allesnurgecloud #19 – Backstage bei Spotify, Security Panne bei CDU, AppleAir Tags auf Reisen und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

539 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

Datensätze der Wahlkampf-App „CDU Connect“ öffentlich

Die CDU Wahlkampf-App „CDU Connect“ ist seit längerer Zeit (2017) in den App-Stores erhältlich. Sie unterstützt hierbei lokale Wahlkampf-Helfer/innen beim Tür-zur-Tür Wahlkampf. Potenziell können Wahlkämpfer/innen darin Daten zu Wohnhäusern und deren Bewohner erfassen. Welche Geschlechter wohnen im Haus, wie ist das ungefähre Alter, wie sind die Personen zur CDU eingestellt?
Lilith Wittman hat nun die API der App analysiert, was aufgrund fehlendem Zertifikatspinning in der App eher einfacher war.
Neben den oben genannten Daten speichert die App dann auch Gesprächsfetzen, wie diese hier:

“Bundeskanzler soll ein Mann sein und keine links-grün-versiffte Frau. — 50 Jährige Frau aus Göttingen

Als ich auf Hochdeutsch sagte, dass ich von der CDU bin wurde ich als Saupreiß beleidigt und gesagt, dass man schon seit 1950 die CSU wählt und sich das nicht ändern wird. Außerdem wurde zu mir gesagt, dass der ganze Bua a depp sei, weil ich sehr zufrieden mit Armin Laschet bin. — 70+ Jahre alter Mann aus Garmisch-Partenkirchen

Lilith hat ihre Findings am Abend des 11.05.2021 beim CERT_Bund gemeldet und auch den Berliner Datenschutzbeauftragten informiert. Am Tag danach hat sich das BSI schon zurückgemeldet und die CDU die App erstmal offline genommen.
Da die Sicherheitslücke allerdings über Jahre bestand, kann nicht mehr einwandfrei nachvollzogen werden, ob es zu einem Datenabfluss kam.
Man sieht, Security ist nicht nur für Gorillas und die Luca App Macher schwierig, sondern auch für an der Regierung beteiligte Parteien. Bleibt zu hoffen, dass man beispielsweise Themen wie die „Luca App“ zur Kontaktverfolgung nochmals überdenkt.

Lilith Wittman: Wenn die CDU ihren Wahlkampf digitalisiert…


Backstage – Developer Platform bei Spotify

Spotify ist seit über 5 Jahren „All-In“ in die Google Cloud. In „Why Spotify loves being locked into Google Cloud“führt Tyson Singer (VP für Technology und Platform bei Spotify) als Gründe hierfür vor allem Spotifys Fokus auf Geschwindigkeit und BigData auf.
Aus Gründen der Einfachheit sei man auf nur einen Cloud-Anbieter fokussiert.
Für einfaches OnBoarding und eine Standardisierung der Services hat Spotify eine Developer Platform namens Backstage geschaffen. Backstage vereint einen vorgefertigten Standard (Compliance, Dokumentation, Architektur, Kostentransparenz) mit der Flexibilität eines Cloud-Anbieters. Über einen Plugin-Markplatz können unterschiedlichste Plugins integriert werden, beispielsweise Datadog, Jenkins, OpsGenie oder auch Sentry. Backstage selbst ist Multi-Cloud fähig und mittlerweile ein CNCF Sandbox Projekt.
Corey Quinn von lastweekinaws.com findet hingegen: „Developer Portals Are an Anti-Pattern“und hat 3 Kritikpunkte:

  • Ein Engineer/User einer internen Developer Plattform eignet sich spezifische Wissen an – ein Einstieg woanders mit dem breiten Wissen der Standard Cloud Plattformen wird dadurch erschwert
  • Die Plattform muss mit den Cloud Providern Schritt halten – was bei dem aktuell sehr hohen Feature Pace der Cloud Anbieter eine große Herausforderung ist.
  • Mit Kubernetes gäbe es eine solche Plattform schon, in Falle von Backstage halt eine ohne die Vorteile von Kubernetes

Für Spotify könne der Ansatz aufgrund der Größe (500+ Engineering Teams) Sinn machen, für die meisten anderen aber nicht.
Ich selbst kann mir schon vorstellen, dass solche Plattformen Sinn ergeben können, um eine Standardisierung der Services und Einhaltung der Vorgaben innerhalb größerer Firmen auf einfache und flexible Weise für alle möglichst reibungslos zu ermöglichen.
Funktionieren kann sowas aber nur in einem Open-Source Modell wie Spotify ihn beschreitet.

