Názory k článku
Vkládání Google Fonts do webů může porušovat GDPR, řekl německý soud

Tohle je ukázka vylévání dítěte s vaničkou.
Úplně chápu, proč jsou vkládány fonty z Google Fonts a nikoliv z lokální adresy toho serveru - je tak jistota, že budou vždycky správně. Na druhou stranu to bez předání IP adresy rozumně udělat nejde (leda nastavit proxy).
Principem hypertextu je od začátku sbírání zdrojů z různých stran - a zakazovat to jen proto, aby se někam nedostala IP adresa jde dost proti této myšlence. V podstatě je to snaha rozsekat Internet (ten s velkým "I") na (GDPR svoleními, právnicky) isolované sítě. Jen se tím tak nějak rozbíjí ta původně zamýšlená funkčnost.
Ve jménu letitého vtipu: Na Internetu nikdo neví, že jsi pes.

Úplně chápu, proč jsou vkládány fonty z Google Fonts a nikoliv z lokální adresy toho serveru - je tak jistota, že budou vždycky správně.
Z lokální adresy toho serveru nebudou vkládány správně? Byl by takový problém na většině webů používat standardní fonty?

Otázka spíš je, dokáže podle toho google trackovat chování uživatele a na které stránky se díval ? Pak by ta pokuta smysl měla

Největší problém je to, že lidi co tomu nerozuměj si usmyslili, že IP adresa je osobní údaj. Můžeme se vykašlat na cookies a nepoužívat je, ale IP je základním piliřem fungování internetu a bez IP to nejde.

Dokud si vystačíte se "serif", "sans-serif"... - pak možná. Ale pak to bude pokaždý vypadat úplně jinak.
Designéři se prostě naučili spoléhat na googleovské fonty, protože jsou "vždy při ruce", protože Google věnoval spoustu práce a peněz do jejich přípravy. I když pominu problematiku licence na jejich použití, tak je prostě nejjednodušší na ně odkázat - a v podstatě věřit, že už beztak budou v cache, protože "to tak dělají všichni". (Kdyby měl každý web lokální kopii téhož, tak se bude pořád stahovat totéž, znova, znova, a znova - dokonce i když to jen "proženete proxy".)
To vše jen proto, aby se Google "náhodou" nedozvěděl IP adresu...

To by mě zajímalo jaký má názor tento soud na JS od Google, tedy na JQuery (dobře tu lze stáhnout a hodit lokálně), ale třeba Google Charts, které je licenčně (Googlem) zakázané stahovat a spouštět lokálně; Co API - Google Maps, Google OAuth, Google Sign-in…?

Ale to není jen Google, to když se podívám jen na tuto stránku tak je tam JS stahovaný od: Adobe, Caroda.io.

A to nemluvím o obrázcích odkud se všude mohou stahovat (jaký je rozdíl mezi obrázkem a fontem?) Pokud použiji obrázek, který se stáhne z nějaké jiné site, tak přeci předávám IP toho človíčka té stránce ze které on tahá pak ten obrázek...

Rozhodnutí to je přelomové ale s ohledem na pokutu předpokládám, že nedojde k odvolání, protože tento rozsudek by potřeboval potvrzení u nějaké nejvyšší instance. Samo o sobě to znamená, že stránka musí mít vše od obrázků, přes fonty, java-scripty, ale i videa buď na stejné site, nebo musí fungovat jako proxy pro přístup k tomuto anebo na to musí mít souhlas…

(Ironie) Aby náhodou stránka neposlala onoho nebohého GDPR postiženého uživatele někam jinam. Nejlepší je zabezpečit každý odkaz mimo site výslovným a 3x krví podepsaným souhlasem. A pro jistotu si na každou stránku nechat zpracovat od právníků posouzení, zda náhodou nevede na servery mimo EU a zda je na stránce každý prvek skutečně nutný.

Souhlas, až na tu cache. Před pár měsící to začali prohlížeče blokovat jako možnou bezpečnostní hrozbu. TJ načte se vždy znova pokud je voláno z jiného webu. Používat vzdalené fonty už tedy z tohoto pohledu nemá význam.

