AfterDawn: IT-alan uutiset

Saksalainen oikeus: Koko nykyaikainen Internet on laiton, rikkoo GDPR:ää - 100 euron korvauksen takia

Kirjoittaja Petteri Pyyny @ 31.1.2022 23:20 Kommentteja (7)

Saksalainen oikeus: Koko nykyaikainen Internet on laiton, rikkoo GDPR:ää - 100 euron korvauksen takia Saksalainen paikallisoikeus tipautti juuri nettikansan syliin sellaisen uutispommin, jota ei kenties osattu odottaa. Oikeus käytännössä päätti, että koko nykyaikaisten verkkosivustojen toimintatapa on laiton ja rikkoo Euroopan Unionin yleistä tietosuoja-asetusta eli GDPR:ää.
Taustalla oli oikeuden dokumenteissä nimeämättömän saksalaisen verkkosivuston toiminta. Yksi sen käyttäjistä haastoi sivuston oikeuteen siksi, että verkkosivusto käytti tiettyä fonttia sivuillaan.

Ongelmaksi muodostui tässä tapauksessa se, että kyseinen fontti oli osa Google Webfonts -pakettia ja sivusto latasi fontin osaksi sivuaan viittaamalla siihen suoraan Googlen palvelimelta, kuten yleensäkin on käytäntönä.

Käyttäjän mukaan hänen IP-osoitteensa välittyi tällöin luvattomasti kolmannelle osapuolelle (tässä tapauksessa siis Googlen palvelimelle). Oikeuden mukaan pelkkä IP-osoitteen välittyminen itsessään oli jo riittävä syy tuomiolle, sillä teoriassa IP-osoitteen perusteella voisi käyttäjästä muodostaa käyttöprofiilin ja kenties yhdistää käyttäjän toimintaa muihin tietoihin.




Tähän väliin lienee syytä kuvata hieman sitä, miten selaimet, verkkosivustot ja netti toimivat:

1) Jokaisella nettiin yhdistyvällä tietokoneella ja kännykällä on IP-osoite. Kyseinen osoite on tavallaan "reitti" tietokoneelle.

2) Kun selaimella ladataan verkkosivusto, käytännössä selain kertoo eteenpäin: "Hei, verkkosivusto xyz, haluaisin ladata kopion etusivustasi. Lähettäisitkö sen minulle osoitteeseen 1.2.3.4?" Jossa siis 1.2.3.4 kuvaa käyttäjän oman tietokoneen IP-osoitetta. Tähän verkkosivusto vastaa palauttamalla pyydetyn sivun kyseiseen osoitteeseen - ja saatuaan sen perille, selain näyttää kyseisen sivun.

3) Yksittäinen sivu on tekstimuotoinen HTML-tiedosto, joka kuvaa sivun rakenteen. Sen lisäksi sivu tyypillisesti sisältää mm. kuvia, videoita, fontteja, JavaScript-pätkiä ja sen sellaista. Sen lisäksi, että varsinainen sivu ladataan, selain joutuu pyytämään myös jokaista näistä osasista erikseen, kutakin oikeasta paikasta.

4) Sellaiset elementit, joita tuhannet ja taas tuhannet verkkosivustot kaikki käyttävät, pyritään latamaan samasta paikasta. Tällöin selain ymmärtää, että kyseinen elementti todennäköisesti löytyy jo käyttäjän selaimen välimuistista, eikä sitä tarvitse pyytää uudestaan. Tällaisia ovat mm. useat laajasti käytetyt JavaScript -kirjastot (esim. jQuery) sekä erilaiset fontit. Juurikin välimuistin takia ne pyritään lataamaan aina samalta palvelimelta, esim. Googlen palvelimelta, jolloin selain tietää, että kyseessä on sama elementti kuin vaikkapa eilen ladatulla, toisella sivustolla.


Nyt siis oikeuden päätöksen mukaan verkkosivustojen pitäisi pitää kaikki sisältö omilla palvelimillaan eikä ladata mitään muilla palvelimilla olevaa sisältöä ellei jokaisen ulkopuolisen palvelimen käyttöön pyydetä erikseen käyttäjän nimenomaista suostumusta. Sinänsä omalle palvelimelle tallettaminen on fonttien ja vaikkapa jQuery -skriptin osalta mahdollista - ja tähän oikeus vetosikin päätöstä tehdessään. Mutta tallettamalla fontit ja JavaScript-kirjastot kunkin palvelimen omaan tilaan menetetään myös välimuistin käytön tehokkuus: selain ymmärtää katsoa tietoja välimuistista vain, jos elementin osoite on täsmälleen sama kaikissa tapauksissa.



