Wochennotiz 2025.33

Google liefert diese Woche beeindruckende Zahlen. Ich meine damit nicht die Geschäftszahlen.

In einem Beitrag auf einer Mailingliste wurde geteilt, wie viele Anfragen der Google-DNS-Server bekommt:

8.8.8.8 is current getting a steady-state 27Mpps (million packets/second) of ICMP ECHO_REQUEST

Und diese Zahlen sind durchaus beeindruckend.

Aber auch sonst gab es diese Woche einiges, das berichtenswert ist. So wurden beispielsweise neue Postgres-Versionen veröffentlicht. Unter anderem auch Postgres 18 Beta 3. Man sieht, man nähert sich immer mehr dem Release von Postgres 18.

Inhalt:

• Postgres und die Datenwelt
• Security und Privacy
• AI
• Diverses

Postgres und die Datenwelt

PostgreSQL 17.6, 16.10, 15.14, 14.19, 13.22, and 18 Beta 3 Released!

Diese Woche gab es eine Reihe neuer Versionen von PostgreSQL. Unter anderem auch Beta 3 von PostgreSQL 18.

Bei den älteren Versionen gab es ein paar Bugfixes. So wurden 3 Sicherheitslücken und über 55 Bugs behoben.

PostgreSQL 17.6, 16.10, 15.14, 14.19, 13.22, and 18 Beta 3 Released!

JSONB und der richtige Index

Craig Kerstins beschreibt in seinem Beitrag Indexing JSONB in Postgres unterschiedliche Möglichkeiten, wie man JSONB-Daten in Postgres indizieren kann.

So sind GIN-Indexes zwar die erste Wahl, aber auch hier kann es sein, dass für gewisse Abfragen ein anderer Indextyp besser geeignet ist.

Partition speed up

Im Beitrag Bypass PostgreSQL catalog overhead with direct partition hash calculations beschreibt Shayon Mukherjee, wie man durchaus Geschwindigkeitsvorteil haben kann, wenn man bei partioned tables schon davor weiß, auf welche Tabelle man zugreifen muss.

So sind im Beispiel des Beitrags die Berechnungen in Ruby um einiges schneller als in SQL. Was vor allem an den fehlenden Netzwerkroundtrips liegt.

Vitess für Postgres Alternative

Derzeit scheint die Saison für Vitess für Postgres-Bekanntmachungen zu sein. Schon in Ausgabe 2025.24 hat Supabase ein Multigress angekündigt.

Jetzt hat PlanetScale eine Ankündigung gemacht (Announcing Neki):

Today, we are announcing Neki — sharded Postgres by the team behind Vitess.

Wobei das mit dem Team wohl so eine Sache ist, da Sugu Sougoumarane, der Gründer von Vitess, jetzt an Multigress arbeitet.

Postgres Release Monitor

• Barman 3.15 Released
• CloudNativePG 1.27.0 Released!
• pgCompare Community v1.0.0 Released – Free PostgreSQL Schema Comparison for Faster, Safer Deployments

Security und Privacy

Probleme mit Metadaten bei Signal und WhatsApp

Zwei Wiener Forscher haben auf der Defcon 33 ihre Erkenntnisse zu Signal und WhatsApp präsentiert.

So kann man anhand der Zustellbestätigung einiges über die Personen herausfinden. Beispielsweise welche Plattformen sie nutzt oder die Zahl der genutzten Geräte.

Damit das aber bei der "Zielperson" nicht auffällt, mussten die Forscher einen eigenen Client schreiben, um

Nachrichten so zu bauen, dass sie zwar eine Zustellbestätigung liefern, die aber bei der Zielperson nicht angezeigt werden.

Die zweite Attacke richtet sich Perfect Forward Secrecy. Hier wird ausgenutzt, dass die Gesprächspartner nicht gleichzeitig onine sein müssen und damit die verwendeten Schlüsselpaare auf den Servern der Anbieter zwischengespeichert werden. Und hier konnten die Forscher ansetzen.

