Windows sys admins have long relied on the very wide range of tools that Windows, especially its Server versions, made available to manage the operating system. Unlike many think, such tools were not black boxes but they have been built on APIs that were available to developers, in most cases, so that they could write their own tools and access the very same information that Microsoft tools have been providing and also perform the same actions. But the tools themselves were good enough so that admins have been using them in a way or another, even when implementing their own.

Microsoft also provided Server Manager, a tool that in its latest versions allowed to manage multiple servers at once and provided access to many information and actions to perform on to local or remote servers. It also acted as a container for other administration tools when it didn’t provide the capability to perform actions on its own. At some time, Microsoft probably thought about converting its desktop tools into plugins for the newer versions of Server Manager and also started such work by integrating some of them. That was no easy task because of the wide range of utilities that Microsoft provided over time but the effort made sense.

When Core (or Nano, as of Windows Server 2016) versions of Windows Server were introduced, sys admins had to rely on Powershell to perform the same tasks since no UI was available in Core versions of the OS. Actually, some of them were quickly converting Core versions into Desktop one when they needed to perform extensive maintenance actions, reverting back to Core when done. The reason for that is oh-so-simple: performing complicated tasks using the command line is way less productive than using graphics tools, whatever Linux sys admins would like you to believe. That’s the reason why the button you must pay attention to is red, the button to do a safe action is green and you have a wheelchair icon on a reserved parking instead of printing “This parking space is reserved to people with disabilities so you are forbidden to park here unless you have a disability your own. You will receive a fine if you park here abusively.”. Metaphors. We discovered that our mind is better at metaphors long ago. Well, not all of us. We are still waiting for Linux admins to evolve but we’re confident.

Yesterday Microsoft announced Project “Honolulu”, a new way to manage Windows systems through a new shell, this time a Web-based administration shell. I had the privilege to contribute to the design and testing of the tool and I will try to describe why I loved it and why it can become very relevant for Windows sys admins.

What Honolulu is

Honolulu is a Web-based Server Manager that can be installed on both desktop and server machines and provide access, that is to say “graphical access”, to one or more servers in your environment. The first thing to notice is that Honolulu doesn’t require anything “more” [...]

Google ha annunciato la settimana scorsa che i suoi piani di dismettere il supporto per l’algoritmo di cifratura SHA-1 in Chrome continuano come previsto, anche se la tempistica potrebbe essere accelerata. La decisione è basata sulle ricerche che continuano a dimostrare come SHA-1 sia più vulnerabile che mai agli attacchi denominati “collision attacks”, cioè quegli attacchi che hanno come obiettivo quello di riprodurre il risultato ottenuto con SHA-1 partendo però da un dato diverso. Questo rende possibile creare dei dati (ad esempio: password) che, dopo l’applicazione dell’algoritmo, sembrino uguali ad altri con la conseguenza che il sistema di protezione potrebbe considerarli validi quando in realtà non lo sono.

Nei browser, l’algoritmo SHA-1 viene usato principalmente nelle comunicazioni sicure (SSL/TLS) che vengono avviate quando il sito Web visitato usa un certificato digitale. Nella decisione di Google potrebbe avere avuto un ruolo quella presa da Microsoft e Mozilla che hanno annunciato di considerare la possibilità di anticipare, all’interno dei propri browser Firefox e Edge, la data del primo Gennaio 2017 per la dismissione di SHA-1, iniziando a bloccare l’uso dei certificati che ne fanno uso a partire dal 1° Luglio 2016.

Le autorità di certificazione dovrebbero interrompere l’emissione di certificati SHA-1 nel 2016, come da raccomandazioni internazionali, quindi in teoria il problema dovrebbe andare ad interessare inizialmente pochi certificati, considerato che Google segnalerà come non validi quelli che usano SHA-1 e siano stati rilasciati dopo il 1° Gennaio 2016. Il secondo passaggio, più drastico, sarà quello invece di generare un errore di rete quando si incontrerà un certificato di quel tipo e questo invece potrebbe porre dei problemi per tutti gli utenti con certificati validi se anticipato a Luglio 2016 invece che a Gennaio 2017, perché potrebbe rendere inutilizzabili i certificati prima che gli utenti abbiano la possibilità di rinnovarli alla loro scadenza, quindi durante il prossimo anno (fatti salvi quelli emessi per più anni).

Se le segnalazioni di violazioni della sicurezza attraverso attacchi all’algoritmo SHA-1 dovessero però continuare o addirittura aumentare, i produttori dei browser potrebbero vedersi costretti ad anticipare i tempi per non mettere a rischio la sicurezza dei siti Web, a questo punto solo in teoria protetti dai certificati SSL, e ovviamente dei dati degli utenti che li usano.

La versione 48 di Chrome, che sarà pubblicata all’inizio del 2016, bloccherà anche l’uso dell’algoritmo di cifratura RC4, sviluppato nel 1987 e ormai considerato non più sicuro. IETF aveva bandito l’uso di RC4 all’inizio del 2015.