Після місяців радіомовчання вихідний код серверного компонента приватного месенджера Signal щойно оновлено на GitHub.
Оновлення 1 (09.04.2021 о 16:00 за східним часом): Тепер ми знаємо, чому так довго випускався оновлений вихідний код серверного програмного забезпечення Signal. Натисніть тут для отримання додаткової інформації. Стаття, опублікована на, збережена нижче.
Приватний месенджер Signal протягом багатьох років була популярною платформою для обміну повідомленнями, завдяки зосередженості на конфіденційності та наскрізному шифруванні. Проект випустив вихідний код для кожного компонента Signal, включно з внутрішнім сервером і клієнтських додатків, але загальнодоступний код для серверного програмного забезпечення залишався застарілим протягом кількох місяців, поки щойно сьогодні.
Signal зберігає якомога менше інформації на віддалених серверах, але все ще є серверний компонент для підключення користувачів до телефонних номерів, надсилання push-повідомлень та інших функцій. Signal надав вихідний код для серверного програмного забезпечення на GitHub, що дозволяє будь-кому
Після 22 квітня минулого року Signal перестала оновлювати публічне сховище коду для свого серверного програмного забезпечення. Цей крок викликав занепокоєння, враховуючи те, що природа Signal із відкритим вихідним кодом полегшила проведення перевірок безпеки та переконалася, що платформа не витікає особистих даних. А Проблема GitHub про відсутність релізів було створено минулого місяця, наступне інші обговорення на Reddit і Власний форум спільноти Signal.
Хоча Signal ще не зробив публічної заяви про розрив у випусках коду, проект нарешті опублікував сьогодні сотні комітів для публічний репозиторій GitHub. Репозиторій тепер показує багато комітів коду, виконаних протягом 2020 і 2021 років, наткнувшись на останню доступну версію сервера з 3.21 до 5.48.
Досі не зрозуміло, чому Signal так довго не оновлював код свого загальнодоступного сервера, особливо якщо група історично пишалася своєю відкритості та прозорості. Ми звернулися до Signal за заявою та оновимо наше покриття, коли/якщо отримаємо відповідь.
Ціна: безкоштовно.
4.4.
Оновлення 1: Пояснення
Це зробив генеральний директор Signal Моксі Марлінспайк прокоментував щодо проблеми GitHub із поясненням затримки. Він каже, що затримка не тому, що компанія намагалася приховати свої подробиці нова функція платежів, орієнтована на конфіденційність до того, як він був запущений, але головним чином був спрямований на те, щоб запобігти спамерам отримати нові заходи боротьби зі спамом, які компанія планувала ввести. Крім того, він повторює, що вихідний код клієнта публікується з кожним випуском, що збірки можна відтворити, і що Signal розроблено таким чином, щоб не довіряти серверу. незважаючи на це, це означає, що доступ до вихідного коду сервера «не має наслідків для безпеки». Однак він закінчує словами, що розуміє, чому люди можуть цього захотіти переглядати вихідний код сервера в освітніх цілях або для запуску власних екземплярів, тож він обіцяє, що компанія «зробить кращу роботу з просування змін у більш реальний час».
Подаємо його коментар повністю:
«По-перше, вибачте, що джерело однієї з наших послуг так відстало. Ми часто не натискаємо вихідний код, доки не випустимо щось, і в той період сталося кілька релізів, що накладалися один на одного, через що було незручно натискати будь-який момент і відставали нас. Крім того, ми спостерігаємо значне зростання спаму та небажання негайно публікувати точні заходи боротьби зі спамом, які ми відповідали на місце, де спамери могли негайно побачити їх у поєднанні з вищезазначеним, щоб спричинити цю крайність затримка.
Як зазначили учасники цієї теми, джерело нашого клієнта завжди публікується з кожним випуском, збірки можна відтворити, і все розроблено так, щоб сервер не довіряв. Щоб бути дуже ясним для небагатьох хетерів із фольги (на даний момент Інтернет просто не був би таким без вас, дякую за вашу послуга), ми не підпадаємо під жодний "розпорядження про заборону", немає NSL, і вся справа в тому, що немає "зловмисного програмного забезпечення", яке ми могли б встановити на сервер.
Навіть якщо це не впливає на безпеку, ми розуміємо, чому джерело сервера корисне для людей, які хочуть працювати свої власні версії Signal, зрозуміти, як працює Signal, і просто побачити, як все побудовано. Ми краще вноситимемо зміни в реальний час.
Ми намагаємося не використовувати проблеми GH для обговорення, тому я збираюся закрити це зараз, але повідомте нам на форумах».