Wochennotiz 2025.14

Eine Woche, die wie im Fluge vergangen ist. Eine Woche, die mir wieder einmal gezeigt hat, es ist egal wie viel Erfahrung man glaubt zu haben, man ist nicht davor gefeilt "dumme" Fehler zu machen.

In meinem Fall war es eine Window Function in Postgres, die mir diese Woche seltsame Ergebnisse geliefert hat. Das hat auch zu erhöten Adrenalinausschüttungen geführt, da wir einen Teil der Daten schon dem Auftraggeber präsentiert hatten. Und nun gab es gänzlich andere Zahlen. Zumindest so lange, bis ich festgestellt habe, der Fehler lag wieder einmal vor dem Bildschirm.

Wie beruhigend es dann doch war, dass die präsentierten Zahlen gepasst haben. Es zeigt mir wieder einmal: Fehler können immer passieren und es braucht dahingehend auch eine entsprechende Fehlerkultur in einer Firma.

Leider haben wir in der Firma Führungskräfte, die sich selbst als fehlerlos betrachten. Daher versuche ich jüngeren Mitarbeiter:innen auch immer ein Beispiel zu sein und zu zeigen, Fehler können passieren und es geht dann auch die Welt nicht unter.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

Security-Tipps

Diese Woche widmen sich gleich zwei Blog-Beiträge dem Thema Postgres und Security. Christophe Pettus widmet sich im Beitrag Do not expose port 5432 to the public Internet, warum man den Port 5432 (oder jeden anderen Listen-Port) nur eingeschränkt für Netzwerkbereiche freigeben sollte:

You open yourself up to a DDOS attack on the database itself. PostgreSQL is not hard to do a DOS attack on, since each incoming connection forks a new process.

Und in Don't let your PostgreSQL get exploited gibt Thom Brown weitere Tipps:

• Get it off the internet
• Nail down authentication
• Regular users mustn't have special privileges
• Most users shouldn't access external programs

B-Tree-Indexvergleich zwischen Postgres und SQL Server

Lukas Fittl untersucht in Postgres vs. SQL Server: B-Tree Index Differences & the Benefit of Deduplication Unterschiede zwischen Postgres und SQL Server.

So while both databases use B-Tree indexes as their default, SQL Server's tight coupling between index and physical storage creates a different set of expectations and limitations. PostgreSQL's index model has some performance downsides (since there is no clustered index implementation), but distinct features like deduplication make it perform better in other situations.

Am Ende des Beitrags gibt es auch noch eine nette Übersicht, welcher Indextyp in welcher Datenbank vorhanden ist.

MVCC und Performance von Insert und Update-Statements

Rohan Reddy Alleti widmet sich in seinem Beitrag Internals of MVCC in Postgres: Hidden costs of Updates vs Inserts wie Insert und Update-Statements in Postgres funktionieren.

Multiversion Concurrency Control (MVCC) is the mechanism Postgres uses to handle concurrent transactions to the same row while maintaining data consistency and isolation.

Instead of locking rows during reads and writes, Postgres creates multiple versions of a row to allow transactions to operate without blocking each other.

These multiple versions of a row are called Tuples. If a row is inserted, it has 1 tuple associated with it. If the same row is updated, there exists 2 tuples, among which one of them is live and the other is dead.

Postgres Release Monitor

• pgAdmin 4 v9.2 Released
• openHalo Project is now Released!
• Navicat for PostgreSQL17.2 Introduces AI Assistant, Snowflake Support, and Enhanced Data Modeling Features

Security und Privacy

Verizon mit Sicherheitslücke in eigener App

Evan Connelly beschreibt in seinem Blog-Beitrag Hacking the Call Records of Millions of Americans ein massives Problem in der Verizon iOS App:

So surely the server validated that the phone number being requested was tied to the signed in user? Right? Right?? Well…no. It was possible to modify the phone number being sent, and then receive data back for Verizon numbers not associated with the signed in user.

In short, anyone could lookup data for anyone.

T-Mobile mit massiven Problemen

T-Mobile verkauft einen GPS-Tracker namen SyncUP. Mit diesem scheint es massive Probleme gegeben zu haben.

T-Mobile sells a small GPS tracker for parents called SyncUP, which they can use to track the locations of young children who don’t have cell phones yet. Jenna, a parent who uses SyncUP to keep track of her three-year-old and six-year-old children, logged in Tuesday and instead of seeing if her kids had left school yet, was shown the exact, real-time locations of eight random children around the country, but not the locations of her own kids.

