译者注。 - 注重隐私的网站分析服务(在某些方面与 Google Analytics 相反)
作为 Simple Analytics 的创始人,我始终牢记信任和透明度对客户的重要性。 我们有责任对他们负责,让他们能够安然入睡。 从访客和客户的隐私角度来看,该选择应该是最佳的。 因此,对我们来说最重要的问题之一是服务器位置的选择。
在过去的几个月里,我们逐渐将服务器移至冰岛。 我想解释一切是如何发生的,最重要的是,为什么发生。 这不是一个容易的过程,我想分享我们的经验。 文章中有一些技术细节,我试图以一种可以理解的方式来写,但如果它们太技术性,我深表歉意。
为什么要迁移服务器?
这一切都始于我们的网站被添加到 。 这是广告拦截器的域名列表。 我问为什么我们被添加,因为我们不跟踪访客。 我们甚至 浏览器中的“请勿跟踪”设置。
我写道 к :
[...] 因此,如果我们继续阻止尊重用户隐私的优秀公司,那还有什么意义呢? 我认为这是错误的,每个公司都不应该仅仅因为提交了请求就被列入名单。 […]
并收到了 从 :
每个人都同意你的观点,但我不希望我的请求发送给一家美国公司(在你的例子中是 Digital Ocean [...]
起初我不喜欢这个答案,但在与社区的讨论中,有人向我指出他是对的。 美国政府确实可能有权访问我们用户的数据。 当时,Digital Ocean 实际上已经运行了我们的服务器,他们只需拔出我们的驱动器即可读取数据。
该问题有一个技术解决方案。 您可以使被盗(或因任何原因断开连接)的驱动器无法供其他人使用。 完全加密将使得在没有密钥的情况下难以访问(注意:该密钥仅适用于简单分析)。 仍然可以通过物理读取服务器的 RAM 来获取小块数据。 服务器没有 RAM 就无法工作,因此在这方面您必须信任托管提供商。
这让我开始思考将我们的服务器移到哪里。
新地方
我开始朝这个方向搜索,并发现了一个维基百科页面 。 总部位于巴黎、倡导新闻自由的国际非政府组织无国界记者列出了一份“互联网敌人”名单。 当一个国家“不仅审查互联网上的新闻和信息,而且对用户进行近乎系统的镇压”时,它就被列为互联网的敌人。
除了这个名单之外,还有一个联盟叫做 又名 FVEY。 这是澳大利亚、加拿大、新西兰、英国和美国的联盟。 近年来,文件显示,他们故意监视对方公民并共享收集到的信息,以规避对国内间谍活动的法律限制()。 美国国家安全局前承包商爱德华·斯诺登将 FVEY 描述为“一个不受其国家法律约束的超国家情报组织”。 还有其他国家在其他国际合作组织中与 FVEY 合作,包括丹麦、法国、荷兰、挪威、比利时、德国、意大利、西班牙和瑞典(所谓的“14 眼”)。 我找不到任何证据表明十四眼联盟滥用其收集的情报。
此后,我们决定不再在“互联网敌人”名单上的任何国家举办活动,并且肯定会跳过“14眼联盟”的国家。 集体监视的事实足以拒绝将我们客户的数据存储在那里。
关于冰岛,上面的维基百科页面声明如下:
冰岛宪法禁止审查制度,并拥有保护言论自由的悠久传统,这一传统也延伸到了互联网。 […]
冰岛
在寻找隐私保护最佳国家的过程中,冰岛一次又一次地出现。 于是我决定仔细研究一下。 请记住,我不会说冰岛语,所以我可能错过了重要信息。 ,如果您有有关该主题的任何信息。
据报道 来自自由之家的数据显示,根据审查级别,冰岛和爱沙尼亚得分为6/100分(越低越好)。 这是最好的结果。 请注意,并非所有国家都接受了评估。
冰岛不是欧盟成员国,尽管它是欧洲经济区的一部分,并且同意遵守与其他成员国类似的消费者保护和商业法。 其中包括引入数据存储要求的《电子通信法》81/2003。
该法律适用于电信服务提供商,并要求记录保留六个月。 它还表示,公司只能在刑事案件或公共安全事务中提供电信信息,并且此类信息不能与警察或检察官以外的任何人共享。
尽管冰岛总体上遵循欧洲经济区的法律,但它对隐私保护有自己的做法。 例如,冰岛法律 鼓励用户数据的匿名性。 互联网提供商和主机对其发布或传输的内容不承担法律责任。 根据冰岛法律,域名区域注册商 ()。 政府对匿名通信没有任何限制,购买SIM卡时也不需要注册。
