Noot van de vertaler. - een op privacy gerichte websiteanalyseservice (in sommige opzichten het tegenovergestelde van Google Analytics)
Als oprichter van Simple Analytics ben ik me altijd bewust geweest van het belang van vertrouwen en transparantie voor onze klanten. Wij zijn verantwoordelijk voor hen, zodat ze rustig kunnen slapen. De keuze moet optimaal zijn vanuit het oogpunt van privacy van zowel bezoekers als klanten. Een van de belangrijkste kwesties voor ons was dus de keuze van de serverlocatie.
De afgelopen maanden hebben we onze servers geleidelijk naar IJsland verplaatst. Ik wil uitleggen hoe alles is gebeurd, en vooral: waarom. Het was geen gemakkelijk proces en ik wil graag onze ervaring delen. Er staan enkele technische details in het artikel, die ik op een begrijpelijke manier heb geprobeerd te schrijven, maar het spijt me als ze te technisch zijn.
Waarom servers verhuizen?
Het begon allemaal toen onze site werd toegevoegd . Dit is een lijst met domeinnamen voor adblockers. Ik vroeg waarom we zijn toegevoegd, omdat we geen bezoekers volgen. Wij zelfs "Do Not Track"-instelling in uw browser.
ik schreef к :
[…] Dus als we goede bedrijven blijven blokkeren die de privacy van gebruikers respecteren, wat heeft dat dan voor zin? Ik denk dat dit verkeerd is. Niet ieder bedrijf mag op een lijst worden gezet alleen maar omdat zij een verzoek indienen. […]
En ontvangen van :
Iedereen is het met je eens, maar ik wil niet dat mijn verzoeken naar een Amerikaans bedrijf worden gestuurd (in jouw geval Digital Ocean […]
In eerste instantie vond ik het antwoord niet leuk, maar in een gesprek met de gemeenschap werd mij erop gewezen dat hij gelijk had. De Amerikaanse overheid heeft mogelijk toegang tot de gegevens van onze gebruikers. Op dat moment had Digital Ocean onze servers draaiende, ze konden gewoon onze schijf eruit halen en de gegevens lezen.
Er is een technische oplossing voor het probleem. U kunt een gestolen (of om welke reden dan ook losgekoppelde) schijf onbruikbaar maken voor anderen. Volledige codering maakt toegang moeilijk zonder sleutel (Let op: de sleutel is alleen voor Simple Analytics). Het is nog steeds mogelijk om kleine stukjes gegevens te verkrijgen door het RAM-geheugen van de server fysiek uit te lezen. De server kan niet werken zonder RAM, dus in dit opzicht moet je de hostingprovider vertrouwen.
Dit zette mij aan het denken over waar we onze servers naartoe moesten verplaatsen.
Nieuwe plek
Ik begon in deze richting te zoeken en kwam een Wikipedia-pagina tegen met . Er is een lijst met ‘vijanden van het internet’ van de internationale niet-gouvernementele organisatie Reporters Without Borders, gevestigd in Parijs en pleitbezorger voor persvrijheid. Een land wordt geclassificeerd als een vijand van het internet wanneer het “niet alleen nieuws en informatie op internet censureert, maar ook bijna systematische repressie van gebruikers toepast.”
Naast deze lijst is er nog een alliantie genaamd ook wel FVEY genoemd. Dit is een alliantie van Australië, Canada, Nieuw-Zeeland, Groot-Brittannië en de VS. Uit documenten blijkt de afgelopen jaren dat zij doelbewust elkaars burgers bespioneren en verzamelde informatie delen om wettelijke beperkingen op binnenlandse spionage te omzeilen (). Voormalig NSA-contractant Edward Snowden omschreef FVEY als "een supranationale inlichtingenorganisatie die niet onderworpen is aan de wetten van zijn landen." Er zijn andere landen die met FVEY samenwerken in andere internationale coöperaties, waaronder Denemarken, Frankrijk, Nederland, Noorwegen, België, Duitsland, Italië, Spanje en Zweden (de zogenaamde 14 Eyes). Ik kon geen bewijs vinden dat de 14 Eyes-alliantie misbruik maakt van de informatie die zij verzamelt.
