![No Bloglovin' [Public domain], via Wikimedia Commons](https://www.henning-uhle.eu/wp-content/loadingstructure/2019/01/no_bloglovin.jpg)
Im Spätsommer oder Herbst 2014 erfuhr ich erstmals von Bloglovin‘. Das ist ein RSS-Feed-Einbinder, der ungefragt ganze Artikel widerrechtlich einbindet. Ich hatte mich damals maßlos darüber aufgeregt. Ich halte das Ganze nach wie vor für Content-Klau, also eine Urheberrechtsverletzung. Und das muss man ja unterbinden können.
Was zur Hölle ist Bloglovin‘
Bloglovin‘ ist ein News Aggregator. Es wurde im November 2007 initial veröffentlicht. Das ursprüngliche Ziel war wohl, Modefreunde über aktuelle Artikel in den Fashion-Blogs zu informieren. 90% der Nutzer sollen weiblich sein, und im April 214 hatte der Dienst um die 16 Millionen monatliche Besuche weltweit.
Gegründet wurde Bloglovin‘ von den Schweden Dan Carlberg, Daniel Swenson, Patrick Ring, Mattias Swenson und Daniel Gren als „Blogkoll“. 2013 zogen sie nach New York. Es gibt Apps für Android und iOS für den Dienst. Und es gibt die Bloglovin‘ Awards während der Fashion Week. Klingt doch gut, oder? Tja, und dann gibt es einen enormen Pferdefuß.
Man bindet ungefragt fremde Inhalte ein
Ich kann mich nicht daran erinnern, dass ich dem Dienst die Erlaubnis gegeben habe, meine Inhalte per iFrame einzubinden. Das heißt: Da lädt die Seite von denen, und in der Seite läuft mein Blog. Komplett, wie Sie ihn jetzt gerade sehen. Natürlich nur, wenn Sie vorher das Bettel-Overlay weggeklickt haben, dass Sie doch bitte mir bei Bloglovin folgen sollen.
Nein, das sollen Sie ja nicht. Ich meine, es ist doch meine Seite, die sie da widerrechtlich eingebunden haben. Ich habe ihnen das nicht erlaubt. Und bei mir hat sich auch niemand von ihnen jemals gemeldet. Und aus dem Grund muss man es ihnen verbieten. Nur klappt meine frühere Lösung nicht mehr. Was tun?
Anzeige des Blogs in einem fremden iFrame verbieten?
<iframe class='frame-iframe mod-signed-out' src=https://www.henning-uhle.eu/informatik/doxing-was-ist-hackterrorcybercyber></iframe>
<div class='subscribe-email-modal-overlay js-modal-overlay'>
<a href="/" class="signed-out-frame-bl-logo"></a>
<div class='subscribe-email-modal js-modal mod-viewer ' data-qa-id='follow_modal'>
<div class='subscribe-email-modal-body'>
<div class='subscribe-email-modal-header'>
Subscribe to Henning Uhle
</div>So sieht es aus, wenn sich Bloglovin‘ anschickt, sich ungefragt bei einem fremden Blog zu bedienen. Man muss also hergehen und verbieten, dass eine fremde Seite den eigenen Blog einbindet. Ich bin bei Tobias Scheible auf die X-Frame-Optionen gestoßen:
Header always append X-Frame-Options DENYMit dieser Zeile in der .htaccess werden moderne Browser angewiesen, die Seite nicht im Frame, sondern die Seite selbst zu laden. Das Problem ist, dass das Ganze kein Standard ist. Und so muss auch dieser komplette Block nicht zwangsläufig zum gewünschten Ergebnis führen:
# Extra Security Headers
<IfModule mod_headers.c>
Header set X-XSS-Protection "1; mode=block"
Header always append X-Frame-Options SAMEORIGIN
Header set X-Content-Type-Options nosniff
</IfModule>Der sophisticated Framekiller
Ich hatte ja oben geschrieben, dass meine damalige Lösung nicht mehr funktioniert. Das war der frühere Framekiller. Und weil die X-Frame-Optionen auch nicht so richtig funktionieren, brauchen wir etwas anderes. Es gibt eine Content Security Policy. Mit dieser kann man Clickjacking und eben dieses Einbinden in iFrames verhindern. Es handelt sich um so etwas in der Art:
# Disallow embedding. All iframes etc. will be blank, or contain a browser specific error page.
Content-Security-Policy: frame-ancestors 'none'
# Allow embedding of own content only.
Content-Security-Policy: frame-ancestors 'self'
# Allow specific origins to embed this content
Content-Security-Policy: frame-ancestors www.example.com www.testdomain.orgAllerdings habe ich das gerade ausprobiert. Ich habe die zweite Option verwendet, dass also meine Seite den eigenen Inhalt einbinden darf, und nur meine Seite. Blöd nur, dass dann meine Seite gestreikt hat. Insofern muss ich noch weitere Experimente durchführen. Es wäre doch gelacht, wenn ich keinen sophisticated Framekiller bauen kann, um Bloglovin‘ auszusperren.
