1 Kommentare

 
GN⁺ 2024-02-10
Hacker-News-Kommentare
  • Ich bin der Ersteller von epitaphs. Fragt mich alles

    • Im Blogpost heißt es, „jemand anderes, der dich kennt, musste es hinzufügen“, aber das ist nicht korrekt oder gilt inzwischen nicht mehr
      Wenn ein Mitarbeiter den Inhalt per E-Mail an eine spezielle Adresse schickt, kann dieser Inhalt angezeigt werden, wenn er das Unternehmen verlässt. Ich habe das so gemacht, kann aber nicht mehr überprüfen, ob es richtig funktioniert hat
    • Darf ich fragen, bei welchem Unternehmen das war?
    • Läuft es immer noch?
      Hat HR jemals verlangt, dass ihr es ändert? Ich bin vor 5 Jahren gegangen, und ich mochte diese Funktion wirklich sehr
    • Warum hast du epitaphs gebaut? Gab es beim Bau interessante organisatorische oder technische Hürden?
  • Für den Betrieb von so etwas würde ich dringend Git empfehlen
    Man kann es per cron etwa so laufen lassen:
    curl https://internal.corp/employees.txt > employees.txt
    git add employees.txt
    git commit -m "Automated: $(date -u)" || exit 0
    || exit 0 sorgt dafür, dass es keinen Fehler gibt, wenn es nichts zu committen gibt. Damit landet jede Änderung der Informationsquelle als Commit in der Historie, und man kann sie einfach mit git log ansehen. Ich lasse so etwas häufig über geplante GitHub Actions laufen; ein Beispiel gibt es unter https://simonwillison.net/2020/Oct/9/git-scraping/

    • Ähnlich, aber statt || exit 0 verwende ich --allow-empty bei git commit
      Leere Commits sind für mich okay, weil ich dann sehen kann, dass der automatische Lauf nicht fehlgeschlagen ist, sondern erfolgreich lief, es aber keine Änderungen gab
    • Für Determinismus wäre es vielleicht gut, | sort hinzuzufügen. Für solche kleinen Datenmengen ist Git eine unterschätzte Datenbank
    • Mit derselben Technik habe ich angefangen, ein diffbares Archiv der finnischen Nachrichten in einfacher Sprache aufzubauen
      Das war eine große Hilfe, um hochwertige, verständliche Eingaben zu sammeln. Danke
      https://github.com/hiAndrewQuinn/selkouutiset-scrape/
    • Ich denke ernsthaft darüber nach, Git generell für Daten zu verwenden, die sich häufig, aber nicht stark ändern. Zum Beispiel Listen der Bücher in einem Bücherregal
      Allerdings möchte ich darüber auch Funktionen einer transaktionalen Datenbank haben. Git kann diesen Teil gut. Gleichzeitig möchte ich schnelle Indizes für einige Felder, und das kann Git nicht so gut. Deshalb überlege ich, einen „Standard“ zu verwenden, bei dem sqlite nach Git gedumpt wird. Jede Transaktion ließe sich als Git-Commit ausdrücken, und man könnte beides parallel betreiben: Git für Dauerhaftigkeit und sqlite für vernünftige Indizes. Die sqlite-Datenbank kann jederzeit neu erzeugt und neu indiziert werden und taugt in gewissem Maß auch für Backups.
      Im Moment fühlt es sich noch so an, als würde ich auf der Stelle die Räder drehen lassen, und ich beobachte, wohin sich Datenbanken als Nächstes entwickeln
    • Ein Kollege würde mit diesen Daten wohl eine Netzwerkanalyse über die Zeit machen, um anhand der Gruppen, in die Leute im Lauf der Zeit wechseln, zu sehen, ob sie gern oder ungern miteinander gearbeitet haben
  • Ich habe ein Tool gebaut, das LDAP auf diese Weise verfolgt [0]. LDAP ist eine Schatzkammer an Informationen und eignet sich auch hervorragend zum Stalking
    Es war irgendwie interessant zu sehen, wer geht, und wenn möglich auch, wie lange die Leute dort gearbeitet hatten. Ziemlich interessant war auch, dass Freunde über LDAP von ihrer Entlassung erfuhren, bevor sie es selbst wussten. Im README steht, dass man mit der Slack-Webhook-Integration on demand herausfinden kann, was im LDAP-Verzeichnis passiert, und Neueinstellungen, Abgänge, Beförderungen, wann HR was macht, unautorisierte Änderungen, versehentlich offengelegte Daten sowie LDAP-Logins und -Logouts von Nutzern überwachen kann. Es gibt auch LDAPmonitor[1], das im Grunde dasselbe für Microsoft und Active Directory macht
    [0]https://github.com/MegaManSec/LDAP-Monitoring-Watchdog
    [1]https://github.com/p0dalirius/LDAPmonitor

