I totally like the QoL oneboxes bring to the Discourse users. However, i stumbled upon the following ‘issue’:
While Youtube for example is embedded via LazyYT and therefore doesn’t load the iframe and attached cookies until the users presses play, this functionally seems to be absent for every other player onebox.
Vimeo for example loads the entire iframe, player and cookies on page load
Therefore my question: Is it planned to replicate the LazyYT functionality on other oneboxes like Vimeo or how would be the best way to go about it on my own. I am aware that i am able to simply blacklist Vimeo and the like which only should be my last resort, though.
I know it is debatable if this is necessary to comply with GDPR, but nonetheless I think better control over embedded 3rd party content would be worthwhile as the LazyYT example shows to some extent.
As I see it every of those iframes transfers IP, and load third-party non-essential cookies for every user (also not registered ones) before they are able to agree with that.
Apart from that especially topics with multiple embeds could run into performance issues when for example 10 players are loading at the same time.
LazyYT does it pretty fine I think, and Preview in post creation. (Option for a 3rd party hint on top of the preview image could be helpful, too)
I’ve noticed a few European websites now let the user decide whether they want to see embedded content. This is especially useful for sites that are known to follow you around the web and build a profile even if you haven’t signed up with them. I’d like to give community members that kind of control over their privacy.
show content from Facebook
Something like this near every embed or in the user preferences might be too much for some, though. A more seamless alternative could be Embetty:
Возможно, первым простым шагом было бы внедрить общую опцию в настройках пользователя для включения/отключения контента сторонних разработчиков, активируя/деактивируя функцию onebox на индивидуальной основе для каждого пользователя?
Нам тоже очень нужна такая опция, но мы не можем её реализовать.
Я нашел эту тему после того, как наши пользователи выразили обеспокоенность. Discourse загружает контент с YouTube (изображение видео) без согласия пользователей… Кроме того, мы не можем предоставить пользователю информацию о том, что произойдет, когда он нажмет на видео. Поэтому я сомневаюсь, что это является действительным согласием на передачу данных в YouTube, поскольку Discourse загружает дополнительные скрипты и прочее с YouTube.
Существует ли какое-либо решение для обеспечения соответствия Discourse требованиям GDPR, кроме отключения OneBox?
Если говорить строго, то встраивание изображений с URL-адресов третьих сторон также является проблематичным. Можно ли это отключить?
С YouTube проблем с GDPR как таковых нет. Просто сообщите пользователям, что ответственность за соблюдение GDPR лежит на третьей стороне — именно это они и должны делать, и YouTube/Google это действительно делают. То же самое, что вы должны делать, например, с Analytics.
TikTok — это гораздо более большой вопрос.
Что касается изображений, насколько мне известно, вы не раскрываете персональные данные.
Если веб-сайт запрашивает ресурсы у третьей стороны через браузер, IP-адрес (по неизбежным причинам) передаётся этой третьей стороне. И оператор этого веб-сайта несёт ответственность за эту передачу данных. Поскольку IP-адрес может использоваться для идентификации физических лиц, он защищён GDPR.
Да, всё настолько просто. IP-адрес не защищён, так как он бесполезен для идентификации человека. Это часть технических данных, которые всегда разрешено использовать и хранить, пока это необходимо.
Не уверен, в какой юрисдикции вы проживаете, но в моей суды уже постановили, что использование Google Fonts без согласия пользователя не соответствует GDPR.
В ссылке, которую я опубликовал выше, есть некоторые детали об альтернативном домене youtube-nocookie.com. Было бы возможно добавить опцию для встраивания видео с этого домена в однобоксы YouTube в Discourse. Ответ команды Discourse в той теме объясняет, почему это еще не реализовано.
Стоит отметить, что даже с доменом youtube-nocookie.com YouTube все еще устанавливает файлы отслеживания в браузере, просто не устанавливает файлы, связанные с маркетингом.
При поиске в интернете примеров сайтов, которые внедрили встроенные видео YouTube с соблюдением GDPR, лучшим из найденных является этот: YouTube and Vimeo without Cookies | CookieTractor. Это от компании, предоставляющей услуги управления файлами cookie, поэтому статья может быть предвзятой. Что интересно в ней, так это демонстрация видео YouTube. Чтобы попробовать, нажмите на ссылку «ваши настройки файлов cookie» на странице и перезагрузите её. Стоит протестировать три возможных варианта файлов cookie, чтобы увидеть, как обрабатываются данные.
Подобное можно было бы реализовать в Discourse. Попытка интегрировать Discourse с системами управления файлами cookie сторонних разработчиков — это боль.
Обратите внимание, что у меня нет сильных мнений по этому поводу, и я не живу в ЕС. Я отвечаю здесь, потому что знаю, что это вопрос, который беспокоит владельцев сайтов, и они испытывают трудности с его реализацией с помощью внешних сервисов.
show content from Facebook