Welche weiteren Möglichkeiten gäbe es?
Nun ja, ich könnte Bloglovin‘ auch aussperren, indem ich den IP-Adressbereich von denen blockiere. Das sollen IP-Adressen aus diesem Bereich sein, wie ich fand:
194.0.59.0 - 194.0.59.255Ich will einfach verhindern, dass irgendwer meine Inhalte ohne zu fragen benutzt und ggf. doppelte Inhalte entstehen und ich daraus Nachteile habe. Dafür mache ich mir schlichtweg zu viel Arbeit. Und es sind nun einmal meine Inhalte. Man muss dann schon die rechtlichen Bedingungen einhalten.
Und ich will jetzt nichts davon hören, dass das doch meine Schuld ist. Und: Warum stellst du überhaupt was ins Internet? Darum geht es nicht. Es geht darum, sich nicht über Recht und Gesetz hinweg zu setzen. Wenn sie gefragt hätten, wäre das etwas anderes. Oder wenn es einen Deal gäbe. Aber so?
Wahnsinn, wie Habgierig die Menschheit ist. Es ist absolut nicht in Ordnung, das Bloglovin auf fremde Inhalte zurückgreift ohne jemals dafür eine Erlaubnis oder ähnliches bekommen zu haben. Ich fühle mit dir, weil ich weiss, wieviel Aufwand man aufbringen muss, um einen anständigen Artikel zur schreiben. Danke für die wertvolle Infos. Ich werde auf alle Fälle deine Einstellung vornehmen, damit mir nicht das gleiche widerfährt.
Ist es eigentlich immer noch so, dass bloglovin Inhalte mit Werbung „durchsetzt“? Ich erinnere mich daran, dass mir dies mal sauer aufgestoßen ist…
Das ist interessant, dass du so sehr gegen Bloglovin bist. Ich fordere bei mir auf dem Blog die Leser sogar aktiv auf, Bloglovin, Feedly und ähnliches zu nutzen. Wieso?
Aus meiner Sicht ist die grösste Herausforderung beim Bloggen, die Leser an sich zu binden. 90 Prozent der Leute, die auf meinem Blog landen, kommen nie wieder – auch dann, wenn ihnen die Seite gefällt. Es gibt einfach zu viele Optionen.
Wie die rechtliche Situation aussieht, kann ich nicht beurteilen. Aber ein normaler Blog bietet ja Feeds genau aus dem Grund an, dass sie in externen Feedreadern gelesen werden können. Nicht nur in Bloglovin, sondern auch im Browser. Da man Feeds kürzen und ausschalten kann, würde ich vermuten, dass du Bloglovin implizit das Recht zu Nutzung gibst. Und nebenbei: Doppelter Content entsteht auf diese Weise nicht, da Google innerhalb von Bloglovin nicht suchen kann.
Aus Sicht eines Nutzers finde ich Bloglovin deswegen ideal, weil es – anders als etwas Facebook oder Flipboard – keinen Algorythmus hat, der mir vorkaut, was mich zu interessieren hat. Und anders als beim Email-Newsletter kommen die neuen Texte sofort in meinem Feedreader. Natürlich könnte ich mir auf einem Zettel neben dem Laptop alle interessanten Blogs aufschreiben und die einmal pro Woche absurfen. Aber wahrscheinlicher ist, dass ich einen Blog nie wieder besuche, wenn ich ihn nicht abonnieren kann.
Daher würde ich allen raten, sich gut zu überlegen, ob sie Nutzer von Feedreaders wirklich aussperren wollen.
Gruss,
Oli
Hallo Oli,
ich will niemanden und nichts aussperren. Das habe ich gar nicht im Sinn. ABER: Ich fand das nicht so prickelnd, dass Bloglovin‘ damals meinen kompletten Blog in einen iFrame geladen hatte. Das macht Trusted Blogs ja auch. Aber im Gegensatz zu Bloglovin‘ haben die mich gefragt. Oder anders gesagt: Ich bin dort registriert und lasse meine Blogartikel dort einlaufen. Über RSS. Zu der Zeit, als das mit Bloglovin war (2014), stieß mir enorm sauer auf, dass deren Leistung war, meinen Blog in einem iFrame laufen zu lassen und den iFrame mit fetter Werbung zu drapieren. Sie verdienten also daran, ohne jegliche Eigenleistung einzubringen. Wie das jetzt ist, kann ich nicht beurteilen. Aber ich hoffe, dass es deshalb verständlich ist, dass ich nichts mit denen zu tun haben will.
Jeder, der meinen Blog in seinen Feed Reader packt, soll das natürlich tun. Ich propagiere das ja auch immer wieder hier im Blog. Aber eine Werbebutze, die ohne eigene Leistung mit meinen Inhalten Geld verdienen will, die kann mir gestohlen bleiben.