Hlavně je to render blocking věc (i když lze nastavit fallbacky), může to zpomalovat vykreslení webu.

Co je na nich standardniho?
Jestli některé jsou na 99% Windows i Mac, tak by si z nich tvůrce stránek mohl vybrat, ne? A když to bude třeba nějaký neonacistický web, tak si holt ten Schwabach.ttf stáhne :-)

A jaký je to standardní font?

Co je na nich standardniho? Ta stranka ukazuje akorat pravdepodobnosti, s jakou bude mit uzivatel font v PC. Kdyz chce tvurce stranek, aby se zobrazovaly vsem stejne, tak jim ten font proste musi nejak nacpat, pres to vlak nejede. A dalsi dost podstatna vec je, ze chces co nejrychlejsi nacitani stranek, takze(pokud je to mozne) je idealni pouzivat nejake rozsirene fonty, ktere uz ma uzivatel natazene z jinych stranek - a ty google fonty jsou dost mozna nejrozsirenejsi. Kdyz si je stahnu a budu servirovat z vlastni IP(nevim jestli to vubec jejich licence umoznuje), tak o tuhle vyhodu prijdu.

Přijde mi, že - pokud to nemá nějak jednoznačně identifikované - toho Google moc zjistit nemůže. Samotná IP adresa je k ničemu. Předpokládám, že potřebuje "vedle toho" mít ještě nějakou analytiku, ale pak je informace o tom, jestli potřebujete i font, trochu nadbytečná, protože ta IP adresa bude už tam.
Tedy: pokud ta stránka používá od Google POUZE ten font, moc se toho Google nedozví; pokud je tam zapnuté něco dalšího, například reklamy, "přihlašte se...", analytika, apod., tak už má Google stejně dost informací z jiných zdrojů - včetně oné IP adresy - a více nepotřebuje.
A to pomíjím skutečnost, že v proNATovaném IPv4 je ta IP adresa úplně k ničemu a důležité jsou informace, které člověka identifikují přesněji.

IP jako osobní údaj a přitom základ internetu nejsou ve sporu. Podstata je opět v tom, k čemu je ta IP použita. Její použití na stažení fontu je v pořádku, ale nedivím se, že si mnozí myslejí, že to nesmí být stažení fontu od Googleu, protože u něj platí presumpce viny a je vhodné nepromarnit kteroukoliv příležitost dát mu přes rypák. Dostalo se to do extrému, ale Google si za to koneckonců může sám.

Podstata je opět v tom, k čemu je ta IP použita.
Zkusme na chvíli přirovnat IP adresu k adrese sídla firmy:
Poprosím sekretářku, aby mi sehnala tištěný katalog firmy A. Sekretářka tedy napíše na adresu firmy A dopis s žádostí o katalog a sdělí jim adresu, na kterou mají katalog zaslat. To je v pořádku.

Spolu s katalogem přijde několik dotazníků, od firem B, C a D. Dále informace, že pro snazší prohlížení katalogu si máme napsat do firmy E o jakousi pomůcku a že pro obrázky ke katalogu si máme napsat do firem F a G. Sekretářka tedy všem těm firmám napíše a pilně jim sdělí naši adresu.

Do neškodné transakce "zaslání katalogu" je tak zbytečně zahrnuto několik dalších firem, které s tím nemají vůbec nic společného. A k čemu? Aby si mohly na naši firmu vést složku?

A když s tím nesouhlasím, mám uvádět adresu místní pošty nebo prostředníka a zadat sekretářce, kterým firmám smí psát a kterým ne?

Ono úplně stačí hloupě provedené odsouhlasení cookies... Já už letos potkal několik stránek, které se dožadují potvrzení či nastavení pravidel oknem přes celou (či skoro celou) stránku - ale bez zapnutého JavaScriptu nelze provést ani jedno. A protože scripty mám obvykle pozakazované... - tak už se ani nepodívám na jízdní řád místní dopravy. (Tímto zdravím naše "bezpečáky".)
Další oblíbený postup je ukládat informace o nastavení cookies - do cookies. To funguje v lepším případě jen do ukončení prohlížeče, protože pak se mi cookies vymažou. (Perfektně to otráví použití Googlu...)
A když (německým) úřadům tak vadí vkládané fonty, zajímalo by mne, zda jim stejně bude vadit i oblíbená CAPTCHA ze stránek Google, bez které se například (v Česku) ani nepřihlásíte k očkování. (Oblíbená technika: vložit JavaScriptem, takže pokud je vypnutý, ani nevíte, proč ten formulář nejde odeslat.)
Že jim vaděj ausgerecht zrovna ty písmenka...?

