信号需要为其对反审查群体的反应做得更好

在埃隆·马斯克（Elon Musk）的推文以及主要人物的许多其他建议（包括通常建议使用Signal的爱德华·斯诺登）之后，Signal已成功吸引了大量活跃用户。

但是，最近发生的一些事件涉及一些来自反审查机构的安全研究人员，他们报告了Signal对伊朗的审查规避技术存在严重缺陷，这使我开始思考Signal作为一家公司如何对开源社区做出回应并向公众展示自己。

他们做错什么了吗？他们是否应该努力改善与社区的沟通？到底是怎么回事？

在本文中，我将尝试就Signal如何解决该问题以及我认为他们应该如何解决发表自己的看法（仅限于我的观点和研究）。

注意：当然，据我了解，他们的团队很小，考虑到他们在该应用程序上的出色表现，他们没有义务对所有事情做出回应。过去，我曾尝试与他们联系，以创建可以帮助我们的读者自2014年起成为用户的更多信息，但并未获得回应。所以，这不足为奇。

附加说明：这完全是我的观点，并提出要让Signal团队做出适当的官方回应。

以database64128的GitHub线程作为参考，以下是初学者应该了解的几件事：

信号宣布实现伊朗中用户的简单TLS代理，以便能够通过绕过审查来重新连接到信号。

一位研究人员Ducksoft立即注意到简单代理的缺陷（基本上意味着可以检测到的代理和阻止 - 这可能会使用户审查），并通过信号的存储库上的GitHub问题报告它

另一个研究员学生们写道并测试了一个poc（概念证明），后来张贴在同一个线程中。

通过提到他们没有在GitHub上讨论此类问题的艾西尼（信号联合创始人）据说，GitHub问题，并建议将其发布在信号社区论坛上讨论。

响应令人沮丧的是研究人员疯狂地试图重新发出问题并提交将POC添加到信号的TLS代理存储库中的拉出请求。

删除原始GitHub线程，并据称，研究人员从信号的GitHub存储库中禁止。

信号应用程序泄露DNS查询的安全问题也发布在信号社区论坛中。

现在，您可以找到DuckSoft在单独的GitHub页面上重新发布的问题，该问题也在该线程中得到了其他多个研究人员的确认和支持。

但是，Moxie认为这在技术上不是缺陷，而是该技术的设计方式：

是的，至少在有人发现代理链接时，代理将始终可被检测为代理-当数百万的人使用它们时，这是不可避免的。幸运的是，这不是秘密！

-Moxie Marlinspike（@moxie）2021年2月8日

是的，我已经注意到，报告使用此代理技术的缺陷的研究人员在最初的GitHub问题关闭后的某个时间点是有毒的，使他们感到沮丧。

但是，我没有理由删除最初报告的GitHub问题。 Moxie在他的一些推文中提到，他关闭该问题是为了保持GitHub问题版块的整洁，因为这不是讨论的地方，并且该线程通常导致虚假PR和乱码的过山车：

在开始吸引大量通用技术支持类型的请求和讨论线程之前，我们几乎立即关闭了问题。我们认为GH问题对此无用，因此我们发布了一条注释，重定向了该问题中的人员并将其禁用。没有定位到目标任何人。

-Moxie Marlinspike（@moxie）2021年2月8日 但是，完全禁用“问题”部分或潜在地删除整个线程对我来说不是一个好兆头。 此外，考虑到将来使用户受到审查可能很危险（即使有0.01％的机会），将严重的关注点从GitHub问题线程重定向到Signal的社区线程？ 严重地？ 特别是，当有人投入精力准备PoC以及可能的解决方案来帮助Signal实施更好的审查规避技术时？ 社区线程用于用户讨论或功能请求，而不是讨论直接的安全问题。 别忘了，那不是一个得到官方回应的地方。 作为我的同事，Avimanyu Bandyopadhyay提到了开源哲学，该哲学源于谦虚，爱与同情。 老实说，在这种情况下我看不到。 这种情况本来可以更好地处理的，也许Moxie也知道。

我甚至与网络安全专业人士（Roshan Raj Mishra）聊天，他认为，即使我们认为安全缺陷没有礼貌地报告，并不承认与PoC报告的缺陷通过信号不专业。所以，有那个。

此外，我没有看到有人在GitHub问题中提出关注的问题是什么？可以在那里讨论一个例外。一切都有第一次。

保留GitHub问题的重点是吱吱作响的清洁，没有正确讨论或关闭关注？

我们敦促信号发出声明，该声明通知其用户对其代理实施的缺陷引起的潜在风险。信号必须停止向伊朗的人们提供脆弱的临时解决方案。相反，伊朗人民应该寻求其他完善的解决方案，就像来自我们社区的解决方案。

当然，一个人争辩说，信号提到了作为“临时解决方案”的代理实现。

但是，即使，为什么他们不能正确地解决安全研究人员的担忧？关于关注的官方推文？博客文章澄清（用免责声明）代理实施不是最佳解决方案，并且对未来或更强大的审查系统可能会有风险？

特别是，当它不仅仅是一个单身人士对某些事情进行偏执，而是来自反审查群体的许多研究人员。

不要否认另一名安全研究员谢尔盖·弗洛洛夫（Sergey Frolov）也声称他过去曾报告过对Signal应用程序的某些担忧，但也未收到任何回应。 这对我来说听起来并不好。 正如我们所说，在这个世界上，没有任何事物是完美的。 因此，作为一家开源公司，Signal当然也可能有问题吗？ 也许他们需要进行快速透明的沟通？ 在专业上，我认为他们绝对应该有效地提出，解决或答复社区提出的问题。 无论团队多小，考虑到Signal的用户群不断增长（出于所有正确的原因，这也是我使用它的原因），应对社区的关注现在应该成为优先事项。 FOSS社区值得以文明的方式讨论此事，而不仅仅是专业地抛弃这些问题，这只是我个人，我并不代表所有人。