Czym jest Gravatar?

Gravatar, skrót od Globally Recognized Avatar, to bezpłatna usługa od Automattic (firmy stojącej za WordPress.com), która kojarzy zdjęcia profilowe z adresami email. Koncepcja jest prosta: raz wgrywasz avatar na gravatar.com i podąża za Tobą po sieci. Każda strona obsługująca Gravatar może wyświetlać Twoje zdjęcie profilowe obok Twojego imienia, bez konieczności ponownego wgrywania.

WordPress obsługuje Gravatar od wersji 2.5 (2008) i jest on domyślnie włączony w każdej instalacji WordPressa. Oznacza to, że chyba że aktywnie to wyłączysz, Twoja witryna WordPress wysyła dane do serwerów Gravatar za każdym razem, gdy ładowana jest strona z avatarami. Dla wielu właścicieli witryn, zwłaszcza w Unii Europejskiej, stwarza to znaczący problem prywatności.

Jak działa Gravatar pod maską

Techniczny proces stojący za Gravatar jest prosty, ale ma ważne implikacje dla prywatności. Gdy WordPress musi wyświetlić avatar dla użytkownika lub komentującego, bierze ich adres email, zamienia na małe litery, przycina spacje i generuje hash MD5. Adres email user@example.com staje się na przykład czymś jak b58996c504c5638798eb6b511e6f49af.

WordPress następnie buduje URL obrazu jak ten:

https://secure.gravatar.com/avatar/b58996c504c5638798eb6b511e6f49af?s=96&d=mm

Parametr s ustawia rozmiar obrazu (w tym przypadku 96 pikseli), a parametr d wskazuje obraz domyślny na wypadek, gdyby Gravatar dla tego hashu nie istniał. Gdy przeglądarka odwiedzającego ładuje stronę, wykonuje żądanie HTTP do secure.gravatar.com dla każdego avatara. To żądanie zawiera adres IP odwiedzającego (jak każde żądanie HTTP), a URL zawiera hash MD5 adresu email komentującego.

Hashe MD5 są teoretycznie jednokierunkowe, ale w praktyce łatwe do odwrócenia dla popularnych adresów email. Rainbow tables i usługi wyszukiwania hashów często mogą odtworzyć oryginalny adres email z hashu MD5. URL-e Gravatar nie są więc faktycznie zanonimizowane.

Gdzie WordPress używa Gravatar domyślnie

Obrazy Gravatar pojawiają się w wielu miejscach na witrynie WordPress, nie wszystkie oczywiste:

• Sekcje komentarzy: każdy komentarz pokazuje Gravatar komentującego obok imienia. Na poście z 50 komentarzami to 50 osobnych żądań do serwerów Gravatar.
• Dashboard administratora: obszar admina WordPressa pokazuje Gravatar dla zalogowanego użytkownika, w listach użytkowników i widżecie "Skrót".
• Bloki bio autora: wiele motywów pokazuje Gravatar autora w sekcji bio autora pod postami.
• Strony profili użytkowników: w adminie WordPressa profile użytkowników używają Gravatar jako domyślnego źródła avatarów.
• BuddyPress i bbPress: jeśli używasz tych wtyczek społecznościowych, Gravatar pojawia się na forach, listach członków i strumieniach aktywności.
• Recenzje WooCommerce: recenzje produktów pokazują Gravatar recenzentów, tak jak komentarze na blogu.

Problem RODO szczegółowo

Ogólne rozporządzenie o ochronie danych (RODO) wymaga, aby dane osobowe były przetwarzane tylko na podstawie prawnej, zwykle świadomej zgody. Domyślne zachowanie Gravatar w WordPressie tworzy wiele problemów ze zgodnością z RODO:

Przekazywanie adresów IP: gdy przeglądarka odwiedzającego pobiera obraz Gravatar, jego adres IP jest wysyłany do serwerów Automattic (z siedzibą w Stanach Zjednoczonych). Adresy IP są uznawane za dane osobowe pod RODO. Ten transfer danych odbywa się bez wiedzy lub zgody odwiedzającego, a WordPress nie ma mechanizmu, by prosić o zgodę przed załadowaniem Gravatar.

Ujawnianie hashów email: hash MD5 adresu email każdego komentującego jest zawarty w URL Gravatar i widoczny w kodzie źródłowym HTML strony. Choć jest to hash zamiast zwykłego emaila, jest to nadal uważane za dane osobowe, ponieważ można go odwrócić lub użyć do śledzenia tej samej osoby na wielu stronach. Automattic otrzymuje te hashe jako część każdego żądania obrazu.

Możliwość śledzenia między stronami: ponieważ Gravatar używa tego samego hashu email na wszystkich stronach, Automattic mógłby teoretycznie zbudować profil stron, na których ktoś komentuje. Nawet jeśli aktywnie tego nie robią, istnieje techniczna możliwość, a właśnie na tym skupia się zgodność z RODO.

