Wochennotiz 2025.20

Diese Woche durfte, eher musste, ich zwei Samsung Mobiltelefone in Betrieb nehmen. Unfassbar, was da alles vorinstalliert ist und sich nicht deinstallieren lässt. Bloat wird da ganz neu definiert von Samsung. Da merkt man, es gibt wohl im Android-Umfeld kaum eine Marke, die normalen Leuten geläufig ist bzw. verwendet wird, wenn sie mit solchen Praktiken durchkommen.

Und es zeigt wieder, in welcher spezialisierten Blase man sich selbst oft bewegt. Denn ich kenne nicht wirklich jemanden, der Samsung nutzt.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• Diverses

Postgres und die Datenwelt

Rückblicke auf die pgconf.de

Sowohl bei Cybertec, als auch bei credativ widmet man sich der 2025er Ausgabe der pgconf.de.

Bei From VACUUM to Deutsche Bahn: The Most Unexpected Moments at PGConf.DE 2025 wird eine neue Initiative erwähnt:

Valerie Kaplan, Diego Calvo de Nó, and Jan Karremans introduced the Open Alliance for PostgreSQL Education — a new initiative co-founded by CYBERTEC.

The goal: create standardized certification and training for PostgreSQL DBAs, possibly with shared course materials. Having taught PostgreSQL for years, I love this direction.

Sowohl bei Cybertec, als auch bei credativ wird der Talk von Peter Eisentraut positiv hervorgehoben:

Ein weiterer sehr interessanter Vortrag war die deutsche Präsentation „Modernes SSL ideal einsetzen“ von Peter Eisentraut von EDB. Der Vortrag behandelte die Auswahl geeigneter Protokollversionen und kryptografischer Cipher Suites, die Verwaltung von Schlüsseln und Zertifikaten sowie die Konfiguration von Client-/Server-Einstellungen zur Erfüllung zeitgemäßer Sicherheitsstandards.

Postgres-Migration

In einem Beitrag teilt das Motion Engineering ihren Weg von CockroachDB zu Postgres. Faszinierend sind die Kosten, die sie bei CockroachDB hatten:

However, as Motion grew, so did our usage and costs. By 2024, Motion’s CockroachDB bill had 5x-ed to the mid 6 figures, and some of the cracks were beginning to show. None of our customers had required data localization yet, and we were still in a single region doing fairly simple transactional queries — so why pay the cost of a distributed database at all?

Grundsätzlich würde es mich interessieren, wie oft Firmen sich ein Setup zulegen, das dann komplett überdimensioniert für die eigenen Anforderungen ist.

Migrating to Postgres

Neon wird übernommen

Letzte Woche wurde bereits gemunkelt, Neon könnte übernommen werden. Diese Woche wurde die Übernahme beidseitig bestätigt. In ihrem Beitrag Neon and Databricks wird auch eine spannende Sache erwähnt:

In 2024, something shifted: AI-native apps started taking off. And we realized that our architecture was uniquely well-suited to power them. We leaned into agent-focused development, and within a few months, over 80% of databases were being created by AI agents rather than humans.

Laut dem Beitrag scheint die Übernahme für den Anfang auch keine Auswirkungen auf die Zukunft von Neon zu haben:

Neon isn’t going anywhere – we’re doubling down, and the entire team will stay focused on building the best database in the world. Our roadmap is accelerating, and our ambition is only growing. Together with Databricks, we will build the best Postgres experience in the world and maybe one of the most important pieces of the modern AI-native app stack.

Security und Privacy

EU startet eigene Vulnerability Datenbank

Auch wenn es vom Zeitpunkt her so aussieht, als ob die EU auf die Entwicklungen in den USA reagiert hätte, hat die European Union Agency for Cybersecurity (ENISA) schon länger einen Auftrag dafür. Wird so auch im The Register-Artikel As US vuln-tracking falters, EU enters with its own security bug database berichtet:

The European Union Agency for Cybersecurity (ENISA) first announced the project in June 2024 under a mandate from the EU's Network and Information Security 2 Directive, and quietly rolled out a limited-access beta version last month during a period of uncertainty surrounding the United States' Common Vulnerabilities and Exposures (CVE) program.

Ironischerweise setzt man auf Technologie der Microsoft Azure Cloud. Also weit weg von technologischer Unabhängigkeit.

Unabhängig von der nun initiierten Vulnerability Datenbank, macht sich Dennis-Kenji Kipker Gedanken, wie man die Ankündigungen von Microsoft zu verstehen hat. Über diese Ankündigungen habe ich in der Ausgabe der Wochennotiz 2025.18 bereits berichtet:

Und wenn Microsoft jetzt aktuell Milliardeninvestitionen zur Realisierung eines angeblichen Souveränitätsprogramms hier in der EU ankündigt, handelt es sich letztlich genauso wenig um ein Geschenk wie das Trojanische Pferd. Das wurde zunächst als prächtiges Dankopfer angeboten, brachte am Ende aber nur den Untergang der belagerten Stadt Troja.

Passfotos in der Cloud

Im Bericht Wie Passfotos in der Amazon Cloud landen und US-Behörden darauf zugreifen könnten wird berichtet, wie deutsche Passbilder bei AWS gelandet sind:

Auf den Websites der Dienstleister sei an dieser Stelle die Rede von "sicherer DM-Cloud" oder "C5-Hochsicherheits-Cloud", de facto würden sie allerdings in der Amazon-Cloud AWS zwischengespeichert werden. Gemäß dem Gesetz muss die Verarbeitung der personenbezogenen Daten durch einen in der EU ansässigen Anbieter stattfinden – dieses Kriterium wird erfüllt, da AWS Europe eine eingetragene Gesellschaft mit Sitz in Luxemburg ist. Gleichzeitig ist AWS eine Tochtergesellschaft des US-amerikanischen Konzerns Amazon.com, Inc.

Security Probleme bei Screen

Das SUSE Security Team hat im Beitrag Multiple Security Issues in Screen einige Probleme mit Screen aufgezeigt.

When we actually found time to look into it again, we were surprised to find a local root exploit in the Screen 5.0.0 major version update affecting distributions that ship it as setuid-root (Arch Linux and NetBSD). We also found a number of additional, less severe issues that partly also affect older Screen versions still found in the majority of distributions.

Data breach ticker

• Nova Scotia Power confirms hackers stole customer data in cyberattack
• Hackerangriff auf Dienstleister: Daten von 180.000 BVG-Kunden betroffen
• Marks & Spencer confirms customer data stolen in cyberattack
• Alabama says ‘cybersecurity event’ could disrupt state government services

Diverses

Die längste Zugreise der Welt

Wie man in The world’s longest train journey is epic — but nobody’s ever taken it berichtet, ist es theoretisch möglich von Portugal nach Singapur mit dem Zug zu fahren:

That’s a distance by rail of 11,654 miles (18,755 km), crossing 13 countries, eight time zones, and (if you plan your connections well and don’t miss any) taking about 14 days. Taking that train all the way from Portugal to Singapore would carry you halfway across the world. With some luck, you’ll see wild elephants frolicking in the fields of Southeast Asia as your train shoots past.