lastweekinaws.com: Developer Portals Are an Anti-Pattern


Sponsored

API und E2E Monitoring mit Checkly (mit Rabatt Code 🧙‍♂️)

Checkly ist ein modernes API und E2E Monitoring SaaS Tool für Entwickler und moderne DevOps Teams. Im Vergleich zu anderen Tools im Markt sticht besonders die ansprechende UI und große Funktionstiefe heraus. Ihr könnt eure Checks per Monitoring as Code via Terraform deployen. Der Provider ist offiziell verifiziert und supportet. Mithilfe des Prometheus-Exporters könnt ihr eure Check-Ergebnisse in Grafana darstellen.

Den großen Vorteil von Checkly sehe ich selbst in den Browser Checks zum Testen und Monitoren von Web Apps – diese könnt ihr mit Checklys‘ OpenSource Extension „Headless Recorder“ aufnehmen und in Checkly importieren. Alternativ können die Checks mit den Javascript Frameworks Puppeteer oder Playwright selber geschrieben werden.

Alle Checks können aus sämtlichen AWS Regionen in kurzen Intervallen bis 10 Sekunden ausgeführt werden. Bezahlt wird im fairen „Pay-per-use“ Modell.

Es gibt einen umfangreichen Free Plan und wer damit nicht auskommt, bekommt mit dem Gutschein Code „allesnurgecloud“ 20 % Rabatt auf alle Pläne!

Modernes API und E2E Monitoring mit Checkly


Apple Air Tag auf Reisen

Apple hat vor kurzem seine neuen Air Tags vorgestellt. In Zukunft soll es euch damit erleichtert werden, eure Schlüssel, Geldbeutel, Handies und sonstige Geräte wiederzufinden. Die wie üblich gut gemachte Youtube Werbung zu den AirTags wurde ebenfalls recht häufig angeklickt.
Apple wirbt mit „serienmäßigem Datenschutz“ und einem Schutz vor unerlaubtem Tracking. So soll dein iPhone fremde AirTags erkennen und dich benachrichtigen, sofern sich ein solches sich in deiner Nähe befindet.
Ein Tech Redakteur aus UK hat nun seine erste Tags erhalten und diese gleich auf eine postalische Reise geschickt. Damit das AirTag funktioniert, muss ein anderes Apple Device das Tag erkennen und eine Meldung dazu übermitteln.
So konnte der Redakteur ein recht vollständiges Tracking Profil seiner Post-Sendung erstellen. Der Empfänger hat die Sendung erstmal nicht geöffnet. Laut Apple sollte der iPhone Besitzer spätestens 3 Tage nach dem Auffinden eines fremden AirTags eine Warnung übermittelt bekommen, damit man eben damit nicht fremde Personen/Geräte absichtlich Orten kann.
Auf die Warnung wartet er heute noch – hier muss Apple unbedingt nachbessern.

Mac Security Blog: I Mailed an AirTag and Tracked Its Progress; Here’s What Happened


IT Anwendungen und Systeme erfolgreich übergeben?

Wer kennt es nicht?

Dafür bin ich nicht mehr zuständig.

Team XYZ hat die Anwendung gebaut, das Team wurde aufgelöst – wer kümmert sich nun darum?

Anwendungen „verwaisen“, haben keine IT Owner mehr – die Anwendungen können aber nicht abgeschaltet werden, da das Business diese noch benötigt. Der verlinkte Artikel aus dem SoundCloud Blog hat für das leidliche „System Handover“ ein paar Tipps und Standards parat. Für eine erfolgreiche Übergabe benötige man beide Teams, das scheidende und das neue Team – meiner Erfahrung nach scheitert es häufig schon hieran. Ein „scheidendes“ Team hat häufig kein Interesse an einer Übergabe, oder meist einfach keine Zeit.

Eine Übergabe – Dokumentation sollte mindestens folgende Informationen enthalten:

  • High-Level Architektur Übersicht
  • Wartungspläne
  • Datenstruktur und Speicherung
  • Kritikalität und Verfügbarkeit des Systems definieren
  • Technische Schulden
  • Bekannte Bugs
  • ..

