譯者註。 - 注重隱私的網站分析服務(在某些方面與 Google Analytics 相反)
身為 Simple Analytics 的創辦人,我始終牢記信任和透明度對客戶的重要性。 我們有責任對他們負責,讓他們安然入睡。 從訪客和客戶的隱私角度來看,該選擇應該是最佳的。 因此,對我們來說最重要的問題之一是伺服器位置的選擇。
在過去的幾個月裡,我們逐漸將伺服器移至冰島。 我想解釋一切是如何發生的,最重要的是,為什麼會發生。 這不是一個容易的過程,我想分享我們的經驗。 文章中有一些技術細節,我試著以一種可以理解的方式來寫,但如果它們太技術性,我深表歉意。
為什麼要遷移伺服器?
這一切都始於我們的網站被添加到 。 這是廣告攔截器的網域清單。 我問為什麼我們被添加,因為我們不追蹤訪客。 我們甚至 瀏覽器中的「請勿追蹤」設定。
我寫 к :
[...] 因此,如果我們繼續阻止尊重用戶隱私的優秀公司,那還有什麼意義呢? 我認為這是錯誤的,每個公司都不應該僅僅因為提交了請求就被列入名單。 […]
並收到了 從 :
每個人都同意你的觀點,但我不希望我的請求發送給一家美國公司(在你的例子中是 Digital Ocean [...]
起初我不喜歡這個答案,但在與社群的討論中,有人向我指出他是對的。 美國政府確實可能有權存取我們用戶的資料。 當時,Digital Ocean 實際上已經運行了我們的伺服器,他們只需拔出我們的驅動器即可讀取資料。
該問題有一個技術解決方案。 您可以使被盜(或因任何原因斷開連接)的驅動器無法供其他人使用。 完全加密將使得在沒有金鑰的情況下難以存取(注意:此密鑰僅適用於簡單分析)。 仍然可以透過實體讀取伺服器的 RAM 來獲取小塊資料。 伺服器沒有 RAM 就無法運作,因此在這方面您必須信任託管提供者。
這讓我開始思考將我們的伺服器移到哪裡。
新地方
我開始朝這個方向搜索,並發現了一個維基百科頁面 。 總部位於巴黎、倡導新聞自由的國際非政府組織無國界記者列出了一份「網路敵人」名單。 當一個國家「不僅審查網路上的新聞和訊息,而且對使用者進行近乎系統的鎮壓」時,它就被歸類為網路的敵人。
除了這個名單之外,還有一個聯盟叫做 又稱 FVEY。 這是澳洲、加拿大、紐西蘭、英國和美國的聯盟。 近年來,文件顯示,他們故意監視對方公民並分享收集到的信息,以規避對國內間諜活動的法律限制()。 美國國家安全局前承包商愛德華·斯諾登將 FVEY 描述為「一個不受其國家法律約束的超國家情報組織」。 還有其他國家在其他國際合作組織中與 FVEY 合作,包括丹麥、法國、荷蘭、挪威、比利時、德國、義大利、西班牙和瑞典(所謂的「14 眼」)。 我找不到任何證據表明十四眼聯盟濫用其收集的情報。
此後,我們決定不再在「網路敵人」名單上的任何國家舉辦活動,並且肯定會跳過「14眼聯盟」的國家。 集體監視的事實足以拒絕將我們客戶的資料儲存在那裡。
關於冰島,上面的維基百科頁面聲明如下:
冰島憲法禁止審查制度,並擁有保護言論自由的悠久傳統,這種傳統也延伸到了網路。 […]
冰島
在尋找隱私保護最佳國家的過程中,冰島一次又一次地出現。 於是我決定仔細研究一下。 請記住,我不會說冰島語,所以我可能錯過了重要訊息。 ,如果您有有關該主題的任何資訊。
據報道 自由之家的數據顯示,根據審查級別,冰島和愛沙尼亞得分為6/100分(越低越好)。 這是最好的結果。 請注意,並非所有國家都接受了評估。
冰島不是歐盟成員國,儘管它是歐洲經濟區的一部分,並同意遵守與其他成員國類似的消費者保護和商業法。 其中包括引入資料儲存要求的《電子通訊法》81/2003。
該法律適用於電信服務供應商,並要求記錄保留六個月。 它還表示,公司只能在刑事案件或公共安全事務中提供電信信息,並且此類信息不能與警察或檢察官以外的任何人共享。
儘管冰島總體上遵循歐洲經濟區的法律,但它對隱私保護有自己的做法。 例如,冰島法律 鼓勵用戶資料的匿名性。 網路供應商和主機對其發布或傳輸的內容不承擔法律責任。 根據冰島法律,域名區域註冊商 ()。 政府對匿名通訊沒有任何限制,購買SIM卡時也不需要註冊。
