Vlákno názorů k článku
Vkládání Google Fonts do webů může porušovat GDPR, řekl německý soud od RRŠ - Tohle je ukázka vylévání dítěte s vaničkou. Úplně chápu,...

Tohle je ukázka vylévání dítěte s vaničkou.
Úplně chápu, proč jsou vkládány fonty z Google Fonts a nikoliv z lokální adresy toho serveru - je tak jistota, že budou vždycky správně. Na druhou stranu to bez předání IP adresy rozumně udělat nejde (leda nastavit proxy).
Principem hypertextu je od začátku sbírání zdrojů z různých stran - a zakazovat to jen proto, aby se někam nedostala IP adresa jde dost proti této myšlence. V podstatě je to snaha rozsekat Internet (ten s velkým "I") na (GDPR svoleními, právnicky) isolované sítě. Jen se tím tak nějak rozbíjí ta původně zamýšlená funkčnost.
Ve jménu letitého vtipu: Na Internetu nikdo neví, že jsi pes.

Otázka spíš je, dokáže podle toho google trackovat chování uživatele a na které stránky se díval ? Pak by ta pokuta smysl měla

Podle mě Google atd. může sledovat uživatele na základě jednoduchého požadavku na font atd.

Příklad požadavku:

GET /s/opensans/v27/­...woff2 HTTP/2
Host: fonts.gstatic.com
User-Agent: Mozilla/5.0 (Windows NT 1.2; Win64; x64; rv:1.2) Gecko/datum Firefox/1.2
Accept: application/font-woff2;q=1.0,ap­plication/font-woff;q=0.9,*/*;q=0­.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: identity
Origin: https://rankingedge.com
DNT: 1
Connection: keep-alive
Sec-Fetch-Dest: font
Sec-Fetch-Mode: cors
Sec-Fetch-Site: cross-site
Sec-GPC: 1
Via: 1.1 IpwebuZde
X-Forwarded-For: IpwebuZde
TE: trailers

takže počítám, že díky tomu může vědět jakou stránku jsem navštívil, kdy, z jaké IP adresy, pomocí kterého OS a které verze prohlížeče. Pak si to spojí s dalšími daty pro lepší obrázek o uživateli.

Podle mě je lepší z hlediska soukromí mít vše na vlastním web serveru (nenačítat z googlu, facebooku a dalších profláklých sledovačů).

Zajímalo by mě v čem se liší Cloudflare od vkládání google fontů, protože používání Cloudflare může být mnohem závažnější riziko ohledně soukromí.

6. 2. 2022, 10:02 editováno autorem komentáře

Úplně chápu, proč jsou vkládány fonty z Google Fonts a nikoliv z lokální adresy toho serveru - je tak jistota, že budou vždycky správně.
Z lokální adresy toho serveru nebudou vkládány správně? Byl by takový problém na většině webů používat standardní fonty?

A jaký je to standardní font?

Třeba tyhle?
https://www.cssfontstack.com

Co je na nich standardniho? Ta stranka ukazuje akorat pravdepodobnosti, s jakou bude mit uzivatel font v PC. Kdyz chce tvurce stranek, aby se zobrazovaly vsem stejne, tak jim ten font proste musi nejak nacpat, pres to vlak nejede. A dalsi dost podstatna vec je, ze chces co nejrychlejsi nacitani stranek, takze(pokud je to mozne) je idealni pouzivat nejake rozsirene fonty, ktere uz ma uzivatel natazene z jinych stranek - a ty google fonty jsou dost mozna nejrozsirenejsi. Kdyz si je stahnu a budu servirovat z vlastni IP(nevim jestli to vubec jejich licence umoznuje), tak o tuhle vyhodu prijdu.

Dokud si vystačíte se "serif", "sans-serif"... - pak možná. Ale pak to bude pokaždý vypadat úplně jinak.
Designéři se prostě naučili spoléhat na googleovské fonty, protože jsou "vždy při ruce", protože Google věnoval spoustu práce a peněz do jejich přípravy. I když pominu problematiku licence na jejich použití, tak je prostě nejjednodušší na ně odkázat - a v podstatě věřit, že už beztak budou v cache, protože "to tak dělají všichni". (Kdyby měl každý web lokální kopii téhož, tak se bude pořád stahovat totéž, znova, znova, a znova - dokonce i když to jen "proženete proxy".)
To vše jen proto, aby se Google "náhodou" nedozvěděl IP adresu...

Souhlas, až na tu cache. Před pár měsící to začali prohlížeče blokovat jako možnou bezpečnostní hrozbu. TJ načte se vždy znova pokud je voláno z jiného webu. Používat vzdalené fonty už tedy z tohoto pohledu nemá význam.

Hlavně je to render blocking věc (i když lze nastavit fallbacky), může to zpomalovat vykreslení webu.

Možná by stálo za to mít možnost poslat jméno + velikost + hash (asi by stačilo MD5 v tomto případě) a podle toho kouknout, jestli to náhodou není cachované - a teprv pak stahovat. (Teda pokud to tak už nefunguje - tuhle problematiku jsem úspěšně míjel.)
Každopádně: pokud to prohlížeče začaly blokovat před pár měsíci, je nejspíš web stále plný stránek, které to používají...

Pokuta ano, ale pokuta pro Google.

Jsem toto nedávno zkoumal a Google tam má netriviální přidanou hodnotu, kterou si docela chrání. Stáhnout lze pouze formát ttf, ne woff / woff2. Dále pak Google má ve svém CDN fonty rozřezané podle různých znakových sad, abyste nemuseli stahovat např. celý font s českou znakovou sadou, pokud ji na stránce nepoužíváte. Toto už není jednoduché replikovat z lokálního serveru bez nějaké vícepráce. A je nepochybné, že Google to využívá pro svou analytiku.

Díval jsem se, že root mě odkazuje sem:
https://fonts.googleapis.com/css?family=PT%20Sans%3A400%2C700&subset=latin-ext&display=swap

Přijde mi, že - pokud to nemá nějak jednoznačně identifikované - toho Google moc zjistit nemůže. Samotná IP adresa je k ničemu. Předpokládám, že potřebuje "vedle toho" mít ještě nějakou analytiku, ale pak je informace o tom, jestli potřebujete i font, trochu nadbytečná, protože ta IP adresa bude už tam.
Tedy: pokud ta stránka používá od Google POUZE ten font, moc se toho Google nedozví; pokud je tam zapnuté něco dalšího, například reklamy, "přihlašte se...", analytika, apod., tak už má Google stejně dost informací z jiných zdrojů - včetně oné IP adresy - a více nepotřebuje.
A to pomíjím skutečnost, že v proNATovaném IPv4 je ta IP adresa úplně k ničemu a důležité jsou informace, které člověka identifikují přesněji.

Tedy: pokud ta stránka používá od Google POUZE ten font, moc se toho Google nedozví;
Jistě, když se toho nemůže dozvědět více, dozví se aspoň toto.
Aneb: "V nouzi čert i mouchy lapá" :-)

Možná je to namířené opačným směrem - Google tím může rychle objevovat nové stránky a ty pak indexovat.