Ansonsten hat das SoundCloud Team noch weitere Tipps und To-dos für einen sauberen Übergabeprozess parat – schaut mal rein.

SoundCloud Developers: How to Successfully Hand Over Systems


Verfügbarkeits-Planung für High-Traffic Events bei Shopify

Bei Shopify gibt es eine monatliche Weiterbildungs-Serie namens „Shipit!“, die Videos dazu werden mit zeitlichem Abstand auf YouTube veröffentlicht. Sehr interessant finde ich hierzu Video und Blog-Beitrag zu „Resiliency Planning for High-Traffic Events“ am Beispiel Black Friday.
Anhand einer Benutzer zentrischen Matrix werden mögliche Ausfallszenarien modelliert und dann anhand von System- und Applikations-Abhängigkeiten durchgespielt und mögliche Lösungsansätze diskutiert und dokumentiert. Das ausführliche Video zum Thema „Resiliency Planning“ geht knapp über 1 Stunde.

Shopify Engineering: Resiliency Planning for High-Traffic Events


Schmunzelecke

Berkshire Hathaway, die Investment Hodling von Wallstret Legende Warren Buffett, hat Anfang Mai den 32-bit code der Nasdaq gesprengt. Der Kurs wurde daher erstmal negativ angezeigt: https://www.theregister.com/2021/05/07/bug_warren_buffett_rollover_nasdaq

Bis vor Kurzem hat Mr. Dodgecoin „Elon Musk“ noch sämtliche Crypo-Währungen gehyped, Tesla hat einen kleinen Teil der Assets in Bitcoin angelegt – nun stoppt man den Verkauf von Tesla Fahrzeugen via Bitcoin wieder – Wegen schlechter Umweltbilanz. https://www.heise.de/news/Wegen-schlechter-Umweltbilanz-Tesla-stoppt-Zahlung-mit-Bitcoin-6045524.html


💡 Link Tipps aus der Open Source Welt

Google ZX – NodeJS Wrapper für die bash

Ja, ihr habt richtig gelesen – dieser Wrapper soll es euch ermöglichen, bash Scripte in Javascript zu verpacken, damit das Fehlerhandling, die Verarbeitung von Output und die Arbeit mit Dateien und Ordnern einfacher wird.
Schaut es euch einfach mal an.

https://github.com/google/zx

S3Sync – schnelles Sync tool für S3

Mit s3sync könnt ihr schnell und einfach eure S3 Buckets syncen. S3sync kann hier bei S3 zu lokalem Filesystem synchronisieren, einen upload eurer lokalen Files machen oder einfach 2 S3 Buckets spiegeln. Rate-limiting, live Statistiken und retry Funktion sind dabei ebenso an Bord.

https://github.com/larrabee/s3sync

Osmosfeed – GitHub als RSS reader

Mit omosfeed könnt ihr GitHub Actions und GitHub Pages kombinieren und GitHub in einen (Public) RSS-Reader verwandeln.
Die Page wird dann mit einem nodejs Script erstellt. Demo: https://osmoscraft.github.io/osmosfeed-demo/

https://github.com/osmoscraft/osmosfeed

Veraltete Images in Kubernetes finden mit k8s-outdated-image-exporter

Der k8s-outdated-image-exporter hilft euch beim Aufspüren veralteter Images innerhalb eurer Kubernetes Umgebung.
Der Exporter gleich hierbei einfach laufende Image Tags/Versionen mit der konfigurierten Registry ab.

https://github.com/patrick246/k8s-outdated-image-exporter

Strap – macOS Development Umgebung automatisieren

„Strap“ hilft euch beim Aufbau einer standardisierten macOS Development Umgebung. Neben der Installation von homebrew, homebrew-bundle, -services & Homebew Cask konfiguriert es eure GitHub Development Parameter, lädt eure .dotfiles und automatisiert Default macOS Einstellungen (firewall, Screensaver, disk-encryption)

https://github.com/mikemcquaid/strap

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

539 Abonnenten sind schon dabei - Vielen Dank!

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


  • Neueste Beiträge

  • Neueste Kommentare


  • Share

    By About
    Subscribe
    Notify of
    guest

    0 Comments
    Oldest
    Newest Most Voted
    Inline Feedbacks
    View all comments

    allesnurgecloud.com

    © 2024 allesnurgecloud.com
    0
    Would love your thoughts, please comment.x
    ()
    x