Jeder kennt die Vorschau in Posts bei jedem sozialen Netzwerk. Der Server generiert das beim Posten von Links. Nicht so bei Bluesky.

Jeder Backend-Entwickler weiß: Traue niemals den Daten, die vom Client kommen. Das gilt auch für die Vorschau der Websites hinter einem Link. Vor mehr als einem Jahrzehnt hat deshalb Facebook mit seinen OpenGraph-Tags einen weitverbreiteten De-facto-Standard gesetzt. Darin hinterlegt man ein Bild, eine Beschreibung und den Titel der Seite. Ein paar mehr Infos gibt es noch, aber die sind erst einmal irrelevant. Der Server ruft die Daten ab und hinterlegt diese als Meta-Daten zum Social-Media-Post, eventuell noch mit Caching des Bilds.

Vorteil: Eventuelle Redirects können direkt aufgelöst werden, um Spoofing zu vermeiden. Außerdem kann man ein paar Kleinigkeiten direkt abgleichen, also ob die Meta-Informationen grob mit dem Seiteninhalt übereinstimmen.

Bei Bluesky macht das alles der Client, der den Post absetzt. Der muss bereits alle diese Informationen mitschicken. Geilo! Ich suggeriere also mit einem harmlosen Bild, das ich zu allem Überfluss auch noch selbst hochladen muss, einer Clickbait-Beschreibung und einem geilen Titel, dass der Link auf einen tollen Artikel zeigt. Dann noch einen Redirect auf eine illegale Zielseite dazu, eventuell mit Redirect zur Verschleierung und schon geht’s rund.

Wer freiwillig Bluesky als Hauptnetzwerk benutzt, hat echt die Kontrolle über die Inhalte verloren.

Update 1:

Da einige Leute zu doof sind, das Ausmaß zu begreifen, hab ich kurz mit einem Mini-Script mal ein Beispiel auf Bluesky gepostet.