Onebox Iframe/Cookies e.g. Vimeo (GDPR)

I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:

• While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
• Vimeo for example loads the entire iframe, player and cookies on page load

Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.

I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.

I know we are all dealing with lots of GDPR edge cases, but not sure what the Iframe risk is? AFAIK Iframe cannot access parent cookies?

I may be wrong of course…

As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.

Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.

LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)

I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.

show content from Facebook

Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty:
https://github.com/heiseonline/embetty

Have you found a solution to implement this in Discourse? I would also be interested in it.

No, I haven’t tried because of a severe lack of skills.

Maybe a first simple step would be to implement a general option in the user settings to enable/disable 3rd party content, activating/deactivating the onebox feature on a per user base?

We are also craving for an option like this, but are not really able to implement it.

Unfortunately that is not enough. As anonymous traffic falls also under GDPR.

This is what most websites do currently in the EU:

Before clicking the switch:

image625×548 38.7 KB

After clicking the switch:

image620×590 142 KB

لقد عثرت على هذا الموضوع بعد إثارة مخاوف من قبل مستخدمينا. يقوم Discourse بتحميل المحتوى من Youtube (صورة الفيديو) دون موافقة المستخدمين… كما لا يمكننا إظهار أي معلومات للمستخدم عما يعنيه ذلك عندما ينقر على الفيديو. لذلك أشك في أن هذه موافقة صالحة لنقل المعلومات إلى Youtube حيث سيقوم Discourse بتحميل المزيد من البرامج النصية وما إلى ذلك من Youtube.

هل هناك أي حل لجعل Discourse متوافقًا مع اللائحة العامة لحماية البيانات (GDPR) بخلاف تعطيل OneBoxing؟

بشكل صارم، فإن تضمين الصور من عناوين URL الخاصة بأطراف ثالثة يمثل مشكلة أيضًا. هل يمكن تعطيل هذا؟

مع يوتيوب لا توجد مشاكل بحد ذاتها مع اللائحة العامة لحماية البيانات. فقط أخبر المستخدمين أن الطرف الثالث مسؤول عن اتباع اللائحة العامة لحماية البيانات - وهو ما يتعين عليهم فعله بالفعل، وما يفعله يوتيوب/جوجل بالفعل. نفس الشيء الذي يتعين عليك فعله مع التحليلات، على سبيل المثال. تيك توك علامة استفهام أكبر بكثير.

مع الصور لا تسرب بيانات شخصية على حد علمي.

عذرًا، ولكن لا. الأمر ليس بهذه البساطة.

إذا كان موقع الويب يطلب من المتصفح موارد من طرف ثالث، يتم نقل عنوان IP (لأسباب لا مفر منها) إلى هذا الطرف الثالث. ويصبح مشغل هذا الموقع مسؤولاً عن نقل هذه البيانات. وبما أن عنوان IP يمكن استخدامه لتحديد الأفراد، فهو محمي بموجب اللائحة العامة لحماية البيانات (GDPR).

لهذا السبب تتأكد المواقع من استضافة الخطوط على خوادمها الخاصة بدلاً من الإشارة إليها من Google Fonts. فقط أول نتيجة من جوجل: Google Fonts and GDPR: How to Stay Compliant? - CookieYes

نعم، الأمر بهذه البساطة. ولا يتم حماية عنوان IP، لأنه عديم الفائدة لتحديد هوية شخص ما. إنه جزء من البيانات التقنية التي يُسمح دائمًا باستخدامها وتخزينها طالما لزم الأمر.

لست متأكدًا من الولاية القضائية التي تعيش فيها، ولكن في ولايتي القضائية، قضت المحاكم بالفعل بأن استخدام خطوط Google دون موافقة المستخدم لا يتوافق مع اللائحة العامة لحماية البيانات (GDPR).

على حد علمي، هذا مصدر قلق مشروع. لقد تم طرحه سابقًا على Meta: Embed YouTube videos with enhanced privacy mode (youtube-nocookie.com). وهو أيضًا شيء حاولت مساعدة مالكي المواقع فيه عبر الدعم الخاص في الماضي.

هناك بعض التفاصيل في الرابط الذي نشرته أعلاه حول النطاق البديل youtube-nocookie.com. سيكون من الممكن لـ Discourse Youtube oneboxes توفير خيار لتضمين مقاطع الفيديو من هذا النطاق. يشير رد فريق Discourse في هذا الموضوع إلى سبب عدم تنفيذ هذا حتى الآن.

قد يكون من الجدير بالذكر أنه حتى مع نطاق youtube-nocookie.com، لا يزال يوتيوب يقوم بتعيين ملفات تعريف الارتباط للتتبع على المتصفح، ولكنه لا يقوم بتعيين ملفات تعريف الارتباط المتعلقة بالتسويق.

بالبحث في الويب عن أمثلة للمواقع التي قامت بتضمين مقاطع فيديو يوتيوب بطريقة متوافقة مع اللائحة العامة لحماية البيانات (GDPR)، أفضل ما وجدته هو هذا: YouTube and Vimeo without Cookies | CookieTractor. إنه من شركة تدير خدمة إدارة ملفات تعريف الارتباط، لذا ربما يكون هذا المقال متحيزًا. الشيء المثير للاهتمام فيه هو عرض فيديو يوتيوب. لتجربته، انقر على رابط “إعدادات ملفات تعريف الارتباط الخاصة بك” في الصفحة وأعد تحميل الصفحة. من المفيد تجربة خيارات ملفات تعريف الارتباط الثلاثة الممكنة لمعرفة كيفية التعامل مع الأمور.

يمكن تنفيذ شيء مشابه بواسطة Discourse. محاولة دمج Discourse مع أنظمة إدارة ملفات تعريف الارتباط الخارجية أمر مؤلم.

لاحظ أنني لا أملك أي آراء قوية حول هذا الأمر ولا أعيش في الاتحاد الأوروبي. أنا أستجيب هنا لأنني أعرف أن هذا شيء يقلق مالكي المواقع وقد كافحوا لتطبيقه باستخدام خدمات خارجية.