Aufgrund europäischer Datenschutzbestimmungen ist es am besten, Anfragen an Drittanbieter-Domains zu vermeiden, die von einer von Ihnen gehosteten Website initiiert werden. Mit Discourse ist die Einhaltung der Vorschriften schwierig, da die Onebox-Funktion den Browser dazu veranlasst, die Miniaturansicht von der ursprünglichen Website abzurufen, was eine Anfrage an Dritte darstellt. Sehen Sie den untenstehenden Onebox-Artikel:
Sie können in den Entwicklertools sehen, dass das Bild von einer Drittanbieter-Website heruntergeladen wird. Wie der Artikel auch feststellt, handelt es sich um ein DSGVO-Problem, auch wenn die Anfrage keine Cookies enthält.
Derzeit habe ich Onebox für meine Discourse-Instanz deaktiviert, aber ich würde sie gerne auf eine Weise wieder einführen, die die Privatsphäre stärker berücksichtigt und keinen Weg eröffnet, eine Geldstrafe zu erhalten.
Die Bilder könnten von einer Hauptdomain oder einer benutzerdefinierten Domain wie cdn.mydomain.com bereitgestellt werden.
Sie können keine Bilder von Drittanbietern auf Ihrem eigenen System speichern, da Urheberrechte bestehen, was bei Bildern sehr schwierig ist (und das macht ein Feature von Discourse fragwürdig, aber das ist eine andere Geschichte). Aber Oneboxing verstößt nicht gegen die DSGVO und hat es auch nie getan. Um auf der sicheren Seite zu sein, ist es ratsam, durch Verlinkung darauf hinzuweisen, dass ein Dritter beteiligt ist, und die Einhaltung der DSGVO liegt in deren Verantwortung. Aber das ist auch nicht notwendig.
Oneboxing selbst nicht, aber das Ausliefern von Drittanbieter-Ressourcen eindeutig, siehe oben der Fall Google Fonts
Vielleicht könnten wir sie stattdessen über den Discourse-Server proxen, sodass die Drittanbieter nur die IP des Discourse-Servers sehen und nicht die des Benutzers?
Huh, das ist interessant! Ist das eine Art Plugin oder eine Einstellung, die ich auf meiner Instanz aktivieren könnte?
Oneboxing stellt keinen Drittanbieterdienst bereit. Und die DSGVO erlaubt die Nutzung von Google Fonts, sie muss den Nutzern mitgeteilt werden – und Google hält sich ebenfalls an die DSGVO.
Aber das ist gar keine DSGVO-Angelegenheit. Iframes sind es.
Es geht nicht so sehr darum, den Benutzern etwas „mitzuteilen“, sondern darum, eine rechtliche Grundlage zu haben, wie z. B. Zustimmung oder berechtigtes Interesse. Bei der Zustimmung müssen Sie eine bequeme Möglichkeit haben, die Zustimmung zu verweigern, und dann wird die Ressource nicht geladen. Bei einem berechtigten Interesse müssen Sie eine Bewertung des berechtigten Grundes durchführen, und ich (und ich kann mir vorstellen, viele andere Discourse-Host-Administratoren) würden dies lieber nicht tun und stattdessen entweder das Oneboxing ganz deaktivieren oder die IP-Adresse des Benutzers hinter einem Proxy verbergen.
Es geht genau darum, es zu sagen. Sie benötigen die Zustimmung, wenn Sie personenbezogene Daten eines Nutzers erheben, verwenden und speichern. Und selbst dann müssen Sie sagen, was Sie tun, warum Sie es tun und wie lange Sie es tun.
Oneboxing ist kein Teil davon, aber Sie müssen angeben, ob eine dritte Partei beteiligt ist. Und Oneboxes sind nur schicke Links.
