Wochennotiz 2025.04

Posted on So 26 Jänner 2025 in Blog

Bereits die vierte Ausgabe des heurigen Jahres wird heute veröffentlicht. Die Zeit verfliegt förmlich.

In den USA macht sich Präsident Trump bemerkbar und man darf gespannt sein, ob jemals ein Bericht zu den Salt Typhoon Hacks veröffentlicht werden wird.

Bei Postgres gibt es schöne Entwicklungen hinsichtlich der OLAP-Fähigkeiten. Da kämpfen gerade unterschiedlichste Erweiterungen um die Vormachtstellung. Darf man sehr gespannt sein, wie es da weitergehen wird und ob es irgendwann zu einer Konsolidierung kommen wird.

Inhalt:

Postgres und die Datenwelt

Postgres und OLAP-Workloads

Für OLTP-Workloads funktioniert Postgres oftmals sehr gut. Problematischer können da OLAP-Workloads sein, wo man einen Nachteil gegenüber Column-Store-Systemen (z.B. Clickhouse) hat.

Aber seit einiger Zeit gibt es unterschiedliche Projekte, die sich damit auseinandersetzen und Postgres auch Richtung Column-Store bringen wollen. Eins dieser Projekte ist die Erweiterung pg_mooncake. Die Macher schreiben nun in einem Blog-Posting, dass sie es in die Top-10 des Clickbench-Benchamarks geschafft haben.

Historically, ClickHouse and other purpose-built analytics databases have led this benchmark, while general-purpose databases like Postgres/MySQL have lagged behind by 100x. But we wanted to challenge that perception—and Postgres delivered.

Clickbench says Postgres is a great analytics database

Wer hat Code zu Postgres im Jahr 2024 beigesteuert

Robert Haas hat wieder seine alljährliche Statistik ausgepackt und sich über die Commit-Logs angesehen, wer wie viele Zeilen Code und Commits zum Postgres-Projekt im Jahr 2024 beigesteuert hat.

I calculate that, in 2024, there were 229 people who were the principal author of at least one PostgreSQL commit. 66% of the new lines of code were contributed by one of 18 people, and 90% of the new lines of code were contributed by one of 47 people.

Wie üblich durchaus spannende Zahlen. Vor allem, wenn man sich die Zahlen ansieht, die zeigen, wie viele Zeilen Code hier auch geändert worden sind.

Who Contributed to PostgreSQL Development in 2024?

Group By und die Annahmen des Optimizers

Hans-Jürgen Schönig widmet sich in einem schönen Beitrag den Herausforderungen bei group by. Und zwar im Detail um die zu erwartenden Zahlen.

It comes down to two numbers: "240240" and "60060". The first number indicates what the optimizer estimates - it assumes that over 200,000 lines will be returned. However, the actual result is only 60060 rows. Why is this the case? The reason is that certain combinations of a, b, c, d, e simply don't exist.

Seine Lösung ist naturgemäß die Verwendung von CREATE STATISTICS. Dadurch werden die häufigsten Kombinationen gespeichert und es kann vom Optimizer ein besserer Plan gewählt werden.

GROUP BY: Fixing optimizer estimates

Postgres Release Monitor

Security und Privacy

Microsoft

Bert Hubert beschreibt in einem schönen Beitrag, wie Microsoft Security Produkte jetzt auch POST-Requests ausführen.

tl;dr: Microsoft and other email security scanners will visit the links in email you transmit, and run the JavaScript in those links, including calls that lead to POSTs going out. This used to be unacceptable, since POSTs have side effects. Yet here we are. This breaks even somewhat sophisticated single-use sign-on / email confirmation messages. Read on for how to deal with this, and some thoughts on how we should treat gatekeepers like Microsoft that can randomly break things & get away with it.

Shifting Cyber Norms: Microsoft security POST-ing to you

Auf der anderen Seite hat Microsoft scheinbar (wieder einmal) massive Probleme mit den eigenen Diensten gehabt.

Microsoft räumt Probleme bei der Authentifizierung mittels Authenticator in bestimmten Webbrowsern für Microsoft-365-Dienste ein. Anstatt Zugriff auf den gewünschten Dienst bekommen Betroffene eine Fehlermeldung zu Gesicht.

Microsoft: Probleme mit Authenticator bei Microsoft-365-Diensten

CVSS

Die Verwendung des Common Vulnerability Scoring System (CVSS) ist (gefühlsmäßig) mittlerweile zu einem sehr großen Business verkommen. Auch bei uns melden sich immer wieder "Sicherheitsforscher", die auf schnelles Geld aus sind und uns auf "Lücken" hinweisen, die ein Scan angezeigt hat.

