Wochennotiz 2025.23

Posted on So 08 Juni 2025 in Blog

Diese Woche war ich bei zwei Etappen der Tour of Slovenia. Bei Radrennen finde ich die Stimmung immer sehr speziell.

Ich habe mittlerweile ja schon einige Etappen bei unterschiedlichsten Rundfahrten miterlebt. Auch wenn jetzt die zwei Etappen in Slowenien stimmungsmäßig ganz nett waren, ich denke, es wird nicht so leicht sein jemals die Schlussetappe der Tour de France auf dem Champs-Elysees übertreffen, wo ich 2017 als Zuseher dabei war.

Es war einfach eine Riesenparty mit gelöster Stimmung.

Aber auch bei den zwei Etappen in Slowenien merkt man einfach schon auch die Euphorie der Kinder und die Freude der Erwachsenen, wenn der Radtross an ihnen vorbeizieht.

Inhalt:

Postgres und die Datenwelt

Performance

Michael Christofides zeigt, warum wichtig ist die Performance aus unterschiedlichen Blickwinkel zu betrachten:

For example, let’s consider a query that takes on average 100ms but 1% of the time it takes over 500ms (its p99), and a second query that takes on average 110ms but with a p99 of 200ms. It is quite possible that the first query is causing more user dissatisfaction, despite being faster on average.

Er ist auch ein großer Fan davon pg_stat_statements dahingehend zu erweitern, um diese Metriken auch darstellen zu können.

Approximate the p99 of a query with pg_stat_statements

Römische Zahlen

Laurenz Albe schreibt im Beitrag The Fun of Open Source: Roman Numerals in PostgreSQL wie es zur Verwendung von römischen Zahlen in Postgres kommt:

Digging through the history of the source code, we find that PostrgreSQL has had support for rendering numbers with to_char() as Roman numerals since commit b866d2e2d7 in 2000. Unfortunately, I cannot find any discussion on the mailing list about that patch. If I have to guess, I would say that the reason was feature compatibility with Oracle database. There was no support for the conversion in the other direction until commit 172e6b3adb almost 25 years later.

Und zeigt dann auch ein paar Beispiele, wie man die neue Funkion dann auch verwenden kann:

SELECT to_number('MCMLXVIII', 'RN');

 to_number 
═══════════
      1968

Weitere Beispiele finde sich in seinem Beitrag.

Vacuum

Shane Borden zeigt ein Beispiel, wo Vacuum Probleme machen kann.

After inspection of the WAL, it turns out that it the issue was due to a step in the vacuum process whereby it tries to return free pages at the end of the table back to the OS, truncation of the High Water Mark (HWM).

Understanding High Water Mark Locking Issues in PostgreSQL Vacuums

Postgres Release Monitor

Security und Privacy

Meta und Yandex deanonymisieren Benutzer:innen

Meta zeigt wieder einmal, um welch tolle Firma es sich handelt und tracken die User wo immer es auch möglich ist. Auch über App-Grenzen hinweg.

In contrast to iOS, however, Android imposes fewer controls on local host communications and background executions of mobile apps, the researchers said, while also implementing stricter controls in app store vetting processes to limit such abuses. This overly permissive design allows Meta Pixel and Yandex Metrica to send web requests with web tracking identifiers to specific local ports that are continuously monitored by the Facebook, Instagram, and Yandex apps. These apps can then link pseudonymous web identities with actual user identities, even in private browsing modes, effectively de-anonymizing users’ browsing habits on sites containing these trackers.

Meta and Yandex are de-anonymizing Android users’ web browsing identifiers

Einige technische Details zur Umsetzung gibt es im Beitrag Web-zu-App-Tracking: Wie Meta & Yandex Android-Nutzer deanonymisieren:

Meta (Facebook/Instagram) und Yandex missbrauchen seit 2017 bzw. 2024 offene localhost-Ports auf Android, um Browser-Cookies mit Geräte-IDs ihrer Apps zu verknüpfen.

Der Trick umgeht Inkognito-Modus, Cookie-Löschen und Werbe-ID-Reset.

Milliarden Nutzer und Millionen Webseiten sind (oder waren) betroffen.

Erste Schutzmaßnahmen sind bereits in Chrome 137 & Brave integriert. Meta hat den Code am 3. Juni 2025 weitgehend entfernt.

Bis die »Lücke« geschlossen ist: Tracker blockieren, Browser aktualisieren, generell auf Meta-/Yandex-Apps verzichten bzw. diese deaktivieren, falls eine Deinstallation nicht möglich ist.

