После нескольких месяцев радиомолчания исходный код серверного компонента частного мессенджера Signal был обновлен на GitHub.
Обновление 1 (09.04.2021, 16:00 по восточному времени): Теперь мы знаем, почему выпуск обновленного исходного кода внутреннего серверного программного обеспечения Signal занял так много времени. Для получения дополнительной информации нажмите здесь. Статья в опубликованном виде сохранена ниже.
Сигнал Личный Мессенджер уже много лет является популярной платформой для обмена сообщениями благодаря своему упору на конфиденциальность и сквозное шифрование. Проект выпустил исходный код для каждого компонента Signal, включая внутренний сервер и клиентских приложений, но общедоступный код серверного программного обеспечения оставался устаревшим в течение нескольких месяцев, пока только сегодня.
Signal хранит как можно меньше информации на удаленных серверах, но все же есть серверная составляющая для подключения пользователей по номерам телефонов, отправки push-уведомлений и другого функционала. Signal предоставил исходный код серверного программного обеспечения на GitHub, что позволяет любому желающему
После 22 апреля прошлого года Signal прекратила обновлять общедоступный репозиторий кода своего серверного программного обеспечения. Этот шаг вызвал обеспокоенность, учитывая, что природа Signal с открытым исходным кодом облегчила проведение аудита безопасности и обеспечила отсутствие утечки личных данных с платформы. А Проблема с GitHub об отсутствии релизов было создано в прошлом месяце, после другие обсуждения на Reddit и Собственный форум сообщества Signal.
Хотя Signal еще не сделал публичного заявления о пробелах в выпусках кода, сегодня проект наконец опубликовал сотни коммитов. общедоступный репозиторий GitHub. В репозитории теперь отображается множество коммитов кода, выполненных в течение 2020 и 2021 годов, что приводит к обновлению последней доступной версии сервера с 3.21 к 5.48.
До сих пор неясно, почему Signal так долго не обновлял код своего общедоступного сервера, особенно если учесть, что группа исторически гордилась своей открытостью и прозрачностью. Мы обратились к Signal за заявлением и обновим информацию, когда/если получим ответ.
Цена: Бесплатно.
4.4.
Обновление 1: Объяснение
Генеральный директор Signal Мокси Марлинспайк прокомментировал по вопросу GitHub с объяснением задержки. Он говорит, что задержка произошла не потому, что компания пыталась скрыть детали своей деятельности. новая функция платежей, ориентированная на конфиденциальность до его запуска, но в основном был направлен на то, чтобы не дать спамерам получить доступ к новым мерам по борьбе со спамом, которые компания планировала принять. Он также повторяет, что исходный код клиента публикуется с каждым выпуском, что сборки воспроизводимы и что Signal не доверяет серверу. независимо от этого, это означает, что доступ к исходному коду сервера «не имеет последствий для безопасности». Однако в заключение он говорит, что понимает, почему люди могут захотеть просматривать исходный код сервера в образовательных целях или для запуска собственных экземпляров, поэтому он обещает, что компания «будет лучше продвигать изменения в более реальных условиях». время."
Приводим его комментарий полностью:
«Во-первых, извините, источник одной из наших услуг так сильно отстал. Мы часто не продвигаем исходный код до тех пор, пока не выпустим что-то, и за этот период произошло несколько дублирующих друг друга релизов, из-за которых было неловко продвигать код в любой момент и отставать от нас. Кроме того, мы наблюдаем значительный рост спама и нежелание немедленно публиковать точные меры по борьбе со спамом, которые мы принимаем. отвечали на место, где спамеры могли сразу увидеть их в сочетании с вышеуказанным, чтобы вызвать эту крайность задерживать.
Как заметили участники этой темы, исходный код нашего клиента всегда публикуется с каждым выпуском, сборки воспроизводимы, и все в любом случае спроектировано таким образом, чтобы не доверять серверу. Чтобы внести ясность для нескольких присутствующих здесь шляпников из фольги (без вас Интернет не был бы таким же, спасибо за ваше служба), мы не находимся под каким-либо «приказом о неразглашении», нет NSL, и весь смысл в том, что нет никакого «вредоносного ПО», которое мы могли бы установить на сервер.
Даже если это не имеет последствий для безопасности, мы понимаем, почему исходный код сервера полезен для людей, которые хотят запустить свои собственные версии Signal, понять, как работает Signal, и просто посмотреть, как все устроено. Мы будем лучше продвигать изменения в реальном времени.
Мы стараемся не использовать вопросы GH для обсуждения, поэтому я собираюсь закрыть это сейчас, но свяжитесь с нами на форуме».