Poznámka překladatele. – služba pro analýzu webových stránek zaměřená na soukromí (v některých ohledech opak Google Analytics)
Jako zakladatel Simple Analytics jsem vždy dbal na důležitost důvěry a transparentnosti pro naše klienty. Jsme za ně zodpovědní, aby mohli klidně spát. Výběr by měl být optimální z hlediska soukromí návštěvníků i klientů. Jedním z nejdůležitějších problémů pro nás tedy byla volba umístění serveru.
Během několika posledních měsíců jsme postupně přesunuli naše servery na Island. Chci vysvětlit, jak se všechno stalo, a hlavně proč. Nebyl to jednoduchý proces a rád bych se podělil o naše zkušenosti. V článku jsou některé technické detaily, které jsem se snažil napsat srozumitelně, ale omlouvám se, pokud jsou příliš technické.
Proč přesouvat servery?
Všechno to začalo, když byly přidány naše stránky . Toto je seznam názvů domén pro blokátory reklam. Zeptal jsem se, proč jsme byli přidáni, protože nesledujeme návštěvníky. My dokonce Nastavení „Nesledovat“ ve vašem prohlížeči.
napsal jsem к :
[…] Takže pokud budeme nadále blokovat dobré společnosti, které respektují soukromí uživatelů, jaký to má smysl? Myslím, že to je špatně, každá společnost by neměla být zařazena na seznam jen proto, že podává žádost. […]
A obdržel z :
Všichni s vámi souhlasí, ale nechci, aby mé požadavky byly zasílány americké společnosti (ve vašem případě Digital Ocean […]
Odpověď se mi nejprve nelíbila, ale v diskusi s komunitou mi bylo naznačeno, že měl pravdu. Vláda USA může mít skutečně přístup k datům našich uživatelů. V té době měl Digital Ocean skutečně spuštěné naše servery, mohli jen vytáhnout náš disk a číst data.
Existuje technické řešení problému. Ukradený (nebo z jakéhokoli důvodu odpojený) disk můžete učinit nepoužitelným pro ostatní. Úplné šifrování znesnadní přístup bez klíče (poznámka: klíč je pouze pro Simple Analytics). Stále je možné získat malé kousky dat fyzickým čtením paměti RAM serveru. Server nemůže fungovat bez RAM, takže v tomto ohledu musíte věřit poskytovateli hostingu.
To mě přimělo přemýšlet o tom, kam přesunout naše servery.
Nové místo
Začal jsem hledat tímto směrem a narazil jsem na stránku Wikipedie s . Existuje seznam „nepřátel internetu“ od mezinárodní nevládní organizace Reportéři bez hranic, která sídlí v Paříži a hájí svobodu tisku. Země je klasifikována jako nepřítel internetu, když „nejen cenzuruje zprávy a informace na internetu, ale také provádí téměř systematické represe vůči uživatelům“.
Kromě tohoto seznamu existuje aliance tzv aka FVEY. Jedná se o alianci Austrálie, Kanady, Nového Zélandu, Velké Británie a USA. V posledních letech dokumenty prokázaly, že vzájemně záměrně špehují své občany a sdílejí shromážděné informace, aby obešli zákonná omezení domácího špehování (). Bývalý dodavatel NSA Edward Snowden popsal FVEY jako „nadnárodní zpravodajskou organizaci, která nepodléhá zákonům svých zemí“. S FVEY spolupracují i další země v dalších mezinárodních družstvech, včetně Dánska, Francie, Nizozemska, Norska, Belgie, Německa, Itálie, Španělska a Švédska (tzv. 14 očí). Nenašel jsem žádný důkaz, že aliance 14 očí zneužívá shromážděné informace.
Poté jsme se rozhodli, že nebudeme hostovat v žádné ze zemí na seznamu „nepřátel internetu“ a rozhodně vynecháme země z aliance 14 Eyes. Fakt kolektivního sledování stačí k tomu, abychom tam odmítli ukládat data našich klientů.
Pokud jde o Island, výše uvedená stránka Wikipedie uvádí následující:
Islandská ústava zakazuje cenzuru a má silnou tradici ochrany svobody projevu, která se rozšiřuje i na internet. […]
Island
Během hledání nejlepší země na ochranu soukromí se Island znovu a znovu objevoval. Rozhodl jsem se to tedy pečlivě prostudovat. Mějte prosím na paměti, že nemluvím islandsky, takže mi možná unikla důležitá informace. , pokud máte nějaké informace k tématu.
Podle zprávy z Freedom House podle úrovně cenzury získaly Island a Estonsko 6/100 bodů (čím nižší, tím lepší). To je nejlepší výsledek. Upozorňujeme, že ne všechny země byly hodnoceny.
Island není členem Evropské unie, i když je součástí Evropského hospodářského prostoru a zavázal se, že bude dodržovat ochranu spotřebitele a obchodní právo podobně jako ostatní členské státy. Patří sem zákon o elektronických komunikacích 81/2003, který zavedl požadavky na ukládání dat.
Zákon se vztahuje na poskytovatele telekomunikačních služeb a vyžaduje uchování záznamů po dobu šesti měsíců. Také se v něm uvádí, že společnosti mohou poskytovat telekomunikační informace pouze v trestních věcech nebo záležitostech veřejné bezpečnosti a že tyto informace nelze sdílet s nikým jiným než s policií nebo státními zástupci.
Přestože Island obecně dodržuje zákony Evropského hospodářského prostoru, má svůj vlastní přístup k ochraně soukromí. Například islandské právo podporuje anonymitu uživatelských dat. Poskytovatelé internetu a hostitelé nejsou právně odpovědní za obsah, který zveřejňují nebo přenášejí. Podle islandského práva registrátor zóny domény (). Vláda nijak neomezuje anonymní komunikaci a nevyžaduje registraci při nákupu SIM karet.
