Заўвага перакладчыка. – сэрвіс аналітыкі для вэб-сайтаў, арыентаваны на прыватнасць (у некаторым родзе супрацьлегласць Google Analytics)
Як заснавальнік Simple Analytics, я заўсёды памятаў аб важнасці даверу і празрыстасці для нашых кліентаў. Мы нясем адказнасць за іх, каб яны маглі спаць спакойна. Выбар павінен быць аптымальным з пункту гледжання прыватнасці і наведвальнікаў, і кліентаў. Так, адным з найважнейшых для нас пытаннем стаў выбар месцазнаходжання сервераў.
За апошнія некалькі месяцаў мы паступова перамясцілі нашы серверы ў Ісландыю. Жадаю растлумачыць, як усё адбывалася, і, самае галоўнае, чаму. Гэта быў няпросты працэс, і я хацеў бы падзяліцца нашым досведам. У артыкуле ёсць некаторыя тэхнічныя дэталі, якія я паспрабаваў напісаць зразумелай мовай, але прашу прабачэння, калі яны занадта тэхнічныя.
Навошта пераносіць сэрвэры?
Усё пачалося з таго, што наш сайт дадалі ў . Гэта спіс даменных імёнаў для блакавальнікаў рэкламы. Я спытаў, чаму нас дадалі, бо мы не адсочваем наведнікаў. Мы нават наладзе "Не адсочваць" (Do Not Track) у браўзэры.
Я напісаў к :
[…] Так што калі мы працягнем блакаваць добрыя кампаніі, якія паважаюць канфідэнцыяльнасць карыстальнікаў, які ў гэтым сэнс? Думаю, што гэта няправільна, не варта змяшчаць кожную кампанію ў спіс толькі таму, што яна дасылае запыт. […]
І атрымаў ад :
Усё з вамі згодны, але я не хачу, каб мае запыты адпраўляліся ў амерыканскую кампанію (у вашым выпадку Digital Ocean […]
Спачатку мне не спадабаўся адказ, але ў абмеркаванні з супольнасцю мне ўказалі на ягоную правату. Урад ЗША на самой справе можа атрымаць доступ да дадзеных нашых карыстальнікаў. У той час нашы серверы сапраўды працавалі ў Digital Ocean, яны маглі проста выцягнуць нашу кружэлку і прачытаць дадзеныя.
Ёсць тэхнічнае вырашэнне праблемы. Вы можаце зрабіць так, што скрадзены (ці адлучаны па якой-небудзь прычыне) дыск становіцца непрыдатны для іншых. Поўнае шыфраванне абцяжарыць доступ у адсутнасць ключа (нататка: ключ толькі ў Simple Analytics). Па-ранейшаму можна атрымаць невялікія фрагменты дадзеных, фізічна счытваючы аператыўную памяць сервера. Сервер не можа працуе без аператыўнай памяці, так што ў гэтых адносінах даводзіцца даверыцца хостынг-правайдэру.
Гэта прымусіла мяне задумацца, куды перамясціць нашыя сэрвэры.
Новае месца
Я пачаў шукаць у гэтым кірунку і натыкнуўся на старонку ў Вікіпедыі са . Там ёсць спіс "ворагаў інтэрнэту" ад міжнароднай недзяржаўнай арганізацыі "Рэпарцёры без межаў", якая знаходзіцца ў Парыжы і выступае за свабоду прэсы. Краіна класіфікуецца як вораг інтэрнэту, калі «не толькі цэнзуравае навіны і інфармацыю ў інтэрнэце, але і праводзіць амаль сістэматычныя рэпрэсіі ў дачыненні да карыстальнікаў».
Апроч гэтага спісу, існуе альянс пад назвай aka FVEY. Гэта саюз Аўстраліі, Канады, Новай Зеландыі, Вялікабрытаніі і ЗША. У апошнія гады дакументы паказалі, што яны наўмысна шпіёняць за грамадзянамі адзін аднаго і абменьваюцца сабранай інфармацыяй, каб абысці заканадаўчыя абмежаванні на шпіянаж унутры краіны.). Былы супрацоўнік АНБ Эдвард Сноўдэн ахарактарызаваў FVEY як «наднацыянальную выведвальную арганізацыю, якая не падпарадкоўваецца законам сваіх краін». Ёсць і іншыя краіны, якія працуюць разам з FVEY у іншых міжнародных кааператывах, уключаючы Данію, Францыю, Нідэрланды, Нарвегію, Бельгію, Германію, Італію, Іспанію і Швецыю (так званыя 14 Eyes). Я не змог знайсці доказаў, што альянс 14 Eyes марнатравіць сабранымі разведдадзенымі.
Пасля гэтага мы вырашылі, што не будзем хосціцца ні ў адной з краін са спісу "ворагаў інтэрнэту" і дакладна прапусцім краіны з альянсу 14 Eyes. Факту калектыўнага сачэння дастаткова, каб адмовіцца ад захоўвання там дадзеных нашых кліентаў.
