CleanPress

Server-Code des Signal-Messenger auf GitHub veraltet

Verfasst von

sla

in

Signal-Server
Screenshot: ft

In letzter Zeit migrieren angeblich Millionen von Anwendern von WhatsApp zu Signal. Die Frage, ob das unter Open Source-Gesichtspunkten die richtige Entscheidung ist, stellt sich gerade jetzt wieder. Es erscheint nämlich derzeit so, als ob der serverseitige Code, der auf GitHub zu finden ist und unter der GNU AGPL steht, nicht der Code ist, der von der Firma Signal Messenger LLC aktuell als Server eingesetzt wird, wie die Webseite Linuxreviews berichtet.

Seit 11 Monaten nicht aktualisiert

Anlass zu dieser Vermutung gibt die Tatsache, dass der Code auf GitHub am 22. April 2020 zum letzten Mal aktualisiert wurde. Allerdings wurde auch in der Vergangenheit der Code nur einmal im Jahr aktualisiert. Auf Reddit ist zu lesen, dass einige APIs im Produktivbetrieb laufen, die nicht auf GitHub zu finden sind. Auch auf Twitter wird derzeit Druck aufgebaut, um die Signal-Betreiber zu einer Erklärung zu bewegen.

Produktiv genutzter Quellcode muss öffentlich sein

Damit ist der Code, der derzeit im Produktivbetrieb läuft, nicht quelloffen, denn die GNU AGPL sagt ganz klar, dass der Quellcode für Anwender zugänglich sein muss, auch wenn die Software lediglich auf einem Server als Dienst betrieben wird und nicht direkt zum Download bereitsteht. Das Kuketz-Blog hat bereits vor zwei Monaten über dieses Verhalten berichtet und die ursprüngliche Bewertung in seinem Ampelsystem von Grün auf Gelb zurückgestuft.

Transparenz erzwingen

Es gibt von der Firma Signal Messenger LLC keinerlei Informationen, warum der aktuelle Code nicht auf GitHub eingepflegt wird. Es kann aus entwicklungstechnischer Sicht durchaus Gründe dafür geben, aber als Unternehmen, das seinen Dienst als Open Source bewirbt, ist es schlechter Stil, die Anwender über das Warum im Dunkeln zu lassen. Vielleicht verhilft ja hier etwas Öffentlichkeit zu mehr Transparenz.

Keine Auswirkungen auf die Clients

Anwender der mobilen Clients sowie der Desktop-App des Signal-Messengers müssen sich derweil keine Sorgen machen, denn alle Clients sind Ende-zu-Ende verschlüsselt (E2EE) und diese Verschlüsselung findet clientseitig statt. Das Signal-Protokoll gilt im Übrigen als sehr sicher und wird auch von anderen Messengern wie Wire oder WhatsApp verwendet.

Kommentare

25 Antworten zu „Server-Code des Signal-Messenger auf GitHub veraltet“

  1. Avatar von Conrad Beckert
    Conrad Beckert

    Das Schöne bei Open Source ist, daß man „Abandonware“ auch „forken“ und so zu neuem Glanz verhelfen kann. Libreoffice statt OpenOffice und MariaDB statt MySQL sind die leuchtensten Beispiele dafür. Und ein Signal Messenger – den man auch selber hosten – sinnvollerweise föderiert wäre ein großer Fortschritt für uns alle.

    Antworten
    1. Avatar von Martin
      Martin

      Statt Signal würde ich dann lieber gleich XMPP nehmen, das für Föderation ausgelegt ist.
      Für WhatsAppler gäbe es dann Quicksy, ansonsten Conversations und Siskin für Mobilgeräte, Gajim und Dino am Rechner, converse.js als web client und für die nerds profanity oder poezio. Damit ist eigentlich alles abgedeckt.
      Für kleinere Gruppen/Firmen würde sich auch snikket als all-in-one Lösung (server und clients, keine offene Registrierung, dafür ein Einladungssystem) anbieten.

      Antworten
      1. Avatar von kamome
        kamome

        Oder was Matrix-basiertes …

        Antworten
        1. Avatar von Martin
          Martin

          Geht natürlich auch, ich bleibe da aber eher beim Bewährten. Matrix habe ich immer mal wieder ausprobiert, aber ich werde mit den meisten Clients nicht warm. Die UI gefällt mir nicht so, die meisten sind einfach nur Webseiten in electron gepackt und allgemein recht träge. Als TUI client habe ich mal gomuks ausprobiert, der ist auch noch weit vom Stand von poezio oder profanity weg. Auf Android hat Riot/Element auch zu sehr am Akku gesaugt.
          Server würde ich mit Matrix derzeit auch nicht betreiben wollen bei den Anforderungen von synapse.