Päätöksen perusteella myös esimerkiksi YouTube-videoiden tai Instagramin kuvien upotuksia ei voi enää tehdä sivustoille lainkaan (ilman käyttäjän erillistä ja nimenomaista suostumusta), sillä nekin ladataan - luonnollisesti - YouTuben tai Instagramin palvelimilta, vaikka sivusto itsessään olisi vaikkapa kotimainen iltapäivälehti.

Noin 50 miljoonaa verkkosivustoa käyttää Googlen fontteja sivuillaan. YouTuben upotuksia tai Instagramin videoita sivuillaan jakanee vielä huomattavasti tätäkin suurempi määrä sivustoja.

Oikeus määräsi Googlen fontteja käyttäneen verkkosivuston maksamaan 100 euron sakot GDPR-lainsäädännön rikkomisesta. Lisäksi sivustolle määrättiin 250 000 euron uhkasakko, jos sivusto ei lopeta Googlen palvelimilta ladattavien fonttien käyttöä sivuillaan.

Päätös on jatkoa muutaman viikon takaiselle päätökselle, jossa itävaltalainen oikeus päätti Google Analyticsin käytön olevan laitonta Euroopassa.

AfterDawnin diilit uutiskirjeenä!

Etsimme jatkuvasti hyviä tietotekniikan ja kännyköiden diilejä ympäri nettiä ja uutisoimme niistä sivuillamme. Jos haluat saada tiedon uusista diileistä heti sähköpostiisi, tilaa diilien uutiskirjeemme.

Tilaamalla uutiskirjeemme hyväksyt sääntömme ja tietosuojakäytäntömme.

Tägit: Saksa GDPR
Edellinen Seuraava  

7 kommenttia

11.2.2022 01:52

No jo oli aikakin. Sanoohan se jo järkikin, että eivät Google & kumppanit tarjoa huvikseen noita palveluita. Tällä hetkellä Googlella on fonttien, GA:n yms. avulla teoreettinen mahdollisuus tietää joka kerta kun menet lähes mille tahansa maailman verkkosivustolle ja sillä on myös rahallinen intressi kyseistä tietoa kerätä. Pidetään ne fontit ja skriptit omalla saitilla, ovat sen verran pieniä tiedostoja esim. kuviin verrattuna ettei niitten latailu käytännössä lisää latausaikaa ollenkaan.

Afterdawnillakin vaikuttaisi olevan Google fonts käytössä. Koska ajattelitte lopettaa valvontakapitalismin tukemisen?

21.2.2022 04:51
paskattulihousuun
Vahvistamaton

No jos on joku kiinteä IP-osoite, niin tuo on ehkä ongelma. Mobiiliyhteyksissäkin tuo vaihtuu vähänväliä ja ne fonttiscriptit voi estää, vaikuttaa ehkä sitten sivun ulkonäköön.

31.2.2022 09:37

Tämä GDPR on esimerkki hyvää tarkoittavasta direktiivistä, jota joku tulkitsee direktiiviä kirjoittaessa luultua todellisuutta vastaan. Saksassahan tämä tarkoittaa, että blokkaa saksalaiset ja itävaltalaiset käyttäjät pihalle tai sulje kotisivut, jos näytät esim. videoita (Youtube/vimeo/TikTok) linkkien takaa 100€:n sakon uhalla. Joku voisi tarkistaa onko Suomen laissa sama mahdollisuus. Tosin Suomessa teet ilmoituksen tästä rikoksesta, tuomion tullessa 3 vuoden päästä, uhri on konkurssissa ao-kulujen takia ja valtio voi lähettää kaikille fi-sivujen ylläpitäjille x euron sakon eli sivusto-veron.

41.2.2022 09:52

Eurooppalaiset voivat täällä keskenään lähetellä sitten sähköposteja jatkossa. Tässä syy miksi isot palvelut tulevat Aasiasta tai Yhdysvalloista ja vain aniharvoin Euroopasta.

