Примітка перекладача. — сервіс аналітики для веб-сайтів, орієнтований на приватність (щось протилежність Google Analytics)
Як засновник Simple Analytics, я завжди пам'ятав про важливість довіри та прозорості для наших клієнтів. Ми несемо відповідальність за них, щоб вони могли спати спокійно. Вибір має бути оптимальним з погляду конфіденційності і відвідувачів, і клієнтів. Так, одним із найважливіших для нас питанням став вибір розташування серверів.
В останні кілька місяців ми поступово перемістили наші сервери до Ісландії. Хочу пояснити, як все відбувалося, і найголовніше чому. Це був непростий процес, і я хотів би поділитись нашим досвідом. У статті є деякі технічні деталі, які я спробував написати зрозумілою мовою, але перепрошую, якщо вони надто технічні.
Навіщо переносити сервери?
Все почалося з того, що наш сайт додали в . Це список доменних імен для блокувальників реклами. Я спитав, чому нас додали, адже ми не відстежуємо відвідувачів. Ми навіть налаштування "Не відстежувати" (Do Not Track) у браузері.
Я написав к :
[…] Отже, якщо ми продовжимо блокувати хороші компанії, які поважають конфіденційність користувачів, який у цьому сенс? Думаю, що це неправильно, не слід поміщати кожну компанію до списку лише тому, що вона надсилає запит. […]
І отримав від :
Всі з вами згодні, але я не хочу, щоб мої запити надсилалися до американської компанії (у вашому випадку Digital Ocean […]
Спочатку мені не сподобалася відповідь, але в обговоренні із спільнотою мені вказали на її правоту. Уряд США може отримати доступ до даних наших користувачів. Тоді наші сервери дійсно працювали у Digital Ocean, вони могли просто витягнути наш диск і прочитати дані.
Є технічне вирішення проблеми. Ви можете зробити так, що вкрадений (або від'єднаний з якоїсь причини) диск стає непридатним для інших. Повне шифрування ускладнить доступ без ключа (примітка: ключ тільки у Simple Analytics). Як і раніше, можна отримати невеликі фрагменти даних, фізично зчитуючи оперативну пам'ять сервера. Сервер не може працювати без оперативної пам'яті, тому в цьому відношенні доводиться довіритися хостинг-провайдеру.
Це змусило мене замислитись, куди перемістити наші сервери.
Нове місце
Я почав шукати в цьому напрямку і наткнувся на сторінку у Вікіпедії зі . Там є список «ворогів інтернету» від міжнародної недержавної організації «Репортери без кордонів», яка перебуває у Парижі та виступає за свободу преси. Країна класифікується як ворог інтернету, коли «не лише піддає цензурі новини та інформацію в інтернеті, а й проводить майже систематичні репресії щодо користувачів».
Крім цього списку існує альянс під назвою aka FVEY. Це союз Австралії, Канади, Нової Зеландії, Великої Британії та США. В останні роки документи показали, що вони навмисне шпигуть за громадянами один одного і обмінюються зібраною інформацією, щоб обійти законодавчі обмеження на шпигунство всередині країни (). Колишній співробітник АНБ Едвард Сноуден охарактеризував FVEY як «наднаціональну розвідувальну організацію, яка не підпорядковується законам своїх країн». Є й інші країни, які працюють разом із FVEY в інших міжнародних кооперативах, включаючи Данію, Францію, Нідерланди, Норвегію, Бельгію, Німеччину, Італію, Іспанію та Швецію (так звані 14 Eyes). Я не зміг знайти доказів, що альянс 14 Eyes зловживає зібраними розвідданими.
Після цього ми вирішили, що не будемо хоститися в жодній із країн зі списку «ворогів інтернету» і точно пропустимо країни з альянсу 14 Eyes. Факту колективного стеження достатньо, щоб відмовитись від зберігання там даних наших клієнтів.
Щодо Ісландії вищезгадана сторінка Вікіпедії сказано таке:
Конституцією Ісландії заборонено цензуру, і існує міцна традиція захисту свободи вираження поглядів, яка поширюється і на Інтернет. […]
Ісландія
Під час пошуку кращої країни з точки зору захисту приватності Ісландія з'являлася знову і знову. Тому я вирішив ретельно вивчити її. Будь ласка, майте на увазі, що я не говорю ісландською, через що міг упустити важливу інформацію. якщо у вас є якась інформація на тему.
Відповідно до звіту від Freedom House, за рівнем цензури Ісландія разом із Естонією набрали 6/100 балів (що менше, то краще). Це найкращий результат. Майте на увазі, що оцінювалися не всі країни.
Ісландія не є членом Європейського союзу, хоча входить до Європейської економічної зони і погодилася дотримуватися законодавства щодо захисту прав споживачів та підприємницького права, аналогічного законодавству інших держав-членів. Сюди входить Закон про електронні повідомлення (Electronic Communications Act 81/2003), який запровадив вимоги щодо зберігання даних.
Закон застосовується до постачальників телекомунікаційних послуг та передбачає зберігання записів протягом шести місяців. У ньому також йдеться про те, що компанії можуть надавати інформацію про телекомунікації лише у кримінальних справах або з питань громадської безпеки і що така інформація не може бути надана нікому, крім поліції чи прокуратури.
Хоча Ісландія загалом дотримується законів Європейської економічної зони, вона має свій підхід до захисту приватності. Наприклад, ісландський закон заохочує анонімність даних користувача. Інтернет-провайдери та хостери не несуть юридичної відповідальності за контент, який вони розміщують або передають. Згідно із ісландським законодавством, за законність використання домену .is несе відповідальність реєстратор доменної зони (). Уряд не накладає жодних обмежень на анонімне спілкування і не вимагає реєстрації при покупці SIM-карток.
