Po mesecih radijskega molka je bila izvorna koda za strežniško komponento Signal private messenger pravkar posodobljena na GitHub.
Posodobitev 1 (04/09/2021 ob 16:00 ET): Zdaj vemo, zakaj je za objavo posodobljene izvorne kode za zaledno strežniško programsko opremo Signala trajalo toliko časa. Kliknite tukaj za več informacij. Članek, kot je bil objavljen dne, je ohranjen spodaj.
Signal Private Messenger je že leta priljubljena platforma za sporočanje, zahvaljujoč osredotočenosti na zasebnost in šifriranje od konca do konca. Projekt je izdal izvorno kodo za vsako komponento Signala, vključno z zalednim strežnikom in odjemalske aplikacije, vendar je javna koda za strežniško programsko opremo ostala zastarela več mesecev, dokler ni ravno danes.
Signal hrani čim manj informacij na oddaljenih strežnikih, vendar še vedno obstaja strežniška komponenta za povezovanje uporabnikov s telefonskimi številkami, pošiljanje potisnih obvestil in druge funkcije. Signal je zagotovil izvorno kodo za strežniško programsko opremo na GitHubu, kar omogoča vsakomur
vzpostavijo lastno neodvisno infrastrukturo. Vendar se večina ljudi preprosto odloči za uporabo platforme Signal, saj komunikacija med primarnim strežnikom in strežniki, ki sami gostujejo (zveza), ni podprta.Po 22. aprilu lani je Signal prenehal posodabljati repozitorij javne kode za svojo strežniško programsko opremo. Ta poteza je bila zaskrbljujoča, saj je odprtokodna narava Signala olajšala izvajanje varnostnih revizij in zagotovila, da platforma ne pušča zasebnih podatkov. A Težava z GitHub o pomanjkanju izdaj je nastal prejšnji mesec, naslednji druge razprave na Redditu in Signalov lasten forum skupnosti.
Medtem ko Signal še ni podal javne izjave o vrzeli v izdajah kode, je projekt danes končno objavil na stotine zavez za javno skladišče GitHub. Repozitorij zdaj prikazuje številne potrditve kode, dokončane v letih 2020 in 2021, pri čemer je najnovejša različica strežnika, ki je na voljo, 3.21 do 5.48.
Še vedno ni jasno, zakaj je Signal tako dolgo preživel brez posodobitve kode svojega javnega strežnika, še posebej, če se je skupina v preteklosti ponašala z odprtostjo in preglednostjo. Za izjavo smo se obrnili na Signal in posodobili bomo našo pokritost, ko/če prejmemo odgovor.
Cena: brezplačno.
4.4.
Posodobitev 1: Razlaga
Izvršni direktor družbe Signal Moxie Marlinspike je komentiral o vprašanju GitHub z razlago za zamudo. Pravi, da zamuda ni zato, ker je podjetje poskušalo skriti svoje podrobnosti nova plačilna funkcija, osredotočena na zasebnost preden se je začela, vendar je bila v glavnem namenjena preprečevanju pošiljateljem neželene pošte, da bi izbrali nove ukrepe proti neželeni pošti, ki jih je podjetje nameravalo sprejeti. Nadalje ponavlja, da je izvorna koda odjemalca objavljena z vsako izdajo, da so gradnje ponovljive in da je Signal zasnovan tako, da ne zaupa strežniku. ne glede na to, kar pomeni, da dostop do izvorne kode strežnika "nima varnostnih posledic". Vendar pa zaključi z besedami, da razume, zakaj si ljudje morda želijo pogledal izvorno kodo strežnika v izobraževalne namene ali za zagon lastnih primerkov, zato obljublja, da bo podjetje "bolje izvajalo spremembe v bolj realnem čas."
Tukaj je njegov komentar v celoti:
»Najprej mi je žal, da je vir za eno od naših storitev tako zaostal. Pogosto ne potisnemo vira, dokler stvari ne izdamo, in v tem obdobju se je zgodilo nekaj prekrivajočih se izdaj, zaradi katerih je bilo nerodno pritiskati v katerem koli trenutku in smo zaostali. Poleg tega smo opazili velik porast neželene e-pošte in nenaklonjenost takojšnji objavi natančnih ukrepov proti neželeni pošti, so se odzvali na mesto, kjer so pošiljatelji neželene pošte lahko takoj videli, da so skupaj z zgoraj navedenim povzročili to skrajnost zamuda.
Kot so opazili ljudje v tej temi, je izvor našega odjemalca vedno objavljen z vsako izdajo, gradnje so ponovljive in vse je zasnovano tako, da vseeno ne zaupa strežniku. Da bi bili zelo jasni za nekaj klobučarjev iz staniola (internet brez vas trenutno ne bi bil enak, hvala za vaše storitev), nismo pod nikakršnim "nalogom za zapiranje", ni NSL-ja in bistvo je, da ni "zlonamerne programske opreme", ki bi jo lahko namestili na strežnik.
Tudi če nima nobenih varnostnih posledic, razumemo, zakaj je vir strežnika koristen za ljudi, ki želijo delovati svoje različice Signala, razumeti, kako Signal deluje, in samo na splošno videti, kako so stvari zgrajene. Bolje bomo izvajali spremembe v realnem času.
Trudimo se, da ne bi uporabljali vprašanj GH za razpravo, zato bom to zdaj zaključil, vendar nas pokličite na forumih."