Po mesiacoch rádiového ticha bol na GitHub práve aktualizovaný zdrojový kód serverového komponentu súkromného messengera Signal.
Aktualizácia 1 (4. 9. 2021 o 16:00 ET): Teraz vieme, prečo vydanie aktualizovaného zdrojového kódu pre softvér back-end servera Signal trvalo tak dlho. Pre viac informácií kliknite sem. Článok, ako bol uverejnený na, je zachovaný nižšie.
Signal Private Messenger je už roky populárnou platformou na odosielanie správ vďaka svojmu zameraniu na súkromie a šifrovanie typu end-to-end. Projekt vydal zdrojový kód pre každý komponent Signal, vrátane back-end servera a klientske aplikácie, ale verejný kód serverového softvéru bol niekoľko mesiacov neaktuálny dnes.
Signal ukladá na vzdialených serveroch čo najmenej informácií, ale stále existuje serverový komponent na pripojenie používateľov k telefónnym číslam, odosielanie upozornení push a ďalšie funkcie. Signal poskytol zdrojový kód serverového softvéru na GitHub, čo umožňuje komukoľvek vytvoriť vlastnú nezávislú infraštruktúru
. Väčšina ľudí sa však jednoducho rozhodne použiť platformu Signal, pretože komunikácia medzi primárnym serverom a servermi s vlastným hosťovaním (federácia) nie je podporovaná.Po 22. apríli minulého roka Signal prestal aktualizovať úložisko verejného kódu pre svoj serverový softvér. Tento krok bol znepokojujúci vzhľadom na to, že Open source povaha Signal uľahčila vykonávanie bezpečnostných auditov a zabezpečila, že platforma neuniká súkromné údaje. A Problém GitHub o nedostatku vydaní bol vytvorený minulý mesiac, nasledujúci ďalšie diskusie na Reddite a Vlastné komunitné fórum Signal.
Zatiaľ čo Signal ešte neurobil verejné vyhlásenie o medzere vo vydávaní kódu, projekt dnes konečne zverejnil stovky záväzkov verejné úložisko GitHub. Úložisko teraz zobrazuje mnoho potvrdení kódu dokončených počas rokov 2020 a 2021, čím sa zvyšuje najnovšia dostupná verzia servera z 3.21 do 5.48.
Stále nie je jasné, prečo Signal tak dlho neaktualizoval kód verejného servera, najmä keď sa skupina historicky hrdila tým, že je otvorená a transparentná. Požiadali sme Signal so žiadosťou o vyjadrenie a keď/ak dostaneme odpoveď, naše pokrytie aktualizujeme.
Cena: zadarmo.
4.4.
Aktualizácia 1: Vysvetlenie
Generálny riaditeľ spoločnosti Signal Moxie Marlinspike má komentoval o probléme GitHub s vysvetlením oneskorenia. Hovorí, že oneskorenie nie je spôsobené tým, že by sa spoločnosť snažila skryť podrobnosti nová funkcia platieb zameraná na súkromie pred spustením, ale bol skôr zameraný hlavne na to, aby zabránil spamerom v zbieraní nových opatrení proti spamu, ktoré spoločnosť plánovala zaviesť. Ďalej opakuje, že zdrojový kód klienta je publikovaný s každým vydaním, že zostavy sú reprodukovateľné a že Signal je navrhnutý tak, aby nedôveroval serveru. bez ohľadu na to, čo znamená, že prístup k zdrojovému kódu servera nemá "žiadne bezpečnostné dôsledky." Na záver však hovorí, že chápe, prečo to ľudia môžu chcieť Pozrite sa na zdrojový kód servera na vzdelávacie účely alebo na spustenie vlastných inštancií, preto sľubuje, že spoločnosť „urobí lepšiu prácu pri presadzovaní zmien v reálnejších čas."
Tu je jeho komentár v plnom znení:
„V prvom rade je mi ľúto, že zdroj jednej z našich služieb bol tak ďaleko. Často netlačíme na zdroj, kým nevydáme veci, a v tom období sa stalo niekoľko prekrývajúcich sa vydaní, vďaka ktorým bolo nepríjemné kedykoľvek tlačiť a zaostávať nás. Okrem toho sme zaznamenali veľký nárast spamu a neochotu okamžite zverejniť presné opatrenia proti spamu, reagovali na miesto, kde ich spameri mohli okamžite vidieť v kombinácii s vyššie uvedeným, čo spôsobilo tento extrém meškanie.
Ako poznamenali ľudia v tomto vlákne, náš klientsky zdroj je vždy zverejnený pri každom vydaní, zostavy sú reprodukovateľné a všetko je navrhnuté tak, aby nedôverovalo serveru. Aby bolo jasno pre tých pár alobalových klobučníkov tu (internet by bez vás v tejto chvíli jednoducho nebol rovnaký, ďakujeme vám za služba), nepodliehame žiadnemu „gag order“, neexistuje žiadna NSL a celá pointa je v tom, že neexistuje žiadny „malvér“, ktorý by sme mohli nainštalovať na server.
Aj keď to nemá žiadny vplyv na bezpečnosť, chápeme, prečo je zdroj servera užitočný pre ľudí, ktorí chcú bežať ich vlastné verzie Signal, pochopiť, ako Signal funguje, a vo všeobecnosti vidieť, ako sú veci postavené. Urobíme lepšiu prácu pri presadzovaní zmien v reálnom čase.
Snažíme sa nepoužívať problémy s GH na diskusiu, takže to teraz uzavriem, ale napíšte nám na fórach."