Wochennotiz 2025.33

Google liefert diese Woche beeindruckende Zahlen. Ich meine damit nicht die Geschäftszahlen.

In einem Beitrag auf einer Mailingliste wurde geteilt, wie viele Anfragen der Google-DNS-Server bekommt:

8.8.8.8 is current getting a steady-state 27Mpps (million packets/second) of ICMP ECHO_REQUEST

Und diese Zahlen sind durchaus beeindruckend.

Aber auch sonst gab es diese Woche einiges, das berichtenswert ist. So wurden beispielsweise neue Postgres-Versionen veröffentlicht. Unter anderem auch Postgres 18 Beta 3. Man sieht, man nähert sich immer mehr dem Release von Postgres 18.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

PostgreSQL 17.6, 16.10, 15.14, 14.19, 13.22, and 18 Beta 3 Released!

Diese Woche gab es eine Reihe neuer Versionen von PostgreSQL. Unter anderem auch Beta 3 von PostgreSQL 18.

Bei den älteren Versionen gab es ein paar Bugfixes:

This release fixes 3 security vulnerabilities and over 55 bugs reported over the last several months.

PostgreSQL 17.6, 16.10, 15.14, 14.19, 13.22, and 18 Beta 3 Released!

JSONB und der richtige Index

Craig Kerstins beschreibt in seinem Beitrag Indexing JSONB in Postgres unterschiedliche Möglichkeiten, wie man JSONB-Daten in Postgres indizieren kann.

GIN indexes are your best friend when you need to query inside documents but they're not a silver bullet. Knowing when and how to use them is key.

Partition speed up

Im Beitrag Bypass PostgreSQL catalog overhead with direct partition hash calculations beschreibt Shayon Mukherjee, wie man durchaus Geschwindigkeitsvorteil haben kann, wenn man bei partioned tables schon davor weiß, auf welche Tabelle man zugreifen muss.

Ruby calculations are 20-40x faster than SQL equivalents. The benefit here of course comes from eliminating network round-trips entirely while getting the exact same partition indices that PostgreSQL would calculate. Plus, the database doesn’t need to spend extra CPU and load querying catalog tables.

Vitess für Postgres Alternative

Derzeit scheint die Saison für Vitess für Postgres-Bekanntmachungen zu sein. Schon in Ausgabe 2025.24 hat Supabase ein Multigress angekündigt.

Jetzt hat PlanetScale eine Ankündigung gemacht (Announcing Neki):

Today, we are announcing Neki — sharded Postgres by the team behind Vitess.

Wobei das mit dem Team wohl so eine Sache ist, da Sugu Sougoumarane, der Gründer von Vitess, jetzt an Multigress arbeitet.

Postgres Release Monitor

• Barman 3.15 Released
• CloudNativePG 1.27.0 Released!
• pgCompare Community v1.0.0 Released – Free PostgreSQL Schema Comparison for Faster, Safer Deployments

Security und Privacy

Probleme mit Metadaten bei Signal und WhatsApp

Zwei Wiener Forscher haben auf der Defcon 33 ihre Erkenntnisse zu Signal und WhatsApp präsentiert.

So kann man anhand der Zustellbestätigung einiges über die Personen herausfinden:

All das lässt sich nutzen, um zu wissen, was eine Person gerade tut und teilweise eben auf welchen Plattformen. So ließe sich etwa herausfinden, ob eine observierte Person gerade im Büro arbeitet oder unterwegs ist. Auch die Zahl der genutzten Geräte lässt sich ermitteln, da diese mit fortlaufenden Nummern versehen sind.

Damit das aber bei der "Zielperson" nicht auffällt, mussten die Forscher einen eigenen Client schreiben, um

Nachrichten so zu bauen, dass sie zwar eine Zustellbestätigung liefern, die aber bei der Zielperson nicht angezeigt werden.

Die zweite Attacke richtet sich Perfect Forward Secrecy.

Das Problem dabei ist, dass natürlich die Gesprächspartner nicht immer gleichzeitig online sind, womit eine direkte Aushandlung eines Schlüssels nicht immer gleich möglich ist. Also müssen sie auf Servern des Anbieters zwischengespeichert werden – und genau das lässt sich von jedem blockieren, wie die Forscher nun zeigen.

Wobei sie diesen Teil auch noch genutzt haben, um Rückschlüsse auf den User bzw. das verwendete Gerät zu ziehen:

Auch damit lassen sich Rückschlüsse auf das Gegenüber ziehen, nämlich indirekt über die Zeit, die es braucht, bis diese Schlüssel erschöpft und dann wieder verfügbar sind. Das geht so weit, dass ein recht genaues Fingerprinting betrieben werden kann, da unterschiedliche Smartphones auch unterschiedlich reagieren.