Jsem toto nedávno zkoumal a Google tam má netriviální přidanou hodnotu, kterou si docela chrání. Stáhnout lze pouze formát ttf, ne woff / woff2. Dále pak Google má ve svém CDN fonty rozřezané podle různých znakových sad, abyste nemuseli stahovat např. celý font s českou znakovou sadou, pokud ji na stránce nepoužíváte. Toto už není jednoduché replikovat z lokálního serveru bez nějaké vícepráce. A je nepochybné, že Google to využívá pro svou analytiku.

Němci jsou v tomto ohledu opravdu napřed, legalizace adblocku, teď i tohle.

By mě zajímalo jak se tedy německý soud bude tvářit na ty desítky používané cookies řešení typu cookiebot, či i třeba vestavěný cookie dialog od googlu v rámci adsense (lze snadno zapnout), který také splňujě IAB standard. Logicky se načte ještě před udělením souhlasu a uživatele si dle IP prolustruje zda na něj dle IP (lokace) platí GDPR ci jiný zákon jiné země. To kde je toto řešení hostováno je nezjistitelné, IP se mě může jevit jako místní, ale jinému jako z USA.

Pokud si svévolně blokujete něco u načítání webových stránek, je to již Vaše volba. Pokud se Vám tam něco nezobrazí či zobrazí špatně, můžete si za to v zásadě sám.
A pokud navštěvujete "dementní" weby, můžete si za to také sám :-)

Pokud věřím serveru "lupa.cz", neznamená to, že musím (všeobecně) věřit i "fonts.google.com", "gstatic,cim", "googlesyndica­tion,com", "googletagmana­ger.com"... - rozhodně ne natolik, abych odtamtud spouštěl "neprověřené" scripty.
Vtip je v tom, že nelze nastavit "tady tomu věřím, ale na jiných webech už ne".

Lépe napsané weby - když už tedy vyžadují JavaScript - tak to aspoň napíší. Některé autory webů zřejmě ani nenapadne, že by snad někdo neměl povolený JS.

Že jim vaděj ausgerecht zrovna ty písmenka...?
Říká se, "kde není žalobce, tam není soudce". Někdo tedy dal podnět a soud to vyhodnotil. Když dá někdo jiný podnět k Vámi uvedeným věcem, soud to patrně také vyhodnotí.

A přitom by stačilo, aby stránka s jízdními řády obsahovala JEN jízdní řády, atd...

Třeba tyhle?
https://www.cssfontstack.com

a co stovky různých androidů?
To nevím, ale předpokládám, že také mají "standardní fonty". Jinak by android bez připojení k internetu nemohl zobrazit ani SMSku :-)

Možná by stálo za to mít možnost poslat jméno + velikost + hash (asi by stačilo MD5 v tomto případě) a podle toho kouknout, jestli to náhodou není cachované - a teprv pak stahovat. (Teda pokud to tak už nefunguje - tuhle problematiku jsem úspěšně míjel.)
Každopádně: pokud to prohlížeče začaly blokovat před pár měsíci, je nejspíš web stále plný stránek, které to používají...

Používám uBlock pravidlo * no-remote-fonts-true a nevadí mi to "standartní písmo". (Což je silnější než * fonts.googlea­pis.com block)
Co ale je fakt hloupé když web používá na ikonky fonty, takže místo ikonek je prázdné místo... Ale většinou stačí povolit ty fonty i kdyžo z domény google zůstanou zakázané

Akorát tedy německy neumím a z článku to není patrné, ale jakože aktivně odesílá IP adresu v rámci "nějakého" telemarketrie" nebo "z podstaty" věci stahování pomocí IP protokolu z serverů google.?