Daarna besloten we dat we in geen van de landen op de lijst van ‘vijanden van het internet’ zouden hosten en dat we zeker landen uit de 14 Eyes-alliantie zouden overslaan. Het feit van collectief toezicht is voldoende om te weigeren de gegevens van onze klanten daar op te slaan.
Met betrekking tot IJsland vermeldt de bovenstaande Wikipedia-pagina het volgende:
De IJslandse grondwet verbiedt censuur en kent een sterke traditie in het beschermen van de vrijheid van meningsuiting, die zich uitstrekt tot het internet. […]
IJsland
Tijdens de zoektocht naar het beste land voor privacybescherming kwam IJsland steeds weer ter sprake. Daarom besloot ik het zorgvuldig te bestuderen. Houd er rekening mee dat ik geen IJslands spreek, dus het kan zijn dat ik belangrijke informatie heb gemist. , als u informatie over dit onderwerp heeft.
Volgens het rapport van Freedom House scoorden IJsland en Estland, afhankelijk van het censuurniveau, 6/100 punten (hoe lager hoe beter). Dit is het beste resultaat. Houd er rekening mee dat niet alle landen zijn beoordeeld.
IJsland is geen lid van de Europese Unie, hoewel het wel deel uitmaakt van de Europese Economische Ruimte en ermee heeft ingestemd consumentenbeschermings- en ondernemingsrecht te volgen dat vergelijkbaar is met dat van andere lidstaten. Dit omvat de Electronic Communications Act 81/2003, die vereisten voor gegevensopslag introduceerde.
De wet is van toepassing op aanbieders van telecommunicatiediensten en vereist dat gegevens zes maanden worden bewaard. Er staat ook dat bedrijven alleen telecommunicatie-informatie mogen verstrekken in strafzaken of openbare veiligheidszaken en dat dergelijke informatie met niemand anders dan de politie of openbare aanklagers mag worden gedeeld.
Hoewel IJsland over het algemeen de wetten van de Europese Economische Ruimte volgt, heeft het zijn eigen benadering van privacybescherming. Bijvoorbeeld de IJslandse wet moedigt de anonimiteit van gebruikersgegevens aan. Internetproviders en hosts zijn niet wettelijk verantwoordelijk voor de inhoud die zij plaatsen of verzenden. Volgens de IJslandse wet is de domeinzoneregistrar (). De overheid legt geen beperkingen op aan anonieme communicatie en vereist geen registratie bij de aanschaf van simkaarten.
Een ander voordeel van verhuizen naar IJsland is het klimaat en de locatie. Servers genereren veel warmte en de gemiddelde jaartemperatuur in Reykjavik (de hoofdstad van IJsland, waar de meeste datacenters zich bevinden) is 4,67°C, dus het is een geweldige plek om servers te koelen. Voor elke watt waarop servers en netwerkapparatuur draaien, wordt verhoudingsgewijs heel weinig watt uitgegeven aan koeling, verlichting en andere overheadkosten. Bovendien is IJsland 's werelds grootste producent van schone energie per hoofd van de bevolking en de grootste producent van elektriciteit per hoofd van de bevolking in het algemeen, met ongeveer 55 kWh per persoon per jaar. Ter vergelijking: het EU-gemiddelde bedraagt minder dan 000 kWh. De meeste verhuurders in IJsland halen 6000% van hun elektriciteit uit hernieuwbare bronnen.
Als u een rechte lijn trekt van San Francisco naar Amsterdam, doorkruist u IJsland. Simple Analytics heeft de meeste klanten uit de VS en Europa, dus het is logisch om deze geografische locatie te kiezen. Bijkomende voordelen in het voordeel van IJsland zijn wetten ter bescherming van de privacy en een milieuaanpak.
Serveroverdracht
Eerst moesten we een lokale hostingprovider vinden. Er zijn er nogal wat, en het is erg moeilijk om de beste te bepalen. We hadden niet de middelen om iedereen uit te proberen, dus hebben we een aantal geautomatiseerde scripts geschreven () om de server zo te configureren dat u indien nodig eenvoudig naar een andere host kunt overstappen. We hebben ons op het bedrijf gevestigd onder het motto “Bescherming van privacy en burgerrechten sinds 2006.” Wij vonden dit motto leuk en stelden hen een paar vragen over hoe zij met onze gegevens zouden omgaan. Ze stelden ons gerust, dus gingen we verder met de installatie van de hoofdserver. En ze gebruiken alleen elektriciteit uit hernieuwbare bronnen.