Das soll nicht den Nutzen dieser Scans abwerten. Aber wenn man mit Anfragen zu Modulen konfrontiert, die auf einem System gar nicht aktiviert sind, dann kostet das einfach einiges an Zeit. Denn man muss sich trotzdem sicherheitshalber alles genau ansehen.

Bei einem Projekt wie cURL gibt es naturgemäß noch mehr Anfragen. Daniel Stenberg macht seinem Ärger in einem ausgezeichneten Posting Luft: CVSS is dead to us.

At the same time, it seems the popularity of security scanners have increased significantly over the last few years. The kind of products that scan your systems checking for vulnerable products and show you big alerts and warnings when they do.

The kind of programs that looks for a product, figures out a version number and then shouts if it finds a registered CVE for that product and version with a CVSS score above a certain threshold.

Die ersten Tage unter Trump

Die ersten Tage unter Trump sorgen schon für einige Neuigkeiten. Wie The Record berichtet, ist eine davon die Begnadigung von Ross Ulbricht: Trump pardons Silk Road founder Ross Ulbricht.

Ross Ulbricht ist Gründer des Darknet-Markplatzes Silk Road. Wie man jemanden wie Ross Ulbricht freilassen kann, ist mir unverständlich. Seine Verbrechen gehen dann doch weit über das alleinige Betreiben eines Markplatzes hinaus.

At Ulbricht’s sentencing in 2015, U.S. Attorney Preet Bharara called him a “a drug dealer and criminal profiteer who exploited people’s addictions and contributed to the deaths of at least six young people.”

Lorenzo Franceschi-Bicchierai berichtet bei TechCrunch auch das Cyber Safety Review Board (CSRB) ist von Abberufungen/Entlassungen betroffen.

Das CSRB ist mitten in der Aufarbeitung der Salt Typhoon Hacks. Daher darf man auch gespannt sein, ob es jemals Resultate dazu geben wird.

“Stopping the CSRB review when China has ongoing cyberattacks into our critical infrastructure is a dangerous blunder. We need to learn from Salt Typhoon and protect ourselves better. The fact this isn’t a priority for Trump is telling.”

DNS-Probleme bei MasterCard

Brian Krebs berichtet in seinem Blog KrebsOnSecurity über einen kleinen Tippfehler, der große Auswirkungen haben hätte können.

All of the Akamai DNS server names that MasterCard uses are supposed to end in “akam.net” but one of them was misconfigured to rely on the domain “akam.ne.”

Laut dem Posting war der Fehler über Jahr unbemerkt.

MasterCard DNS Error Went Unnoticed for Years

Data breach ticker

AI

LinkedIn wird verklagt

Unabhängig vom Ausgang der Klage, zeigt es nur, wie vorsichtig man sein sollte, wenn man online kommuniziert. Wenn die Nachrichten nicht End-to-End verschlüsselt sind, dann ist man immer dem Betreiber der Dienste ausgeliefert. Aber gut, die Leute halten ja auch Telegram für einen sicheren Messenger.

LinkedIn Premium customers are suing the social media platform, alleging that it shared their private messages with third parties without their consent in order to train artificial intelligence models.

LinkedIn sued for allegedly training AI models with private messages without consent

Diverses

Ubicloud vergleicht Cloud-Internals

Ubicloud kennt man ein wenig aus dem Postgres-Umfeld (siehe auch Postgres Start-up Ökosystem 2024). Ihr Blog-Posting zum Aufbau unterschiedlicher Cloud-Systeme hat allerdings weniger mit Postgres zu tun, daher ist der Beitrag auch nicht in der Postgres-Kategorie. In dem Beitrag werden Red Hat Reference Architecture, AWS Firecracker, Ubicloud Compute und AWS EC2 Nitro miteinander verglichen.

Ihr Fazit:

AWS opened a new era with cloud computing. Then, as cloud virtualization became commonplace, customers needed more performance and better isolation guarantees. AWS Nitro delivered on that demand by offloading logic to specialized hardware. Other public cloud providers followed suit.

[...]

The culmination of this progress led to an open source ecosystem that’s now competitive enough to offer an alternative. This blog post summarized that rich ecosystem and how these projects work together.

Grundsätzlich ein sehr lesenswerter Beitrag, wenn man ein wenig einen tieferen Einblick haben will.

Cloud virtualization: Red Hat, AWS Firecracker, and Ubicloud internals

Brave Search mit neuem Feature

Brave Search ist bekanntlich eine der wenigen Suchmaschinen mit einem eigenen Index. Und sie haben diese Woche ein neues Feature vorgestell: Rerank.

Users may click on the thumbs up or thumbs down button under each domain to up-rank or down-rank the result in future searches. This way, users can prioritize in the search results the sites they trust more and send to the bottom of the list, or even eliminate entirely, those that don’t meet their quality.

Brave Search now lets users ‘Rerank’ results from favorite sites