Note du traducteur. - un service d'analyse de sites Web axé sur la confidentialité (en quelque sorte à l'opposé de Google Analytics)
En tant que fondateur de Simple Analytics, j'ai toujours été conscient de l'importance de la confiance et de la transparence pour nos clients. Nous sommes responsables d’eux afin qu’ils puissent dormir paisiblement. Le choix doit être optimal du point de vue de la confidentialité des visiteurs et des clients. L’un des problèmes les plus importants pour nous était donc le choix de l’emplacement du serveur.
Au cours des derniers mois, nous avons progressivement déplacé nos serveurs vers l'Islande. Je veux expliquer comment tout s’est passé et, surtout, pourquoi. Cela n'a pas été un processus facile et j'aimerais partager notre expérience. Il y a quelques détails techniques dans l'article, que j'ai essayé d'écrire de manière compréhensible, mais je m'excuse s'ils sont trop techniques.
Pourquoi déplacer les serveurs ?
Tout a commencé lorsque notre site a été ajouté à . Ceci est une liste de noms de domaine pour les bloqueurs de publicités. J'ai demandé pourquoi nous avions été ajoutés puisque nous ne suivons pas les visiteurs. Nous même Paramètre « Ne pas suivre » dans votre navigateur.
J'ai écrit к :
[…] Alors si on continue à bloquer les bonnes entreprises qui respectent la vie privée des utilisateurs, à quoi ça sert ? Je pense que c'est faux, chaque entreprise ne devrait pas être inscrite sur une liste simplement parce qu'elle en fait la demande. […]
Et reçu à partir de :
Tout le monde est d'accord avec vous, mais je ne souhaite pas que mes demandes soient adressées à une entreprise américaine (dans votre cas Digital Ocean […]
Au début, je n'aimais pas la réponse, mais lors d'une discussion avec la communauté, on m'a fait remarquer qu'il avait raison. Le gouvernement américain peut en effet avoir accès aux données de nos utilisateurs. À cette époque, Digital Ocean faisait fonctionner nos serveurs, ils pouvaient simplement retirer notre disque et lire les données.
Il existe une solution technique au problème. Vous pouvez rendre un disque volé (ou déconnecté pour quelque raison que ce soit) inutilisable pour d'autres. Le cryptage complet rendra difficile l'accès sans clé (remarque : la clé est uniquement pour Simple Analytics). Il est toujours possible d'obtenir de petits morceaux de données en lisant physiquement la RAM du serveur. Le serveur ne peut pas fonctionner sans RAM, vous devez donc à cet égard faire confiance au fournisseur d'hébergement.
Cela m'a fait réfléchir à l'endroit où déplacer nos serveurs.
Nouveau lieu
J'ai commencé à chercher dans cette direction et suis tombé sur une page Wikipédia avec . Il existe une liste des « ennemis d'Internet » établie par l'organisation non gouvernementale internationale Reporters sans frontières, basée à Paris et qui milite en faveur de la liberté de la presse. Un pays est classé comme ennemi d'Internet lorsqu'il « non seulement censure les informations et les informations sur Internet, mais qu'il procède également à une répression presque systématique des utilisateurs ».
Outre cette liste, il existe une alliance appelée alias FVEY. Il s'agit d'une alliance regroupant l'Australie, le Canada, la Nouvelle-Zélande, la Grande-Bretagne et les États-Unis. Ces dernières années, des documents ont montré qu'ils s'espionnaient délibérément les uns les autres et partageaient les informations collectées pour contourner les restrictions légales sur l'espionnage national (). Edward Snowden, ancien sous-traitant de la NSA, a décrit FVEY comme « une organisation de renseignement supranationale qui n'est pas soumise aux lois de ses pays ». D'autres pays collaborent avec FVEY dans d'autres coopératives internationales, notamment le Danemark, la France, les Pays-Bas, la Norvège, la Belgique, l'Allemagne, l'Italie, l'Espagne et la Suède (les soi-disant 14 Eyes). Je n’ai trouvé aucune preuve que l’alliance 14 Eyes utilise à mauvais escient les renseignements qu’elle collecte.
