Nettsted dømt for å lekke brukernes IP-adresser via Google Fonts [Ekstra]

[Harald Brombach (digi.no)]

Nettsted dømt for å lekke brukernes IP-adresser via Google Fonts [Ekstra]

[Memento scientiam (takk for meg)]

Haha. Husker jeg ble tvunget av arbeidsgruppen min til å legge dette inn på et nettsted vi lagde. Æsj, skal aldri arbeide med nettsteder i framtiden. 

[tommyb]

Dette er ganske alvorlig. Jeg sier ikke at det er feil,  men det vil røske ganske kraftig opp i nettjenestene som eksisterer og før det skjer vil det aller meste av trafikk på nettet være kriminalisert. Ved å peke på noe så lite spenstig som nettfonter har man i praksis signalisert at ingen data, om det er statistikk, bildevisningstjenester, kartmotorer, instant messenger-tjenester, t-skjortesalg, memes, absolutt ingenting, kan hentes fra USA direkte fra nettleseren, uten at nettstedet kan ende opp med å bli hengt opp for det.

Internet er tross alt bygget opp av primært nordamerikanske byggesteiner. Dette forumet har muligens ryddet opp nå, men ikke for veldig lenge siden brukte de ganske mye outsourca javascript her også - og eldre nettsteder med mindre ressurser og en liten reklameboks er automatisk lovbrytere nå. 

Jeg kjenner til et annet land som har jobbet hardt for å vri internettrafikken bort fra USA. Et av våre naboland, faktisk. 

Endret 1. februar 2022 av tommyb

[Gravitass]

Det er bra at dere ser på muligheten til å bytte ut Google Fonts på Digi. Ingen er tjent med at Google blir "de facto" standard på nettet (bortsett fra Google såklart). Dere burde også se på alle andre teknologier som har blitt brukt for å bygge denne nettsiden. Gå systematisk gjennom alt og se om det finnes noen alternativer som er europeiske eller norske og som kanskje har åpen kildekode. Om dere finner noen norske alternativer så kan dere teste ut og fortelle alle om det fungerer bra eller ikke.

[Simen1]

At proprietære fonter og emojis brukes til IP-sporing er i hvert fall velkjent blant oss som hører på Snowden. Så dette bekrefter egentlig bare det han har sagt i lang tid.

[tommyb]

Det er forsåvidt ikke noe nytt over det, siden konseptet er det samme som 1-pixel bildet man brukte til å samle statistikk på nettsider på nittitallet. Om Snowden ga noen informasjon var det vel hvem som samlet informasjon på denne måten. Og det var ikke trafikk som gikk over HTTPS heller, så på den tiden var det underforstått.

Forresten er det fortsatt mange programmer som oppdaterer seg over HTTP, men det faller vel litt utenfor denne artikkelen.

Endret 2. februar 2022 av tommyb

[John-B]

Dette virker jo helt sprøtt. Om jeg har forstått  riktig, så linket dette nettstedet kun til fonten via Google CDN URLen?
Akkurat slik som diskusjon.no gjør. Fra kildekoden her: 

<link href="https://fonts.googleapis.com/css?family=Roboto:300,300i,400,400i,700,700i&display=swap" rel="stylesheet" referrerpolicy="origin">

Om dette ikke skal være lovlig, da må jo absolutt alle nettsteder som bruker ting som Jquery, bootstrap, osv, uten å selv hoste filene, også risikere å bli bøtelagt?

Hovedhensikten med å bruke cdn URL-en er jo at du ikke trenger å laste ned samme filen for hvert nettsted du er inne på, så om dette skal være ulovlig må vi forvente oss lenger lastetider fremover...

Snakk om å jobbe for å ødelegge internett. De har allerede gjort det delvis med kravet til cookies popups, som kun har bidrat til én eneste ting - lære folk å trykke OK på alle dialoger som kommer opp uavhenig av hva som står der.

Det burde skilles mellom "tracking" som er gjort med hensikt, og "tracking" som er nødvendig for at en nettside skal fungere optimalt.

Endret 2. februar 2022 av John-B

[tommyb]

29 minutes ago, John-B said:

Om dette ikke skal være lovlig, da må jo absolutt alle nettsteder som bruker ting som Jquery, bootstrap, osv, uten å selv hoste filene, også risikere å bli bøtelagt?

Ja, akkurat.
Det er nok litt en utilsiktet ytterste konsekvens av GDPR, men samtidig så er det et sterkt insentiv til å styrke europeiske tjenester/amerikanske tjenester i EU, så det har nok noen positive effekter for leverandører i EU. For små-bedrifter og private nettsider er det bare herk.

[MegaMann2]

36 minutes ago, John-B said:

Hovedhensikten med å bruke cdn URL-en er jo at du ikke trenger å laste ned samme filen for hvert nettsted du er inne på, så om dette skal være ulovlig må vi forvente oss lenger lastetider fremover...

Det kan faktisk gi en bedre opplevelse for brukeren om nettsiden ikke gjenbruke slike felles CDNer, selv om samme fil må lastes ned fler ganger.

Andre faktorer på lasttiden enn det å ha en cachet fil er DNS latens og TLS handshakes / HTTP connections. Spesielt mye å hente her på små filer.

Ved å laste alt innhold på en side fra samme domene / server kan man redusere antall DNS forespørsler samt behovet for TLS handshakes / HTTP connections som vil gi en positiv virkning på lasttiden.

 

[Gjest Slettet-aEAbw77a]

Det er vell godt over ett år siden nettlesere startet med cache sharding, så selv om vg.no og digi.no laster inn akkurat samme fil fra akkurat samme CDN, så vil de ha forskjellige cache keys, og nettleseren vil da laste inn filen på begge sider.

En god del besparelser på TLS handshakes og HTTP connections har vi fått løst via HTTP/2. Så får du muligheter til å be nettleseren prefetch ressurser, og DNS lookup kan trigges tidligere, slik at det ligger klart til bruk.