译者注意。 Simple Analytics是面向隐私的网站分析服务(在某些方面与Google Analytics(分析)相反)
作为Simple Analytics的创始人,我始终记得信任和透明对我们客户的重要性。 我们对他们负责,以便他们可以安然入睡。 就访问者和客户的机密性而言,选择应该是最佳的。 因此,对我们来说最重要的问题之一是服务器位置的选择。
在过去的几个月中,我们逐渐将服务器移至冰岛。 我想说明一切如何发生,最重要的是为什么。 这不是一个容易的过程,我想分享我们的经验。 这篇文章有一些技术细节,我尝试用一种清晰的语言编写,但是如果它们太技术性,我深表歉意。
为什么要迁移服务器?
一切始于我们将网站添加到
EasyList的事实 。 这是广告拦截器的域名列表。 我问为什么要加入我们,因为我们不追踪访客。 我们甚至
遵守浏览器中
的 “不跟踪”设置。
我
在GitHub上的
池请求上写了
此评论 :
[...]因此,如果我们继续阻止尊重用户隐私的优秀公司,那有什么意义? 我认为这是错误的,您不应仅因为它发送了请求就将每个公司都列在列表中。 [...]
并从
@ cassowary714得到了
回应 :
每个人都同意您的意见,但我不希望将请求发送给一家美国公司(在您的情况下,Digital Ocean [...]
起初我不喜欢这个答案,但是在与社区的讨论中,他们指出这是正确的。 美国政府实际上可以访问我们的用户数据。 那时,我们的服务器确实为Digital Ocean服务,它们可以弹出磁盘并读取数据。
有一个解决该问题的技术方案。 您可以使被盗驱动器(或由于某种原因断开连接)不适合其他驱动器。 如果没有密钥,则完全加密将使访问变得困难(
请注意:只有Simple Analytics具有密钥 )。 您仍然可以通过物理读取服务器的RAM来获取少量数据。 没有RAM,服务器将无法运行,因此在这方面,您必须信任托管服务提供商。
这使我想知道将服务器移到哪里。
新地方
我开始朝这个方向搜索,然后浏览了Wikipedia页面,其中
列出了以检查和监视用户为标志的国家/地区 。 位于巴黎的国际非政府组织“无国界记者组织”列出了“互联网的敌人”,该组织倡导新闻自由。 当一个国家“不仅审查互联网上的新闻和信息,而且对用户进行几乎系统的镇压”时,就被归类为互联网的敌人。
除此以外,还有一个联盟叫做“
五只眼睛”,又称FVEY。 这是澳大利亚,加拿大,新西兰,英国和美国的工会。 近年来,文件显示,他们有意监视彼此的公民并交换收集的信息,以规避对家庭间谍活动的立法限制(
消息来源 )。 国家安全局前官员爱德华·斯诺登(Edward Snowden)将FVEY描述为“一个不遵守其国家法律的超国家情报组织”。 还有其他国家在其他国际合作社中与FVEY合作,包括丹麦,法国,荷兰,挪威,比利时,德国,意大利,西班牙和瑞典(所谓的14眼)。 我找不到证据表明14 Eyes联盟滥用情报。
此后,我们决定不接待“互联网敌人”名单上的任何国家,并且一定会跳过14眼联盟。 集体监视的事实足以拒绝将客户的数据存储在那里。
关于冰岛,上述维基百科页面的内容如下:
冰岛的宪法禁止审查制度,并且有一个保护言论自由的悠久传统一直延伸到互联网。 [...]
