项目预算不允许购买商业字体许可。快速的网络搜索表明,使用免费字体的一种非常方便的方法是使用Google网络字体服务。另一个选择是自托管,但据我了解,这是1)技术上更具挑战性,并且2)更为有限,因为有些字体可以通过Google免费使用,但其许可并不涵盖该内容。我们通过托管重新分配它们。 (如果不正确,请纠正我)。
我们是一家对隐私权有严格要求的欧洲机构。有问题的网站所在区域包含敏感数据(尚未受专利保护的研发知识),我们可能会对其进行扩展,以在将来也保存一些用户的个人数据。因此,我们非常谨慎地嵌入外部服务。
使用Google Web字体API有哪些隐私风险?如果我们使用字体服务,Google将对我们的数据有多少访问权限?如果我们希望保护我们的网站的一部分免受未经授权的访问,使用它们的字体是否可行?还是我仅限于自托管开源字体?
#1 楼
是的,使用Google Web字体存在隐私问题。如果您有严格的隐私问题,则可能不应该使用该服务。 Google Web字体的用户受Google通用API服务条款的约束,其中包括以下条款:通过使用我们的API,您同意Google可以根据我们的隐私使用提交的信息
政策,例如
http://www.google.com/privacypolicy.html。
Google的隐私政策允许其收集有关其服务用户的大量数据,改善服务并提供商业支持。这包括日志数据(例如浏览器版本)和位置数据(网站访问者的IP地址)。使用Google Web字体的网站会将数据反馈给Google。 Google可能不会立即主动收集和使用该数据,但是如果您有隐私意识,则值得考虑选择其他方法。
Squirrel是免费字体的重要来源,可以在商业上使用这些字体。 Google托管的几种字体(例如Open Sans)可从Font Squirrel下载并免费托管,这并不像您想象的那么棘手。他们可下载的“网络字体工具包”包括一个“如何使用网络字体” HTML文件,可以指导您进行操作,但在线使用网络字体还有其他指南。
更新:
Google现在在其常见问题中发布了有关Google Web字体和隐私的一些信息,从隐私的角度来看,使用Google Web字体似乎更加安全:
Google Fonts API旨在限制收藏,存储和使用最终用户数据来有效地提供字体。
未经授权使用Google字体。网站访问者未将Cookie发送到Fonts API。对Google Fonts API的请求是针对特定于资源的域(例如fonts.googleapis.com,googleusercontent.com或gstatic.com)发出的,因此您对字体的请求与发送给google的凭据无关,并且不包含任何凭据.com,同时使用其他经过身份验证的Google服务(例如Gmail)。
为了以最少的请求尽可能快速高效地提供字体,我们会缓存对服务器的所有请求,以便您的浏览器仅与我们联系
CSS资源的请求会缓存1天。这样,我们就可以更新样式表,使其在更新时指向新版本的字体文件。这样可以确保所有使用由Google Fonts API托管的字体的网站访问者都能在发布后的24小时内看到最新的字体。
字体文件本身被缓存了一年,时间足够长,可以使整个网络速度大大提高:当数百万个网站都链接到相同的字体时,它们在访问第一个网站后被缓存,并立即出现在所有其他后续访问的网站上。我们有时会更新字体文件以减小文件大小,扩大语言覆盖范围并提高设计质量。结果是网站访问者向Google发送的请求很少:我们每天每个浏览器只能看到1个CSS字体请求。
我们记录了CSS和字体文件请求的记录,并对此进行了访问数据是需要了解的并保持安全。我们保留汇总的使用次数以跟踪字体家族的流行程度,并将这些汇总发布在Google Fonts Analytics网站中。通过Google网络抓取,我们可以检测到哪些网站正在使用Google字体,并将其发布在Google字体BigQuery数据库中。要了解有关Google收集的信息以及如何使用和保护信息的更多信息,请参阅Google的隐私权政策。
