问题描述
如果在网站的某些页面上运行了 Google 字体脚本(但不是所有页面),并且客户服务的开发人员告诉我我错了,则该网站根本不运行任何 Google 字体;但我的插件需要重新安装...
...然后我这样做了,并且仍然可以在不同页面上找到与以前相比的脚本。
...另外我可以用一个单独的插件来检测它们(我没有告诉他们),他们会弄错吗?从编程的角度来看,他们的解释有意义吗?
抱歉,这就是我问的原因:
从本质上讲,我需要知道我是否可以信任 FlokiNet (https://flokinet.is/) 作为开发一个完全尊重隐私的网站的网络主机,记者可以信任该网站以保护他们的身份隐私。
我在安装了 NoScript 和 EFF 的 Privacy Badger 的情况下访问了他们的网站。
这两个工具都表明在其网站上的某些页面上运行了 Google 脚本。一个 gstatic(可能是 Google 字体?)和另一个 Google 地图脚本(仅在一页上)。
我访问了他们的博客,也是同样的事情。 Gstatic 脚本。这次在每个页面上(我猜可能是字体)。
(我有大量截图,如果你想看的话。)
我联系我是因为从技术上讲,根据 Bryce Wray 的说法,谷歌字体会向谷歌发送 IP 信息(链接:https://brycewray.com/posts/2020/08/google-fonts-privacy/)。
这里是线程:
他们:
你好
联系页面包含一个未从其中删除的旧地图链接 源代码,现已修复。
我们的页面上没有使用谷歌字体(我们很清楚 使用它的问题),请检查您的隐私獾/浏览器 因为这一定是一个错误。
我:*
伟大的!很高兴听到 Google 地图代码是错误的。这让我感觉好多了。
我会联系 EFF,看看我是否能理解为什么 Google Fonts 正在识别脚本。听到你知道,我感到很欣慰 那些问题。
他们:
无需联系 EFF,只需重新安装隐私 獾它会解决它。
这是我在这次交流后所做的:
首先,他说他完全知道 Google 字体是一个问题。
我按照说明重新安装了 Privacy Badger。然后重新访问了有问题的 Flokinet 页面。
它似乎起作用了。没有 Gstatic 脚本。 Google 地图脚本也按承诺消失了。
然后我不停地点击,只是一时兴起。
我发现了另一组脚本(可以提供屏幕截图),并且博客中仍然有大量脚本。
NoScript(我没有提到)也检测到 gstatic 脚本,并且与 Privacy Badger 一致地这样做。
我非常困惑和沮丧,我只是放弃了。
博客中仍然充满了他们。
对他们的这种解释是否具有任何编程意义?是我的工具坏了,还是他弄错了?
解决方法
这里有两件不同的事情让人困惑。
位于 https://flokinet.is 的网站没有任何来自 google 的内容、字体、脚本或其他任何内容。他们遗漏了一些我相信他们可以轻松解决的简单问题(例如 CSP 标头),但 0 cookie、0 跟踪器是一个好的开始。
完全不同的是,https://blog.flokinet.is 是一个独立 IP 上的 WordPress 博客(尽管仅高 1 个地址),并且这确实使用了 Google 字体。
收集关于 the site 和 blog 的报告很容易让您看到区别,而且它们都存在隐私和安全缺陷。我想说唯一不可原谅的事情(考虑到他们在主页上的“100% 安全”声明)是他们在没有 TLS 的情况下提供任何东西。
这并不全是坏事。他们显然正在尝试(这本身就很少见),只是还没有到位。