Bloglovin’, ich will nichts mit euch zu tun haben

Letzte Aktualisierung am

Im Spätsommer oder Herbst 2014 erfuhr ich erstmals von Bloglovin’. Das ist ein RSS-Feed-Einbinder, der ungefragt ganze Artikel widerrechtlich einbindet. Ich hatte mich damals maßlos darüber aufgeregt. Ich halte das Ganze nach wie vor für Content-Klau, also eine Urheberrechtsverletzung. Und das muss man ja unterbinden können.

Was zur Hölle ist Bloglovin’

Bloglovin’ ist ein News Aggregator. Es wurde im November 2007 initial veröffentlicht. Das ursprüngliche Ziel war wohl, Modefreunde über aktuelle Artikel in den Fashion-Blogs zu informieren. 90% der Nutzer sollen weiblich sein, und im April 214 hatte der Dienst um die 16 Millionen monatliche Besuche weltweit.

Gegründet wurde Bloglovin’ von den Schweden Dan Carlberg, Daniel Swenson, Patrick Ring, Mattias Swenson und Daniel Gren als “Blogkoll”. 2013 zogen sie nach New York. Es gibt Apps für Android und iOS für den Dienst. Und es gibt die Bloglovin’ Awards während der Fashion Week. Klingt doch gut, oder? Tja, und dann gibt es einen enormen Pferdefuß.

Man bindet ungefragt fremde Inhalte ein

Ich kann mich nicht daran erinnern, dass ich dem Dienst die Erlaubnis gegeben habe, meine Inhalte per iFrame einzubinden. Das heißt: Da lädt die Seite von denen, und in der Seite läuft mein Blog. Komplett, wie Sie ihn jetzt gerade sehen. Natürlich nur, wenn Sie vorher das Bettel-Overlay weggeklickt haben, dass Sie doch bitte mir bei Bloglovin folgen sollen.

Bloglovin', ich will nichts mit euch zu tun haben
“Subscribe to Henning Uhle” – Wieso soll man mir über Bloglovin’ folgen? Dafür gibt es keinen Grund.

Nein, das sollen Sie ja nicht. Ich meine, es ist doch meine Seite, die sie da widerrechtlich eingebunden haben. Ich habe ihnen das nicht erlaubt. Und bei mir hat sich auch niemand von ihnen jemals gemeldet. Und aus dem Grund muss man es ihnen verbieten. Nur klappt meine frühere Lösung nicht mehr. Was tun?

Anzeige des Blogs in einem fremden iFrame verbieten?

<iframe class='frame-iframe mod-signed-out' src=https://www.henning-uhle.eu/informatik/doxing-was-ist-hackterrorcybercyber></iframe>
              <div class='subscribe-email-modal-overlay js-modal-overlay'>
  <a href="/" class="signed-out-frame-bl-logo"></a>
  <div class='subscribe-email-modal js-modal mod-viewer ' data-qa-id='follow_modal'>
    <div class='subscribe-email-modal-body'>
      <div class='subscribe-email-modal-header'>
                  Subscribe to Henning Uhle
              </div>

So sieht es aus, wenn sich Bloglovin’ anschickt, sich ungefragt bei einem fremden Blog zu bedienen. Man muss also hergehen und verbieten, dass eine fremde Seite den eigenen Blog einbindet. Ich bin bei Tobias Scheible auf die X-Frame-Optionen gestoßen:

Header always append X-Frame-Options DENY

Mit dieser Zeile in der .htaccess werden moderne Browser angewiesen, die Seite nicht im Frame, sondern die Seite selbst zu laden. Das Problem ist, dass das Ganze kein Standard ist. Und so muss auch dieser komplette Block nicht zwangsläufig zum gewünschten Ergebnis führen:

# Extra Security Headers
<IfModule mod_headers.c>
	Header set X-XSS-Protection "1; mode=block"
	Header always append X-Frame-Options SAMEORIGIN
	Header set X-Content-Type-Options nosniff
</IfModule>

Der sophisticated Framekiller

Ich hatte ja oben geschrieben, dass meine damalige Lösung nicht mehr funktioniert. Das war der frühere Framekiller. Und weil die X-Frame-Optionen auch nicht so richtig funktionieren, brauchen wir etwas anderes. Es gibt eine Content Security Policy. Mit dieser kann man Clickjacking und eben dieses Einbinden in iFrames verhindern. Es handelt sich um so etwas in der Art:

# Disallow embedding. All iframes etc. will be blank, or contain a browser specific error page.
Content-Security-Policy: frame-ancestors 'none'

# Allow embedding of own content only.
Content-Security-Policy: frame-ancestors 'self'

# Allow specific origins to embed this content
Content-Security-Policy: frame-ancestors www.example.com www.testdomain.org

Allerdings habe ich das gerade ausprobiert. Ich habe die zweite Option verwendet, dass also meine Seite den eigenen Inhalt einbinden darf, und nur meine Seite. Blöd nur, dass dann meine Seite gestreikt hat. Insofern muss ich noch weitere Experimente durchführen. Es wäre doch gelacht, wenn ich keinen sophisticated Framekiller bauen kann, um Bloglovin’ auszusperren.

Welche weiteren Möglichkeiten gäbe es?

Nun ja, ich könnte Bloglovin’ auch aussperren, indem ich den IP-Adressbereich von denen blockiere. Das sollen IP-Adressen aus diesem Bereich sein, wie ich fand:

194.0.59.0 - 194.0.59.255

Ich will einfach verhindern, dass irgendwer meine Inhalte ohne zu fragen benutzt und ggf. doppelte Inhalte entstehen und ich daraus Nachteile habe. Dafür mache ich mir schlichtweg zu viel Arbeit. Und es sind nun einmal meine Inhalte. Man muss dann schon die rechtlichen Bedingungen einhalten.

Und ich will jetzt nichts davon hören, dass das doch meine Schuld ist. Und: Warum stellst du überhaupt was ins Internet? Darum geht es nicht. Es geht darum, sich nicht über Recht und Gesetz hinweg zu setzen. Wenn sie gefragt hätten, wäre das etwas anderes. Oder wenn es einen Deal gäbe. Aber so?

2 Kommentare

  1. Wahnsinn, wie Habgierig die Menschheit ist. Es ist absolut nicht in Ordnung, das Bloglovin auf fremde Inhalte zurückgreift ohne jemals dafür eine Erlaubnis oder ähnliches bekommen zu haben. Ich fühle mit dir, weil ich weiss, wieviel Aufwand man aufbringen muss, um einen anständigen Artikel zur schreiben. Danke für die wertvolle Infos. Ich werde auf alle Fälle deine Einstellung vornehmen, damit mir nicht das gleiche widerfährt.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.