După luni de tăcere radio, codul sursă pentru componenta serverului Signal private messenger tocmai a fost actualizat pe GitHub.
Actualizare 1 (04.09.2021 la 16:00 ET): Știm acum de ce codul sursă actualizat pentru software-ul serverului de back-end Signal a durat atât de mult să fie lansat. Faceți clic pe AICI pentru mai multe informații. Articolul, așa cum a fost publicat pe, este păstrat mai jos.
Signal Private Messenger a fost o platformă de mesagerie populară de ani de zile, datorită concentrării sale pe confidențialitate și criptare end-to-end. Proiectul a lansat codul sursă pentru fiecare componentă a Signal, inclusiv serverul back-end și aplicațiile client, dar codul public pentru software-ul serverului a fost lăsat învechit luni de zile până tocmai astăzi.
Signal stochează cât mai puține informații pe serverele de la distanță, dar există încă o componentă de server pentru conectarea utilizatorilor cu numere de telefon, trimiterea de notificări push și alte funcționalități. Signal a furnizat codul sursă pentru software-ul server de pe GitHub, făcând posibil ca oricine să o facă
își înființează propria infrastructură independentă. Cu toate acestea, majoritatea oamenilor aleg pur și simplu să folosească platforma Signal, deoarece comunicarea între serverul principal și serverele auto-găzduite (federație) nu este acceptată.După 22 aprilie a anului trecut, Signal a încetat să mai actualizeze depozitul de cod public pentru software-ul său server. Mișcarea a fost îngrijorătoare, având în vedere că natura open-source a Signal a făcut mai ușoară efectuarea auditurilor de securitate și a asigurat că platforma nu scurge date private. A Problemă GitHub despre lipsa lansărilor a fost creat luna trecută, în continuare alte discuții pe Reddit și Forumul comunității Signal.
Deși Signal nu a făcut încă o declarație publică cu privire la decalajul dintre lansările de cod, proiectul a publicat în sfârșit sute de angajamente astăzi către depozit public GitHub. Depozitul arată acum multe comitări de cod finalizate în 2020 și 2021, eliminând cea mai recentă versiune de server disponibilă de la 3.21 la 5.48.
Încă nu este clar de ce Signal a trecut atât de mult fără să-și actualizeze codul de server public, mai ales când grupul s-a mândrit istoric că este deschis și transparent. Am contactat Signal pentru o declarație și ne vom actualiza acoperirea când/dacă primim un răspuns.
Pret: Gratuit.
4.4.
Actualizare 1: Explicație
CEO-ul Signal, Moxie Marlinspike, are a comentat pe problema GitHub cu o explicație pentru întârziere. El spune că întârzierea nu se datorează faptului că compania a încercat să ascundă detalii ale acesteia noua funcție de plăți axată pe confidențialitate înainte de lansare, dar era mai degrabă menită să împiedice spammerii să culeagă noile măsuri anti-spam pe care compania plănuia să le adopte. În continuare, el reiterează că codul sursă al clientului este publicat la fiecare lansare, că versiunile sunt reproductibile și că Signal este proiectat să nu aibă încredere în server. indiferent, ceea ce înseamnă că accesul la codul sursă al serverului nu are „o consecință de securitate”. Cu toate acestea, el încheie spunând că înțelege de ce oamenii ar dori Uită-te la codul sursă al serverului în scopuri educaționale sau pentru a rula propriile instanțe, așa că el promite că compania va „face o treabă mai bună de a împinge schimbări într-un mod mai real. timp."
Iată comentariul lui integral:
„În primul rând, îmi pare rău că sursa unuia dintre serviciile noastre a rămas atât de departe. Adesea, nu împingem sursa până când lansăm lucruri și au existat câteva lansări suprapuse care s-au întâmplat în acea perioadă, ceea ce a făcut să ne împingem în orice moment și să ne lase în urmă. În plus, am observat o creștere mare a spamului și o reticență de a publica imediat măsurile exacte anti-spam pe care le-am au răspuns cu la un loc în care spammerii le-ar putea vedea imediat combinate cu cele de mai sus pentru a provoca această extremă întârziere.
După cum au remarcat cei din acest thread, sursa clientului nostru este întotdeauna publicată cu fiecare lansare, versiunile sunt reproductibile și totul este conceput să nu aibă încredere oricum în server. Pentru a fi foarte clar pentru cei câțiva pălărieri din staniol de aici (internetul pur și simplu nu ar fi la fel fără tine în acest moment, mulțumesc pentru serviciu), nu ne aflăm sub nicio „comandă gag,” nu există NSL și ideea este că nu există niciun „malware” pe care l-am putea instala pe Server.
Chiar dacă nu are nicio consecință de securitate, înțelegem de ce sursa serverului este utilă pentru persoanele care doresc să ruleze propriile versiuni ale Signal, înțeleg cum funcționează Signal și, în general, văd cum sunt construite lucrurile. Vom face o treabă mai bună de a promova schimbări în timp mai real.
Încercăm să nu folosim problemele GH pentru discuții, așa că o să închid asta acum, dar să ne contactez pe forumuri.”