Grundsätzlich liest es sich so, als ob zwar beide Angriffe durchaus interessant sind und es wahrscheinlich von Seiten der Entwicklerfirmen in Zukunft dahingehend Anpassungen geben wird, aber nach einer aktuellen Gefahr für User:innen schaut es nicht aus.

Wiener Sicherheitsforscher zeigen Schwachstellen bei Signal und Whatsapp

Downgrade-Attacke

Eine zwar ganz interessante, aber in der Realität wahrscheinlich nicht wirklich problematische Attacke, haben Forscher bei einer Downgrade Attacke gegen Microsoft Entra ID präsentiert

The new downgrade attack created by Proofpoint researchers employs a custom phishlet within the Evilginx adversary-in-the-middle (AiTM) framework to spoof a browser user agent that lacks FIDO support.

Specifically, the researchers spoof Safari on Windows, which is not compatible with FIDO-based authentication in Microsoft Entra ID.

Wenn ich den Artikel richtig interpretiere, dann braucht es für eine funktionierende Attacke einen Safari-Browser unter Windows und ich denke, diese Kombination ist nicht weit verbreitet.

New downgrade attack can bypass FIDO auth in Microsoft Entra ID

Falsch konfigurieter Microsoft Tenants

Vaisha Bernard hat Spaß mit dem Microsoft-Login und hat einige Dienste gefunden, wo er sich mit seinen Microsoft-Zugangsdaten einloggen konnte, wo ihm der Zugriff eigentlich nicht erlaubt sein hätte sollen. So konnte er auf 22 interne Dienste von Microsoft zugreifen:

We now had all the required tools to consent & compromise. It turned out that 22 internal Microsoft applications were vulnerable and exposed internal data.

Consent & Compromise: Abusing Entra OAuth for Fun and Access to Internal Microsoft Applications

Data breach ticker

• Tausende Passdaten aus italienischen Hotels gehackt
• Manpower discloses data breach affecting nearly 145,000 people

AI

Perplexity will Google Chrome kaufen

Da in den USA ja einige Gerichtsverfahren gegen Google laufen bzw. Google auch schon so manches Verfahren verloren hat, gibt es immer wieder Spekulationen, ob Google nicht den Chrome-Browser wird verkaufen müssen.

Jedenfalls scheint im Fall der Fälle Perplexity nicht untätig an der Seitenlinie sitzen zu wollen und hat schon einem einen Preis für Chrome ausgerufen, der dem doppelten Wert von Perplexity entspricht:

Investors value the company at about $14 billion right now. So how does Perplexity have more than twice that to buy Chrome? That's the neat part—it doesn't.

There is so much capital floating around in the artificial intelligence sphere currently that even a cash-poor firm like Perplexity can secure enough investment to splurge on Chrome. Reuters reports that the all-cash offer is funded by various venture funds, but Perplexity has not offered specifics.

Perplexity offers more than twice its total valuation to buy Chrome from Google

Suchmaschine selbst gebaut

In beeindruckenden Beitrag Building a web search engine from scratch in two months with 3 billion neural embeddings zeigt Wilson Lin, wie man selbst eine Suchmaschine baut.

Der Inhalt des Beitrags ist extrem umfangreich und daher ist sehr schwer auszuwählen, was dabei am beeindruckendsten ist.

Seine Motivation für das Experiment beschreibt er unter anderem so:

Another pain point was that search engines often felt underpowered, closer to keyword matching than human-level intelligence. A reasonably complex or subtle query couldn't be answered by most search engines at all, but the ability to would be powerful:

Diverses

Alzheimer-Medikamente wirksamer als vermutet

Gute Nachrichten gibt es im Kampf gegen Alzheimer.

„Die beiden Amyloid-Antikörper Donanemab und Lecanemab können den Kognitionsverlust bei einer milden kognitiven Einschränkung oder einer beginnenden Alzheimer-Demenz auch langfristig über drei beziehungsweise vier Jahre verlangsamen“, schrieb dazu das „Deutsche Ärzteblatt“.

Alzheimer-Medikamente wirksamer als bisher vermutet

So wird man kreativer

Gina Buhl listet in ihrem Artikel Einfach mal liegen lassen – 5 gute Gründe, öfter nichts zu tun fünf Gründe auf, warum es auch gut tut, einmal nichts zu tun:

Faul sein. Rumliegen. Aus dem Fenster starren. Klingt nach Zeitverschwendung? Für unser Gehirn ist genau das hochwirksam. Denn wer bewusst in den Leerlauf wechselt, aktiviert Denkprozesse, die im Arbeitsmodus gar nicht erst in Gang kommen