Was ich meinte ist: Die Tatsache, dass Dritte Anfragen stellen, reicht nicht aus. Gemäß der DSGVO müssen Sie Folgendes angeben:
den Zweck einer solchen Datenverarbeitung
die Rechtsgrundlage einer solchen Verarbeitung
Wir können keine Zustimmung verwenden, da Discourse es nicht zul gestattet, externe Bilder in Onebox nur für Benutzer anzuzeigen, die dafür ihre Zustimmung erteilt haben. Und das berechtigte Interesse erfordert immer noch die Einbeziehung eines Anwalts in den Prozess, um den Ausgleichstest ordnungsgemäß durchzuführen. Es wäre so viel einfacher, wenn wir das nicht tun müssten, weil die Software nicht dazu führt, dass der Browser Anfragen an Dritte sendet (die wir nicht einmal in einer Datenschutzerklärung auflisten oder auf die Datenschutzrichtlinien dieser Dritten verweisen können, da es buchstäblich jeder im Internet sein kann).
Wie von der DSGVO gesehen, sind sie nicht nur Links, da sie vom Browser ohne Benutzeraktion besucht werden.
(Übrigens ziehe ich das nicht aus der Luft, ich arbeite beruflich mit der Einhaltung der DSGVO und habe praktische Erfahrung damit, wie Beschwerden und Bußgelder in der EU funktionieren)
Abgesehen von rechtlichen Diskussionen gibt es Benutzer, die Drittanbieter-Ressourcen speziell blockieren, um ihre IP-Adresse und ihre Surfgewohnheiten nicht an Dritte weiterzugeben. Es wäre schön, wenn Oneboxen für sie funktionieren würden
Abgesehen von rechtlichen Überlegungen denke ich, es wäre nützlich, in diesem Bereich etwas zu tun.
Ich neige jedoch dazu zu sagen, dass die Lösung eher darin besteht, den Benutzer um eine spezifische Opt-in-Bestätigung für die Anzeige externer Medien zu bitten. Eine Reihe von deutschen Websites, die ich besuche, haben die Praxis übernommen, Benutzer speziell danach zu fragen (Beispiel unten).
Ich denke, zusätzlich dazu wären statische Bild-Vorschauen, die direkt vom Discourse-Host bereitgestellt werden, schön, aber ich neige dazu zu sagen, dass die eigentliche Opt-in-Bestätigung der wichtigere Schritt ist.
Beispiel (Golem.de, deutsche IT-Nachrichtenseite):
Ich bin neugierig darauf. Ich kann das Google Font-Problem verstehen, da es für jeden Benutzer erforderlich ist, die Schriftart vom Server von Google abzurufen.
Bei meiner Erfahrung mit einem „Onebox“ bleibt die Link-Vorschau jedoch statisch, es sei denn, Sie bauen das HTML neu. Was ich damit meine. Bei meiner Erfahrung bleibt die Onebox-Vorschau mit denselben Vorschauinformationen erhalten, auch wenn die Quelle die Informationen auf der Seite ändert.
Diese Funktion war praktisch, wenn eine Website die Seiteninformationen drastisch geändert hat. Meine Onebox-Info-Vorschau blieb unverändert, ohne den Beitrag über den Schraubenschlüssel neu zu erstellen.
Ich hatte einige alte Oneboxen, die intakt blieben, obwohl die ursprüngliche verlinkte Website nicht einmal mehr den verlinkten Inhalt enthielt.
Iframes hingegen aktualisieren sich meiner Meinung nach auf die Weise, die Sie identifiziert haben, wie @Jagster als Live-Vorschau beim Anzeigen pro Benutzer erwähnt, da sie Google Fonts abrufen.
Zumindest nach meinem Verständnis. Ich nehme an, Sie müssten auch Einbettungen deaktivieren, sonst?
Ich stelle mir vor, dass ein Plugin erstellt werden könnte, um eine Funktion wie die folgende hinzuzufügen.
Ich kann verstehen, warum mein deutscher Freund hier in Kanada sagt, es sei am besten, die EU zu blockieren.
Wie von @Firepup650 oben erwähnt, ist dies überhaupt nicht der Fall, da Discourse Onebox-Bilder automatisch herunterlädt und bereitstellt, was sogar eine Standardeinstellung ist.