Après cela, nous avons décidé de ne pas héberger dans aucun des pays figurant sur la liste des « ennemis d’Internet » et d’éviter définitivement les pays de l’alliance 14 Eyes. Le fait d'une surveillance collective suffit pour refuser d'y stocker les données de nos clients.
Concernant l'Islande, la page Wikipédia ci-dessus indique ce qui suit :
La constitution islandaise interdit la censure et possède une forte tradition de protection de la liberté d'expression, qui s'étend à Internet. […]
Islande
Lors de la recherche du meilleur pays en matière de protection de la vie privée, l'Islande est revenue à plusieurs reprises. J'ai donc décidé de l'étudier attentivement. N'oubliez pas que je ne parle pas islandais et que j'ai donc peut-être manqué des informations importantes. , si vous avez des informations sur le sujet.
Selon le rapport Selon Freedom House, selon le niveau de censure, l'Islande et l'Estonie ont obtenu 6/100 points (le plus bas sera le mieux). C'est le meilleur résultat. Veuillez noter que tous les pays n’ont pas été évalués.
L'Islande n'est pas membre de l'Union européenne, bien qu'elle fasse partie de l'Espace économique européen et ait accepté de suivre une législation en matière de protection des consommateurs et de droit des affaires similaire à celle des autres États membres. Cela inclut la loi sur les communications électroniques 81/2003, qui a introduit des exigences en matière de stockage de données.
La loi s'applique aux fournisseurs de services de télécommunications et exige que les enregistrements soient conservés pendant six mois. Il indique également que les entreprises ne peuvent fournir des informations sur les télécommunications que dans les affaires pénales ou les questions de sécurité publique et que ces informations ne peuvent être partagées avec quiconque autre que la police ou les procureurs.
Bien que l'Islande suive généralement les lois de l'Espace économique européen, elle a sa propre approche en matière de protection de la vie privée. Par exemple, la loi islandaise encourage l’anonymat des données des utilisateurs. Les fournisseurs Internet et les hébergeurs ne sont pas légalement responsables du contenu qu’ils publient ou transmettent. Selon la loi islandaise, le registraire de la zone de domaine (). Le gouvernement n'impose aucune restriction sur la communication anonyme et n'exige pas d'enregistrement lors de l'achat de cartes SIM.
Un autre avantage de déménager en Islande est le climat et l’emplacement. Les serveurs génèrent beaucoup de chaleur et la température annuelle moyenne à Reykjavik (la capitale de l'Islande, où se trouvent la plupart des centres de données) est de 4,67°C, c'est donc un endroit idéal pour refroidir les serveurs. Pour chaque watt de serveurs et d'équipements réseau fonctionnant, proportionnellement, très peu de watts sont dépensés en refroidissement, en éclairage et autres frais généraux. En outre, l'Islande est le plus grand producteur mondial d'énergie propre par habitant et le plus grand producteur d'électricité par habitant dans son ensemble, avec environ 55 000 kWh par personne et par an. À titre de comparaison, la moyenne européenne est inférieure à 6000 100 kWh. La plupart des hôtes islandais obtiennent XNUMX % de leur électricité à partir de sources renouvelables.
Si vous tracez une ligne droite de San Francisco à Amsterdam, vous traverserez l’Islande. Simple Analytics compte la plupart de ses clients aux États-Unis et en Europe, il est donc logique de choisir cette situation géographique. D'autres avantages en faveur de l'Islande sont les lois protégeant la vie privée et une approche environnementale.
Transfert de serveur
Tout d’abord, nous devions trouver un fournisseur d’hébergement local. Il en existe un grand nombre et il est vraiment difficile de déterminer le meilleur. Nous n'avions pas les ressources nécessaires pour essayer tout le monde, nous avons donc écrit des scripts automatisés () pour configurer le serveur afin de pouvoir basculer facilement vers un autre hébergeur si nécessaire. Nous avons choisi l'entreprise avec pour devise « Protéger la vie privée et les droits civils depuis 2006 ». Nous avons aimé cette devise et leur avons posé quelques questions sur la manière dont ils traiteraient nos données. Ils nous ont rassurés, nous avons donc continué l'installation du serveur principal. Et ils utilisent uniquement de l’électricité provenant de sources renouvelables.