  • Entlassungen im Zeitalter der Remote-Arbeit sind seltsam. Früher konnte man ziemlich gut erkennen, wer entlassen wurde, wenn man jemanden mit einem Karton voller Sachen hinausgehen sah, und man konnte hingehen und vorschlagen, sich in der Kneipe um die Ecke zu treffen, oder Kontaktdaten austauschen.
    Man bekam zumindest ein gewisses Gefühl von Abschluss. Heute hören eines Tages mehrere Leute auf, auf E-Mails zu antworten, und man muss abwarten, bis klar ist, ob sie wirklich weg sind oder nur beschäftigt. Wenn man gerade auf ein Deliverable wartet, das man für ein Projekt braucht, kommt es vielleicht nie, und eine Weile weiß man nicht einmal warum. Selbst wenn es ein Unternehmensverzeichnis gibt, bleiben sie wegen des WARN Act oft noch über 60 Tage darin, und die meisten Unternehmen scheinen keine „Entlassungsliste“ zu führen. Wenn einem nicht gesagt wird, wer entlassen wurde, und wenn ihnen der Zugang gesperrt wird, bevor die Entlassung bekanntgegeben wird, sodass man keine Chance hat, sich zu verabschieden, ist es wirklich schwer, einen Abschluss zu finden.

    • Es ist traurig zu sehen, wie die Accounts von Leuten in Slack ohne Abschied auf inaktiv wechseln.
      Der schlimmste Chef, den ich je hatte, forderte regelmäßig Zugriff auf die Slack-Accounts ehemaliger Mitarbeitender an, angeblich um Übergabedaten zu deren Arbeit zu finden. Immer wenn er sich als sie einloggte, wurde der Account manchmal grün. Zu sehen, wie der Account eines ehemaligen Kollegen grün wurde, und zu wissen, dass der Chef seine privaten Nachrichten durchsuchte, war unheimlich. Ich weiß, dass das Unternehmen Slack-Nachrichten ohnehin einsehen kann, aber es ist noch gruseliger, wenn man sieht, wie der eigene Chef das in Echtzeit tut.
    • Anfangs versuchte man es noch, aber zu Beginn der Pandemie stieg die Zahl der Todesfälle so schnell, dass die Organisation nicht mehr hinterherkam, alle zu informieren.
      Schon der Versuch der HR-Abteilung, für alle wenigstens ein paar Worte zusammenzustellen, war demoralisierend, und an der Stelle, an der zuvor lebendige, persönliche Gesten standen, blieb eine lang anhaltende Blässe zurück. Menschen verschwinden weiter, aber es gibt immer noch keine Mitteilung darüber, dass sie gegangen sind, oder darüber, wie sie gegangen sind.
      Zu Beginn der Pandemie traf ich mich zum letzten Mal mit dem General Counsel. Wie die meisten Menschen während der Lockdowns sah er außer seiner unmittelbaren Familie niemanden und hatte monatelang keine Gelegenheit zu einem guten Gespräch gehabt; hätte er sie gehabt, hätte ihn das vielleicht ohnehin umgebracht. Er schüttete alles aus, woran er gerade arbeitete, und schrieb danach, ganz Anwalt, einen hervorragenden Brief an den CIO, der zu meinem liebsten Austausch zwischen uns führte.
