allesnurgecloud #78 – HEY und Basecamp verlassen Cloud, Klage gegen DB Navigator, Core Web Vitals, Cloudflare DDoS Report und mehr.

allesnurgecloud.com ist ein kuratierter Newsletter mit Inhalten aus der Open-Source, Cloud und IT-Welt.
Für weiteren Content folge mir gerne auf Twitter, Mastodon oder LinkedIn.

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.

HEY und Basecamp „verlassen“ die Cloud

David Heinemeier Hansson (DHH), Co-Gründer von Basecamp und Hey, hat in einem kurzen und viel geteilten News Betrag den Rückzug seiner Firmen aus der Cloud angekündigt:

Renting computers is (mostly) a bad deal for medium-sized companies like ours with stable growth. The savings promised in reduced complexity never materialized. So we’re making our plans to leave.

Er führt weiter aus, dass sich die Cloud nur für 2 Arten von Firmen lohne.
Erstens für Firmen, die kaum eine Last haben und viel von „managed Services“ profitieren (Hosting dann bei Heroku oder Render). Zweitens von Firmen, die große Traffic Spikes haben, die nicht vorhersehbar sind, wie beispielsweise mit dem Launch von Basecamps E-Mail Service HEY – die 10-fache Anzahl der User kam innerhalb von viel kürzerer Zeit wie ursprünglich geplant.
Heute sei die Last von Basecamp und HEY gut vorherzusehen – daher mache die Cloud keinen Sinn mehr. Vor allem, da man für einfache Managed Databases (RDS und Elasticsearch) eine halbe Million Dollar pro Jahr bezahle.
Zudem sei es in der Cloud mindestens genauso kompliziert, solche Services zu betreiben, wie es selbst zu machen – das Argument, dass man ja weniger Engineers brauche, ziehe daher nicht, so David.

Yet by continuing to operate in the cloud, we’re paying an at times almost absurd premium for the possibility that it could. It’s like paying a quarter of your house’s value for earthquake insurance when you don’t live anywhere near a fault .

Zudem fahre AWS eine 30% Marge ein, und das obwohl man sehr viel in Infrastrukturen und neue Services investiere.
Neben den Kosten weisst DHH aber auf einen weiteren Umstand hin:

It strikes me as downright tragic that this decentralized wonder of the world is now largely operating on computers owned by a handful of mega corporations. If one of the primary AWS regions go down, seemingly half the internet is offline along with it.

Ob die Kollegen auch unter einer us-east-1 downtime gelitten haben?
Er hat hier auf jeden Fall einen Punkt – Ist einer der Cloud Provider mal down, oder funktioniert Cloudflare mal nicht – so können wir das dezentrale Internet an vielen Stellen nicht mehr nutzen. So war das mal nicht gedacht.

We have a business model that’s incredibly compatible with owning hardware and writing it off over many years. Growth trajectories that are mostly predictable.

Ja, das geht sicher vielen Firmen so, wenn sie die Growth Phase mal hinter sich gelassen haben – könnte man meinen.
Liest man den „The Cost of Cloud, a Trillion Dollar Paradox“ von Andreessen Horowitz unter der Perspektive, so ist es doch extrem verwunderlich, das „ausgewachsene“ Firmen wie Asana und Datadog weiterhin 50%+ ihres Umsatzes direkt an Ihren Cloud Provider überweisen.

Why we’re leaving the cloud

Tracking ohne Consent: Klage gegen DB Navigator App

Nachdem diverseöffentliche Debatten und eine transparente Untersuchung nicht ausreichten, hat der Digitalcourage e.V. nun eine Unterlassungsklage gegen die Deutsche Bahn eingereicht.
Zwar könne man als User auswählen, dass „nur erforderliche Cookies“ und Tracking Einstellung zugelassen werden – diese Einstellungen seien aber teilweise wirkungslos.
Daten wie Start- und Zielbahnhof, Bahncard Status, Kinder und Anzahl Mitreisende werden an Tracking Dienstleister wie Adobe Analytics oder den Captcha Anbieter hCaptcha weitergeleitet.
Die ausführliche Analyse der DB Navigator App aus dem April 2022 zeigt zudem, dass diverse Daten übertragen werden, bevor der User überhaupt um Einwilligung gebeten wird. Leider sieht man dies auf Websites auch immer häufiger.
Die Deutsche Bahn selbst hat direkt mit einer Pressemitteilung reagiert – man weise die Kritik entschieden zurück, und es werden keine personenbezogenen Daten, sonder nur pseudonymisierte Daten übertragen.