移居冰島的另一個優點是氣候和地理位置。 伺服器會產生大量熱量,雷克雅維克(冰島首都,大部分資料中心所在地)年平均氣溫為4,67℃,是伺服器降溫的好地方。 對於運行每瓦特的伺服器和網路設備來說,用於冷卻、照明和其他間接成本的瓦數很少。 此外,冰島是世界上人均清潔能源生產量最大的國家,也是人均電力生產量最大的國家,人均年用電量約55度。 相比之下,歐盟平均水平不到 000 kWh。 冰島的大多數業主 6000% 的電力來自再生能源。
如果你從舊金山畫一條直線到阿姆斯特丹,你就會穿越冰島。 Simple Analytics 的客戶大多來自美國和歐洲,因此選擇這個地理位置是有意義的。 有利於冰島的其他優點是保護隱私的法律和環保措施。
伺服器傳輸
首先,我們需要找到本地託管提供者。 其中相當多,要確定最好的確實很難。 我們沒有資源來嘗試每個人,所以我們編寫了一些自動化腳本()配置伺服器,以便您可以在必要時輕鬆切換到另一個託管服務商。 我們選定了公司 其座右銘是「自 2006 年起保護隱私和公民權利」。 我們喜歡這句座右銘,並向他們詢問了一些有關如何處理我們的數據的問題。 他們讓我們放心,所以我們繼續安裝主伺服器。 他們只使用再生能源的電力。
然而,在這個過程中我們遇到了一些障礙。 文章的這一部分非常技術性。 請隨意繼續下一個。 當您擁有加密伺服器時,可以使用私鑰將其解鎖。 該密鑰不能儲存在伺服器本身上,也就是說,必須在伺服器啟動時遠端輸入。 等等,當電源關閉時會發生什麼? 重啟後發現所有對伺服器的網頁請求都無法被滿足?
這就是為什麼我們在主伺服器前面新增了一個原始的輔助伺服器。 它只是接收頁面視圖請求並將其直接發送到主伺服器。 如果主伺服器崩潰,輔助伺服器會將請求保存在自己的資料庫中並重複這些請求,直到收到回應。 因此,斷電後不會遺失資料。
讓我們回到加載伺服器。 當加密的主伺服器啟動時,我們需要輸入密碼。 但出於顯而易見的原因,我們不想去冰島或要求那裡的任何人登入伺服器機房。 對於遠端存取伺服器,通常使用安全的SSH協定。 但該程式僅在伺服器或電腦運行時可用,並且我們需要在伺服器完全加載之前進行連接。
所以我們發現 ,一個非常小的 SSH 客戶端,可以從 (initramfs)。 您也可以透過 SSH 允許外部連線。 現在您不必飛往冰島來加載我們的服務器,萬歲!
我們花了幾週時間才遷移到冰島的新伺服器,但我們很高興終於做到了。
僅儲存必要的數據
在 Simple Analytics,我們遵循「僅儲存必要的資料」的原則,收集最少量的資料。
常用於網頁應用程式 數據。 這意味著資料實際上並未被刪除,而只是對最終用戶變得不可用。 我們不會這樣做 - 如果您刪除數據,它就會從我們的資料庫中消失。 我們使用硬刪除。 注意:它們將在加密備份中保留最多 90 天。 如果出現錯誤,我們可以恢復它們。
我們沒有delete_at欄位😉
對於客戶來說,了解儲存了哪些資料以及刪除了哪些資料非常重要。 當有人刪除自己的資料時, 。 使用者及其分析資料將從資料庫中刪除。 我們也從 Stripe(付款提供者)刪除了信用卡和電子郵件。 我們維護納稅所需的付款歷史記錄,並將日誌檔案和資料庫備份保留 90 天。
問題:如果您只儲存最少的敏感數據,為什麼需要所有這些保護和額外的安全性?
嗯,我們希望成為世界上最好的專注於隱私的分析公司。 我們將盡力提供最好的分析工具,而不會侵犯訪客的隱私。 即使我們保護大量匿名訪客訊息,我們也希望表明我們非常重視隱私。
接下來是什麼?
當我們改進隱私性時,嵌入網頁中的腳本的載入速度略有提高。 這是有道理的,因為它們過去託管在 CloudFlare CDN 上,這是世界各地伺服器的集合,可以加快每個人的載入時間。 我們目前正在考慮建立一個非常簡單的 CDN,其中包含加密伺服器,該伺服器僅服務於我們的 JavaScript 並在將網頁請求發送到冰島的主伺服器之前臨時儲存網頁請求。
來源: www.habr.com