Vertaler se nota. - 'n privaatheid-gefokusde webwerf-analise diens (in sommige opsigte die teenoorgestelde van Google Analytics)
As die stigter van Simple Analytics, was ek nog altyd bewus van die belangrikheid van vertroue en deursigtigheid vir ons kliënte. Ons is verantwoordelik vir hulle sodat hulle rustig kan slaap. Die keuse moet optimaal wees vanuit die oogpunt van privaatheid van beide besoekers en kliënte. Dus, een van die belangrikste kwessies vir ons was die keuse van bedienerligging.
Die afgelope paar maande het ons ons bedieners geleidelik na Ysland verskuif. Ek wil verduidelik hoe alles gebeur het, en, bowenal, hoekom. Dit was nie 'n maklike proses nie en ek deel graag ons ervaring. Daar is 'n paar tegniese besonderhede in die artikel, wat ek op 'n verstaanbare manier probeer skryf het, maar ek vra om verskoning as dit te tegnies is.
Waarom bedieners skuif?
Dit het alles begin toe ons webwerf bygevoeg is . Dit is 'n lys van domeinname vir advertensieblokkeerders. Ek het gevra hoekom ons bygevoeg is aangesien ons nie besoekers dophou nie. Ons selfs "Moenie dop nie" instelling in jou blaaier.
Ek het geskryf к :
[…] So as ons aanhou om goeie maatskappye te blokkeer wat gebruikers se privaatheid respekteer, wat is die punt? Ek dink dit is verkeerd, elke maatskappy moet nie op 'n lys geplaas word net omdat hulle 'n versoek indien nie. […]
En ontvang van :
Almal stem saam met jou, maar ek wil nie hê dat my versoeke na 'n Amerikaanse maatskappy gestuur word nie (in jou geval Digital Ocean […]
Ek het eers nie van die antwoord gehou nie, maar in ’n gesprek met die gemeenskap is my daarop gewys dat hy reg is. Die Amerikaanse regering kan inderdaad toegang tot ons gebruikers se data hê. Op daardie tydstip het Digital Ocean eintlik ons bedieners aan die gang gehad, hulle kon net ons skyf uittrek en die data lees.
Daar is 'n tegniese oplossing vir die probleem. Jy kan 'n gesteelde (of om enige rede ontkoppel) ry onbruikbaar maak vir ander. Volledige enkripsie sal dit moeilik maak om toegang te verkry sonder 'n sleutel (let wel: die sleutel is slegs vir Simple Analytics). Dit is steeds moontlik om klein stukkies data te bekom deur die bediener se RAM fisies te lees. Die bediener kan nie sonder RAM werk nie, so in hierdie verband moet jy die gasheerverskaffer vertrou.
Dit het my laat dink waarheen om ons bedieners te skuif.
Nuwe plek
Ek het in hierdie rigting begin soek en op 'n Wikipedia-bladsy afgekom met . Daar is ’n lys van “vyande van die internet” van die internasionale nie-regeringsorganisasie Reporters Without Borders, wat in Parys gesetel is en vir persvryheid pleit. ’n Land word as ’n vyand van die internet geklassifiseer wanneer dit "nie net nuus en inligting op die internet sensor nie, maar ook byna sistematiese onderdrukking van gebruikers uitvoer."
Behalwe hierdie lys, is daar 'n alliansie genoem oftewel FVEY. Dit is 'n alliansie van Australië, Kanada, Nieu-Seeland, Groot-Brittanje en die VSA. In onlangse jare het dokumente getoon dat hulle doelbewus op mekaar se burgers spioeneer en versamelde inligting deel om wetlike beperkings op huishoudelike spioenasie te omseil (). Die voormalige NSA-kontrakteur Edward Snowden het FVEY beskryf as "'n supranasionale intelligensie-organisasie wat nie onderworpe is aan die wette van sy lande nie." Daar is ander lande wat saam met FVEY in ander internasionale koöperasies werk, insluitend Denemarke, Frankryk, Nederland, Noorweë, België, Duitsland, Italië, Spanje en Swede (die sogenaamde 14 Eyes). Ek kon geen bewyse vind dat die 14 Eyes-alliansie die intelligensie wat dit insamel, misbruik nie.