Digitalcourage klagt gegen Tracking in Deutsche-Bahn-App

UK Event Startup „Pollen“ kollarbiert

Das UK Event Startup „Pollen“ hat um die $200 Millionen Dollar Venture Capital eingesammelt – und dies schon wieder komplett verprasst. Man hat die Technologie nun diversen Käufern für $2,5 Millionen angeboten – ein Schnapper – und niemand hat zugeschlagen.
Liegt es an den Schulden, die man mit übernehmen musste?
Die Liquidations- Dokumente, die Gergely Orosz von pragmaticengineer.com erhalten hat, geben einen erschreckenden Einblick in die VC finanzierte Startup Welt.
Neben den offenen Gehältern von Mitarbeitern schuldet man noch diversen Cloud und SaaS Anbietern Geld, unter anderem:

  • Monday.com (Projekt Management): £515.000 Pfund
  • Twilio (messaging): £135.000 Pfund
  • AWS (Cloud): £105.000 Pfund
  • Datadog (Monitoring): £50.000 Pfund
  • Zoom (Video Call): £50.000 Pfund

Zudem habe man diverse Recruiter/Vermittler nicht bezahlt, teilweise haben sich hier Rechnungen über ein paar 100.000 Pfund angesammelt. Externe Dienstleister, wie beispielsweise Thoughtworks, Deel, PwC und Concur haben auch offene Forderungen angemeldet – im Falle von Thoughtworks sogar über 1,1 Millionen Pfund.

Erstaunlich, was man mit VC Geld so alles buchen kann – und wie naiv man hier glaubt, die nächste Runde sichere das schon alles ab.
Cloud Kosten sind jedenfalls mit das geringste Problem von Pollen gewesen.

Pollen’s enormous debt left behind: exclusive details

Cloudflare DDoS Report Q3/2022

Cloudflare fasst im dritten DDoS Report des Jahres 2022 zusammen, wie Attacken sich im Laufe der Quartale und Jahre verändert haben. Im Q3 2022 habe man diverse Attacken mit mehr als 1 Tbps gesehen und mitigiert.
Eine Attacke mit 2,5 Tbps Volumen hatte den Minecraft Server Wynncraft als Ziel. Quelle war mal wieder eine Variante eines Mirai Botnetzes.
Im Vergleich zum letzten Jahr stieg die Anzahl der DDoS Attacken weiter an. Auffällig sei zudem ein Anstieg der Attacken auf Taiwan und Japan – HTTP Attacken gegen Taiwan stiegen um 200%, gegen Japan um 105%.
In der weiteren Analyse werden die Top Ziele nach Industrien, Ländern und Applikationen gegliedert. Ein weiteres Schaubild zeigt die Ursprungsländer der Attacken – beispielsweise sind dies China, Indien und die USA.

Cloudflare DDoS threat report 2022 Q3

Core Web Vitals weltweit messen

Mit dem SaaS Tool speedvitals.com kannst du die Core Web Vitals von überall auf der Welt messen, nicht nur von deinem eigenen Browser. Beispielsweise funktioniert dies aus den USA, Kanda, Brasilien, Japan, UK und der Schweiz.
Optional kannst du HTTP Authentication mit senden, Cookies und einen Custom User Agent konfigurieren, oder URLs per Block ausschließen.
Im Batch Test kannst du mehrere URLs, Locations und Devices parallel testen – auch ganz cool für den Überblick.
Zusätzlich gibt es ein Firefox Add-on und Chrome Extension – damit könnt ihr die Tests direkt im Browser ausführen.
Aktuell ist das Tool kostenlos, und nach der Registrierung kannst du eine Site permanent überwachen.

Measure Website Performance. Boost Core Web Vitals.

Datalake: S3 Kosten reduzieren mit Apache Iceberg

Apache Iceberg ist ein Data Lake Table Format, welches sich gemeinsam mit den Alternativen Apache Hudi und Delta Lake anschickt, HDFS basierte Systeme wie Apache Hive abzulösen.
Alle 3 neuen Player sind für die Cloud gedacht und speichern ihre Informationen in S3 Objekt Speichern.
Apache Hive habe laut dem Artikel diverse Probleme mit „moderner“ Cloud Infrastruktur – Directory Listings sind teuer und man benötigt ein RDBMs für die Metadaten.
Hier kommt die Stärke von Iceberg ins Spiel – man kann eine Filesize pro Tabelle konfigurieren und somit auf – im Vergleich zu Hive – größere und weniger Files umsteigen. Im genannten Falle der Firma Insider spare man damit bis zu 90% der Amazon S3 Kosten ein. Auch hier hat zusätzlich der Umstieg auf Facebooks Compression Engine Zstandard geholfen.
Über die eigentliche Migration gibt es nun ebenfalls einen neuen Artikel. In „How we migrated our Data Lake to Apache Iceberg“ könnt ihr euch über die Vorgehensweise bei der eigentlichen Migration informieren.

Apache Iceberg Reduced Our Amazon S3 Cost by 90%

US Staat Texas verklagt Google

Der US Staat Texas verklagt Google, da man wissentlich biometrische Daten ohne Zustimmung der Nutzer sammle.
Konkret geht es um biometrische Daten, die in Google Photos, Google Assistant und Nest Kameras gesammelt und zentral gespeichert werden.
In Google Photos werden sogar Daten von fotografierten Personen ohne Zustimmung der Personen verarbeitet – hier spiele nur die Zustimmung des App Inhabers keine Rolle. Google Photos verwendet diese Daten, um „ähnliche Personen“ auf anderen Bildern zu filtern.
Sollte die Klage durchgehen, so werden bis zu $25.000 pro Kunde fällig – bei ein paar Millionen Kunden in Texas alleine kommt hier eine stolze Summe zusammen.

