Hinweis des Übersetzers. Simple Analytics ist ein datenschutzorientierter Website-Analysedienst (in gewisser Weise das Gegenteil von Google Analytics).
Als Gründer von Simple Analytics habe ich mich immer an die Bedeutung von Vertrauen und Transparenz für unsere Kunden erinnert. Wir sind für sie verantwortlich, damit sie ruhig schlafen können. Die Auswahl sollte hinsichtlich der Vertraulichkeit sowohl für Besucher als auch für Kunden optimal sein. Eines der wichtigsten Probleme für uns war daher die Wahl des Serverstandorts.
In den letzten Monaten haben wir unsere Server schrittweise nach Island verlegt. Ich möchte erklären, wie alles passiert ist und vor allem warum. Es war kein einfacher Prozess, und ich möchte unsere Erfahrungen teilen. Der Artikel enthält einige technische Details, die ich in einer klaren Sprache zu schreiben versucht habe, aber ich entschuldige mich, wenn sie zu technisch sind.
Warum Server migrieren?
Alles begann mit der Tatsache, dass unsere Website zu
EasyList hinzugefügt wurde. Dies ist eine Liste von Domainnamen für Werbeblocker. Ich habe gefragt, warum wir hinzugefügt wurden, weil wir keine Besucher verfolgen. Wir halten uns sogar an
die Einstellung Nicht verfolgen im Browser.
Ich habe
diesen Kommentar zur
Pool-Anfrage auf GitHub geschrieben :
[...] Wenn wir also weiterhin gute Unternehmen blockieren, die die Privatsphäre der Benutzer respektieren, worum geht es dann? Ich denke, das ist falsch, Sie sollten nicht jedes Unternehmen auf die Liste setzen, nur weil es eine Anfrage sendet. [...]
Und bekam eine
Antwort von
@ cassowary714 :
Alle sind mit Ihnen einverstanden, aber ich möchte nicht, dass meine Anfragen an eine amerikanische Firma gesendet werden (in Ihrem Fall Digital Ocean [...]
Zuerst mochte ich die Antwort nicht, aber in einer Diskussion mit der Community wiesen sie darauf hin, dass es richtig war. Die US-Regierung kann tatsächlich auf unsere Benutzerdaten zugreifen. Zu dieser Zeit arbeiteten unsere Server wirklich für Digital Ocean. Sie konnten einfach unsere Festplatte auswerfen und die Daten lesen.
Es gibt eine technische Lösung für das Problem. Sie können ein gestohlenes (oder aus irgendeinem Grund getrenntes) Laufwerk für andere ungeeignet machen. Die vollständige Verschlüsselung erschwert den Zugriff ohne Schlüssel (
Hinweis: Nur Simple Analytics verfügt über einen Schlüssel ). Sie können immer noch kleine Datenmengen abrufen, indem Sie den RAM des Servers physisch lesen. Der Server kann ohne RAM nicht funktionieren, daher müssen Sie in dieser Hinsicht dem Hosting-Anbieter vertrauen.
Ich fragte mich, wohin wir unsere Server bewegen sollten.
Neuer Ort
Ich begann in diese Richtung zu suchen und stieß auf eine Wikipedia-Seite mit einer
Liste von Ländern, die durch Zensur und Überwachung der Benutzer gekennzeichnet waren . Es gibt eine Liste der "Feinde des Internets" der internationalen Nichtregierungsorganisation Reporter ohne Grenzen, die in Paris ansässig ist und sich für die Pressefreiheit einsetzt. Ein Land wird als Feind des Internets eingestuft, wenn es „nicht nur Nachrichten und Informationen im Internet zensiert, sondern auch fast systematische Repressionen gegen Benutzer durchführt“.
Über diese Liste hinaus gibt es eine Allianz namens
Five Eyes aka FVEY. Dies ist eine Vereinigung von Australien, Kanada, Neuseeland, Großbritannien und den USA. In den letzten Jahren haben Dokumente gezeigt, dass sie absichtlich die Bürger des anderen ausspionieren und Informationen austauschen, die gesammelt wurden, um gesetzliche Beschränkungen der Spionage innerhalb des Landes zu umgehen (
Quellen ). Der frühere NSA-Offizier Edward Snowden beschrieb FVEY als "eine supranationale Geheimdienstorganisation, die die Gesetze ihrer Länder nicht befolgt". Es gibt andere Länder, die mit FVEY in anderen internationalen Genossenschaften zusammenarbeiten, darunter Dänemark, Frankreich, die Niederlande, Norwegen, Belgien, Deutschland, Italien, Spanien und Schweden (die sogenannten 14 Augen). Ich konnte keine Beweise dafür finden, dass die 14-Augen-Allianz Intelligenz missbrauchte.