      Sechs Monate später rief jemand an, der auf dem Weg zur Rechtsabteilung war, und sagte, jemand sei gestorben; sofort hatte ich ein ungutes Gefühl. Ich durchsuchte die Website, das Verzeichnis und die lokalen Todesanzeigen, fand aber nichts, und auch das Gerüchtenetzwerk war still. Also rief ich seine Assistentin an, und sie sagte mir ziemlich nüchtern, dass der GC vor sechs Wochen verstorben war.
      Erst fast genau ein Jahr später holten die Abläufe der Organisation auf und veröffentlichten „Remembering $generalCounselor“. Da hatte ich die Beerdigung bereits verpasst, die Familie war umgezogen, und vielen war es unangenehm, so spät noch Beileid zu schicken. Den Schock, die Beschämung und die Trauer der anderen zu sehen, war kein Trost, aber ich wusste immerhin, dass ich nicht allein damit war.
      Wir sind keine kleine, aber eine persönliche Organisation, und jeder Tod hinterließ eine kleine Leerstelle, die wir nicht gemeinsam anerkennen oder verarbeiten konnten. Wir haben immer noch keine Art, mit dem Verlust umzugehen, und wir haben auch nicht darüber gesprochen. Wenn ein alter gespeicherter Kontakt nach der Neuvergabe der Durchwahl wieder auftaucht, fühlt es sich unvermeidlich an wie ein Anruf aus dem Grab. Ich versuche, in Kontakt zu bleiben und den Überblick zu behalten, aber nach und nach werden die Verbindungen schwächer, und mit ihnen verblassen auch unsere Erinnerungen und unsere gemeinsame Geschichte.
    • Eine Sache, die ich an der Arbeit im Büro vermisse, ist die menschlichere Verbindung.
      Dass Leute am Schreibtisch vorbeikamen, über ihr Leben plauderten und Witze machten. Ich habe in meinem Leben nie so viel gelacht. Insgesamt waren die Beziehungen enger, und wenn Leute gingen, war man traurig, aber auch froh, wenn sie an einen besseren Ort gingen. Remote-Arbeit fühlt sich im Vergleich dazu so steril und unpersönlich an. Ich arbeite seit etwa 2015 remote, das ist also kein Plädoyer für die Rückkehr ins Büro, sondern einfach Nostalgie.
    • Das Sperren von Zugängen kam mir immer dumm vor, und als Manager habe ich es nicht so gemacht.
      Wenn man jemandem drei Jahre lang vertraut und mit ihm gearbeitet hat, kann man ihm auch noch ein bis zwei Wochen vertrauen. Die Leute können ihre verbleibende Arbeit abschließen und sich Zeit nehmen. Wir sind alle erwachsen. Ich verstehe, dass im schlimmsten Fall etwas Schlimmes passieren kann, aber das gilt immer.
    • Das ist vielleicht der einzige Moment, in dem ich so etwas sage, aber ich bin froh, dass es LinkedIn gibt. Zumindest weiß man, dass man mit jemandem, der gegangen ist, jederzeit wieder Kontakt aufnehmen kann.
  • Dieser Teil hat mir gefallen:
    „Außerdem: Wenn jemand wütend wird, weil man so etwas laufen lässt, will man dort wahrscheinlich ohnehin nicht arbeiten. Umgekehrt: Wenn IT oder eine ähnliche Organisation sich nicht ‚bedroht‘ fühlt und solche Tools bauen kann, ist man vielleicht an einem Ort, an dem man tatsächlich Freude daran hat, interessante und nützliche Dinge zu bauen. Solche Orte sollte man schätzen. Meist halten sie nicht lange“