Daarna het ons besluit dat ons nie in enige van die lande op die lys van "vyande van die internet" sal gasheer nie en beslis lande van die 14 Eyes-alliansie sal oorslaan. Die feit van kollektiewe toesig is genoeg om te weier om ons kliënte se data daar te stoor.
Wat Ysland betref, sê die Wikipedia-bladsy hierbo die volgende:
Ysland se grondwet verbied sensuur en het 'n sterk tradisie om vryheid van uitdrukking te beskerm, wat tot die internet strek. […]
Ysland
Tydens die soektog na die beste land vir privaatheidsbeskerming het Ysland telkens na vore gekom. Daarom het ek besluit om dit noukeurig te bestudeer. Hou asseblief in gedagte dat ek nie Yslands praat nie, so ek het dalk belangrike inligting gemis. , as jy enige inligting oor die onderwerp het.
Volgens die verslag van Freedom House, volgens die vlak van sensuur, het Ysland en Estland 6/100 punte behaal (hoe laer hoe beter). Dit is die beste resultaat. Neem asseblief kennis dat nie alle lande geassesseer is nie.
Ysland is nie 'n lid van die Europese Unie nie, alhoewel dit deel is van die Europese Ekonomiese Gebied en ingestem het om verbruikersbeskerming en sakewetgewing soortgelyk aan dié van ander lidlande te volg. Dit sluit die Wet op Elektroniese Kommunikasie 81/2003 in, wat vereistes vir databerging ingestel het.
Die wet is van toepassing op telekommunikasiediensverskaffers en vereis dat rekords vir ses maande bewaar word. Dit sê ook dat maatskappye slegs telekommunikasie-inligting in strafsake of openbare veiligheidsaangeleenthede kan verskaf en dat sulke inligting nie met enigiemand anders as die polisie of aanklaers gedeel kan word nie.
Alhoewel Ysland oor die algemeen die wette van die Europese Ekonomiese Ruimte volg, het dit sy eie benadering tot privaatheidsbeskerming. Byvoorbeeld, Yslandse wetgewing moedig anonimiteit van gebruikersdata aan. Internetverskaffers en gashere is nie wetlik verantwoordelik vir die inhoud wat hulle plaas of versend nie. Volgens Yslandse wetgewing is die domeinsone-registrateur (). Die regering stel geen beperkings op anonieme kommunikasie nie en vereis nie registrasie wanneer SIM-kaarte gekoop word nie.
Nog 'n voordeel van verhuising na Ysland is die klimaat en ligging. Bedieners genereer baie hitte, en die gemiddelde jaarlikse temperatuur in Reykjavik (die hoofstad van Ysland, waar die meeste datasentrums geleë is) is 4,67°C, so dit is 'n wonderlike plek om bedieners af te koel. Vir elke watt wat bedieners en netwerktoerusting gebruik, word proporsioneel baie min watt aan verkoeling, beligting en ander oorhoofse koste bestee. Boonop is Ysland die wêreld se grootste produsent van skoon energie per capita en die grootste produsent van elektrisiteit per capita in die geheel, met ongeveer 55 000 kWh per persoon per jaar. Ter vergelyking is die EU-gemiddelde minder as 6000 kWh. Die meeste gashere in Ysland kry 100% van hul elektrisiteit van hernubare bronne.
As jy 'n reguit lyn van San Francisco na Amsterdam trek, sal jy Ysland oorsteek. Simple Analytics het die meeste van sy kliënte uit die VSA en Europa, so dit maak sin om hierdie geografiese ligging te kies. Bykomende voordele ten gunste van Ysland is wette wat privaatheid beskerm en 'n omgewingsbenadering.
Bedieneroordrag
Eerstens moes ons 'n plaaslike gasheerverskaffer vind. Daar is 'n hele paar van hulle, en dit is regtig moeilik om die beste een te bepaal. Ons het nie die hulpbronne gehad om almal te probeer nie, so ons het 'n paar outomatiese skrifte geskryf () om die bediener op te stel sodat jy maklik na 'n ander gasheer kan oorskakel indien nodig. Ons het op die maatskappy besluit met die leuse "Beskerming van privaatheid en burgerregte sedert 2006." Ons het van hierdie leuse gehou en hulle 'n paar vrae gevra oor hoe hulle ons data sal hanteer. Hulle het ons gerusgestel, so ons het voortgegaan met die installering van die hoofbediener. En hulle gebruik net elektrisiteit van hernubare bronne.