54.2.2022 15:01

Tälläiset päätökset itsessään ovat laittomia, koska Internet on amerikkalainen keksintö! Tuo GDPR on laiton ja se saa painua viimeiseen helvettiin tuon kommari tuomarin kanssa palamaan ikuisesti! Jos CIA, FBI tai NSA tms haluavat tietoni, annan ne niille ihan vapaasti.
Jos joku salaa jotakin, on rikollinen ja pitää heti pidättää ja viedä Guantanamoon. Siellä on rikollisten paikka ja vettä saa reilusti siellä! Siellä on tuon tuomarinkin paikka...


1. Seasonic 750W FOCUS+ 750 Gold/Ryzen 5 2600X, AM4, 3.6 GHz/MSI B450 Gaming Plus, ATX-emolevy/Corsair 32GB (2x16GB) Vengeance LED, DDR4 3200MHZ/GIGABYTE Radeon RX 550 D5 -näytönohjain, 2GB GDDR5/ WD 250GB WD Blue 3D SSD -levy

2.Thermaltake XT 775W/ Asus Sabertooth X58 Tylersburg/Intel i7-950 Bloomfield/ 6 GB KINGSTON DDR3 1333 MHZ/Western Digital Caviar RED NAS 1TB SATAIII /OCZ Vertex SATA II/Asus ENGTX460 DirectCU/G/2DI/1GD5 SLI

3. Asus VivoBook 17 X705MA

64.2.2022 20:41

Aivan oikeassa on Saksalaiset tässä asiassa. Se on pelkkää laiskuutta www-sivujen kehittäjän puolesta jos käyttää google-fontteja. Ei siihen ole mitään syytä niin tehdä.

75.2.2022 11:37

Olen täysin eri mieltä! Jenkeille kuuluu koko EU:n turvallisuus ja näin NSA: pitää saada kaikki tieto Euroopan alueelta. Muutenhan antiamerikkalainen rikollinen toiminta saa jatkua EU:n alueella ja se ei laittomana saa jatkua, vaan jokainen antiamerikkalainen kommari, muslimi jne pitää heti pidättää ja lennättää USN Base, Cuba, Quantanamo.

Tästä voimme väitellä Tuomiopäivään saakka, joten se ei kannata. Minä, joka hyväksyn vain jenkit ja toiset, jotka vihaavat meitä, on vihan juopa välillämme.

Toistan-jenkit keksivät Internetin ja jenkit määräävät sen käytöstä ja sen tietoturvasta ja mitä tietoja eurooppalaisista näin kerrotaan NSA:lle. NSA hallitsee Eurooppaa ja meitä kaikkia. Google hallitsee EU:ta ja USA meitä kaikkia. EU:n päätökset ovat siis antiamerikkalaisia, koska Google on ainoa hakukone ja määrittää sen tietoturvatason.

Mikä Suomi on olevinaan, kun uhmaa USA:ta näin? Mitä nämä kommari tontut ovat olevinaan, kun USA:n SSBN sukellusveneet pyyhkivät meidät minuuteissa maailman kartalta tarvittaessa!
Idioottimainen ylimielisyys kostautuu kyllä...

Repetitio est mater studiorum-Internet on amerikkalainen, tietokoneet ovat amerikkalaisia eli käytän tässä amerikkalaisia tuotteita ja olen onnellinen voidessani palvella USA:ta. Lähetän mielelläni kaikki tietona NSA:lle ja Google on hieno keksintö. EU:n komissio jne pitäisi lakkauttaa ja EU yhdistää USA:han.
Me tarvitsemme SSBN sukellusveneitä ja lähetämme mielellämme kaikki antiamerikkalaiset USN base, Guantanamo. Tietenkin!

USA-its still number 1!





1. Seasonic 750W FOCUS+ 750 Gold/Ryzen 5 2600X, AM4, 3.6 GHz/MSI B450 Gaming Plus, ATX-emolevy/Corsair 32GB (2x16GB) Vengeance LED, DDR4 3200MHZ/GIGABYTE Radeon RX 550 D5 -näytönohjain, 2GB GDDR5/ WD 250GB WD Blue 3D SSD -levy

2.Thermaltake XT 775W/ Asus Sabertooth X58 Tylersburg/Intel i7-950 Bloomfield/ 6 GB KINGSTON DDR3 1333 MHZ/Western Digital Caviar RED NAS 1TB SATAIII /OCZ Vertex SATA II/Asus ENGTX460 DirectCU/G/2DI/1GD5 SLI

3. Asus VivoBook 17 X705MA

Tämän uutisen kommentointi ei ole enää mahdollista.

Uutisarkisto