冰岛
在从保护隐私的角度出发寻找一个更好的国家的过程中,冰岛一次又一次出现。 因此,我决定仔细研究它。 请记住,我不会说冰岛语,这就是为什么我会错过重要信息的原因。 如果您有关于此主题的任何信息,请
告诉我 。
根据
Freedom House的
《 2018年网上自由》报告,冰岛和爱沙尼亚的审查制度得分为6/100分(越低越好)。 这是最好的结果。 请记住,并非所有国家都经过评估。
冰岛不是欧洲联盟的成员,尽管它是欧洲经济区的一部分,并且已同意遵守与其他成员国类似的消费者和商业法。 这包括《电子通信法》(《电子通信法》 81/2003),该法引入了数据存储要求。
该法律适用于电信服务提供商,并规定将记录存储六个月。 它还规定,公司只能提供有关刑事事务或公共安全的电信信息,并且不能将这些信息提供给警察或检察官以外的任何人。
尽管冰岛通常遵守欧洲经济区的法律,但它有自己的保护隐私的方法。 例如,《冰岛
数据保护法》鼓励用户数据匿名。 Internet服务提供商和托管者对其发布或传输的内容不承担法律责任。 根据冰岛法律,域注册商(
ISNIC )负责使用
.is域的合法性。 政府对匿名通信不施加任何限制,购买SIM卡时不需要注册。
移居冰岛的另一个优势是气候和地理位置。 服务器会产生大量热量,雷克雅未克(冰岛的首都,大多数数据中心都位于此)的年平均温度为4.67°C,因此,这是冷却服务器的理想场所。 对于服务器和网络设备运行的每瓦特,很少有瓦特成比例地用于冷却,照明和其他开销。 此外,冰岛是世界上最大的人均“清洁”能源生产国,并且通常是最大的人均电力生产国,每年每人约55,000千瓦时。 相比之下,欧盟平均水平低于6,000 kWh。 冰岛的大多数接待者100%的电力来自可再生能源。
如果您画一条从旧金山到阿姆斯特丹的直线,您将越过冰岛。 Simple Analytics拥有来自美国和欧洲的大多数客户,因此选择此地理位置很有意义。 支持冰岛的其他优势是保护隐私的法律和环保方法。
服务器迁移
首先,您必须找到本地托管服务提供商。 其中有很多,确实很难确定最好的。 我们没有足够的资源来尝试所有人,因此我们编写了一些自动脚本(
Ansible )来配置服务器,以便在必要时轻松切换到另一台主机。 我们以
1984年的座右铭“自2006年以来保护隐私和公民权利”入选这家公司。 我们喜欢这个座右铭,并向他们询问了一些有关他们将如何处理我们的数据的问题。 他们向我们保证,因此我们继续安装主服务器。 他们仅使用可再生能源发电。
但是,在此过程中,我们遇到了一些障碍。 本文的这一部分是非常技术性的。 随意移动到下一个。 如果您拥有加密服务器,则使用私钥将其解锁。 该密钥不能存储在服务器本身上,也就是说,服务器启动时需要远程输入。 等一下,关闭电源会怎样? 事实证明,重新启动后将不会执行对服务器的所有网页请求吗?
这就是为什么我们在主服务器之前添加了原始的辅助服务器。 它仅接收查看页面的请求,并将其直接发送到主服务器。 如果主服务器崩溃,则辅助服务器会将请求保存在其自己的数据库中,并将重复这些请求,直到收到响应为止。 因此,断电后不会丢失数据。
让我们回到服务器加载。 加载加密的主服务器后,我们需要输入密码。 但是出于明显的原因,我们不想去冰岛,也不想让那里的人进入服务器机房。 为了远程访问服务器,通常使用安全的SSH协议。 但是此程序仅在服务器或计算机运行期间可用,并且我们需要在服务器完全加载之前进行连接。
因此,我们找到了
Dropbear ,这是一个非常小的SSH客户端,可以从
磁盘中的磁盘运行
以进行初始初始化 (initramfs)。 您可以允许通过SSH进行外部连接。 现在,您不必飞往冰岛来加载我们的服务器,加油!
迁移到冰岛的新服务器花了我们几个星期的时间,但是我们很高兴终于做到了。
仅存储必要的数据
我们生活在Simple Analytics中,其原则是“只存储必要的数据”,并收集最少的数据。
Web应用程序经常练习
软数据
删除 。 这意味着该数据实际上并没有被删除,而只是最终用户无法访问。 我们不这样做-如果您删除数据,数据将从我们的数据库中消失。 我们使用硬去除。
注意:它们将在加密备份中保留最多90天。 如果发生错误,我们可以将其还原。我们没有delete_at字段;-)
对于客户而言,了解存储哪些数据和删除哪些数据非常重要。 当有人删除他们的数据时,
我们直接谈论它 。 从数据库中删除用户及其分析。 我们还将删除Stripe(付款提供商)的信用卡和电子邮件。 我们保留纳税所需的付款历史记录,并将日志文件和数据库备份保留90天。
问题:如果仅存储最少的机密数据,为什么需要所有这些保护和额外的安全性?
好吧,我们希望成为世界上最好的面向隐私的分析公司。 我们将竭尽所能,提供最佳的分析工具,而又不会侵犯访问者的隐私。 即使在保护有关访客的大量匿名信息的同时,我们也想表明我们非常重视隐私。
接下来是什么?
当我们提高隐私性时,加载嵌入在网页中的脚本的速度会略有提高。 这是有道理的,因为它们以前托管在CloudFlare的CDN上,该CDN是世界各地的服务器集合,可为所有人加快下载速度。 现在,我们正在考虑使用加密服务器来构建非常简单的CDN,该CDN仅发送我们的JavaScript并临时存储网页请求,然后再将其发送到冰岛的主服务器。