I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:
While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
Vimeo for example loads the entire iframe, player and cookies on page load
Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.
I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.
As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.
Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.
LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)
I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.
show content from Facebook
Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty: https://github.com/heiseonline/embetty
Maybe a first simple step would be to implement a general option in the user settings to enable/disable 3rd party content, activating/deactivating the onebox feature on a per user base?
We are also craving for an option like this, but are not really able to implement it.
Encontrei este tópico após preocupações terem sido levantadas por nossos usuários. O Discourse carrega conteúdo do Youtube (a imagem do vídeo) sem o consentimento dos usuários… Além disso, não podemos mostrar nenhuma informação ao usuário sobre o que significa quando ele/ela clica no vídeo. Portanto, duvido que este seja um consentimento válido para transmitir informações ao Youtube, pois o Discourse carregará mais scripts, etc. do Youtube.
Existe alguma solução para tornar o Discourse compatível com o GDPR além de desativar o OneBoxing?
Estritamente falando, incorporar imagens de URLs de terceiros também é problemático. Isso pode ser desativado?
Com o YouTube não há problemas per se com o GDPR. Apenas diga aos usuários que terceiros são responsáveis por seguir o GDPR — o que eles realmente têm que fazer, e o YouTube/Google realmente fazem. A mesma coisa que você tem que fazer com o Analytics, por exemplo. O TikTok é um ponto de interrogação muito maior.
Com imagens você não está vazando dados pessoais, tanto quanto sei.
Se um site faz com que o navegador solicite recursos de terceiros, o IP é (por razões inevitáveis) transmitido a esse terceiro. E o operador deste site é responsabilizado por essa transferência de dados. Como o IP pode ser usado para identificar indivíduos, ele é protegido pelo GDPR.
Sim, é simples assim. E o IP não é protegido, pois é inútil para identificar uma pessoa. Faz parte de dados técnicos que são sempre permitidos de usar e armazenar enquanto necessário.
Não tenho certeza em qual jurisdição você mora, mas na minha os tribunais já decidiram que usar Google Fonts sem o consentimento do usuário não está em conformidade com o GDPR.
Há alguns detalhes no link que postei acima sobre o domínio alternativo youtube-nocookie.com. Seria possível para os oneboxes do Youtube do Discourse oferecerem uma opção para incorporar vídeos deste domínio. A resposta da equipe do Discourse nesse tópico indica por que isso ainda não foi implementado.
Vale notar que, mesmo com o domínio youtube-nocookie.com, o Youtube ainda define cookies de rastreamento no navegador, apenas não define cookies relacionados a marketing.
Pesquisando na web por exemplos de sites que implementaram vídeos incorporados do Youtube de forma compatível com o GDPR, o melhor que encontrei foi este: YouTube and Vimeo without Cookies | CookieTractor. É de uma empresa que gerencia cookies, então talvez isso influencie o artigo. O interessante nele é a demonstração do vídeo do Youtube. Para testar, clique no link “suas configurações de cookie” da página e recarregue a página. Vale a pena experimentar as três opções de cookie possíveis para ver como as coisas são tratadas.
Algo semelhante poderia ser implementado pelo Discourse. Tentar integrar o Discourse com sistemas de gerenciamento de cookies de terceiros é uma dor de cabeça.
Note que não tenho opiniões fortes sobre isso e não moro na UE. Estou respondendo aqui porque sei que é algo que os proprietários de sites se preocupam e têm tido dificuldade em implementar usando serviços externos.
show content from Facebook