Sie können dies sogar noch strenger gestalten, indem Sie block hotlinked media umschalten.
Das Problem lag bei Google, das die DSGVO nicht eingehalten hat. Das war ein Teil des Falls, warum Google von der EU eine recht hohe Geldstrafe erhalten hat. Aber es war nie ein Problem für die Websites, die Google Font, AdSense usw. nutzten. Deshalb war Google vor Gericht, nicht diejenigen, die diese Dienste anboten.
Ich verstehe die Frustration – viele Dinge, die die EU tut, sind gut gemeint, aber nicht unbedingt gut umgesetzt und erschweren die Dinge für Entwickler oft.
In diesem speziellen Fall gefällt mir, was die Leute implementiert haben, weil es dem Benutzer eine einfache, aber sinnvolle Wahl gibt.
Wenn dies in einem Plugin geschehen kann, umso besser. Ich ging davon aus, dass es im Kern geschehen müsste, da es sich über alle Oneboxen erstreckt.
Gründe oder erfundene Gründe sind langsam vom Thema. Aber diese Vorschriften sind Dinge, die in den USA schmerzhaft sind. Und diese Vorschriften sind notwendig, weil US-Giga-Unternehmen die Privatsphäre der Nutzer überhaupt nicht respektiert haben, weil es in den USA keine Vorschriften gibt. Oder sollte ich jetzt sagen… weil das Leben der Entwickler nicht so kompliziert ist
Also, danken Sie der EU nicht. Schicken Sie Dankeskarten an Google, Amazon, Microsoft, X, Apple usw. Und denken Sie gleichzeitig darüber nach, was sie gemeinsam haben.
Übrigens, ich habe eine Nachricht erhalten, dass ich niemanden unter 13 Jahren in mein Forum lassen soll. Ich werde sie sicher zulassen, auch aus Kalifornien, wenn sie Finnisch lesen können
Ich streite nicht über die Notwendigkeit von Regulierung – alles, was ich sage, ist, dass der Schritt von „wir und unsere 999 vertrauenswürdigen Partner werden Ihre Daten stehlen“ zu einem großen Popup, das besagt „Klicken Sie hier, um zuzustimmen, dass wir und unsere 999 vertrauenswürdigen Partner Ihre Daten stehlen werden“, manchmal wie ein Pyrrhussieg erscheint, und ich kann verstehen, wie das manche Leute verwirrt
Aber zurück zum Hauptthema: @kuba-orlik, wenn das für Sie funktioniert, dann würde ich vorschlagen, die Feature-Anfrage umzuformulieren in „Option zum Erfordern der Zustimmung des Benutzers vor der Anzeige externer Medien bereitstellen“ (ich würde dafür stimmen, dann).
Wenn Sie der Meinung sind, dass die aktuelle Überschrift Ihrer Anfrage besser entspricht, ist das auch in Ordnung. In diesem Fall würde ich wahrscheinlich selbst eine weitere eröffnen.
Nun, es geht zu verrückten Extremen. Soweit ich mich erinnere, muss ein Unternehmen möglicherweise eine Garantie auf z. B. Hardware gewähren, die der Endbenutzer durch Zerlegen und Versuch einer Reparatur beschädigt hat.
Das größere Problem ist, dass es extreme Maßnahmen ergriffen hat, um die Menschen vor reiner Dummheit zu schützen.
Nach meinem Verständnis könnte ein Plugin dies tatsächlich leisten, da es serverseitige Kernelemente modifiziert, im Gegensatz zu einer Theme-Komponente, die Dinge auf der Client-/Browserseite modifiziert; Tamper Monkey-Skripte sind eher wie im Browser installierte Themes/Komponenten. Ich habe früher ein Tamper Monkey-Skript für ein altes Browsergame namens Fallen Sword verwendet, um die Art und Weise zu ändern, wie es Artikel auf dem Markt bestellt.
Interessante Randnotiz: Ich habe keine Benachrichtigungen für dieses Thema erhalten.