Ons het egter verskeie struikelblokke tydens hierdie proses teëgekom. Hierdie deel van die artikel is redelik tegnies. Gaan gerus aan na die volgende een. Wanneer jy 'n geënkripteerde bediener het, word dit met die private sleutel ontsluit. Hierdie sleutel kan nie op die bediener self gestoor word nie, dit wil sê, dit moet op afstand ingevoer word wanneer die bediener selflaai. Wag, wat gebeur as die krag afgeskakel word? Dit blyk dat alle webbladversoeke aan die bediener nie na 'n herlaai nagekom sal word nie?
Daarom het ons 'n primitiewe sekondêre bediener voor die hoofbediener bygevoeg. Dit ontvang bloot bladsybesigtigingsversoeke en stuur dit direk na die hoofbediener. As die hoofbediener ineenstort, sal die sekondêre bediener versoeke in sy eie databasis stoor en dit herhaal totdat dit 'n antwoord ontvang. Daar is dus geen dataverlies na 'n kragonderbreking nie.
Kom ons gaan terug na die laai van die bediener. Wanneer die geënkripteerde hoofbediener opstart, moet ons 'n wagwoord invoer. Maar ons wil nie na Ysland gaan of iemand daar vra om by die bedienerkamer aan te meld nie, om ooglopende redes. Vir afstandtoegang tot die bediener word die veilige SSH-protokol gewoonlik gebruik. Maar hierdie program is slegs beskikbaar terwyl die bediener of rekenaar aan die gang is, en ons moet koppel voordat die bediener volledig gelaai is.
So het ons gevind , 'n baie klein SSH-kliënt waarvandaan bestuur kan word (initramfs). En jy kan eksterne verbindings via SSH toelaat. Nou hoef jy nie Ysland toe te vlieg om ons bediener te laai nie, hoera!
Dit het ons 'n paar weke geneem om na die nuwe bediener in Ysland te skuif, maar ons is bly ons het dit uiteindelik gedoen.
Stoor slegs die nodige data
By Simple Analytics leef ons volgens die beginsel van "Stoor slegs die nodige data", en versamel die minimum hoeveelheid daarvan.
Word dikwels in webtoepassings gebruik data. Dit beteken dat die data nie eintlik uitgevee word nie, maar bloot onbeskikbaar word vir die eindgebruiker. Ons doen dit nie - as jy jou data uitvee, sal dit uit ons databasis verdwyn. Ons gebruik harde verwydering. Let wel: Hulle sal vir 'n maksimum van 90 dae in geënkripteerde rugsteun bly. In die geval van 'n fout, kan ons dit herstel.
Ons het nie delete_at-velde nie 😉
Dit is belangrik vir kliënte om te weet watter data gestoor word en wat uitgevee word. Wanneer iemand hul data uitvee, . Die gebruiker en sy analise word uit die databasis verwyder. Ons verwyder ook die kredietkaart en e-pos van Stripe (betalingsverskaffer). Ons handhaaf betalingsgeskiedenis, wat vir belasting vereis word, en hou ons loglêers en databasisrugsteun vir 90 dae.
Vraag: As jy net minimale sensitiewe data stoor, hoekom het jy al hierdie beskerming en bykomende sekuriteit nodig?
Wel, ons wil die wêreld se beste privaatheidsgefokusde ontledingsmaatskappy wees. Ons sal ons bes doen om die beste ontledingsinstrumente te verskaf sonder om die privaatheid van u besoekers in te dring. Selfs al beskerm ons groot hoeveelhede anonieme besoekersinligting, wil ons wys dat ons privaatheid baie ernstig opneem.
Wat is volgende?
Toe ons privaatheid verbeter het, het die laaispoed van skrifte wat in webblaaie ingebed is, effens toegeneem. Dit maak sin omdat hulle vroeër op die CloudFlare CDN aangebied is, wat 'n versameling bedieners regoor die wêreld is wat laaitye vir almal versnel. Ons dink tans daaraan om 'n baie eenvoudige CDN op te stel met geënkripteerde bedieners wat slegs ons JavaScript sal bedien en webbladversoeke tydelik sal stoor voordat dit na die hoofbediener in Ysland gestuur word.
Bron: will.com