Адносна Ісландыі вышэйзгаданая старонка Вікіпедыі абвяшчае наступнае:
Канстытуцыяй Ісландыі забаронена цэнзура, і існуе трывалая традыцыя абароны свабоды выказвання меркаванняў, якая распаўсюджваецца і на Інтэрнет. […]
Ісландыя
Падчас пошуку найлепшай краіны з пункту абароны прыватнасці Ісландыя з'яўлялася зноў і зноў. Таму я вырашыў старанна вывучыць яе. Калі ласка, майце на ўвазе, што я не размаўляю па-ісландску, з-за чаго мог выпусціць важную інфармацыю. , калі ў вас ёсць нейкая інфармацыя па тэме.
Паводле справаздачы ад Freedom House, па ўзроўні цэнзуры Ісландыя разам з Эстоніяй набралі 6/100 балаў (чым менш, тым лепей). Гэта найлепшы вынік. Майце на ўвазе, што ацэньваліся не ўсе краіны.
Ісландыя не з'яўляецца членам Еўрапейскага саюза, хаця ўваходзіць у Еўрапейскую эканамічную зону і пагадзілася прытрымлівацца заканадаўства ў галіне абароны правоў спажыўцоў і прадпрымальніцкага права, аналагічнага заканадаўству іншых дзяржаў-членаў. Сюды ўваходзіць Закон аб электронных паведамленнях (Electronic Communications Act 81/2003), які ўвёў патрабаванні да захоўвання дадзеных.
Закон прымяняецца да пастаўшчыкоў тэлекамунікацыйных паслуг і прадугледжвае захоўванне запісаў на працягу шасці месяцаў. У ім таксама гаворыцца, што кампаніі могуць падаваць інфармацыю аб тэлекамунікацыях толькі ў крымінальных справах ці па пытаннях грамадскай бяспекі і што такая інфармацыя не можа быць прадстаўлена нікому, акрамя паліцыі ці пракуратуры.
Хоць Ісландыя ў цэлым прытрымліваецца законаў Еўрапейскай эканамічнай зоны, у яе свой падыход да абароны прыватнасці. Напрыклад, ісландскі закон заахвочвае ананімнасць карыстацкіх дадзеных. Інтэрнэт-правайдэры і хосцеры не нясуць юрыдычнай адказнасці за кантэнт, які яны размяшчаюць або перадаюць. Згодна з ісландскаму заканадаўству, за законнасць выкарыстання дамена .is нясе адказнасць рэгістратар даменнай зоны (). Урад не накладвае ніякіх абмежаванняў на ананімныя зносіны і не патрабуе рэгістрацыі пры куплі SIM-карт.
Яшчэ адна перавага пераезду ў Ісландыю - клімат і размяшчэнне. Серверы вылучаюць шмат цяпла, а сярэднегадавая тэмпература ў Рэйк'явіку (сталіца Ісландыі, дзе размешчана большасць цэнтраў апрацоўкі дадзеных) складае 4,67 ° C, так што гэта выдатнае месца для астуджэння сервераў. На кожны ват для працы сервераў і сеткавага абсталявання сыходзіць прапарцыйна вельмі мала ват на астуджэнне, асвятленне і іншыя накладныя выдаткі. Акрамя таго, Ісландыя з'яўляецца найбуйнейшым у свеце вытворцам "чыстай" энергіі на душу насельніцтва і наогул найбуйнейшым вытворцам электраэнергіі на душу насельніцтва, з прыкладна 55 000 квт • ч на чалавека ў год. Для параўнання, сярэдні паказчык па ЕС менш за 6000 кВт•гадз. Большасць хостэраў у Ісландыі атрымліваюць 100% электраэнергіі з аднаўляльных крыніц.
Калі вы праведзяце прамую лінію ад Сан-Францыска да Амстэрдама, то перасячэце Ісландыю. У Simple Analytics большасць кліентаў з ЗША і Еўропы, таму ёсць сэнс абраць менавіта гэтае геаграфічнае становішча. Дадатковыя плюсы на карысць Ісландыі - законы, якія абараняюць прыватнасць, і экалагічны падыход.
Перанос сервераў
Па-першае, трэба было знайсці мясцовага хостынг-правайдэра. Іх даволі шмат, і сапраўды цяжка вызначыць найлепшага. У нас не было рэсурсаў, каб паспрабаваць усіх, таму мы напісалі некалькі аўтаматычных скрыптоў () для налады сервера, каб лёгка перайсці да іншага хосцера ў выпадку неабходнасці. Мы спыніліся на кампаніі з дэвізам "Абараняем прыватнасць і грамадзянскія правы з 2006 года". Нам спадабаўся гэты дэвіз, і мы задалі ім некалькі пытанняў, як яны будуць апрацоўваць нашыя дадзеныя. Яны супакоілі нас, так што мы працягнулі ўстаноўку асноўнага сервера. І яны выкарыстоўваюць электрычнасць толькі з аднаўляльных крыніц.