Další výhodou stěhování na Island je podnebí a poloha. Servery generují velké množství tepla a průměrná roční teplota v Reykjavíku (hlavním městě Islandu, kde se nachází většina datových center) je 4,67 °C, takže je to skvělé místo pro chlazení serverů. Na každý watt běžících serverů a síťových zařízení je poměrně velmi málo wattů vynaloženo na chlazení, osvětlení a další režijní náklady. Island je navíc největším světovým výrobcem čisté energie na hlavu a celkově největším výrobcem elektřiny na hlavu s přibližně 55 000 kWh na osobu a rok. Pro srovnání, průměr EU je necelých 6000 kWh. Většina hostitelů na Islandu získává 100 % elektřiny z obnovitelných zdrojů.
Pokud nakreslíte přímku ze San Francisca do Amsterdamu, přejedete Island. Simple Analytics má většinu svých klientů z USA a Evropy, takže má smysl zvolit tuto zeměpisnou polohu. Dalšími výhodami ve prospěch Islandu jsou zákony na ochranu soukromí a ekologický přístup.
Přenos serveru
Nejprve jsme museli najít místního poskytovatele hostingu. Není jich málo a je opravdu těžké určit ten nejlepší. Neměli jsme prostředky na to, abychom vyzkoušeli všechny, a tak jsme napsali několik automatických skriptů () pro konfiguraci serveru tak, abyste v případě potřeby mohli snadno přepnout na jiného hostitele. Dohodli jsme se na společnosti s mottem „Ochrana soukromí a občanských práv od roku 2006“. Toto motto se nám líbilo a položili jsme jim pár otázek, jak budou s našimi daty nakládat. Uklidnili nás, takže jsme pokračovali v instalaci hlavního serveru. A využívají pouze elektřinu z obnovitelných zdrojů.
Během tohoto procesu jsme však narazili na několik překážek. Tato část článku je poměrně technická. Klidně přejděte na další. Pokud máte šifrovaný server, odemkne se pomocí soukromého klíče. Tento klíč nemůže být uložen na samotném serveru, to znamená, že musí být zadán vzdáleně při spouštění serveru. Počkejte, co se stane, když se vypne napájení? Ukazuje se, že všechny požadavky webových stránek na server nebudou po restartu splněny?
Proto jsme přidali primitivní sekundární server před hlavní server. Jednoduše přijímá požadavky na zobrazení stránky a odesílá je přímo na hlavní server. Pokud dojde k selhání hlavního serveru, sekundární server uloží požadavky do své vlastní databáze a bude je opakovat, dokud neobdrží odpověď. Nedochází tak ke ztrátě dat po výpadku napájení.
Vraťme se k načítání serveru. Když se zašifrovaný hlavní server spustí, musíme zadat heslo. Ale nechceme jet na Island ani tam nikoho žádat, aby se přihlásil do serverovny, z pochopitelných důvodů. Pro vzdálený přístup k serveru se obvykle používá zabezpečený protokol SSH. Tento program je však dostupný pouze tehdy, když server nebo počítač běží, a my se musíme připojit, než se server plně načte.
Tak jsme našli , velmi malý klient SSH, ze kterého lze spouštět (initramfs). A můžete povolit externí připojení přes SSH. Nyní nemusíte letět na Island, abyste načetli náš server, hurá!
Trvalo nám pár týdnů, než jsme se přesunuli na nový server na Islandu, ale jsme rádi, že jsme to nakonec udělali.
Uchovávejte pouze nezbytná data
Ve společnosti Simple Analytics žijeme podle zásady „Uchovávejte pouze nezbytná data“ a shromažďujeme jejich minimální množství.
Často se používá ve webových aplikacích data. To znamená, že data nejsou ve skutečnosti smazána, ale jednoduše se stanou pro koncového uživatele nedostupná. Neděláme to – pokud svá data smažete, zmizí z naší databáze. Používáme tvrdé mazání. Poznámka: Zůstanou v šifrovaných zálohách maximálně 90 dní. V případě chyby je můžeme obnovit.
Nemáme pole delete_at 😉
Pro zákazníky je důležité vědět, jaká data jsou ukládána a jaká jsou mazána. Když někdo smaže svá data, . Uživatel a jeho analýzy jsou odstraněny z databáze. Kreditní kartu a e-mail také odstraníme ze společnosti Stripe (poskytovatel plateb). Uchováváme historii plateb, která je vyžadována pro daně, a uchováváme naše protokolové soubory a zálohy databáze po dobu 90 dnů.
Otázka: Pokud uchováváte pouze minimální citlivá data, proč potřebujete veškerou tuto ochranu a další zabezpečení?
No, chceme být nejlepší světovou analytickou společností zaměřenou na soukromí. Uděláme, co bude v našich silách, abychom poskytli ty nejlepší analytické nástroje, aniž bychom narušili soukromí vašich návštěvníků. I když chráníme obrovské množství anonymizovaných informací o návštěvnících, chceme ukázat, že bereme soukromí velmi vážně.
Co bude dál?
Když jsme zlepšili soukromí, rychlost načítání skriptů vložených do webových stránek se mírně zvýšila. To dává smysl, protože bývaly hostovány na CloudFlare CDN, což je sbírka serverů po celém světě, které zrychlují dobu načítání pro každého. V současné době uvažujeme o umístění velmi jednoduchého CDN se šifrovanými servery, které budou sloužit pouze našemu JavaScriptu a dočasně ukládat požadavky na webové stránky před jejich odesláním na hlavní server na Islandu.
Zdroj: www.habr.com