    • Wenn man trotzdem dort arbeiten möchte, sollte man zuerst die rechtliche Lage prüfen
      Das dürfte ziemlich sicher eine unbefugte Verarbeitung personenbezogener Daten sein. Nur weil man Zugriffsrechte hat, heißt das nicht, dass man damit beliebig verfahren darf. Insbesondere Archive, Verlaufsaufbewahrung und das Verknüpfen externer Daten sind nicht die vorgesehene Nutzung solcher Schnittstellen. Wenn man die Informationen etwa in Form eines Arbeitslaptops mit nach Hause nimmt, kann das ein weiteres Problem sein und auch als Mitnahme von Geschäftsgeheimnissen gesehen werden.
      Zumindest in Europa ist der Missbrauch solcher Schnittstellen wahrscheinlich rechtswidrig, und erst recht, wenn man Kopien oder Diffs aufbewahrt. Der Arbeitgeber könnte verpflichtet sein, Maßnahmen zu ergreifen, und andernfalls haftbar werden. Oder er könnte diesen Verstoß später bequem als Vorwand nutzen, um den Vertrag zu beenden. Besonders dann, wenn man diese Informationen als Druckmittel einsetzt.
      Je größer das Netzwerk ist, desto höher scheint auch die Wahrscheinlichkeit, in Schwierigkeiten zu geraten. Umgekehrt ist der Nutzen des Datensammelns geringer, wenn es nicht groß ist. Wäre es nicht besser, sich mit Kolleginnen und Kollegen zu organisieren, Beschäftigungsinformationen freiwillig zu teilen und kollektive Verhandlungsmacht aufzubauen?
    • Ich frage mich, ob das als personenbezogene Daten gilt. Es sind ja Kopien der Namen, Positionen und Beschäftigungsdauer aller
      Viele europäische Unternehmen dürften vorsichtig sein, wenn Mitarbeitende solche Listen aufbewahren
    • Amazon hat jemanden entlassen, der nach Entlassungen eine LDAP-Query geteilt hatte, um die betroffenen Personen zu finden. Und das, obwohl keine Informationen nach außen gegeben wurden
    • Das ist überhaupt nicht gut. Es ist nur übertriebenes Posieren
      Man kann das überprüfen, indem man nach HN-Kommentaren sucht, die auf dieselbe Weise posieren. Nachdem sich das Overton-Fenster verschoben hat, halten wir uns nicht mehr zurück und sagen offen, was wir wissen: Es ist ein Missbrauch des Systems, der ein altes Adressbuch in ein Klatschblatt verwandelt, das selbst die Betroffenen überraschen würde.
      Zum Beispiel Dinge wie: „Am Anfang interessierte mich nur, welche Accounts deaktiviert wurden. Dann begann ich, Positionswechsel, Namensänderungen nach Heirat, Abteilungsgrößen und die Mitarbeiterzahl des Unternehmens über die Zeit zu verfolgen“, „LDAP ist voller Geheimnisse. Erstaunlich, dass man fast alles anonym abrufen kann. Ich habe Team- und Abteilungsfusionen vor ihrer Ankündigung entdeckt, und auch geheime Mailinglisten interner Projekte lassen sich über ihre Mitglieder ausforschen“, „Viele seltsame Dinge beruhen darauf, dass der LDAP-Baum breit zugänglich ist. Er leckt nur mehr Informationen, als die meisten denken“, „Wir überwachen, wann HR was tut, und erkennen, wann Nutzer sich bei LDAP an- und abmelden“
  • LDAP ist voller Geheimnisse. Es ist eine großartige Methode, um zu sehen, was im Unternehmen passiert, und es ist erstaunlich, dass man fast alles anonym abrufen kann
    Ich habe schon Team- oder Abteilungsfusionen vor ihrer Ankündigung entdeckt. Auch geheime Mailinglisten interner Projekte lassen sich über die Mitglieder ausforschen, was gerade passiert. Wenn Mailadressen noch etwas verraten, umso besser. ldapsearch ist gut, wenn man LDAP gut kennt; wenn man einfach erkunden will, ist Apache LDAP Studio ein hervorragendes UI-Tool. Alle sollten zumindest genug darüber wissen, um einen Login-Dienst zu bauen, der für interne Apps an LDAP bindet. Man kann von Sysadmins gepflegte Gruppen nutzen, um App-Berechtigungen zu steuern; das ist sehr mächtig und man kommt schnell damit los