Akorát toto pokuteční šílenenství je něco jako cancel culture a snowflake protection. KDomu se nelíbí předávání IP adres, ať si google zablokuje.

31. 1. 2022, 20:32 editováno autorem komentáře

Přesně, s tím souhlasím. Nechápu lidi co blokujou reklamy, blokujou fonty, blokujou scripty na webech, na které pravidelně chodí. Vidím v tom náznak psychycké poruchy, číst něco na stránkách (v zásadě tomu věřit či tomu dávat důležitost) ale zároveň ty stránky neuznávat a něco si z nich filtrovat.

Beztak mne Google od robota nerozezná.
To já mám zase pocit, že jak má Google chapadla skoro všude, tak by mohl bezpečně vědět, že nejsem robot. Moc bych se nedivil, kdyby mi napsal i mou krevní skupinu. Jenže tím by se prozradil a někteří méně paranoidní lidé by byli překvapeni, začali by panikařit a svolávat na Google další regulace :-)

No v principu mezi Google Fonts a třeba Google Analytics není žádný rozdíl. V obou případech se musí načíst externí soubor uložený mimo vlastníkův server. Obecně to vlastně platí pro jakékoli externí volání.

Jde o to, že když si uživatel stáhne stránku, tak předpokládá, že IP adresu bude znát pouze vlastník webu a nikdo jiný. Jakmile ale autor do stránky vloží externí požadavek (script, font, obrázek apod), tak už do toho de facto vstupuje třetí strana, protože ten externí prvek se nachází někde úplně jinde u cizího serveru. A ta třetí strana se rovněž dozví IP adresu. Tedy tak nějak proti vůli uživatele, který netuší, že i někdo jiný může znát jeho IP adresu.
V zásadě, že si externí požadavek vezme IP adresu, není nic špatného a je to vlastnost internetu. Problém je pouze v tom, že si nikdo není jistý, co s požadavkem třetí strana dělá. Jestli jako nic, že server jen na základě požadavku dodá daný soubor. Nebo se pod požadavkem skrývá i nějaký analytický skript, který z požadavku vytěží víc než jen adresu.
A o to jde. Google se snaží získat všemožná data. Tak je oprávněná pochybnost, zda při požadavku o Google Font nedochází na serveru k vytěžování dat (IP adresa, prohlížeč, hlavičky a tak dále).

a co stovky různých androidů?

Díval jsem se, že root mě odkazuje sem:
https://fonts.googleapis.com/css?family=PT%20Sans%3A400%2C700&subset=latin-ext&display=swap

Pokud si svévolně blokujete něco u načítání webových stránek, je to již Vaše volba. Pokud se Vám tam něco nezobrazí či zobrazí špatně, můžete si za to v zásadě sám.

Když se zastavím u těch jízdních řádů: ty stránky v podstatě cookies nepotřebují - i se zablokovanými fungovaly dost dobře a pro vyhledání jízdního řádu to není opravdu potřeba (pro jiné činnosti jsou nutné).
Problém není ani tak v tom, že bych jim nechtěl dát souhlas, ale že to udělat nemohu (pokud se naši administrátoři nerozhodnou revidovat seznam webů, kde těm scriptům věří - a nepřidají tam i tohle). Přitom bez scriptů je využitelnost cookies pro ten server poměrně dost omezena.
Jenže: jak nejsem, coby jednotlivec, zajímavý se svými požadavky pro administrátory, tím méně jsem zajímavý pro onen dopravní podnik. Když vy nevěříte našemu webu, my nevěříme vám a na stránky vás nepustíme. A pokud upozorním tvůrce těch webovek: Nejste objednavatel, rádi to opravíme, pokud nám za to zaplatí.
A poznámka: tady se si bez Google fontů obešli...

Tohle je hra, kterou prostě neumím vyhrát. Někdy mne to po několika (deseti?) pokusech "vykopne", někdy si s tím hraju hodinu, ale obvykle to vzdám dřív.
Chybí mi tam zaškrtávátko "jsem robot", které by mne pustilo dál. Beztak mne Google od robota nerozezná.