Danach beschlossen wir, dass wir in keinem der Länder auf der Liste der „Feinde des Internets“ gehostet werden und definitiv Länder aus der 14 Eyes-Allianz überspringen würden. Die Tatsache der kollektiven Überwachung reicht aus, um die Speicherung der Daten unserer Kunden dort zu verweigern.
In Bezug auf Island lautet die oben genannte Wikipedia-Seite wie folgt:
Die isländische Verfassung verbietet die Zensur, und es gibt eine starke Tradition des Schutzes der Meinungsfreiheit, die sich auf das Internet erstreckt. [...]
Island
Auf der Suche nach einem besseren Land unter dem Gesichtspunkt des Schutzes der Privatsphäre tauchte Island immer wieder auf. Also habe ich beschlossen, es sorgfältig zu studieren. Bitte denken Sie daran, dass ich kein Isländisch spreche, weshalb ich wichtige Informationen hätte übersehen können.
Lassen Sie mich wissen, wenn Sie Informationen zu diesem Thema haben.
Laut dem Bericht
Freedom on the Net 2018 von
Freedom House erzielten Island und Estland 6/100 Punkte in Bezug auf die Zensur (je niedriger desto besser). Dies ist das beste Ergebnis. Beachten Sie, dass nicht alle Länder bewertet wurden.
Island ist kein Mitglied der Europäischen Union, obwohl es Mitglied des Europäischen Wirtschaftsraums ist und sich bereit erklärt hat, das Verbraucher- und Wirtschaftsrecht ähnlich dem anderer Mitgliedstaaten zu befolgen. Dies schließt das Gesetz über elektronische Kommunikation (Electronic Communications Act 81/2003) ein, mit dem Anforderungen an die Datenspeicherung eingeführt wurden.
Das Gesetz gilt für Telekommunikationsdienstleister und sieht die Speicherung von Aufzeichnungen für sechs Monate vor. Es heißt auch, dass Unternehmen Informationen zur Telekommunikation nur in Strafsachen oder zur öffentlichen Sicherheit bereitstellen können und dass diese Informationen nur der Polizei oder der Staatsanwaltschaft zur Verfügung gestellt werden dürfen.
Obwohl Island im Allgemeinen den Gesetzen des Europäischen Wirtschaftsraums folgt, hat es einen eigenen Ansatz zum Schutz der Privatsphäre. Beispielsweise fördert das isländische
Datenschutzgesetz die Anonymität von Benutzerdaten. Internetdienstanbieter und Hoster sind rechtlich nicht verantwortlich für die Inhalte, die sie veröffentlichen oder übertragen. Nach isländischem Recht ist der Domain-Registrar (
ISNIC ) für die Rechtmäßigkeit der Nutzung der .is-Domain verantwortlich. Die Regierung legt der anonymen Kommunikation keine Beschränkungen auf und verlangt beim Kauf von SIM-Karten keine Registrierung.
Ein weiterer Vorteil des Umzugs nach Island ist das Klima und die Lage. Die Server erzeugen viel Wärme und die durchschnittliche Jahrestemperatur in Reykjavik (der Hauptstadt Islands, in der sich die meisten Rechenzentren befinden) beträgt 4,67 ° C. Dies ist ein großartiger Ort, um die Server zu kühlen. Für jedes Watt für den Betrieb von Servern und Netzwerkgeräten werden proportional nur sehr wenige Watt für Kühlung, Beleuchtung und andere Gemeinkosten aufgewendet. Darüber hinaus ist Island mit rund 55.000 kWh pro Person und Jahr der weltweit größte Produzent von „sauberer“ Energie pro Kopf und im Allgemeinen der größte Stromerzeuger pro Kopf. Zum Vergleich: Der EU-Durchschnitt liegt unter 6.000 kWh. Die meisten Gastgeber in Island beziehen 100% ihres Stroms aus erneuerbaren Quellen.
Wenn Sie eine direkte Linie von San Francisco nach Amsterdam ziehen, überqueren Sie Island. Simple Analytics hat die Mehrheit der Kunden aus den USA und Europa. Daher ist es sinnvoll, diesen geografischen Standort zu wählen. Weitere Vorteile zugunsten Islands sind Gesetze zum Schutz der Privatsphäre und ein Umweltansatz.
Servermigration
Zuerst musste man einen lokalen Hosting-Anbieter finden. Es gibt viele von ihnen, und es ist wirklich schwierig, die besten zu bestimmen. Wir hatten nicht die Ressourcen, um alle zu testen, deshalb haben wir mehrere automatische Skripte (
Ansible ) geschrieben, um den Server so zu konfigurieren, dass wir bei Bedarf problemlos zu einem anderen Hoster wechseln können. Wir haben uns
1984 für das Unternehmen mit dem Motto "Schutz der Privatsphäre und der Bürgerrechte seit 2006" entschieden. Dieses Motto hat uns gefallen und wir haben ihnen einige Fragen gestellt, wie sie unsere Daten verarbeiten werden. Sie haben uns beruhigt, also haben wir den Hauptserver weiter installiert. Und sie nutzen Strom nur aus erneuerbaren Quellen.
