Wie kann man automatisches Nachladen von GoogleFonts verhindern?

  • Joomla Version
    5.1
    PHP Version
    Unbekannt
    Hoster
    ...

    Hallo!

    Gerade kämpfe ich mich durch die DSGVO-Einstellungen. Das meiste bekomme ich ganz gut hin. Aber an einer Sache hänge ich gerade fest: Youtube-Videos. Ich verwende das Cookie-Consent-Tool von Usercentrics. Dort habe ich u.a. Youtube (im erweiterten Modus) und Google Fonts eingestellt. Das kann man also ablehnen und dann wird auch nix geladen. Soweit so gut.

    ABER: Ich hätte gerne gar keine Google Fonts nachgeladen - also auch dann nicht wenn ich dem Cookie Consent Tool zustimme. Geht das nicht oder bin ich zu doof? Sobald man zustimmt, lädt Google Fonts von gstatic nach. Das möchte ich aber nicht. Immerhin habe ich alle nötigen Fonts schon lokal eingebunden.

    Im HTTP-Header habe ich eine CSP eingerichtet, die bspw. für den Wert "fonts" nur "self" drinstehen hat. Außerdem begrenze ich den Wert "connect-src" auf self, die usercentrics-Domain sowie die youtube-nocookies-Domain. Dennoch lädt Google die Fonts nach. Wie kann ich das verhindern?

  • Mehr Informationen!

    - Welches Template nutzt du?

    - Link zur Seite?

    Vielleicht hilfreich:

    Elwood
    28. Oktober 2022 um 16:07
    Aber an einer Sache hänge ich gerade fest: Youtube-Videos.

    Vielleicht mal das Pliginin von Kubik-Rubik anschauen:

    2CYV - 2 Click Youtube Videos - Joomla! Plugin
    Mit diesem Plugin lassen sich Youtube Videos einfach und datenschutzkonform in Joomla! Artikeln mit einer einfachen Syntax einbinden! Typ: Plugin - Lizenz:…
    kubik-rubik.de
  • Danke für deine Rückmeldung!

    > Template: cassio

    > Link: nein, weil intern in Entwicklung

    > Forenlink zur internen Einbindung: Wie gesagt, wie man Fonts lokal einbindet weiß ich - mach ich ja schon. Extern binde "ich" keine Fonts ein - das macht Google ja automatisch - unsinnigerweise.

    > Das Kubik-Plugin: Das Plugin hab ich schon gefunden. Allerdings wird doch nicht beschrieben was genau "datenschutzfreundlich" bedeutet. Werden GoogleFonts dennoch geladen? Man weiß es nicht. Hab mal den Entwickler angefragt.

  • Extern binde "ich" keine Fonts ein - das macht Google ja automatisch - unsinnigerweise.

    Dann schieb deine Seite auf eine Subdomain.

    Kann mann besser analysieren!


    > Das Kubik-Plugin: Das Plugin hab ich schon gefunden. Allerdings wird doch nicht beschrieben was genau "datenschutzfreundlich" bedeutet. Werden GoogleFonts dennoch geladen? Man weiß es nicht. Hab mal den Entwickler angefragt.

    Bei dem Plugin geht es um das DSGVO-Einbinden von YT-Videos!?

  • das macht Google ja automatisch

    Google macht in Joomla nie was automatisch. Entweder Du hast in den Templateeinstellungen eine Schriftart ausgewählt oder eine Erweiterung zieht die Schrift ein. Auch wenn iFrames, z.B. wegen Google-Maps oder ähnlichem eingebettet werden, werden Google-Fonts geladen.
    Ansonsten, schau Dir mal dieses Plugin an: https://github.com/joomtools/plg_system_jtaldef (sollte auch unter Joomla 5 laufen).

  • In dem Moment, wo du dritte Seiten in deine Seite einbindest, hast du keine Chance zu unterbinden, was die dritte Seite aufruft.

    Darauf musst du hinweisen, und den Drittaufruf erst nach Genehmigung des Besuchers zulassen.

    Mehr kannst du nicht machen.

    Mehr fordert m.E. die DSGVO auch nicht.

    Und bevor einer meckert meine Meinung keine Rechtsberatung.

  • Auch wenn iFrames, z.B. wegen Google-Maps oder ähnlichem eingebettet werden, werden Google-Fonts geladen.

    Ja, genau! Das ist hier der Fall. Ich habe es einzeln getestet. Ausschließlich wenn ich ein YT-Video einbinde, werden GoogleFonts abgerufen (eben von gstatic.com). Da weiß ich also ziemlich genau wo das herkommt.

