译者注。
作为 Simple Analytics 的创始人,我始终牢记信任和透明度对客户的重要性。 我们有责任对他们负责,让他们能够安然入睡。 从访客和客户的隐私角度来看,该选择应该是最佳的。 因此,对我们来说最重要的问题之一是服务器位置的选择。
在过去的几个月里,我们逐渐将服务器移至冰岛。 我想解释一切是如何发生的,最重要的是,为什么发生。 这不是一个容易的过程,我想分享我们的经验。 文章中有一些技术细节,我试图以一种可以理解的方式来写,但如果它们太技术性,我深表歉意。
为什么要迁移服务器?
这一切都始于我们的网站被添加到
我写道
[...] 因此,如果我们继续阻止尊重用户隐私的优秀公司,那还有什么意义呢? 我认为这是错误的,每个公司都不应该仅仅因为提交了请求就被列入名单。 […]
并收到了
每个人都同意你的观点,但我不希望我的请求发送给一家美国公司(在你的例子中是 Digital Ocean [...]
起初我不喜欢这个答案,但在与社区的讨论中,有人向我指出他是对的。 美国政府确实可能有权访问我们用户的数据。 当时,Digital Ocean 实际上已经运行了我们的服务器,他们只需拔出我们的驱动器即可读取数据。
该问题有一个技术解决方案。 您可以使被盗(或因任何原因断开连接)的驱动器无法供其他人使用。 完全加密将使得在没有密钥的情况下难以访问(注意:该密钥仅适用于简单分析)。 仍然可以通过物理读取服务器的 RAM 来获取小块数据。 服务器没有 RAM 就无法工作,因此在这方面您必须信任托管提供商。
这让我开始思考将我们的服务器移到哪里。
新地方
我开始朝这个方向搜索,并发现了一个维基百科页面
除了这个名单之外,还有一个联盟叫做
此后,我们决定不再在“互联网敌人”名单上的任何国家举办活动,并且肯定会跳过“14眼联盟”的国家。 集体监视的事实足以拒绝将我们客户的数据存储在那里。
关于冰岛,上面的维基百科页面声明如下:
冰岛宪法禁止审查制度,并拥有保护言论自由的悠久传统,这一传统也延伸到了互联网。 […]
冰岛
在寻找隐私保护最佳国家的过程中,冰岛一次又一次地出现。 于是我决定仔细研究一下。 请记住,我不会说冰岛语,所以我可能错过了重要信息。
据报道
冰岛不是欧盟成员国,尽管它是欧洲经济区的一部分,并且同意遵守与其他成员国类似的消费者保护和商业法。 其中包括引入数据存储要求的《电子通信法》81/2003。
该法律适用于电信服务提供商,并要求记录保留六个月。 它还表示,公司只能在刑事案件或公共安全事务中提供电信信息,并且此类信息不能与警察或检察官以外的任何人共享。
尽管冰岛总体上遵循欧洲经济区的法律,但它对隐私保护有自己的做法。 例如,冰岛法律
移居冰岛的另一个优势是气候和地理位置。 服务器会产生大量热量,雷克雅未克(冰岛首都,大部分数据中心所在地)年平均气温为4,67℃,是服务器降温的好地方。 对于运行每瓦特的服务器和网络设备来说,用于冷却、照明和其他间接成本的瓦数很少。 此外,冰岛是世界上人均清洁能源生产量最大的国家,也是人均电力生产量最大的国家,人均年用电量约为55千瓦时。 相比之下,欧盟平均水平不到 000 kWh。 冰岛的大多数业主 6000% 的电力来自可再生能源。
如果你从旧金山画一条直线到阿姆斯特丹,你就会穿越冰岛。 Simple Analytics 的大部分客户来自美国和欧洲,因此选择这个地理位置是有意义的。 有利于冰岛的其他优势是保护隐私的法律和环保措施。
服务器传输
首先,我们需要找到本地托管提供商。 其中相当多,要确定最好的确实很难。 我们没有资源来尝试每个人,所以我们编写了一些自动化脚本(
然而,在这个过程中我们遇到了一些障碍。 文章的这一部分非常技术性。 请随意继续下一个。 当您拥有加密服务器时,可以使用私钥将其解锁。 该密钥不能存储在服务器本身上,也就是说,必须在服务器启动时远程输入。 等等,当电源关闭时会发生什么? 重启后发现所有对服务器的网页请求都无法得到满足?
这就是为什么我们在主服务器前面添加了一个原始的辅助服务器。 它只是接收页面视图请求并将其直接发送到主服务器。 如果主服务器崩溃,辅助服务器会将请求保存在自己的数据库中并重复这些请求,直到收到响应。 因此,断电后不会丢失数据。
让我们回到加载服务器。 当加密的主服务器启动时,我们需要输入密码。 但出于显而易见的原因,我们不想去冰岛或要求那里的任何人登录服务器机房。 对于远程访问服务器,通常使用安全的SSH协议。 但该程序仅在服务器或计算机运行时可用,并且我们需要在服务器完全加载之前进行连接。
所以我们发现
我们花了几周时间才迁移到冰岛的新服务器,但我们很高兴终于做到了。
仅存储必要的数据
在 Simple Analytics,我们遵循“仅存储必要的数据”的原则,收集最少量的数据。
常用于网络应用程序
我们没有delete_at字段😉
对于客户来说,了解存储了哪些数据以及删除了哪些数据非常重要。 当有人删除自己的数据时,
问题:如果您只存储最少的敏感数据,为什么需要所有这些保护和额外的安全性?
嗯,我们希望成为世界上最好的专注于隐私的分析公司。 我们将尽力提供最好的分析工具,而不会侵犯访问者的隐私。 即使我们保护大量匿名访客信息,我们也希望表明我们非常重视隐私。
接下来是什么?
当我们改进隐私性时,嵌入网页中的脚本的加载速度略有提高。 这是有道理的,因为它们过去托管在 CloudFlare CDN 上,这是世界各地服务器的集合,可以加快每个人的加载时间。 我们目前正在考虑建立一个非常简单的 CDN,其中包含加密服务器,该服务器仅服务于我们的 JavaScript 并在将网页请求发送到冰岛的主服务器之前临时存储网页请求。
来源: habr.com