Digitale Souveränität

Nextcloud und Ionos arbeiten an einer gemeinsamen Alternative zu Microsoft 365. Wobei es sich wohl eher "nur" um eine Alternative zu Office und Teams handeln wird und nicht um eine Alternative des kompletten Microsoft 365 Universums. Vermute ich zumindest:

Die Cloud-Plattform und der Hosting-Provider preisen die Software als souveränen Online-Arbeitsplatz mit E-Mail, Office, Videokonferenzen, Chat und KI an, basierend auf Open-Source-Technik und mit voller Transparenz und Kontrolle des Nutzers über Daten und Infrastruktur.

Souverän aus Deutschland: Ionos und Nextcloud entwickeln M365-Alternative

Die geopolitische Lage und die damit einhergehende Angst Kunden zu verlieren, zwingt wohl Microsoft derzeit vermehrt zu Zugeständnissen:

The new security program will be available across the European Union as well as to states in the process of joining the EU. Members of the European Free Trade Association (including non-EU states such as Switzerland and Norway) as well as the United Kingdom, Monaco and the Vatican, will also be able to participate.

Microsoft makes a 'proactive investment' in EU cybersecurity amid bloc's tensions with US

Supply-Chain-Probleme

Mehrere Probleme mit NPM, PyPI und Co. sind diese Woche aufgetaucht.

Several malicious packages have been uncovered across the npm, Python, and Ruby package repositories that drain funds from cryptocurrency wallets, erase entire codebases after installation, and exfiltrate Telegram API tokens, once again demonstrating the variety of supply chain threats lurking in open-source ecosystems.

Malicious PyPI, npm, and Ruby Packages Exposed in Ongoing Open-Source Supply Chain Attacks

Und auch ein größeres Package hat es scheinbar erwischt:

A significant supply chain attack hit NPM after 16 popular Gluestack 'react-native-aria' packages with over 950,000 weekly downloads were compromised to include malicious code that acts as a remote access trojan (RAT).

Supply chain attack hits Gluestack NPM packages with 960K weekly downloads

Data breach ticker

AI

Mistral

Mistral hat jetzt einen eigene vibe coding Client veröffentlicht.

Mistral Code, a fork of the open source project Continue, is an AI-powered coding assistant that bundles Mistral’s models, an “in-IDE” assistant, local deployment options, and enterprise tools into a single package. A private beta is available as of Wednesday for JetBrains development platforms and Microsoft’s VS Code.

Mistral releases a vibe coding client, Mistral Code

Claude-Generated Commits

Max Mitchell hat sich die Commits von Cloudflare genauer angesehen, die sie für ihre OAuth 2.1 library veröffentlicht haben, die großteils von und mit Claude geschrieben worden ist.

This OAuth library represents something larger than a technical milestone—it's evidence of a new creative dynamic emerging. One where artificial intelligence handles mechanical implementation while humans provide direction, context, and judgment.

It's clear there was substantial human involvement throughout this process. We're still far from AI independently implementing libraries of this scope. Almost every feature required multi-shot prompting, some bugs resisted all attempts at automated fixes, certain features would have been completed faster manually, and a human had to create every prompt and provide strategic direction.

Despite these limitations, AI generated the vast majority of functional code in this library. Claude Code was publicly launched just two weeks ago, and it's already enabling this level of collaboration.

I Read All Of Cloudflare's Claude-Generated Commits

Diverses

Digital Markets Act

Wie der Bericht Windows nervt bald nicht mehr mit Bing und Edge hat der Digital Markets Act (DMA) durchaus Vorteile für die europäische Bevölkerung.

Doch dank des Digital Markets Act (DMA) der Europäischen Union kann man den Browser seit dem Vorjahr vom eigenen System entfernen.

Aber: Das hinderte das Betriebssystem nicht daran, bei jeder Gelegenheit darauf hinzuweisen, dass man die Software doch bitte wieder installieren möge. Dies geschah insbesondere, wenn man gewisse Linkformate oder Dateitypen anklickte. Auch damit ist jetzt Schluss, wie Microsoft am Montag bekanntgab.

Für Menschen außerhalb der EU (plus Island, Liechtenstein und Norwegen) bleibt Windows weiterhin sehr aufdringlich.

Dinge selbst hosten

Simon Späti schreibt in seinem Beitrag Self-Host & Tech Independence: The Joy of Building Your Own, warum er findet, es ist eine gute Idee die Dinge selbst zu hosten:

As you might have noticed by now, not only do you get a lot of value out of it, but it also takes some work. But to me, that’s where I get my joy. One of my principles and things I like to do most over anything else is learning. And what is a better way to learn than building something you can actually use?

Besides, you also get lots of independence. That’s why Derek calls it tech independence, because you are not depending on the big players such as Google, Apple, and others to implement your features or tweak them to your needs. You also don’t get a heart attack if Google turns off your favorite app such as Google Inbox and many others I loved but got cut off. Or if they simply raise the price.