移居冰岛的另一个优势是气候和地理位置。 服务器会产生大量热量,雷克雅未克(冰岛首都,大部分数据中心所在地)年平均气温为4,67℃,是服务器降温的好地方。 对于运行每瓦特的服务器和网络设备来说,用于冷却、照明和其他间接成本的瓦数很少。 此外,冰岛是世界上人均清洁能源生产量最大的国家,也是人均电力生产量最大的国家,人均年用电量约为55千瓦时。 相比之下,欧盟平均水平不到 000 kWh。 冰岛的大多数业主 6000% 的电力来自可再生能源。
如果你从旧金山画一条直线到阿姆斯特丹,你就会穿越冰岛。 Simple Analytics 的大部分客户来自美国和欧洲,因此选择这个地理位置是有意义的。 有利于冰岛的其他优势是保护隐私的法律和环保措施。
服务器传输
首先,我们需要找到本地托管提供商。 其中相当多,要确定最好的确实很难。 我们没有资源来尝试每个人,所以我们编写了一些自动化脚本()配置服务器,以便您可以在必要时轻松切换到另一个托管服务商。 我们选定了公司 其座右铭是“自 2006 年起保护隐私和公民权利”。 我们喜欢这句座右铭,并向他们询问了一些有关如何处理我们的数据的问题。 他们让我们放心,所以我们继续安装主服务器。 他们只使用可再生能源的电力。
然而,在这个过程中我们遇到了一些障碍。 文章的这一部分非常技术性。 请随意继续下一个。 当您拥有加密服务器时,可以使用私钥将其解锁。 该密钥不能存储在服务器本身上,也就是说,必须在服务器启动时远程输入。 等等,当电源关闭时会发生什么? 重启后发现所有对服务器的网页请求都无法得到满足?
这就是为什么我们在主服务器前面添加了一个原始的辅助服务器。 它只是接收页面视图请求并将其直接发送到主服务器。 如果主服务器崩溃,辅助服务器会将请求保存在自己的数据库中并重复这些请求,直到收到响应。 因此,断电后不会丢失数据。
让我们回到加载服务器。 当加密的主服务器启动时,我们需要输入密码。 但出于显而易见的原因,我们不想去冰岛或要求那里的任何人登录服务器机房。 对于远程访问服务器,通常使用安全的SSH协议。 但该程序仅在服务器或计算机运行时可用,并且我们需要在服务器完全加载之前进行连接。
所以我们发现 ,一个非常小的 SSH 客户端,可以从 (initramfs)。 您还可以通过 SSH 允许外部连接。 现在您不必飞往冰岛来加载我们的服务器,万岁!
我们花了几周时间才迁移到冰岛的新服务器,但我们很高兴终于做到了。
仅存储必要的数据
在 Simple Analytics,我们遵循“仅存储必要的数据”的原则,收集最少量的数据。
常用于网络应用程序 数据。 这意味着数据实际上并未被删除,而只是对最终用户变得不可用。 我们不会这样做 - 如果您删除数据,它就会从我们的数据库中消失。 我们使用硬删除。 注意:它们将在加密备份中保留最多 90 天。 如果出现错误,我们可以恢复它们。
我们没有delete_at字段😉
对于客户来说,了解存储了哪些数据以及删除了哪些数据非常重要。 当有人删除自己的数据时, 。 用户及其分析数据将从数据库中删除。 我们还从 Stripe(支付提供商)删除了信用卡和电子邮件。 我们维护纳税所需的付款历史记录,并将日志文件和数据库备份保留 90 天。
问题:如果您只存储最少的敏感数据,为什么需要所有这些保护和额外的安全性?
嗯,我们希望成为世界上最好的专注于隐私的分析公司。 我们将尽力提供最好的分析工具,而不会侵犯访问者的隐私。 即使我们保护大量匿名访客信息,我们也希望表明我们非常重视隐私。
接下来是什么?
当我们改进隐私性时,嵌入网页中的脚本的加载速度略有提高。 这是有道理的,因为它们过去托管在 CloudFlare CDN 上,这是世界各地服务器的集合,可以加快每个人的加载时间。 我们目前正在考虑建立一个非常简单的 CDN,其中包含加密服务器,该服务器仅服务于我们的 JavaScript 并在将网页请求发送到冰岛的主服务器之前临时存储网页请求。
来源: habr.com