          Antworten
          1. Avatar von kamome
            kamome

            Server würde ich mit Matrix derzeit auch nicht betreiben wollen bei den Anforderungen von synapse.

            Naja, manche betreiben das ja sogar auf einem RaspberryPi – scheint zu laufen, aber ich habe (auf Serverseite) bisher keine Erfahrung damit.
            Hast du schon Dendrite, Construct, Conduit, Mascarene probiert? Da scheint sich doch einiges in eine gute Richtung zu bewegen.

        2. Avatar von Uxx
          Uxx

          Und jetzt wissen wir auch wieder, warum sich beides nicht durchsetzt 😉

          Antworten
      2. Avatar von Conrad Beckert
        Conrad Beckert

        Delta.chat funktioniert mit einem IMAP Email Account. Auch nicht schlecht.

        Antworten
        1. Avatar von perko
          perko

          Delta.Chat ist der super, für die User die pragmatisch sind und keinen Schnick Schnack benötigen. Kein Zentraler Server, verschlüsselt und alles läuft über Email.

          Antworten
          1. Avatar von kamome
            kamome

            Das ist cool – aber Audio/Video und Desktop-Teilen sind eben nicht immer nur Schnickschnack. Aber für Text klingt es super!

        2. Avatar von Uxx
          Uxx

          Da damit auf iOS keine Benachrichtigungen funktionieren, ist es eigentlich nicht benutzbar. Alleine schon deshalb, weil in der Kontaktliste der eine oder andere iOS haben wird.

          Antworten
  2. Avatar von tedus
    tedus

    Bei Signal muss ich immer an das Theater um libresignal (eingestellte App für Sailfish OS) denken – da haben die Entwickler von Signal auch einen wenig guten Eindruck hinterlassen.
    Ich bin aber eh nicht der Fan davon, das eine Telefonnummer zum registrieren nötig ist. Und das es nur einen Server (und den in den USA – wenn ich das richtig im Kopf habe) gibt.

    Delta Chat und vielleicht irgendwann mal Matrix (inkl. Bridges verbunden mit Nextcloud etc) finde ich da interessanter. Perfekt was es als google und united internet/gmx/weg noch xmpp Server an ihre Emailadressen gebunden hatten – und man Freunden die „hab ich nicht“ sagen konnte – „Doch. Hast du durch deinen Email-Account.“

    Antworten
  3. Avatar von Thorsten
    Thorsten

    > Produktiv genutzter Quellcode muss öffentlich sein> Damit ist der Code, der derzeit im Produktivbetrieb läuft, nicht quelloffen, denn die GNU AGPL sagt ganz klar, dass der Quellcode für Anwender zugänglich sein muss, auch wenn die Software lediglich auf einem Server als Dienst betrieben wird und nicht direkt zum Download bereitsteht.

    Das ist, glaube ich, nur die halbe Wahrheit. Natürlich wäre es zu bevorzugen, wenn der aktuell produktiv genutzte Build reproduzierbar und quelloffen wäre. „Müssen“ tut er das aber nicht, zumindest nicht aus rechtlicher Sicht. Die Entwickler sind schließlich Lizenz-Geber und nicht Lizenz-Nehmer und damit nicht dazu verpflichtet, sich an ihre eigene Lizenz zu halten. Sie können sie auch unter anderen Bedingungen veröffentlichen oder verwenden (Dual-Lizenzierung).
    Natürlich funktioniert dies nur, wenn wirklich alle Beiträge von der selben Organisation veröffentlich wurden (ein Contributor License Agreement, das eine solche Dual-Lizenzierung auch mit Beiträgen Dritter ermöglichen würde existiert meines Wissens nach nicht).

    Und weil wir in Deutschland sind: Dieser Beitrag ist keine Rechtsberatung sondern stellt nur meine persönliche Meinung dar.

    Antworten
    1. Avatar von tuxnix
      tuxnix

      Meine persönliche Meinung dazu: Man kann in jedem Fall von user Seite darauf pochen, dass die jeweils genutzte Lizenz korrekt genannt wird.
      Wird Singnal mit GNU AGPL beworben dann sollte es auch so gehandhabt werden wie die GNU AGPL es vorschreibt.

