Google Font GDPR

Web, mail, IRC, IM, hálózatok

A weboldalamhoz a CloudFlare Web Analytics-et használom. Ez nem használ cookie-t, és elméletileg GDPR-konform. Amit tud, nekem pont elég, ennél pontosabb analitikára most nincs szükségem.

Meg szeretném úszni a cookie bannert, egyszerűen nem akarom idegesíteni a látogatóinkat. Engem is mérhetetlenül idegesít, amikor kinyitok egy weboldalt, és 3-4 popupon keresztül kell átvergődnöm, mire el tudom olvasni azt a szerencsétlen cikket:

- nem, nem használhatsz cookie-t
- nem, nem kérek értesítéseket az oldalról
- nem, nem akarom a mobilapplikációt letölteni hozzá
- nem, nem szeretnék feliratkozni a hírlevélre

(Sosem értettem, ha már ennyire fontos ez, miért nem a böngészőkre nézve kötelező, hogy ezek az engedélyezési körök legyenek implementálva a browserben, megadom a default beállításaimat és a kivételeket, a weboldalak pedig használnák ezeket)

A kérdésem: tényleg megsérti a GDPR-t a Google Fontok használata? (ha ehhez nem járul hozzá külön a látogató)

https://www.theregister.com/2022/01/31/website_fine_google_fonts_gdpr/

Mivel egy faék egyszerűségű static oldalról van szó, nem bonyolult átalakítani helyi használatra, inkább az elv miatt kérdezem.

  • 816 megtekintés

( uid_17626 | 2022. 08. 24., sze – 00:03 )

Ha nem használod a cdn-t, akkor nincs ilyen problémád. 

( bbking | 2022. 08. 24., sze – 00:04 )

kb 5 perce kaptam emailt, hogy egy alsó ausztriai ügyvéd szabályszegési értesítéseket ("Abmahnung") küldözget weboldal üzemeltetöinek pont a Google Font-ok miatt és hogy hogyan lehetne ezeket lokálisan a webszerverröl kiszolgálni és nem a Google szerveréröl betölteni. Állítólag a fizetös Elementor Plugin tudja Wordpress alatt. Ennél többet nem tudok, de remélem segít valamit.

( csardij v | 2022. 08. 24., sze – 07:06 )

Szerkesztve: 2022. 08. 24., sze – 07:07

A nemet birosag dontese szerint megserti igen, es egyes ugyvedek mar ra is repultek es kuldozgetik a 200 euros csekkeket.

es gondolom akkor ez ugyanugy vonatkozik minden 3rd party cdn-rol, szerverrol betoltott tartalomra.

Web, Domain, Tárhely

( htmm v | 2022. 08. 24., sze – 11:02 )

Remelem ez utan ajax.googleapis.com is felkeszul...

( pch v | 2022. 08. 24., sze – 12:42 )

Miért nem szeded le localba a fontokat?
Én mindent leszedek localba. Igaz nagy lesz a mérete, viszont nem függök utána semmitől. Mert mi van ha valamiért nem elérhető valamilyen komponens?

pch
SB-soft online ügyviteli rendszer

"Ráadásul még biztonsági problémát is jelenthet a távoli URL-ről történő komponens hívás." - Ahogy az is, hogy ott van nálad 1234 különböző, adott időpontban lehúzott motyó, amik persze idő közben az eredeti helyen frissültek, hibák/sérülékenységek javításra kerültek... Oké, ha tudod mind az 1234 komponens sérülékenységeit, javításait követni a helybe letöltött másolattal, akkor jó, de... Szóval mérlegelni kell, hogy adott elemet helyből vagy eredeti helyről a klienssel lehúzatva használsz.

( _Franko_ v | 2022. 08. 24., sze – 16:23 )

Azért én megvárnám, amíg egy nagyobb céget meglőnek ugyanezzel és az fellebbez a jogi világ végéig n+1 szakértővel, mert ezzel így csak szopni fog mindenki is, vélhetően azért, mert a bíró nem látja át a területet.

Gyakorlatilag ezek alapján egy linket sem tehetsz ki, mert egy prefetch miatt már megtudják az IP címét a végfelhasználónak, mindössze az internet és a HTML lényege veszik el, nem beszélve a CDN-ről, mint szolgáltatásról.

https://iotguru.cloud

Amennyire én levettem, az a baj, hogy a Google-nél van egy aktuális nyilvántartás arról, hogy melyik IP cím mögött ki van, mert a legtöbb usernek van Gmail címe, így össze tudja párosítani az adatokat. Egy másik CDN erre önmagában nem képes. 