    Eigentlich hätte ich gedacht, die Sache sei erledigt, weil: Wenn man erstmals auf die Site kommt (oder vorher dem Consent Tool gegenüber "abgelehnt" hat), dann werden die Videos blockiert und es wird auch nix von Google geladen. Soweit so gut. Dachte ich. Da ich aber mit dem System von eRecht24 arbeite, habe ich anschließend deren Website-Scanner angeworfen. Und der meckert rum von wegen Google Fonts. Die Verwendung von Google Fonts muss erst im Consent Tool bestätigt werden - ebenso YT selbst. Erst dann wird beides geladen. Ich hatte gedacht, so sei es alles korrekt. Dennoch meckert der Scanner, dass ich die Google Fonts DSGVO-konform - also lokal - einbinden solle. Was aber widersinnig ist. Ich benutze jene Googlefonts - die von YT selbst extern nachgeladen werden (beim Videoanzeigen) - überhaupt nicht. Und egal wieviele Google Fonts ich auch lokal einzubinden vermag - das ist dem Video völlig schnurz. Ob nun lokal geladen oder nicht - YT macht das dennoch selbst weiter. DAS ist das Problem!

    Bei eRecht24 habe ich deswegen schon angefragt, ob es Absicht oder ein Bug in deren Scanner ist. Keine Ahnung, ob da jemals eine Antwort kommt. Ich bin halt jetzt etwas verunsichert. Fazit: Ich nutze derzeit überhaupt keine Google Fonts selbst. Will also auch keine einbinden - und zwar weder lokal noch extern. Ich vermute mal, man kann nicht verhindern, dass Google sie selbst nachlädt, oder?

  • Genau aus diesem Grund hat Viktor (Kubik-Rubik) das Plugin entwickelt (siehe #2).

    Entweder du verwendest dieses Plugin oder bindest keine Videos ein. Dann musst du halt auf Youtube verlinken. Zu diesem Thema wurde hier im Forum bereits mehr als genug geschrieben.

    Ja, das Plugin gibt es nicht kostenlos aber ist jeden Cent wert und wird stetig weiterentwickelt.

  • Ausschließlich wenn ich ein YT-Video einbinde, werden GoogleFonts abgerufen (eben von gstatic.com). Da weiß ich also ziemlich genau wo das herkommt.

    Ist doch klar, dass Google in seinen eigenen Produkten auch seine Fonts nachlädt. Du kannst (musst) das automatische Laden des iFrames beim Besuch der Webseite unterbinden um einigermaßen DSGVO-Konform zu bleiben. Siehe dazu den Pluginvorschlag von Elwood an.

  • WM-Loose  Indigo66

    Ähm, ich fürchte ihr habt meine Erklärung nicht ganz nachvollziehen können. Was Viktors Plugin macht, ist mir schon klar. Gemäß meiner o.g. Beschreibung ist diese Funktionalität aber auch nicht das Problem. Denn wie ich schrieb, macht das Usercentrics Cookie Consent Tool genau das auch schon! Dafür brauch ich nicht noch ein Plugin. Mir ging es einzig um die Frage des Nachladens der Google Fonts. Wenn das nicht zu verhindern ist ... dann sei's drum.

    Trotzdem danke fürs Mitüberlegen. ;)

  • Mir ging es einzig um die Frage des Nachladens der Google Fonts. Wenn das nicht zu verhindern ist ... dann sei's drum.

    Wenn UC das Laden des iFrames unterbindet, werden auch die GF nicht nachgeladen. Die Einbettung über eigenen iFrame ist das Anzeigen einer fremden Seite in Deiner. Da Du kleinen Einfluss auf die Fremdseite hast, kannst Du das, was die andere Seite nachlädt, auch nicht unterbinden. Auch nicht UC.

  • Dein Usercentrics verhindert es eben NICHT ...

    Na, ich glaube doch. ;)

    So sieht mein gesamter Netzwerkverkehr beim erstmaligen (bzw. "abgelehnten") Laden aus:

    Man sieht die blockierten Versuche die beiden Videos zu laden. Das ist schon alles. Sonst geht nix weiter raus. Einige UC-Requests, die aber klar sind. Alles andere (das Verwischte) sind nur lokale Requests.

  • OK ich gebe auf. Du weist es besser und wir haben anscheinend keine Ahnung.

    Ich bin raus.

    Och menno! Ich will doch hier nicht streiten. Deshalb der Screenshot. Dort sind ja keine weiteren externen Requests zu erkennen - daher meine Annahme. Wenn du sagst "UC verhindert die Requests dennoch nicht" - woran merkt/sieht man das? Müssten die nicht im Netzwerkverkehr zu finden sein? Wie sollte man sonst feststellen OB ein Request/Datenübermittlung stattfand oder nicht?

  • Wir diskutieren hier über 2 unterschiedliche Fakten, die evtl. durcheinandergebracht werden.

    Fakt 1 YouTube-Iframe.

    Fakt 2 Google Fonts.

    Usercentrics kann das Nachladen eines YT-Iframes unterbinden, bzw. erst nach Einwilligung freigeben.

    YT lädt Google Fonts nach. Wenn die Einwilligung erteilt wurde das YT-Video zu laden, werden in dem Moment natürlich auch GF geladen. Was im Prinzip egal ist, da durch die Einwilligung YT zu laden, die personenbezogenen Daten (IP) schon übermittelt wurden.
    Kein YT-Iframe, keine GF.