T-Mobile Shows Users the Names, Pictures, and Exact Locations of Random Children

Ende-zu-Ende verschlüsselte E-Mails

Diese Ankündigung machte Google diese Woche: New in Gmail: Making end-to-end encrypted emails easy to use for all organizations

In the coming weeks, users will be able to send E2EE emails to any Gmail inbox, and, later this year, to any email inbox.

Oracle hat scheinbar Probleme mit der Datensicherheit

Letzte Woche habe ich den möglichen Data Breach bei Oracle schon erwähnt. Es scheint so, als ob nicht nur die Cloud betroffen ist. Scheinbar hat es (realtiv) zeitgleich auch ein Problem bei Oracle Health gegeben. Das wird zumindest Lawrence Abrams im Artikel Oracle Health breach compromises patient data at US hospitals berichtet:

A breach at Oracle Health impacts multiple US healthcare organizations and hospitals after a threat actor stole patient data from legacy servers.

Oracle Health has not yet publicly disclosed the incident, but in private communications sent to impacted customers and from conversations with those involved, BleepingComputer confirmed that patient data was stolen in the attack.

Und sie scheinen auch sehr sympathische Dinge zu machen:

Oracle Health is also telling hospitals that they will not notify patients directly and that it is their responsibility to determine if the stolen data violates HIPAA laws and whether they are required to send notifications.

Wie Connor Jones in Oracle's masterclass in breach comms: Deny, deflect, repeat berichtet, scheint Oracle sehr darum bemüht zu sein, die Spuren zu verwischen:

Infosec experts Kevin Beaumont and Jake Williams later both claimed that Oracle appears to have used the Internet Wayback Machine's archive exclusion process to remove evidence about the intrusion.

[...]

To make matters worse, Oracle seemingly tried to swerve any flak with some careful semantics. Its original denial stated: "There has been no breach of Oracle Cloud. The published credentials are not for the Oracle Cloud. No Oracle Cloud customers experienced a breach or lost any data."

Infoseccer Beaumont, aka "GossiTheDog", later pointed out that he believed Oracle was trying to, in his words, "wordsmith" its statements in specific ways to avoid responsibility. Beaumont noted that Oracle distinguishes Oracle Cloud from Oracle Cloud Classic, and claimed the breach likely stemmed from the latter.

Bei Golem berichtet man Oracle gesteht Datenleck nur inoffiziell:

Mehrere Kunden des IT-Konzerns wurden demnach von Oracle darüber informiert, dass der Angreifer bei dem Vorfall in den Besitz von Anmeldeinformationen wie Benutzernamen, Passkeys und verschlüsselte Passwörter gelangt sei.

Data breach ticker

• Datenklau: 270.000 Datensätze von Samsung Deutschland im Darknet

AI

Sec-Gemini

Google hat die Veröffentlichung eines LLMs bekannt gegeben, dass sich sehr stark auf den Cybersecuritybereich fokusiert:

Today, we’re announcing Sec-Gemini v1, a new experimental AI model focused on advancing cybersecurity AI frontiers.

Google announces Sec-Gemini v1, a new experimental cybersecurity model

Gerüchte um Perplexity

Im derStandard wird über Perplexity und die Probleme berichtet. So dementiert der Chef zwar Gerüchte über finanzielle Schwierigkeiten, aber trotzdem gibt es einiges an Kritik an Perplexity.

Doch mittlerweile steht das Unternehmen massiv in der Kritik. Perplexity neigt nämlich nicht nur zu Halluzinationen, also falsch generierten Antworten, es verwendet KI-Halluzinationen als Quelle. "Müll rein, Müll raus", nannte man das bei Forbes. Wired urteilte gar, Perplexity sei eine "Bullshit-Maschine". Dazu kommt, dass es Perplexity offenbar mit der Quellenkritik nicht allzu genau nimmt und die Theorien von Vorreitern rassistischer Ideologie mit seriöser Wissenschaft gleichsetzt. Dazu kommt Kritik am Geschäftsmodell der "Antwortenmaschine".

Diverses

James Webb Space Telescope zeigt neue Einblicke

Wie Margherita Bassi im Smithsonian magazine berichtet, haben Bilder vom James Webb Space Telescope gezeigt, dass entgegen der vorherrschenden Meinung, wonach die Galaxien zu gleichen Teilen im und gegen den Uhrzeigersinn rotieren, die meisten der beobachteten Galaxien im Uhrzeigersinn rotieren.

About two-thirds of the 263 galaxies studied in a paper published February 17 in the Monthly Notices of the Royal Astronomical Society rotate clockwise, while the other one-third rotate counterclockwise.