(Amúgy érdekes szakma ez: ha eltárolod az IP címet, az a baj; ha nem tárolod, akkor meg az. Lásd ISP-k és VPN szolgáltatók..)

Amennyire én levettem, az a baj, hogy a Google-nél van egy aktuális nyilvántartás arról, hogy melyik IP cím mögött ki van, mert a legtöbb usernek van Gmail címe, így össze tudja párosítani az adatokat.

Azért ez eléggé nyakatekert magyarázat. Például egy pusztán csak CDN-t szolgáltató cég is össze tudja kötni akkor, hogy egy adott IP milyen weboldalakat látogat (lásd Referer fejléc), nem?

Egy másik CDN erre önmagában nem képes. 

Aham, tehát bármelyik CDN szolgáltatóval baj lehet, ha nem csak CDN-t szolgáltat és/vagy tárolja, hogy az adott request milyen weboldalakról érkezik? Tehát nekem, mint weboldal fejlesztőnek és/vagy üzemeltetőnek tudnom kellene, hogy a CDN szolgáltató tudhatja-e egy IP címről, hogy azt hol máshol használták vagy sem?

Szóval én azért még várnék itt egy sokadik fokra a jogi útvesztőben.

https://iotguru.cloud

( thxer v | 2022. 08. 24., sze – 17:19 )

Ezek szerint akkor az is GDPR sértés, ha a weboldal CloudFlare-t használ (ugyanis a CloudFlare látja a látogató IP címét), valamint ha nem a szerződött internet szolgáltatójánál fut az oldal és az összes köztes peering / transit szolgáltatón keresztül éri csak el a szervert, ugyanis a látogató nem járult előzetesen hozzá, hogy a hoszting szolgáltatóval szerződött IP transit szolgáltató láthassa a forrás IP címet? 

Vagy ha szigorúan a beágyazott tartalmat nézzük, akkor a beágyazott Twitter, Facebook poszt, like gomb is problémás? 

Azok mindenképpen problémásak, volt botrány a Facebook like gombból, mert aktív elem és emiatt már a puszta léte browser fingerprinting alapú követésre alkalmas akkor is ha nincs Facebook accod. Ha van, az még viccesebb, mivel hozzáfér a cookie-hoz, gyakorlatilag tudja hogy te nézed azt az oldalt. 

( dii | 2022. 08. 24., sze – 20:29 )

Igen, hozzájárulás nélkül ez nem GDPR kompatibilis. Az más kérdés, hogy mennyire és kik nézik ezt, de ez van. A Google egyébként megesküszik rá, hogy nem használja a fonts-ot adatgyűjtésre, csak hát tudjuk, hogy egyetlen "ingyenes" Google szolgáltatás sem készült hiába. Ugyanide tartozik:

  • Google Maps
  • Facebook like
  • Google Analytics
  • Egy rakás "ingyenes" social media gomb
  • Youtube integráció
  • Ezernyi remarketing követő
  • Stb.

Csurig van ezekkel a net, sokan megússzák piszkálás nélkül, plusz a hatóság/jogászvilág csak vakarja a fejét egy csomó dolog kapcsán. Elég lassan tisztul a kép.

( bbking | 2022. 08. 26., p – 08:36 )

itt egy cikk hasznos infókkal (német-only, bocsi) - TL;DR: kb 10.000 ilyen levelet küldött az ügyvéd, de már leállították - rá tudták bizonyítani, hogy az Eva Z. nevü kliense, akinek nevében eljárt és akinek a GDPR-es jogaiért izgult, sokszor nem maga, hanem egy crawler látogatta meg a weboldalakat (elért olyan oldalakat is, amit egy normál látogató nem. Gondolom "honeypot" volt egy crawlernek valami 1x1 pixeles linkkel). Ha ilyen levél jön, akkor nem szabad fizetni, hanem ki kell kérni Eva Z. irásos meghatalmazását (ez csak linkelve volt egy oldalra, amit ugye változtatni is lehet). Ha az említett IP címet nem lehet megtalálni a saját logfile-okban, akkor egy nemleges válasszal kell reagálni a levélre. Vannak linkelve minta válaszok is.

az osztrák gazdasági kamara egy csoportos keresetet fog indítani az ügyvéd ellen.