Wobei sie diesen Teil auch noch genutzt haben, um Rückschlüsse auf den User bzw. das verwendete Gerät zu ziehen, da es über die Schlüsselpaare auch ein Fingerprinting betrieben werden kann.

Grundsätzlich liest es sich so, als ob zwar beide Angriffe durchaus interessant sind und es wahrscheinlich von Seiten der Entwicklerfirmen in Zukunft dahingehend Anpassungen geben wird, aber nach einer aktuellen Gefahr für User:innen schaut es nicht aus.

Wiener Sicherheitsforscher zeigen Schwachstellen bei Signal und Whatsapp

Downgrade-Attacke

Eine zwar ganz interessante, aber in der Realität wahrscheinlich nicht wirklich problematische Attacke, haben Forscher bei einer Downgrade Attacke gegen Microsoft Entra ID präsentiert.

Wenn ich den Artikel richtig interpretiere, dann braucht es für eine funktionierende Attacke einen Safari-Browser unter Windows, da dieser keinen FIDO-Support hat. Ich denke, diese Kombination ist nicht weit verbreitet und daher der Angriff eher theoretischer Natur.

New downgrade attack can bypass FIDO auth in Microsoft Entra ID

Falsch konfigurieter Microsoft Tenants

Vaisha Bernard hat Spaß mit dem Microsoft-Login und hat einige Dienste gefunden, wo er sich mit seinen Microsoft-Zugangsdaten einloggen konnte, wo ihm der Zugriff eigentlich nicht erlaubt sein hätte sollen. So konnte er auf 22 interne Dienste von Microsoft zugreifen und auch auf deren internal data.

Consent & Compromise: Abusing Entra OAuth for Fun and Access to Internal Microsoft Applications

Data breach ticker

• Tausende Passdaten aus italienischen Hotels gehackt
• Manpower discloses data breach affecting nearly 145,000 people

AI

Perplexity will Google Chrome kaufen

Da in den USA ja einige Gerichtsverfahren gegen Google laufen bzw. Google auch schon so manches Verfahren verloren hat, gibt es immer wieder Spekulationen, ob Google nicht den Chrome-Browser wird verkaufen müssen.

Jedenfalls scheint im Fall der Fälle Perplexity nicht untätig an der Seitenlinie sitzen zu wollen und hat schon einen Preis für Chrome ausgerufen, der dem doppelten Wert von Perplexity entspricht.

Woher das Geld kommen soll? Es fließt scheinbar einfach so viel Geld in AI-Firmen, das es für Perplexity machbar scheint, an das Geld zu kommen.

Perplexity offers more than twice its total valuation to buy Chrome from Google

Suchmaschine selbst gebaut

In beeindruckenden Beitrag Building a web search engine from scratch in two months with 3 billion neural embeddings zeigt Wilson Lin, wie man selbst eine Suchmaschine baut.

Der Inhalt des Beitrags ist extrem umfangreich und daher ist sehr schwer auszuwählen, was dabei am beeindruckendsten ist.

Seine Motivation für das Experiment beschreibt er unter anderem so:

Another pain point was that search engines often felt underpowered, closer to keyword matching than human-level intelligence. A reasonably complex or subtle query couldn't be answered by most search engines at all, but the ability to would be powerful:

Diverses

Alzheimer-Medikamente wirksamer als vermutet

Gute Nachrichten gibt es im Kampf gegen Alzheimer. So sollen die neuen Medikamente das Fortschreiten der Krankheit verlangsamen.

Alzheimer-Medikamente wirksamer als bisher vermutet

So wird man kreativer

Gina Buhl listet in ihrem Artikel Einfach mal liegen lassen – 5 gute Gründe, öfter nichts zu tun fünf Gründe auf, warum es auch gut tut, einmal nichts zu tun:

So beschreibt sie, für das Gehirn sein kan faul sein durchaus sehr wirksam sein, da ein bewusster Lehrlauf Denkprozesse aktivieren kann, die sonst nicht in Gang kommen.