Texas Sues Google for Collecting Biometric Data Without Consent

TOTP Tokens auf dem Casio Klassiker „F91W“

David Singleton (@dps) zeigt dir im verlinkten Blog Artikel, wie man den Casio Klassiker F-91W mit dem Sensor Watch Board (ARM Cortex CPU) ausstattet um dann damit OTP Codes (2FA Codes) für Google und GitHub zu erzeugen.
Im Artikel beschreibt er außerdem, wie man ein Custom Watchface programmiert.
David wurde von einem Artikel des Cloudflare CTOs John Graham-Cumming zum Umbau motiviert.

TOTP tokens on my wrist with the smartest dumb watch.

Einblicke in ein Scam Call Center

Jim Browning hat schon diverse Scam Call Center Videos hochladen. Seine „Spying on the Scammers“ Reihe auf YouTube kommt auf knapp 20 Millionen Aufrufe pro Folge.
In einem aktuellen Video wurde er vom „Scammer Payback HQ“ eingeladen, eine gemeinsame Aktion zu starten. Und so wird ihm Video die typische Arbeitsweise eines Scam Call Centers aussieht.
Man verwendet SIP Telefone oder PC Software, welche häufig selbst veraltet ist. Amerikanische Rufnummern kann man sich dann online kaufen und direkt verwenden.
Später im Video fangen diverse Freiwillige des „Scammer Payback HQ“ typische Scam Call Center Anrufe ab und verhindern somit aktiv den Scam. Natürlich informieren sie die Anrufenden über die Vorgehensweise.
In den US alleine beträgt der Schaden durch Scam um die 5,9 Milliarden Dollar pro Jahr. Zudem wird alle 6 Sekunden ein US Bürger Opfer eines Identitäts-Diebstahls.

Joining a scam call center (virtually)

Schmunzelecke

Chris Bensen zeigt in einem Twitter Video seinen beeindruckenden BigPiCluster, welchen er für Oracle Cloud Demos, GraalVM und Java Showcases verwendet. Hat er wohl noch vor der Chip Krise bekommen 🙂

Und mal wieder ein lustiges Technical Debt Share-Pic auf twitter.

💡 Link Tipps aus der Open Source Welt

CrowdSec – Open Source „behavior detection“ engine

CrowdSec ist eine kostenlose und kollaborative „behavior detection“ engine. Früher hätte man dazu vielleicht IPS (Intrusion Prevention System gesagt). CrowdSec analysiert den Traffic auf euer System (lokal dort), führt ein Pattern Matching durch und gleicht die Daten mit einer crowd sourced Datenbank ab.
Im Grunde kennst du vielleicht noch fail2ban, welches SSH Verbindungen (oder auch nginx) blockt. Das CrowdSec ist hier deutlich intelligenter und mächtiger.
Das Angebot dahinter ist dann ein SaaS Angebot aus Frankreich zum Thema „Bot Protection“.
Danke Eugen für den Tip.

https://github.com/crowdsecurity/crowdsec

nb – local notebook CLI

Das CLI Tool nb hilft euch, ein lokales Notizbuch in eurer Shell zu pflegen. Hört sich verrückt an, hat aber diverse Vorteile gegenüber der zettel.txt oder wie auch immer deine lokale Todo Text Datei heisst.
nb kann archivieren, linken, taggen, suchen und git Versionierung + Synchronisation.
Den Output kannst du dir hier beispielhaft in der eigenen Dokumentation anschauen.

https://github.com/xwmx/nb

Parca Grafana Plugin

Polar Signals, die Macher des Open Source Continuous Profilers „Parca“, haben nun ein Grafana Plugin für Parca veröffentlicht.
Mit Hilfe des Plugins könnt ihr Parca als Datasource anlegen und mit den Parca eigenen Flame-graphs in Grafana arbeiten.
Aktuell muss das Plugin nach Anleitung manuell installiert werden – nach Review sollte es sich aber im Grafana Plugin Repository finden lassen. Die Dokumentation findet sich hier – viel Spaß damit.

https://www.polarsignals.com/blog/posts/2022/10/20/parca-plugin-for-grafana/

❓ Feedback & Newsletter Abo

Vielen Dank, dass du es bis hierhin geschafft hast!
Kommentiere gerne oder schicke mir Inhalte, die du passend findest.

Falls dir die Inhalte gefallen haben, kannst du mir gerne auf Twitter folgen.
Gerne kannst du mir ein Bier ausgeben oder mal auf meiner Wunschliste vorbeischauen – Danke!

Möchtest du den Newsletter wöchentlich per E-Mail erhalten?
Einfach hier abonnieren:

Please enter a valid email address
Diese E-Mail ist bereits registriert.
The security code entered was incorrect
Vielen Dank für Deine Anmeldung - bitte den Opt-In bestätigen.


0

Share

By About
Abonnieren
Benachrichtige mich bei
guest
0 Comments
Inline Feedbacks
View all comments

allesnurgecloud.com

© 2022 allesnurgecloud.com
0
Would love your thoughts, please comment.x