使用Google网络字体时是否有隐私方面的考虑？

我需要为我的机构创建网站设计。我不是设计师或网站管理员，因此我在这方面知之甚少。我已经有点选择字体了。

项目预算不允许购买商业字体许可证。快速的网络搜索表明，使用免费字体的一种非常方便的方法是使用Google网络字体服务。另一种选择是自托管，但据我了解，这是1）技术上更具挑战性，并且2）更为有限，因为有些字体可以通过Google免费使用，但其许可并不涵盖该内容。我们通过托管重新分配它们。（如果不正确，请纠正我）。

我们是一家对隐私要求很高的欧洲机构。有问题的网站所在区域包含敏感数据（尚未受专利保护的研发知识），我们可能会对其进行扩展，以在将来也保存一些用户的个人数据。因此，我们非常谨慎地嵌入外部服务。

使用Google网络字体API有哪些隐私风险？如果我们使用字体服务，Google将对我们的数据有多少访问权限？如果我们希望保护我们的网站的一部分免受未经授权的访问，使用它们的字体是否可行？还是我仅限于自托管开源字体？

fonts privacy

— 鲁米P.
source

请注意，该服务在中国等地已被禁止。您是否刚刚检查了许可证类型并使用了css版本w3schools.com/cssref/css3_pr_font-face_rule.asp

— Liam Sorsby 2014年

要考虑的另一个因素是可访问性。我知道的大多数机构在可访问性方面都很强大...自定义字体通常不如残障用户的标准字体好或经过测试。

— 西蒙·海特

Answers:

是的，使用Google Web字体存在隐私问题。如果您有严格的隐私问题，则可能不应该使用该服务。Google Web字体的用户受Google的通用API服务条款约束，该条款包括以下条款：

使用我们的API，即表示您同意Google可以根据我们的隐私权政策使用提交的信息，例如 http://www.google.com/privacypolicy.html。

Google的隐私权政策允许其收集有关其服务用户的大量数据，以改善服务并提供商业支持。这包括日志数据（例如，浏览器版本）和位置数据（站点访问者的IP地址）。使用Google Web字体的网站会将数据反馈给Google。Google可能不会立即主动收集和使用该数据，但是如果您有隐私意识，那么值得考虑选择其他方法。

松鼠字体（Font Squirrel）是免费字体的重要来源，这些字体可以用于商业用途。Google托管的几种字体（例如Open Sans）可从Font Squirrel下载并免费托管，这几乎没有您想象的那么棘手。他们可下载的“网络字体工具包”包括一个“如何使用网络字体 ” HTML文件，可以指导您进行操作，但是还有其他在线使用网络字体的指南。

FontSpring如何安装Web字体

更新：

Google现在在其FAQ中发布了有关Google Web字体和隐私的一些信息，从隐私的角度来看，使Google Web字体的使用似乎更加安全：

Google字体API旨在将最终用户数据的收集，存储和使用限制为有效提供字体所需的条件。

未经授权不得使用Google字体。网站访问者未将Cookie发送到Fonts API。对Google Fonts API的请求是针对特定于资源的域（例如fonts.googleapis.com，googleusercontent.com或gstatic.com）发出的，因此您对字体的请求与您发送给google的凭据无关，并且不包含任何凭据.com，同时使用其他经过身份验证的Google服务，例如Gmail。

为了以最少的请求尽可能快速，高效地提供字体，我们将对服务器的所有请求进行缓存，以便您的浏览器仅在需要时才与我们联系。

对CSS资产的请求会缓存1天。这使我们可以更新样式表，使其在更新时指向字体文件的新版本。这样可以确保所有使用Google Fonts API托管的字体的网站访问者都能在发布后的24小时内看到最新的字体。

字体文件本身被缓存了一年，这足够长，以至于整个网络的速度大大提高：当数百万个网站都链接到相同的字体时，它们在访问第一个网站后就被缓存，并立即出现在随后访问的所有其他网站上。我们有时会更新字体文件以减小文件大小，扩大语言覆盖范围并提高设计质量。结果是网站访问者很少向Google发送请求：每个浏览器每天每个字体系列只能看到1个CSS请求。

我们会记录CSS和字体文件请求的记录，并且访问此数据是需要了解的并保持安全。我们保留汇总的使用次数以跟踪流行的字体系列，并将这些汇总发布在Google Fonts Analytics网站中。通过Google网络抓取，我们可以检测到哪些网站正在使用Google字体，并将其发布在Google字体BigQuery数据库中。要了解有关Google收集的信息以及如何使用和保护信息的更多信息，请参阅Google的隐私权政策。

— 缺口
source

尽管我更喜欢不使用任何Google服务，但我看不出字体有任何问题，但是它们可以跟踪的信息是请求标头的内容，数量不多。请求字体不会生成cookie，并且在浏览器会话中使用Google cookie（由于直接登录）时，部件之间似乎没有任何通信。当然，我们可以争辩说，发送到服务器的任何信息都是可追溯的，这加起来会构成一个大数据库，但是您能解释一下这种情况下的关注点吗？如果有什么，我想将它添加到我的清单我不喜欢谷歌

— PatomaS

FontFeed涉及使用Google Web字体对隐私的影响。很难知道Google如何处理收集到的数据，但是有可能通过与其他Google服务（例如Gmail和YouTube）交叉引用的用户浏览器指纹来识别使用Web字体的网站的访问者。对于许多网站管理员来说，这可能没有问题，但是如果您不想将有关用户的数据泄露给第三方，则最好不要链接到第三方库。这包括省略“赞”和“推文”按钮。

— 尼克

感谢您的回答。阅读该文章后，我说的与我之前提到的相同，我没有发现任何问题。他们只能跟踪/使用发送的标头，甚至不能使用cookie。我不喜欢Google，Facebook，twiter等，但事情必须公平。使用它们的字体没有安全风险。自然使用大多数设备上的字体仍然是一个更好的主意。但是我认为这个话题可能比评论部分更适合聊天。

— PatomaS 2014年

当然，我们可以使用聊天功能。问题不是关于安全风险，而是关于隐私风险。我同意Google Web字体几乎没有安全风险。

— 尼克

uuups对不起，对不起，我的意思是隐私而不是安全。

— PatomaS 2014年

关于字体是美观元素以及可读性的主要元素，您可以考虑使用Web的Core字体，它基本上是一套非常常见的字体，几乎可以在任何设备上找到，如果这些字体是如果不存在，则每个设备上都有许多可能的替代方法。

我建议您使用这些字体，这样可以避免任何其他问题，但是如果您确定这些字体不是您想要的字体，则仍然可以将它们用作开发站点的基础，之后再进行更改。

如果您没有特定的要求，或者您的审美要求仅适用于标题和小文本片段，请将该设置与CSS以及任何特殊文本一起用作图像。

如果您决定使用某些Google字体，则在网站的私人部分上使用它们不会出现安全问题。该私有部分应受用户和密码的某种组合保护，以避免未经授权的访问。这些字体设置的cookie和可能收集的导航模式之间的关系（这不是您的私人信息）可能会引起一些担忧，但是我不确定字体请求是否会生成cookie。

考虑到您所提到的经验，组织的类型以及组织中高级成员可能关心的问题以及避免下载额外资源的优点，我将使用上面提到的常见字体集。

— 癌
source