Tomu houby rozumim, tak se ptam: jakto ze se googlu "predava" ip adresa?
Taky tomu houby rozumím, ale představuji si, že když si chci stáhnout ze serveru Googlu soubor s fontem či CSS, musím mu předat svou IP adresu, aby věděl, kam mi ten soubor má zaslat. Google se tedy dozví, že tehdy tato IP adresa požádala o tyto soubory a může si to porovnat s dalšími záznamy o této IP adrese. Každá informace se hodí...

Podle mě Google atd. může sledovat uživatele na základě jednoduchého požadavku na font atd.

Příklad požadavku:

GET /s/opensans/v27/­...woff2 HTTP/2
Host: fonts.gstatic.com
User-Agent: Mozilla/5.0 (Windows NT 1.2; Win64; x64; rv:1.2) Gecko/datum Firefox/1.2
Accept: application/font-woff2;q=1.0,ap­plication/font-woff;q=0.9,*/*;q=0­.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: identity
Origin: https://rankingedge.com
DNT: 1
Connection: keep-alive
Sec-Fetch-Dest: font
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Sec-GPC: 1
Via: 1.1 IpwebuZde
X-Forwarded-For: IpwebuZde
TE: trailers

takže počítám, že díky tomu může vědět jakou stránku jsem navštívil, kdy, z jaké IP adresy, pomocí kterého OS a které verze prohlížeče. Pak si to spojí s dalšími daty pro lepší obrázek o uživateli.

Podle mě je lepší z hlediska soukromí mít vše na vlastním web serveru (nenačítat z googlu, facebooku a dalších profláklých sledovačů).

Zajímalo by mě v čem se liší Cloudflare od vkládání google fontů, protože používání Cloudflare může být mnohem závažnější riziko ohledně soukromí.

6. 2. 2022, 10:02 editováno autorem komentáře

Pokuta ano, ale pokuta pro Google.

Tedy: pokud ta stránka používá od Google POUZE ten font, moc se toho Google nedozví;
Jistě, když se toho nemůže dozvědět více, dozví se aspoň toto.
Aneb: "V nouzi čert i mouchy lapá" :-)

Možná je to namířené opačným směrem - Google tím může rychle objevovat nové stránky a ty pak indexovat.

Google captcha sloužící Alphabetu k rozpoznávání obrázků a autonomnímu řízení mi vadí hodně. Ještě víc mi vadí, když mě ta captcha nutí lhát, tuhle chtěla zaškrtnout čtverečky s přechody pro chodce, ale žádný tam nebyl, jen nějaký varovný nápis přes vozovku. A zrovna tenhle úkol nešel přeskočit. Asi čtvrt hodiny jsem hledal, jak nahlásit vadnou captchu a hlavně komu, ale pak jsem to z lenosti vzdal, označil jsem nápis jako přechod pro chodce a dostal se dál…

Tomu houby rozumim, tak se ptam: jakto ze se googlu "predava" ip adresa? Protoze kdyz chci pouzit google pisma, tak do sve vlastni webove stranky jen pridam odkaz na ta pisma. Neco jako informaci 'pisma si stahni odtud'. To ze uzivateluv internetovy prohlizec si ta pisma z webu googlu stahne je uz jen uzivateluv problem, ne?
Pod slovy 'predava' bych chapal neco jako ze moje webova stranka posle IP adresu primo googlu bez uzivatelova vedomi. Ale tohle se nedeje ne? Nebo jo?

Priklad jak dat google pisma do sveho webu je treba tohle:
<link rel="preconnect" href="https:/­/fonts.google­apis.com">
<link rel="preconnect" href="https:/­/fonts.gstatic­.com" crossorigin>
<link href="https:/­/fonts.google­apis.com/css2?fa­mily=Montserrat:i­tal,wght@1,200&fa­mily=Roboto:wght@300&­display=swap" rel="stylesheet">

Koliduje to trochu s nařízením EU, aby operátoři sledovali přidělování IP adres, ti to pokud možno řeší statickým přidělením... Tak všichni hurá za NAT a je to, googlu se to poplete. Nebo on vlastně má ty cookie ?

1. 2. 2022, 22:33 editováno autorem komentáře