评论
尽管我更喜欢不使用任何Google服务,但是我看不出字体有任何问题,但是它们可以跟踪的信息是请求标头的内容,数量不多。请求字体不会生成cookie,并且在浏览器会话中使用Google cookie(由于直接登录)时,部件之间似乎没有任何通信。当然,我们可以争辩说,发送到服务器的任何信息都是可追溯的,这加起来会构成一个大数据库,但是您能解释一下这种情况下的关注点吗?如果有的话,我想将其添加到我不喜欢Google的列表中
– PatomaS
2014年4月10日,0:11
FontFeed涉及使用Google Web字体对隐私的影响。很难知道Google如何处理收集到的数据,但是有可能通过与其他Google服务(例如Gmail和YouTube)交叉引用的用户浏览器指纹来识别使用Web字体的网站的访问者。对于许多网站管理员来说,这可能没有问题,但是如果您不想将有关用户的数据泄露给第三方,则最好不要链接到第三方库。这包括省略“赞”和“推文”按钮。
–尼克
2014年4月10日在7:11
感谢您的回答。看完这篇文章,说出我之前提到的内容之后,我看不出任何问题。他们只能跟踪/使用发送的标头,甚至cookie。我不喜欢Google,Facebook,twiter等,但是事情必须公平。使用它们的字体没有安全风险。自然使用大多数设备上的字体仍然是一个更好的主意。但我认为,此主题比“评论”部分更适合聊天。
– PatomaS
2014年4月10日在8:02
当然,我们可以使用聊天功能。问题不是关于安全风险,而是关于隐私风险。我同意Google Web字体几乎没有安全风险。
–尼克
2014-4-10 9:02
uuups抱歉,我的意思是隐私而不是安全,抱歉。
– PatomaS
2014年4月10日在9:27
#2 楼
关于字体是美观元素以及可读性的主要元素,您可以考虑使用Web的Core字体,它基本上是一套非常常见的字体,几乎可以在任何设备上找到,如果这些字体是不存在,每种设备上都有许多可能的选择。我建议使用那些字体,以避免出现其他问题,但是如果您确定这些字体不是您想要的字体,您仍然可以将它们用作开发网站的基础,以后再进行更改。
如果您没有特定要求,或者您的审美要求仅用于标题和小片段文本,请使用设置CSS和任何特殊文本作为图像。
如果您决定使用某些Google字体,则将它们用于网站的私有部分时不会出现安全问题。该私有部分应受用户和密码的某种组合保护,以避免未经授权的访问。这些字体设置的cookie可能与收集的导航模式之间的关系(不是您的私人信息)可能存在一些关系,但是我不确定字体请求是否会生成cookie。
考虑到您对您的经历,组织的类型以及组织中高级成员的担忧,再加上避免下载额外资源的优势,我将使用上面提到的常见字体集。 >
#3 楼
我不知道如何使它们变得容易-也许有一个仅包含字体文件的软件包库-但有许多可免费用于Linux的软件(我会检查其许可是否允许其专有使用,但我会认为它们可以在商业和业余爱好者/非营利组织等网站上免费使用)。任何主要的Linux发行版都可以使用许多不同的字体-并且您可以使用Office软件来写书(并使用这些字体进行打印而无需支付任何版权费-我真的看不到如何无法使用它们。就是这样,除非您安装了Linux(在这种情况下,您可以安装所有TrueType字体并从系统字体目录中复制它们),我不知道在哪里以及如何轻松地获得相同的字体。 '肯定他们不是Linux社区的工作者,而是字体社区-免费的字体社区:)
不知道这是否有帮助,但我希望它能帮上忙...
评论
请注意,该服务在中国等地已被禁止。您是否刚刚检查了许可证类型并使用了css版本w3schools.com/cssref/css3_pr_font-face_rule.asp要考虑的另一个因素是可访问性。我知道的大多数机构在可访问性方面都很大。自定义字体通常不如残障用户的标准字体好或经过测试。