    • Ich bin immer noch überrascht, wenn Unternehmen beliebigen Nutzern, sogar anonymen Nutzern, erlauben, den gesamten AD-Baum des Unternehmens zu indizieren
      Nett ist es schon, aber trotzdem. Oft ist es außerdem die einzige Möglichkeit, an Informationen zu kommen, die auf Intranetseiten nicht stehen. Zum Beispiel, welche Teams es in der IT tatsächlich gibt, wo die Büros sind, wer der Manager einer Person ist, und natürlich, in welcher Verteilerliste ich fehle, die andere Nutzer haben und die Probleme beim Zugriff auf interne Portale verursacht
    • LDAP-Gruppen für die Authentifizierung interner Apps nutzen? Wenn man das nächste SolarWinds werden will, nur zu
  • Es ist erstaunlich, dass so viele Leute unabhängig voneinander auf dieselbe Idee gekommen sind. Bei einem früheren Arbeitgeber habe ich „the sackinator“ gebaut
    „sacked“ bedeutet entlassen. Es war ein Cron-Job, der jede Nacht das gesamte AD-Verzeichnis dumpte, plus ein Skript, das die Ausgaben beliebiger zwei Tage diffte. Da die Daten gedumpt waren, konnte ich jederzeit zurückgehen und weitere Analysen machen. Anfangs schaute ich nur, welche Accounts deaktiviert wurden; später begann ich, Positionswechsel, Namensänderungen nach Heirat, Abteilungsgrößen und die Mitarbeiterzahl des Unternehmens über die Zeit zu verfolgen. Ich stimme voll zu, dass man Orte schätzen sollte, an denen man solche Tools bauen kann und IT sich nicht bedroht fühlt

  • Hahaha. Ich habe ein sehr ähnliches Skript, das von „KTMJ“ verwaltet wird. Es dient nicht dazu, inaktive Nutzer zu finden, sondern dazu, bestimmte LDAP-Attribute in ein anderes System zu synchronisieren
    Diese Organisation ist groß genug, dass sie mehr als 300.000 Nutzer hat. Selbst in der kurzen Zeitspanne, in der das Skript LDAP abfragt und die Synchronisationsdatei vorbereitet und dann der eigentliche Synchronisationsimport läuft, der prüft, ob jeder Nutzer noch existiert, werden bereits Hunderte Accounts deaktiviert und in einer „error“-Logdatei protokolliert. Die eigentliche Synchronisation und die „error“-Logdatei liegen nicht direkt unter meiner Kontrolle.
    Der Grund, warum ich hysterisch gelacht habe: Mein Vertrag soll wegen „Budgetbeschränkungen“ beendet werden. Nach mehreren Entlassungsrunden hatte ich das schon erwartet. Mein Account wird im nächsten monatlichen Zyklus ebenfalls zu den zu deaktivierenden Accounts gehören, aber vorher muss ich meinen Nachfolgern noch den Prozess und das erwartete „error“-Logging-Verhalten für inaktive Nutzer übergeben

  • Man muss das nicht nur negativ sehen. Dort, wo ich arbeite, nennen wir dieses Tool „new-hires
    Es nutzt einen eingeschränkten Read-only-API-Key für ein HR-Tool eines Drittanbieters, und diesen Key hat mir der People Director gegeben. Manchmal gibt es auch Zeilen, die mit - beginnen, aber der Name des Tools stammt von den Zeilen, die mit + beginnen.
    new-hires ist auf dem Python-Modul/CLI „people“ in unserem Monorepo aufgebaut. Dieses Tool ist viel nützlicher als ein Diff des Organigramms. Man kann sehen, wer in welchem Team ist, wo jemand ist, ob die Person heute arbeitet, ob es Zeit ist, ein Dienstjubiläum zu feiern, und so weiter. Außerdem folgt es meinem „ZFS-Litmustest“ für gute CLI-Tools: Es bietet -pH für parsbare Ausgabe ohne Header. Solche Orte sind wirklich etwas, das man schätzen sollte

    • Wo ist das? Klingt nach einem wirklich guten Ort
  • Bei meinem ersten Job wollte ich so ein System bauen, aber mein Manager hörte davon und verbot es ausdrücklich
    Später entließ dieses Unternehmen an einem einzigen Tag 15 % der Software Engineers. Das Supportteam erstellte Tickets zur Stilllegung von Mitarbeiterkonten im öffentlichen Issue-Tracker, sodass viele Leute es auf diesem Weg erfuhren, bevor sie eine Einladung zu einem Meeting erhielten