Während dieses Prozesses stießen wir jedoch auf mehrere Hindernisse. Dieser Teil des Artikels ist ziemlich technisch. Fühlen Sie sich frei, mit dem nächsten fortzufahren. Wenn Sie einen verschlüsselten Server haben, wird dieser mit dem privaten Schlüssel entsperrt. Dieser Schlüssel kann nicht auf dem Server selbst gespeichert werden, dh Sie müssen ihn beim Booten des Servers remote eingeben. Warten Sie, was passiert, wenn Sie den Strom ausschalten? Es stellt sich heraus, dass alle Webseitenanforderungen an den Server nach einem Neustart nicht ausgeführt werden?
Aus diesem Grund haben wir vor dem Hauptserver einen primitiven sekundären Server hinzugefügt. Es empfängt einfach Anforderungen zum Anzeigen von Seiten und sendet sie direkt an den Hauptserver. Wenn der Primärserver abstürzt, speichert der Sekundärserver die Anforderungen in seiner eigenen Datenbank und wiederholt sie, bis er eine Antwort erhält. Somit tritt nach einem Stromausfall kein Datenverlust auf.
Kommen wir zurück zum Laden des Servers. Wenn der verschlüsselte Hauptserver geladen wird, müssen wir das Passwort eingeben. Aber wir wollen aus offensichtlichen Gründen nicht nach Island gehen oder jemanden dort bitten, den Serverraum zu betreten. Für den Fernzugriff auf den Server wird normalerweise das sichere SSH-Protokoll verwendet. Dieses Programm ist jedoch nur während des Server- oder Computerbetriebs verfügbar, und wir müssen eine Verbindung herstellen, bevor der Server vollständig geladen ist.
Wir haben also
Dropbear gefunden, einen sehr kleinen SSH-Client, der
zur anfänglichen Initialisierung (initramfs) von der
Festplatte im RAM ausgeführt werden kann . Und Sie können externe Verbindungen über SSH zulassen. Jetzt müssen Sie nicht mehr nach Island fliegen, um unseren Server zu laden, Prost!
Der Umzug auf einen neuen Server in Island hat ein paar Wochen gedauert, aber wir sind froh, dass wir es endlich geschafft haben.
Speichern Sie nur die erforderlichen Daten
Wir leben in Simple Analytics nach dem Prinzip „Nur die erforderlichen Daten speichern“ und sammeln den Mindestbetrag.
Webanwendungen üben häufig das
Löschen weicher Daten. Dies bedeutet, dass die Daten nicht tatsächlich gelöscht werden, sondern für den Endbenutzer einfach nicht mehr zugänglich sind. Wir tun dies nicht - wenn Sie Ihre Daten löschen, verschwinden sie aus unserer Datenbank. Wir verwenden harte Entfernung.
Hinweis: Sie verbleiben maximal 90 Tage in verschlüsselten Sicherungen. Im Fehlerfall können wir sie wiederherstellen.Wir haben keine delete_at Felder ;-)
Für Kunden ist es wichtig zu wissen, welche Daten gespeichert und welche gelöscht werden. Wenn jemand seine Daten löscht,
sprechen wir direkt darüber . Der Benutzer und seine Analysen werden aus der Datenbank gelöscht. Wir löschen auch die Kreditkarte und E-Mail von Stripe (Zahlungsanbieter). Wir bewahren den Zahlungsverlauf auf, der für die Zahlung von Steuern erforderlich ist, und bewahren unsere Protokolldateien und Datenbanksicherungen 90 Tage lang auf.
Frage: Wenn Sie nur ein Minimum an vertraulichen Daten speichern, warum benötigen Sie all diesen Schutz und zusätzliche Sicherheit?
Nun, wir möchten das beste datenschutzorientierte Analyseunternehmen der Welt sein. Wir werden alles in unserer Macht stehende tun, um die besten Analysetools bereitzustellen, ohne die Privatsphäre Ihrer Besucher zu beeinträchtigen. Auch wenn wir große Mengen anonymisierter Informationen über Besucher schützen, möchten wir zeigen, dass wir den Datenschutz sehr ernst nehmen.
Was weiter?
Als wir den Datenschutz verbessert haben, hat sich die Geschwindigkeit beim Laden von in Webseiten eingebetteten Skripten leicht erhöht. Dies ist sinnvoll, da sie früher auf dem CDN von CloudFlare gehostet wurden, einer Sammlung von Servern auf der ganzen Welt, die das Herunterladen für alle beschleunigen. Jetzt denken wir darüber nach, ein sehr einfaches CDN mit verschlüsselten Servern zu erstellen, die nur unser JavaScript senden und Webseitenanforderungen vorübergehend speichern, bevor sie an den Hauptserver in Island gesendet werden.