Аднак у ходзе гэтага працэсу мы сутыкнуліся з некалькімі перашкодамі. Гэтая частка артыкула даволі тэхнічная. Не саромейцеся перайсці да наступнай. Калі ў вас ёсць зашыфраваны сервер, ён разблакуецца з дапамогай зачыненага ключа. Гэты ключ нельга захоўваць на самім серверы, гэта значыць трэба ўводзіць яго выдалена пры загрузцы сервера. Пачакайце, а што адбываецца пры адключэнні харчавання? Атрымліваецца, што ўсе запыты вэб-старонак да сервера не выканаюцца пасля перазагрузкі?
Вось чаму мы дадалі перад галоўным серверам прымітыўны дадатковы сервер. Ён проста атрымлівае запыты на прагляд старонак і дасылае іх непасрэдна на галоўны сервер. Калі асноўны сервер упаў, то дадатковы сервер захавае запыты ва ўласнай БД і будзе паўтараць іх датуль, пакуль не атрымае адказ. Такім чынам, пасля збою харчавання няма страты даных.
Вернемся да загрузкі сервера. Калі загружаецца зашыфраваны галоўны сервер, нам трэба ўвесці пароль. Але мы не жадаем ехаць у Ісландыю ці прасіць кагосьці тамака ўвайсці ў серверную, па відавочных чынніках. Для аддаленага доступу да сервера звычайна выкарыстоўваецца абаронены пратакол SSH. Але гэтая праграма даступна толькі падчас працы сервера ці кампутара, а нам трэба падлучыцца да поўнай загрузкі сервера.
Так мы знайшлі , вельмі маленькі SSH-кліент, які можна запусціць з (initramfs). І можна дазволіць вонкавыя злучэнні па SSH. Цяпер не трэба ляцець у Ісландыю, каб загрузіць наш сервер, ура!
Пераезд на новы сервер у Ісландыі заняў у нас пары тыдняў, але мы рады, што нарэшце зрабілі гэта.
Захоўваць толькі неабходныя дадзеныя
Мы ў Simple Analytics жывем па прынцыпе "Захоўваць толькі неабходныя дадзеныя", збіраючы мінімальнае іх колькасць.
У вэб-прыкладаннях часта практыкуецца дадзеных. Гэта азначае, што дадзеныя насамрэч не выдаляюцца, а проста становяцца недаступнымі для канчатковага карыстальніка. Мы гэтага не робім - калі вы выдаліце свае дадзеныя, яны знікнуць з нашай базы дадзеных. Мы выкарыстоўваем жорсткае выдаленне. Нататка: яны застануцца ў зашыфраваных рэзервовых копіях на працягу максімум 90 дзён. У выпадку памылкі мы можам іх аднавіць.
У нас няма палёў delete_at 😉
Для кліентаў важна ведаць, якія дадзеныя захоўваюцца, а якія выдаляюцца. Калі нехта выдаляе свае дадзеныя, . Карыстальнік і яго аналітыка выдаляюцца з базы даных. Мы таксама выдаляем крэдытную карту і ліст ад Stripe (правайдэра плацяжоў). Мы захоўваем гісторыю плацяжоў, якая неабходна для выплаты падаткаў, і захоўваем нашыя файлы часопісаў і рэзервовыя копіі баз дадзеных на працягу 90 дзён.
Пытанне: калі вы захоўваеце толькі мінімум канфідэнцыйных дадзеных, навошта патрэбна ўся гэтая абарона і дадатковая бяспека?
Ну, мы хочам быць найлепшай у свеце аналітычнай кампаніяй, арыентаванай на прыватнасць. Мы зробім усё, што ў нашых сілах, каб даць лепшыя інструменты аналітыкі, не урываючыся ў прыватнае жыццё вашых наведвальнікаў. Нават абараняючы вялізныя аб'ёмы ананімізаванай інфармацыі аб наведвальніках, мы хочам паказаць, што вельмі сур'ёзна ставімся да канфідэнцыйнасці.
Што далей?
Калі мы палепшылі прыватнасць, крыху павялічылася хуткасць загрузкі скрыптоў, убудаваных у вэб-старонкі. Гэта мае сэнс, таму што раней яны размяшчаліся на CDN CloudFlare, гэта набор сервераў па ўсім свеце, якія паскараюць загрузку для ўсіх. Цяпер мы думаем падняць вельмі просты CDN з зашыфраванымі серверамі, якія будуць аддаваць толькі наш JavaScript і часова захоўваць запыты вэб-старонак перад адпраўкай на галоўны сервер у Ісландыі.
Крыніца: habr.com