Cependant, nous avons rencontré plusieurs obstacles au cours de ce processus. Cette partie de l'article est assez technique. N'hésitez pas à passer au suivant. Lorsque vous disposez d’un serveur chiffré, il est déverrouillé grâce à la clé privée. Cette clé ne peut pas être stockée sur le serveur lui-même, c'est-à-dire qu'elle doit être saisie à distance au démarrage du serveur. Attendez, que se passe-t-il lorsque l'alimentation est coupée ? Il s'avère que toutes les requêtes de pages Web adressées au serveur ne seront pas satisfaites après un redémarrage ?
C'est pourquoi nous avons ajouté un serveur secondaire primitif devant le serveur principal. Il reçoit simplement les demandes de visualisation de page et les envoie directement au serveur principal. Si le serveur principal tombe en panne, le serveur secondaire enregistrera les requêtes dans sa propre base de données et les répétera jusqu'à ce qu'il reçoive une réponse. Ainsi, il n’y a aucune perte de données après une panne de courant.
Revenons au chargement du serveur. Lorsque le serveur maître crypté démarre, nous devons saisir un mot de passe. Mais nous ne voulons pas aller en Islande ni demander à quiconque de se connecter à la salle des serveurs, pour des raisons évidentes. Pour l'accès à distance au serveur, le protocole sécurisé SSH est généralement utilisé. Mais ce programme n'est disponible que lorsque le serveur ou l'ordinateur est en cours d'exécution, et nous devons nous connecter avant que le serveur ne soit complètement chargé.
Nous avons donc trouvé , un très petit client SSH qui peut être exécuté depuis (initramfs). Et vous pouvez autoriser les connexions externes via SSH. Désormais, vous n'avez plus besoin de vous rendre en Islande pour charger notre serveur, hourra !
Il nous a fallu quelques semaines pour migrer vers le nouveau serveur en Islande, mais nous sommes heureux de l'avoir finalement fait.
Stockez uniquement les données nécessaires
Chez Simple Analytics, nous vivons selon le principe de « Stocker uniquement les données nécessaires », en collectant le minimum de données.
Souvent utilisé dans les applications Web données. Cela signifie que les données ne sont pas réellement supprimées, mais deviennent simplement indisponibles pour l'utilisateur final. Nous ne faisons pas cela : si vous supprimez vos données, elles disparaîtront de notre base de données. Nous utilisons la suppression dure. Remarque : Ils resteront dans les sauvegardes cryptées pendant un maximum de 90 jours. En cas d'erreur, nous pouvons les restaurer.
Nous n'avons pas de champs delete_at 😉
Il est important que les clients sachent quelles données sont stockées et lesquelles sont supprimées. Quand quelqu'un supprime ses données, . L'utilisateur et ses analyses sont supprimés de la base de données. Nous supprimons également la carte de crédit et l'e-mail de Stripe (prestataire de paiement). Nous conservons l’historique des paiements, requis pour les taxes, et conservons nos fichiers journaux et nos sauvegardes de bases de données pendant 90 jours.
Question : Si vous ne stockez qu'un minimum de données sensibles, pourquoi avez-vous besoin de toute cette protection et de cette sécurité supplémentaire ?
Eh bien, nous voulons être la meilleure société d'analyse axée sur la confidentialité au monde. Nous ferons de notre mieux pour fournir les meilleurs outils d'analyse sans envahir la vie privée de vos visiteurs. Même si nous protégeons de grandes quantités d’informations anonymisées sur les visiteurs, nous voulons montrer que nous prenons la confidentialité très au sérieux.
Quelle est la prochaine?
Lorsque nous avons amélioré la confidentialité, la vitesse de chargement des scripts intégrés dans les pages Web a légèrement augmenté. Cela est logique car ils étaient hébergés sur le CDN CloudFlare, qui est un ensemble de serveurs dans le monde entier qui accélèrent les temps de chargement pour tout le monde. Nous envisageons actuellement de mettre en place un CDN très simple avec des serveurs cryptés qui serviront uniquement notre JavaScript et stockeront temporairement les requêtes de pages Web avant de les envoyer au serveur principal en Islande.
Source: habr.com