      Antworten
      1. Avatar von Atalanttore
        Atalanttore

        Auf etwas pochen kann man viel, aber bei freier Software muss man dann jederzeit damit rechnen als undankbarer Benutzer abgestempelt zu werden.

        Antworten
  4. Avatar von Tux
    Tux

    Der Servercode mag öffentlich sein, aber was läuft tatsächlich auf deren Server?

    Drew Devault hat sich schon mal mit Signal auseinandergesetzt:
    https://drewdevault.com/2018/08/08/Signal.html

    Und das Matrix-Team hat Moxies Ansichten widersprochen:
    https://matrix.org/blog/2020/01/02/on-privacy-versus-freedom/

    Für mich ist Signal nur ein simpler Smartphonemessenger und irrelevant. Ich brauch etwas, was auf Laptops, Desktops und eventuell mal auf meinem Pinephone ordentlich läuft. Name, Passwort und das war’s. C++, Qt und Dezentralisierung/Föderation wären auch nicht schlecht.

    Antworten
    1. Avatar von Nick
      Nick

      Sehe ich genauso. Und letztlich ist Matrix als Basis der eigentliche Sieger bezüglich Kryptomessengern, zumal sich diesbezüglich bereits Behörden und Regierungen weltweit engagieren, die sich zudem keine halbgaren Lösungen leisten können. Auch viele FOSS-Projekte priorisieren den Support für Matrix bezüglich eigener Software. Eine interessante Alternative wäre auch GNU Jami, was hinsichtlich der Eigenschaften ebenfalls positiv hervorsticht, und verglichen mit anderen Lösungen, auf bewährte Technologien setzt ohne das Rad neu zu erfinden.

      Antworten
      1. Avatar von no one
        no one

        Jami habe ich mir mal angesehen als es noch Ring hieß. Wenn sich seitdem nichts grundlegendes getan hat und es immer noch keine zuverlässigenOffline Messages gibt, ist das für die breite Masse IMHO unbrauchbar.

        Antworten
      2. Avatar von kamome
        kamome

        … Behörden und Regierungen …, die sich … keine halbgaren Lösungen leisten können

        Eine gewagte Behauptung 😉 Sollten sie in der Tat nicht!

        Antworten
      3. Avatar von Atalanttore
        Atalanttore

        Deutsche Behörden leistet sich schon Mal keine halbgaren Lösungen und machen in vielen Bereichen der Digitalisierung einfach gar nichts. Wer nichts macht, kann auch nichts falsch machen. So ein Motto sollten viel mehr Menschen auch bei ihrer Steuererklärung haben 😉

        Antworten
  5. Avatar von Gerrit
    Gerrit

    Super. Ich habe gerade gezählt und hier wurden in gerade mal 15 Kommentaren gleich mal 4 Alternativen vorgeschlagen. Natürlich alle komplett inkompatibel zueinander. FOSS eben. So wird das nichts.

    Antworten
    1. Avatar von Atalanttore
      Atalanttore

      In ein paar Monaten bis spätestens in ein paar Jahren verlieren die Entwickler mindestens einer Alternative die Lust an ihrer umfangreichen Freizeitbeschäftigung und die Alternative verschwindet sang- und klanglos wieder. Als Anwender weiß man das aber erst hinterher und kommerzielle Kunden haben auf dieses Glücksspiel eher wenig Lust. Die Entscheidung geht zugunsten einer kommerziellen Lösung von einer etablierten Firma.

      Antworten
  6. Avatar von Atalanttore
    Atalanttore

    So schafft man Vertrauen … nicht.

    WhatsApp könnte das auch als Steilvorlage nutzen.

    Antworten
    1. Avatar von Uxx
      Uxx

      Für was? Um für ihren eigenen Open Source Server Werbung zu machen? Oh, warte…

      Antworten
      1. Avatar von Atalanttore
        Atalanttore

        Ein Hinweis auf die Unstimmigkeiten bei Signal könnte schon reichen, um unentschlossene Nutzer von einem Umstieg auf Signal abzuhalten.

        Antworten
  7. Avatar von Manuel
    Manuel

    https://www.golem.de/news/open-source-signal-aktualisiert-server-code-nach-golem-de-bericht-2104-155527.html

    Berichterstattung hat offensichtlich etwas gebracht.

    Antworten

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Weitere Beiträge