publicznego, zwłaszcza że grupa w przeszłości szczyciła się otwartością i przejrzystością. Skontaktowaliśmy się z Signal w celu uzyskania oświadczenia i zaktualizujemy naszą ofertę, gdy/jeśli otrzymamy odpowiedź.
Cena: za darmo.
4.4.
Aktualizacja 1: Wyjaśnienie
Dyrektor generalny Signal, Moxie Marlinspike, tak skomentował w sprawie GitHuba z wyjaśnieniem opóźnienia. Mówi, że opóźnienie nie wynika z faktu, że firma próbowała ukryć szczegóły swoich działań nowa funkcja płatności zorientowana na prywatność przed jego uruchomieniem, ale jego głównym celem było uniemożliwienie spamerom zdobycia nowych środków antyspamowych, które firma planowała wdrożyć. Powtarza ponadto, że kod źródłowy klienta jest publikowany przy każdym wydaniu, kompilacje są powtarzalne i że Signal nie jest zaprojektowany tak, aby nie ufał serwerowi. niezależnie od tego, co oznacza, że dostęp do kodu źródłowego serwera „nie ma konsekwencji dla bezpieczeństwa”. Jednak kończy stwierdzeniem, że rozumie, dlaczego ludzie mogą tego chcieć spójrz na kod źródłowy serwera w celach edukacyjnych lub aby uruchomić własne instancje, więc obiecuje, że firma „lepiej zrobi, wprowadzając zmiany w bardziej realnych czas."
Oto jego komentarz w całości:
„Po pierwsze, przykro nam, że źródło jednej z naszych usług było tak daleko w tyle. Często nie przekazujemy źródeł, dopóki nie wypuścimy nowych rzeczy, a w tym okresie miało miejsce kilka nakładających się wydań, co sprawiało, że wypychanie w dowolnym momencie było niezręczne i stawiało nas w tyle. Ponadto zaobserwowaliśmy duży wzrost spamu i niechęć do natychmiastowego publikowania dokładnych środków antyspamowych, które zastosowaliśmy odpowiadali w miejscu, w którym spamerzy mogliby natychmiast zobaczyć je w połączeniu z powyższym, powodując tę skrajność opóźnienie.
Jak zauważyli ludzie w tym wątku, źródło naszego klienta jest zawsze publikowane przy każdym wydaniu, kompilacje są powtarzalne, a wszystko i tak zostało zaprojektowane tak, aby nie ufać serwerowi. Żeby było jasne dla kilku tutaj kapeluszników z folii aluminiowej (internet nie byłby w tym momencie taki sam bez Was, dziękuję za Waszą uwagę service), nie podlegamy żadnemu „nakazowi milczenia”, nie ma NSL, a cała rzecz w tym, że nie ma „złośliwego oprogramowania”, które moglibyśmy zainstalować na serwer.
Nawet jeśli nie ma to żadnego wpływu na bezpieczeństwo, rozumiemy, dlaczego źródło serwera jest przydatne dla osób, które chcą uruchomić własne wersje Signala, rozumieją, jak działa Signal i po prostu ogólnie widzą, jak wszystko jest zbudowane. Lepiej będziemy wprowadzać zmiany w czasie rzeczywistym.
Staramy się nie wykorzystywać kwestii GH do dyskusji, więc zakończę to teraz, ale napisz do nas na forach”.