Tijdens dit proces kwamen we echter verschillende obstakels tegen. Dit deel van het artikel is behoorlijk technisch. Ga gerust door naar de volgende. Als u een gecodeerde server heeft, wordt deze ontgrendeld met behulp van de privésleutel. Deze sleutel kan niet op de server zelf worden opgeslagen, dat wil zeggen dat hij op afstand moet worden ingevoerd wanneer de server opstart. Wacht, wat gebeurt er als de stroom wordt uitgeschakeld? Het blijkt dat niet aan alle webpaginaverzoeken aan de server wordt voldaan na een herstart?
Daarom hebben we vóór de hoofdserver een primitieve secundaire server toegevoegd. Het ontvangt eenvoudigweg verzoeken om pagina's te bekijken en stuurt deze rechtstreeks naar de hoofdserver. Als de hoofdserver crasht, slaat de secundaire server verzoeken op in zijn eigen database en herhaalt deze totdat hij een antwoord ontvangt. Er is dus geen sprake van gegevensverlies na een stroomstoring.
Laten we terugkeren naar het laden van de server. Wanneer de gecodeerde masterserver opstart, moeten we een wachtwoord invoeren. Maar om voor de hand liggende redenen willen we niet naar IJsland gaan of iemand daar vragen om in te loggen in de serverruimte. Voor externe toegang tot de server wordt meestal het beveiligde SSH-protocol gebruikt. Maar dit programma is alleen beschikbaar als de server of computer actief is, en we moeten verbinding maken voordat de server volledig is geladen.
Dus we vonden , een zeer kleine SSH-client waarvandaan kan worden uitgevoerd (initramfs). En u kunt externe verbindingen via SSH toestaan. Nu hoef je niet meer naar IJsland te vliegen om onze server te laden, hoera!
Het kostte ons een paar weken om naar de nieuwe server in IJsland te verhuizen, maar we zijn blij dat het eindelijk gelukt is.
Bewaar alleen noodzakelijke gegevens
Bij Simple Analytics leven we volgens het principe van “Sla alleen de noodzakelijke gegevens op”, waarbij we de minimale hoeveelheid ervan verzamelen.
Vaak gebruikt in webapplicaties gegevens. Dit betekent dat de gegevens niet daadwerkelijk worden verwijderd, maar eenvoudigweg niet meer beschikbaar zijn voor de eindgebruiker. Dit doen wij niet. Als u uw gegevens verwijdert, verdwijnen deze uit onze database. Wij gebruiken harde verwijdering. Opmerking: ze blijven maximaal 90 dagen in gecodeerde back-ups staan. In geval van een fout kunnen wij deze herstellen.
We hebben geen delete_at-velden 😉
Voor klanten is het belangrijk om te weten welke gegevens worden opgeslagen en welke worden verwijderd. Wanneer iemand zijn gegevens verwijdert, . De gebruiker en zijn analyses worden uit de database verwijderd. We verwijderen ook de creditcard en e-mail van Stripe (betalingsprovider). We houden de betalingsgeschiedenis bij, die nodig is voor belastingen, en bewaren onze logbestanden en databaseback-ups gedurende 90 dagen.
Vraag: Als u slechts minimale gevoelige gegevens opslaat, waarom heeft u dan al deze bescherming en extra beveiliging nodig?
Welnu, we willen het beste op privacy gerichte analysebedrijf ter wereld zijn. We zullen ons best doen om de beste analysetools te bieden zonder de privacy van uw bezoekers te schenden. Ook al beschermen we grote hoeveelheden geanonimiseerde bezoekersinformatie, we willen laten zien dat we privacy zeer serieus nemen.
Wat is het volgende?
Toen we de privacy verbeterden, nam de laadsnelheid van scripts die in webpagina's waren ingebed iets toe. Dit is logisch omdat ze vroeger werden gehost op de CloudFlare CDN, een verzameling servers over de hele wereld die de laadtijden voor iedereen versnellen. We denken er momenteel aan om een heel eenvoudig CDN op te zetten met gecodeerde servers die alleen ons JavaScript zullen bedienen en webpaginaverzoeken tijdelijk zullen opslaan voordat ze naar de hoofdserver in IJsland worden gestuurd.
Bron: www.habr.com