Ще одна перевага переїзду до Ісландії – клімат та розташування. Сервери виділяють багато тепла, а середньорічна температура в Рейк'явіку (столиця Ісландії, де розташована більшість центрів обробки даних) становить 4,67 ° C, так що це відмінне місце для охолодження серверів. На кожен ват для роботи серверів та мережного обладнання йде пропорційно дуже мало ват на охолодження, освітлення та інші накладні витрати. Крім того, Ісландія є найбільшим у світі виробником «чистої» енергії на душу населення і взагалі найбільшим виробником електроенергії на душу населення, приблизно з 55 000 кВт•год на людину на рік. Для порівняння, середній показник ЄС менше 6000 кВт•год. Більшість хостерів в Ісландії одержують 100% електроенергії з відновлюваних джерел.
Якщо ви проведете пряму лінію від Сан-Франциско до Амстердама, то перетнете Ісландії. У Simple Analytics більшість клієнтів із США та Європи, тому є сенс обрати саме це географічне положення. Додаткові плюси на користь Ісландії - закони, що захищають приватність, та екологічний підхід.
Перенесення серверів
По-перше, потрібно було знайти місцевого хостинг-провайдера. Їх досить багато, і справді важко визначити найкращого. Ми не мали ресурсів, щоб спробувати всіх, тому ми написали кілька автоматичних скриптів () для налаштування сервера, щоб легко перейти до іншого хостера у разі потреби. Ми зупинилися на компанії з девізом «Захищаємо приватність та громадянські права з 2006 року». Нам сподобався цей девіз, і ми поставили їм кілька запитань, як вони опрацьовуватимуть наші дані. Вони заспокоїли нас, тому ми продовжили встановлення основного сервера. І вони використовують електрику лише з відновлюваних джерел.
Однак під час цього процесу ми зіткнулися з кількома перешкодами. Ця частина статті є досить технічною. Не соромтеся перейти до наступного. Коли ви маєте зашифрований сервер, він розблокується за допомогою закритого ключа. Цей ключ не можна зберігати на сервері, тобто потрібно вводити його віддалено при завантаженні сервера. Зачекайте, а що відбувається при вимкненні живлення? Виходить, що всі запити веб-сторінок до сервера не виконуються після перезавантаження?
Саме тому ми додали перед головним сервером примітивний додатковий сервер. Він просто отримує запити на перегляд сторінок та надсилає їх безпосередньо на головний сервер. Якщо основний сервер впав, то додатковий сервер збереже запити у власній БД і повторюватиме їх доти, доки не отримає відповідь. Таким чином, після збою харчування немає втрат даних.
Повернімося до завантаження сервера. Коли завантажується зашифрований головний сервер, потрібно ввести пароль. Але ми не хочемо їхати до Ісландії чи просити когось там увійти до серверної, з очевидних причин. Для віддаленого доступу до сервера зазвичай використовується захищений протокол SSH. Але ця програма доступна лише під час роботи сервера або комп'ютера, а нам потрібно підключитись до повного завантаження сервера.
Так ми знайшли , дуже маленький SSH-клієнт, який можна запустити з (initramfs). І можна дозволити зовнішні з'єднання SSH. Тепер не потрібно летіти до Ісландії, щоб завантажити наш сервер, ура!
Переїзд на новий сервер в Ісландії зайняв у нас два тижні, але ми раді, що нарешті зробили це.
Зберігати лише необхідні дані
Ми в Simple Analytics живемо за принципом «Зберігати лише необхідні дані», збираючи їх мінімальну кількість.
У веб-додатках часто практикується даних. Це означає, що дані не видаляються, а просто стають недоступними для кінцевого користувача. Ми цього не робимо – якщо ви видалите свої дані, вони зникнуть із нашої бази даних. Ми використовуємо жорстке видалення. Примітка: вони залишаться у зашифрованих резервних копіях протягом максимум 90 днів. У разі помилки ми можемо їх відновити.
У нас немає полів delete_at 😉
Для клієнтів важливо знати, які дані зберігаються, а які видаляються. Коли хтось видаляє свої дані, . Користувач та його аналітика видаляються з бази даних. Ми також видаляємо кредитну картку та лист від Stripe (провайдера платежів). Ми зберігаємо історію платежів, яка необхідна для сплати податків, та зберігаємо наші файли журналів та резервні копії баз даних протягом 90 днів.
Питання: якщо ви зберігаєте лише мінімум конфіденційних даних, навіщо потрібна вся ця захист та додаткова безпека?
Ну, ми хочемо бути найкращою у світі аналітичною компанією, орієнтованою на приватність. Ми зробимо все, що в наших силах, щоб надати найкращі інструменти аналітики, не втручаючись у приватне життя ваших відвідувачів. Навіть захищаючи величезні обсяги анонімізованої інформації про відвідувачів, ми хочемо показати, що дуже серйозно ставимося до конфіденційності.
Що далі?
Коли ми покращили приватність, трохи збільшилася швидкість завантаження скриптів, вбудованих у веб-сторінки. Це має сенс тому, що раніше вони розміщувалися на CDN CloudFlare, це набір серверів по всьому світу, що прискорюють завантаження для всіх. Зараз ми думаємо підняти дуже простий CDN із зашифрованими серверами, які будуть віддавати лише наш JavaScript та тимчасово зберігати запити веб-сторінок перед відправкою на головний сервер в Ісландії.
Джерело: habr.com