Wochennotiz 2025.17

Diese Ausgabe kommt mit einem Tag Verspätung. Zuerst waren am Samstag die Grazer Linuxtage und danach eine Geburtstagsfeier. Wie sich herausstellt, wird es immer schwieriger die Nächte durchzufeiern. Aber manchmal gelingt es doch noch gut. Dann ist allerdings der nächste Tag das große Problem ;-)

Es war aber auch eine Woche, wo es viele Veröffentlichungen im Postgres-Umfeld gegeben hat. Auch einige interessante Beiträge und eine neue Finanzierungsrunde für Supabase.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• Diverses

Postgres und die Datenwelt

Postgres und JSONB

Oskar Dudycz beschreibt in seinem Beitrag, was JSONB ist und wie man es in Postgres nutzen kann.

PostgreSQL's JSONB tokenisation is sneaky. It not only parses data but also preserves the actual data types of values. Each value in the binary format includes a type that identifies whether it's a string, number, boolean, null, array, or object.

PostgreSQL JSONB - Powerful Storage for Semi-Structured Data

Statistiken in Postgres

Louise Grandjonc Leinweber schreibt einen Beitrag darüber, wie Postgres Statistiken nutzt und wie man das auch noch verbessern kann.

Postgres keeps detailed table statistics to track most common values and other details about the column data. These statistics are used by the query planner and table statistics themselves can directly impact query performance.

Postgres users can add extended statistics and explicitly tell Postgres about functional dependencies and correlations between columns. In some cases, these can dramatically improve query planning and performance.

Hacking the Postgres Statistics Tables for Faster Queries

Neues Geld für Supabase

Es gibt frisches Geld für Supabase und eine Bewertung von 2 Milliarden. Man darf also gespannt sein, was die Zukunft bringt.

That term sheet became Supabase’s latest funding round, a $200 million Series D valuing the company at $2 billion, Fortune can exclusively report. Coatue, Y Combinator, Craft Ventures, and Felicis participated in the round, as did big-name angels like OpenAI Chief Product Officer Kevin Weil, Vercel CEO Guillermo Rauch, and Laravel CEO Taylor Otwell.

Exclusive: Supabase raises $200 million Series D at $2 billion valuation

Yugabyte mit neuem Updatemechanismus

Upgrades von einer Major-Version auf die andere sind in Postgres immer eine Herausforderung. Yugabyte behauptet, sie hätten jetzt dafür eine Lösung gefunden und es funktionert relativv problemlos in Yugabyte:

YugabyteDB distributed storage, transaction, and replication layers now support online rolling upgrades and rollback. By taking advantage of YugabyteDB’s PostgreSQL compatibility, specifically being able to reuse pg_upgrade, the new upgrade framework achieves online upgrades without compromising PostgreSQL’s architectural choices.

Goodbye to Painful PostgreSQL Upgrades: Discover YugabyteDB’s New Upgrade Framework

Clickhouse hat jetzt lazy materialization

In einem interessanten Beitrag beschreibt Clickhouse, wie sie Queries schneller ausführen:

Now it pushes this idea even further with a new optimization: lazy materialization, which delays reading column data until it’s actually needed.

This seemingly "lazy" behavior turns out to be extremely effective in real-world workloads, especially for Top N queries that sort large datasets and apply LIMIT clauses, a common pattern in observability and general analytics. In these scenarios, lazy materialization can dramatically accelerate performance, often by orders of magnitude.

ClickHouse gets lazier (and faster): Introducing lazy materialization

Postgres Release Monitor

• PgBouncer 1.24.1 released - Fixes CVE-2025-2291
• PostgreSQL Anonymizer 2.1: Blurring Images
• pgmoneta 0.16
• Ora2Pg v25.0 has been released
• oid2bytea v1.0 has been released
• Pigsty v3.4 Released, PG RDS with MySQL Compatibility
• SynchDB 1.1 Released - Now with Oracle Support and Enhanced Data Transformation
• Announcing the release of AgensGraph v2.15.0

Security und Privacy

Mitarbeiter:innenüberwachung

Da es für mich mehr als nur ein "normaler" breach ist, bekommt die Leistung der Firma WorkComposer einen eigenen Punkt.

A major time-tracking company has been leaking sensitive screenshots on the open internet, putting countless people and organizations at risk of identity theft, data breaches, wire fraud, scams, and more.

Eine Überwachungssoftware, ähm time-tracking Software, macht alle 20 Sekunden einen Screenshot und legt diese dann ungesichert auf S3 ab. Was man dieser Firma wünscht, ist wirklich nicht druckreif.

Top employee monitoring app leaks 21 million screenshots on thousands of users

Microsoft

Kevin Beaumont berichtet über einen Patch, der ein neues Problem eröffnet:

However, I’ve discovered this fix introduces a denial of service vulnerability in the Windows servicing stack that allows non-admin users to stop all future Windows security updates.

Microsoft’s patch for CVE-2025–21204 symlink vulnerability introduces another symlink vulnerability

Und Bill Toulas berichtet, dass russische Hacker mittels OAuth authentication flows Microsoft 365 Accounts übernommen haben:

The adversary is impersonating officials from European countries and contact targets through WhatsApp and Signal messaging platforms. The purpose is to convince potential victims to provide Microsoft authorization codes that give access to accounts, or to click on malicious links that collect logins and one-time access codes.

Hackers abuse OAuth 2.0 workflows to hijack Microsoft 365 accounts

Data breach ticker

• Millions impacted by data breaches at Blue Shield of California, mammography service and more
• Nearly 500,000 impacted by 2023 cyberattack on Long Beach, California
• SSNs and more on 5.5M+ patients feared stolen from Yale Health

Diverses

Leta

Das ist der Name einer Suchmaschine von Mullvard. Auch wenn es keinen eigenen Index gibt, klingt es durchaus interessant:

»Leta« ist das schwedische Wort für »suchen« oder »aufspüren« – und genau das will der Dienst ermöglichen, ohne seine Nutzer zu tracken oder zu profilieren. Technisch agiert Leta als Proxy: Suchanfragen werden nicht direkt an Google oder Brave Search gesendet, sondern über die Leta-Server geleitet. Die Anfrage verlässt den Browser anonymisiert und wird serverseitig verarbeitet.

Mullvad Leta: Privatsphäre-orientierte Suche, wie sie sein sollte

Fehlender politischer Wille

Andreas Proschofsky berichtet über den Weg der Europäer in die Abhängigkeit

Doch wo die Münchner Stadtregierung damals eine strategische und aus der heutigen Perspektive vollständig richtige Entscheidung für die Unabhängigkeit der eigenen Infrastruktur traf, ließen fast alle anderen öffentlichen Verwaltungen diesen Mut vermissen. Stattdessen ergab man sich willfährig der Lobbyarbeit von Microsoft, dessen Vertreter damals eifrig von einem Land zum nächsten reisten, um jedes noch so zarte Linux-Projekt im Keim zu ersticken. Oftmals wurde die Idee einer Linux-Migration ohnehin nur genutzt, um einen Rabatt von dem Windows-Hersteller zu bekommen.

Wie Europas Open-Source-Versagen in die US-Abhängigkeit geführt hat

Rückkehr ins Büro

Jan Wildeboer beschreibt in Thoughts on RTO — Return To Office ähnliche Erfahrungen, die auch ich gemacht habe

I observe a certain divide. We, the “old” ones, have our networks. Our connections. But the new colleagues that joined us during the lockdowns struggle to build these networks. Or they build them amongst themselves without really reaching out to the rest of us. Social coherence inside our company is suffering, IMHO.