Transfer do kraju trzeciego: Automattic to firma z siedzibą w USA. Po wyroku Schrems II Europejskiego Trybunału Sprawiedliwości w 2020 roku transfer danych osobowych do USA wymaga dodatkowych zabezpieczeń. Wielu ekspertów prawnych uważa domyślne użycie Gravatar na europejskich stronach za niezgodne, ponieważ nie ma umowy o powierzeniu przetwarzania danych i nie ma sposobu na uzyskanie poprawnej zgody przed transferem danych.

Niemieckie organy ochrony danych były szczególnie surowe w tej kwestii. Wiele orzeczeń sądowych i opinii nadzorczych stwierdziło, że ładowanie obrazów Gravatar bez zgody narusza RODO. Sytuacja prawna jest bardzo podobna do znanego wyroku w sprawie Google Fonts, w którym sąd w Monachium nałożył odszkodowanie za ładowanie Google Fonts z zewnętrznych serwerów bez zgody.

Wpływ na wydajność Twojej witryny WordPress

Oprócz prywatności, Gravatar wpływa też na wydajność ładowania Twojej witryny. Każdy obraz Gravatar wymaga osobnego żądania HTTP do zewnętrznego serwera. Na poście z wieloma komentarzami szybko się to sumuje:

• Każdy avatar wymaga lookupu DNS dla secure.gravatar.com (przynajmniej przy pierwszym żądaniu).
• Każdy obraz to osobne żądanie HTTP z własnym opóźnieniem.
• Jeśli serwery Gravatar są wolne lub niedostępne, renderowanie strony zatrzymuje się, gdy przeglądarka czeka na obrazy.
• Obrazy Gravatar nie mogą być optymalizowane przez Twoje lokalne wtyczki cache lub optymalizacji obrazów.
• Limity połączeń przeglądarki mogą sprawić, że wiele jednoczesnych żądań Gravatar blokuje ładowanie Twoich własnych zasobów.

Na stronie z 30 komentarzami możesz dodać 30 zewnętrznych żądań HTTP, które przeglądarki Twoich odwiedzających muszą wykonać przed pełnym załadowaniem strony. Dla odwiedzających na wolnych połączeniach mobilnych to zauważalne opóźnienie.

Alternatywy dla Gravatar w WordPressie

Jest wiele sposobów zastąpienia Gravatar i nadal wyświetlania avatarów na witrynie WordPress:

• Wyłącz avatary całkowicie: odznacz "Pokaż avatary" w Ustawienia > Komentarze. To najprostsze rozwiązanie, ale usuwa wizualną tożsamość z komentarzy.
• Użyj lokalnie generowanych avatarów: wtyczki takie jak "Simple Local Avatars" lub "WP User Avatar" pozwalają użytkownikom wgrywać zdjęcia profilowe zapisane na Twoim własnym serwerze. Brak zewnętrznych żądań, brak obaw o prywatność.
• Generowane domyślne avatary: WordPress może generować proste geometryczne avatary (jak identicons lub wzory retro) na podstawie hashu email, bez kontaktu z serwerami Gravatar. Niektóre wtyczki implementują to lokalnie.
• Lokalne cache Gravatar: wtyczki takie jak "Avatar Privacy" lub "Cache Gravatar" pobierają obrazy Gravatar raz i serwują je z Twojego własnego serwera. To zachowuje doświadczenie Gravatar i eliminuje zewnętrzne żądania przy każdym ładowaniu strony. Jednak początkowe pobieranie nadal wysyła dane do Gravatar, więc to rozwiązuje problem RODO tylko częściowo.
• Ładowanie oparte na zgodzie: niektóre wtyczki zgody na cookies RODO mogą blokować ładowanie Gravatar, dopóki odwiedzający nie wyrazi zgody. To najbardziej zgodne podejście, jeśli chcesz nadal używać Gravatar, ale oznacza, że avatary są niewidoczne, dopóki zgoda nie zostanie udzielona.

Co sprawdza InspectWP

InspectWP skanuje kod źródłowy HTML i żądania sieciowe Twojej witryny WordPress pod kątem połączeń z gravatar.com lub secure.gravatar.com. Jeśli wykryto obrazy Gravatar, raport sygnalizuje to jako obawę RODO w sekcji prywatności. To powiadomienie wskazuje, że Twoja strona przekazuje dane osobowe (adresy IP odwiedzających i hashe email) do serwerów Automattic z siedzibą w USA bez wyraźnego mechanizmu zgody. Raport zaleca całkowite wyłączenie Gravatar, przejście na lokalnie hostowane avatary lub wdrożenie rozwiązania ładowania opartego na zgodzie.