I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:
While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
Vimeo for example loads the entire iframe, player and cookies on page load
Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.
I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.
As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.
Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.
LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)
I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.
show content from Facebook
Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty: https://github.com/heiseonline/embetty
Maybe a first simple step would be to implement a general option in the user settings to enable/disable 3rd party content, activating/deactivating the onebox feature on a per user base?
We are also craving for an option like this, but are not really able to implement it.
Ho trovato questo argomento dopo che sono state sollevate preoccupazioni dai nostri utenti. Discourse carica contenuti da Youtube (l’immagine del video) senza il consenso degli utenti… Inoltre, non possiamo mostrare alcuna informazione all’utente su cosa significhi quando fa clic sul video. Quindi dubito che questo sia un consenso valido per trasmettere informazioni a Youtube poiché Discourse caricherà altri script ecc. da Youtube.
Esiste una soluzione per rendere Discourse conforme al GDPR oltre alla disattivazione di OneBoxing?
A rigor di termini, anche l’incorporamento di immagini da URL di terze parti è problematico. È possibile disabilitarlo?
Con YouTube non ci sono problemi per così dire con il GDPR. Basta dire agli utenti che terze parti sono responsabili del rispetto del GDPR — cosa che in realtà devono fare, e che YouTube/Google fanno effettivamente. La stessa cosa che devi fare con Analytics, per esempio. TikTok è un punto interrogativo molto più grande.
Con le immagini non si divulgano dati personali per quanto ne so.
Se un sito web richiede al browser di richiedere risorse da terze parti, l’IP viene (per ragioni inevitabili) trasmesso a questa terza parte. E l’operatore di questo sito web è ritenuto responsabile di tale trasferimento di dati. Poiché l’IP può essere utilizzato per identificare gli individui, è protetto dal GDPR.
Sì, è così semplice. E l’IP non è protetto, perché è inutile per identificare una persona. Fa parte dei dati tecnici che è sempre consentito utilizzare e archiviare finché necessario.
Non sono sicuro di quale giurisdizione tu viva, ma nella mia i tribunali hanno già stabilito che l’uso di Google Fonts senza il consenso dell’utente non è conforme al GDPR.
Ci sono alcuni dettagli nel link che ho postato sopra riguardo al dominio alternativo youtube-nocookie.com. Sarebbe possibile per i onebox di Discourse per Youtube offrire un’opzione per incorporare video da questo dominio. La risposta dal team di Discourse in quell’argomento indica perché non è stato ancora implementato.
Vale la pena notare che anche con il dominio youtube-nocookie.com, Youtube imposta ancora cookie di tracciamento sul browser, semplicemente non imposta cookie relativi al marketing.
Cercando sul web esempi di siti che hanno implementato video Youtube incorporati in modo conforme al GDPR, il meglio che ho trovato è questo: YouTube and Vimeo without Cookies | CookieTractor. È di un’azienda che gestisce un servizio di gestione dei cookie, quindi forse questo bias l’articolo. Ciò che è interessante è la demo del video di Youtube. Per provarlo, fai clic sul link “le tue impostazioni sui cookie” della pagina e ricarica la pagina. Vale la pena provare le tre opzioni di cookie possibili per vedere come vengono gestite le cose.
Qualcosa di simile potrebbe essere implementato da Discourse. Cercare di integrare Discourse con sistemi di gestione dei cookie di terze parti è un problema.
Nota che non ho opinioni forti su questo e non vivo nell’UE. Rispondo qui perché so che è qualcosa che preoccupa i proprietari di siti e che hanno faticato a implementare utilizzando servizi esterni.
show content from Facebook
