Google Webfonts: шпионы внутри?
Не так давно мне попалась на глаза одна из статей Эрика ван Блоклэнда, в которой веб-разработчик написал об интригующем «побочном эффекте» использования веб-шрифтов Google в новой версии WP 3.8. Как вы знаете, новая версия представила обновленный бэкэнд для WordPress, который свежо выглядит, а также обладает приятным юзабилити. При этом разработчики сделали то, что выглядит не слишком хорошим в свете постоянного наблюдения и сбора метаданных официальными органами и группами злоумышленников. Наряду с новым бэкэндом было введено использование Open Sans. При входе в консоль шрифты передаются не локально, а берутся из Google Webfonts. Это приводит к проблемам с конфиденциальностью.
HTML-исходник выглядит следующим образом:
Оправдание использования Google Webfonts в бэкэнде WP 3.8 описано в записи «Open Sans, bundling vs. Linking» на веб-сайте WordPress. Статья породила огромный поток комментариев, в числе которых оказался и комментарий разработчика Kiwi WordPress Райана Хэллайера, также указывающий на проблемы конфиденциальности:
Я подозреваю, что привязка скриптов к ядру WordPress создаст проблемы с конфиденциальностью для многих людей. Возможность получить доступ к аналитике через эти скрипты доставит хлопоты небольшому сегменту пользовательской базы.
Это может быть недопустимо в некоторых странах. На ум приходит Германия. Эти страны и так раздражены ведущейся слежкой, поэтому будет лучше, если WordPress не станет в этом участвовать.
Безусловно, вы можете установить плагин, который сделает шрифты автономными, но многие люди могут просто случайно нажать по кнопке «Обновить», не подозревая, какой ворох проблем с конфиденциальностью они для себя откроют.
Как указал Вольфганг Визе, решением в данном случае будет плагин под названием Disable Google Fonts. Как следует из его названия, он позволяет предотвратить загрузку Google веб-шрифтов как для WordPress, так и для поставляемых с WP тем (Twenty Twelve, Twenty Thirteen, Twenty Fourteen). Вольфганг рекомендует всем, у кого имеется персональная сборка WordPress, установить этот плагин. Его разработчик Милан Динич привел несколько причин, по которым вы могли бы отказаться от загрузки Google шрифтов:
- Конфиденциальность и безопасность (Google знает о каждом просмотре страницы)
- Локальная разработка (отсутствие доступа к интернету или ограниченный доступ)
- Доступность серверов Google (некоторые страны блокируют доступ к Google)
- Языковая поддержка (эти шрифты поддерживают ограниченный набор символов)
- Производительность (Серверы Google используются при каждом просмотре страницы)
Таким образом, в чем заключается проблема? Проблема в том, что эти шрифты поставляются Google Inc – компанией, которая участвует на фондовой бирже и чей основной бизнес состоит в торговле метаданными – еще одна «отслеживающая станция». Пользовательский доступ может отслеживаться путем сбора как минимум данных заголовка при запросе соединения. Сюда же можно отнести cookie с домена Google. Google способен узнать, у кого имеется аккаунт администратора или редактора для определенного сайта, кто имеет отношение к этому сайту. И не только Google. Многие сайты также используют Google веб-шрифты; некоторые из них в своих темах, некоторые в новых версиях системы. Кроме того, некоторые сайты интегрируют Google Adsense и используют Google Analytics.
Если проводить аналогии с мобильным позиционированием, то невозможно узнать, куда люди двинутся дальше. Но благодаря присутствию cookie ID и других уникальных данных Google может «видеть», вошел ли кто-либо под своим логином на определенный веб-сайт или же просто обратился к другому сайту. Если аккаунт просто обратился к другому сайту, который позволяет Google получать персональные данные (Google+ или YouTube, к примеру), то в таком случае компания знает, кто владеет данным аккаунтом.
Все это относится к метаданным. Если брать всего лишь один отдельный сайт, то для него это может выглядеть практически безопасным. Однако сбор и хранение метаданных, полученных с различных вебсайтов, делает возможным всестороннее отслеживание. И не только отслеживание. Тот факт, что WordPress внедрили Open Sans только в бэкэнд, позволяет Google получать ценные атрибуты, но не только их – ведь Google может узнать, имеются ли рабочие взаимосвязи между аккаунтом (владельцем) и веб-сайтом.
В своей статье Вольфганг саркастически благодарит команду разработчиков WordPress за то, что они предоставили Google его персональные данные путем минимальных затрат производительности. Он не может понять, почему дизайнеры внедрили Google Webfonts, не подумав дважды, наплевав на возможные проблемы с конфиденциальностью просто потому, что так будет красивее смотреться и файл загрузки текущей темы станет меньше. Или потому, что другие пошли тем же путем.
Поскольку Вольфганг имеет в своем активе плагины, темы и свою CMS, он прекрасно знает, что такие решения не принимаются за пять минут. Он не понимает, почему было так трудно предоставить право выбора пользователям вместо того, чтобы ставить Google веб-шрифты по умолчанию. Конечно, использовать Google шрифты не возбраняется, но нужно делать это сознательно, включив соответствующий пункт в настройках. Вольфганг считает, что причина здесь – лень либо некомпетентность разработчиков/веб-дизайнеров, поскольку для введения опций в тему достаточно написать пару строк кода.
Google – это не стопроцентно плохой парень. Тем не менее, он должен придерживаться своего девиза «don’t be evil» («не совершай зло»), которым он готов пренебречь, если когда-либо на передний план выйдут экономические интересы или если Управление национальной безопасности помашет перед лицом ордером. Существовали и другие компании, которые когда-то были «хорошими», но впоследствии стали менее образцовыми в результате перемен в управляющем составе.
Источник: fontfeed.com