I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:
While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
Vimeo for example loads the entire iframe, player and cookies on page load
Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.
I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.
As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.
Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.
LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)
I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.
show content from Facebook
Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty: https://github.com/heiseonline/embetty
Maybe a first simple step would be to implement a general option in the user settings to enable/disable 3rd party content, activating/deactivating the onebox feature on a per user base?
We are also craving for an option like this, but are not really able to implement it.
He encontrado este tema después de que nuestros usuarios expresaran su preocupación. Discourse carga contenido de Youtube (la imagen del vídeo) sin el consentimiento de los usuarios… Tampoco podemos mostrar ninguna información al usuario sobre lo que significa cuando hace clic en el vídeo. Por lo tanto, dudo que este sea un consentimiento válido para transmitir información a Youtube, ya que Discourse cargará más scripts, etc. de Youtube.
¿Existe alguna solución para que Discourse cumpla con el RGPD aparte de desactivar OneBoxing?
Estrictamente hablando, incrustar imágenes de URL de terceros también es problemático. ¿Se puede desactivar esto?
Con YouTube no hay problemas per se con el RGPD. Simplemente dile a los usuarios que el tercero es responsable de cumplir con el RGPD — lo que realmente tienen que hacer, y YouTube/Google realmente hacen. Lo mismo que tienes que hacer con Analytics, por ejemplo. TikTok es un signo de interrogación mucho mayor.
Con las imágenes no estás filtrando datos personales, que yo sepa.
Si un sitio web hace que el navegador solicite recursos de un tercero, la IP se transmite (por razones ineludibles) a este tercero. Y el operador de este sitio web es responsable de esa transferencia de datos. Dado que la IP se puede utilizar para identificar a personas, está protegida por el RGPD.
Es por eso que los sitios web se aseguran de alojar fuentes en su propio servidor en lugar de hacer referencia a ellas desde Google Fonts. Solo el primer resultado de Google: Google Fonts and GDPR: How to Stay Compliant? - CookieYes
Sí, es así de simple. Y la IP no está protegida, porque es inútil para identificar a una persona. Es parte de los datos técnicos que siempre se permite usar y almacenar mientras sea necesario.
No estoy seguro de en qué jurisdicción vives, pero en la mía los tribunales ya han dictaminado que el uso de Google Fonts sin el consentimiento del usuario no cumple con el RGPD.
Hay algunos detalles en el enlace que publiqué anteriormente sobre el dominio alternativo youtube-nocookie.com. Sería posible que los oneboxes de YouTube de Discourse ofrecieran una opción para incrustar videos de este dominio. La respuesta del equipo de Discourse en ese tema indica por qué esto aún no se ha implementado.
Vale la pena señalar que incluso con el dominio youtube-nocookie.com, YouTube todavía establece cookies de seguimiento en el navegador, solo que no establece cookies relacionadas con marketing.
Buscando en la web ejemplos de sitios que han implementado videos de YouTube incrustados de manera compatible con GDPR, lo mejor que he encontrado es esto: YouTube and Vimeo without Cookies | CookieTractor. Es de una empresa que ofrece un servicio de gestión de cookies, por lo que posiblemente eso sesgue el artículo. Lo interesante de él es la demostración del video de YouTube. Para probarlo, haga clic en el enlace “tus configuraciones de cookies” de la página y recarga la página. Vale la pena probar las tres opciones de cookies posibles para ver cómo se manejan las cosas.
Algo similar podría ser implementado por Discourse. Intentar integrar Discourse con sistemas de gestión de cookies de terceros es un dolor de cabeza.
Tenga en cuenta que no tengo ninguna opinión firme al respecto y no vivo en la UE. Estoy respondiendo aquí porque sé que es algo que preocupa a los propietarios de sitios y que han tenido dificultades para implementar utilizando servicios externos.
show content from Facebook
